Die Verantwortung der Techniker

Letzte Aktualisierung: Feb. 2023

Ethik für Techniker und Wissenschaftler

Ethische Fragen werfen sich für den Techniker und den Wissenschaftler nicht nur im großen Rahmen auf, z.B. die Menschenversuche im 3. Reich in den KZs, sondern eigentlich wird jeder Techniker und Wissenschaftler immer wieder vor solche Fragen gestellt. Es gibt eine Reihe von sehr problematischen (d.h. sehr unethischen) Experimenten, die im Namen der Wissenschaft auch außerhalb der Nazizeit durchgeführt wurden.

Hier Links zur Tuskegee Syphilis-Studie in den Südstaaten 1932-1972 und zur Stotterstudie in den USA. Hier der Link zu einer neueren Untersuchung (2016) Did infamous Tuskegee Study Cause Lasting Mistrust of Doctors among Blacks?

An anderer Stelle habe ich einen Artikel zu Roboter-Ethik (das vor 10 Jahren noch sehr abstrakt war, aber jetzt immer dringender wird, z.B für selbststeuernde Autos oder autonome Kriegsroboter).

 

2019: Boeing 737 Max

Bei den Flugzeugabstürzen im Oktober 2018 in Indonesien und im März 2019 in Äthiopien kamen insgesamt 346 Menschen ums Leben. In beiden Fällen fiel der Verdacht bald auf eine Software der recht neuen Boeing 737 Max, die die Flugstabilität erhöhen sollte, aber letztendlich beim Ausfall von Sensoren falsche Entscheidungen traf und diese falschen Entscheidungen mit physischer Kraft gegen die Piloten durchsetzte.

Wie sich dann bei Untersuchungen herausstellte, sind bei der Entwicklung der Boeing 737 Max eine Reihe von sehr unschönen Dingen gelaufen. Da war einmal, dass Boeing eine Sicherheitsfeature die vor dem Ausfall der Sensoren warnt als kostenpflichtige Zusatzoption angeboten hat, die dann oft nicht genommen wurde.

Und dann die grundsätzliche Implementierung: Dazu verlinkt der Sicherheitsexperte Bruce Schneier auf 2 interessante Artikel. Der Punkt in dem ersten Artikel (der eine umfassende Darstellung der Problematik liefert) ist, dass offenbar aus zulassungstechnischen Gründen die neue 737 Max als typ-identisch zu den jahrzehntealten 737 Modellen angeboten wurde: Dadurch war keine Nachschulungen nötig, keine neue Dokumentation.

Der zweite Artikel auf den Bruce Schnier verlinkt hatte korrigiert einige der Punkte des ersten. Meiner Meinung nach bleibt die ursprüngliche Kritik jedoch weiterhin gültig. Und die Kommentare unter dem Bruce Schneier Link sind auch lesenwert.

Letztendlich wurde ein flugtechnisches Problem das durch eine spritsparende technische Veränderung entstanden war durch eine neue Software-Feature behandelt, das neue MCAS System (Maneuvering Characteristics Augmentation System - die FAZ bringt eine gute Analyse des Systems: Das problematische Kontrollsystem der Boeing 737 Max). Änderungen in der Software erfordern überaschenderweise keine neue Zulassung. Das MCAS system wurde aber nicht redundant implementiert und war dadurch anfällig gegen Sensor-Störungen (die ebenfalls nicht redundant in der Software integriert sind).

Und der Alarm für Sensorstörungen war eine kostenpflichtige Zusatzfeature. Ich kann mir gut vorstellen, wie bei den Preisverhandlungen mit der Einkaufsabteilung der Fluglinie diese optionale Feature entfernt wurde um zu einem niedrigeren Preis zu kommen - jeder Einkäufer muss einen Verhandlungserfolg nachweisen. Außerdem erklärt der verlinkte Artikel, dass bereits 1 Jahr zuvor (2018) die Flugaufsicht erwogen hatte ein Flugverbot für Maschinen dieses Typs anzuordnen. Grund war, dass Boeing ein Warnsystem für Fehlfunktionen des MCAS deaktiviert hatte – offenbar ohne Fluggesellschaften darüber in Kenntnis zu setzen.

Da verwundert es auch nicht, dass die nachträgliche Prüfung der Behörde einen weiteren drastischen Softwarefehler, diesmal in der Steuerungssoftware für Klappen und andere wichtige Systeme des Flugzeugs.

Ergänzungen im Juni 2019: Boeing soll die Entwicklung von Software für 737 Max massiv ausgelagert haben. Bloomberg berichtet, dass aus Kostengründen viele erfahrene Entwickler von Flugzeug-Software entlassen wurden und große Teile der Software-Entwicklung nach Indien ausgelagert wurden. Es sieht so aus, als wären Boeing aus Kostengründen ein erhebliches Risiko eingegangen.

Ergänzungen im Okt. 2019: Der Boeing-Chefpilot erkannte Probleme des Unglücksflugzeugs 737 Max bereits 2016, er konnte sich aber leider nicht durchsetzen. Der technische Chefpilot der 737 schrieb über die "ungeheuerliche" Fehlleistung des speziell für die Boeing 737 Max entwickelten Stabilisierungssystems MCAS.

Außerdem wurde bekannt, dass sich bereits vor den Abstürzen von Lion Air Flug 610 und Ethiopian Airlines Flug 302 andere Piloten über Probleme mit Boeings 737 Max beklagt hatten, aber ohne dass etwas unternommen wurde. Außerdem wurde bekannt, dass Entwickler von Boeing bereits während der Entwicklung Vorschläge für ein alternatives (und redundantes) System für die Messung von Luftgeschwindigkeit und Anstellwinkel gemacht hatten. Die Vorschläge wurden aus Kostengründen abgelehnt.

Im Dezember 2019 geht es dann steil bergab für Boeing: Boeing unterbricht Produktion des Unglücksfliegers 737 Max nachdem die Aufsichtsbehörde sich auf kein Datum für eine Wiederzulassung festlegen lässt. Bis dahin waren die Maschinen dieses Typs weiter produziert worden, weil ja davon ausgegangen wurde, dass bald ein Softwarefix alles wieder ins Lot bringen würde. Die produzierten 400 Maschinen wurden auf einem Parkplatz für die Autos der Angestellten geparkt (der Artikel bringt das Bild). Viele Fluggesellschaften haben ihre Bestellungen mittlerweile bereits storniert. Der Produktionsstop hat drastische Auswirkungen nicht nur für Boeing, sondern auch für die vielen Zulieferer. Außerdem hat es drastische Auswirkungen auf die Fluggesellschaften deren Maschinen jetzt schon sehr lange am Boden stehen und die Fluggesellschaften entweder Flüge streichen oder alternative Flieger leasen müssen. Für die US-Wirtschaft und die Außenhandelsbilanz ist die Boeing-Krise eine erhebliche Belastung. Vorläufig soll noch niemand von den 12.000 Mitarbeitern die diese Maschine produziert haben entlassen werden.

Und dann zieht kurz vor Weihnachten 2019 der Chef von Boeing die Konsequenzen und tritt zurück. Für mich ist das ganze ein drastisches Beispiel wie ein unethischer Umgang mit kritischem Input und Warnungen der Mitarbeiten an den Rand des Ruins bringen kann. Derzeit ist noch vollkommen offen, wie diese Geschichte ausgehen wird.

 

2014 Beginn des Volkswagen Dieselskandals, 2019 ist noch lange kein Ende in Sicht

Die Boeing-Geschichte erinnert mich an den Abgasskandal bei den Dieselmotoren von VW, Porsche und Audi (der Link führt zu einem sehr detaillierten technischen Überblick). Überraschend ist für mich, dass Volkswagen die Probleme bisher noch alle irgendwie aussitzen und bisher mit Kratzern davongekommen ist (die "Kratzer" sind schwächere Verkäufe, Milliarden für Rechtsrisiken und bereits gezahlte Strafen und Probleme mit dem neuen Abgastestverfahren WLTP). April 2019: Ex-VW-Chef Winterkorn in Deutschland angeklagt.

Und es gibt Hinweise, dass noch nicht mal alles ans Tageslicht gekommen ist und die Betrügereien weitergehen: Abgasskandal erreicht Luxusklasse von Volkswagen: Es wurde weitergetrickst.

 

2010: Die Deepwater Horizon Katastrophe

Aus einem Vortrag September 2005, The journey to deepwater operatorship (pdf), von DAVID EYTON, BP, Houston, USA:

    And yes, as I look back to where we were 10 years ago, it’s probably true to say that we (and by “we” I mean both operators and contractors) did somewhat underestimate the full nature of the challenges we were taking on in the deep waters of the Gulf."

Die Wortwahl "somewhat underestimate" ist ein extremer Euphemismus für das, was sich jetzt beim Versuch der Reparatur des Problems sehr deutlich zeigt - nämlich dass es keine verlässlichen Möglichkeiten gibt, unter diesen extremen Druck- und Temparaturbedingungen ein Bohrloch zu schließen.

Falls BP seit 2005 in dieser Hinsicht klüger geworden ist, so sieht es sehr stark danach aus, dass finanzielle Überlegungen stark zu dieser Katastrophe beigetragen haben (siehe der sehr vorläufige Untersuchungsbericht Key Questions Arising from Inquiry into the Deepwater Horizon Gulf of Mexico Oil Spill (pdf)) und viele andere Details über Streits zwischen den Angestellten von BP, Halliburton und dem Platformbetreiber Transocean über die korrekte Behandlung der Probleme die sich in den letzten 24 Stunden vor der Explosion gezeigt hatten (eine gute Berichterstattung über die Untersuchungen bringt die New York Times). (Hier ein Artikel der auch belegt, dass der Ausbruch keine Überraschung war).

Die Untersuchungen zeigen für mich 3 Sachen: Erstmal war es offenbar eine interne Doktrin bei BP, davon auszugehen dass Blowout Preventer grundsätzlich fehlerfrei arbeiten: "I don’t think anybody foresaw the circumstance that we’re faced with now." — BP spokesman Steve Rinehart. Reports der Aufsichtsbehörde zeigen aber, dass das Versagen der Blowout Preventer ziemlich häufig ist:

    "The unclassified version of the 1999 report said the failures involved 83 wells drilled by 26 rigs in depths from 1,300 feet to 6,560 feet. A similar report released by the agency in 1997 found that between 1992 and 1996 there were 138 failures of blowout preventers on underwater wells being drilled off Brazil , Norway , Italy and Albania."

Die Zahlen klingen eher so, als ob das Versagen dieser Geräte zur Routine bei Ölbohrungen gehört. Zweitens wurde wohl darauf vertraut, dass die Methoden die in flachem Wasser funktionieren dies auch in tiefem Wasser tun würden, entsprechende Tests wurden nicht durchgeführt. Und drittens hat man sich wohl darauf verlassen, dass für den Fall dass trotzdem eine Katastrophe eintritt, irgendjemand eine geniale Idee haben würde, die dann alles wieder gut macht - Stichwort Fortschrittsglauben.

Aktualisierung Juni 2010:
Die Washington Post berichtet über eine lange Kette von Sicherheitsvorfällen und deren Vertuschung bei BP: Reports at BP over years find history of problems (Registrierung ist notwendig).

Interne Dokumente die (Ex-)Mitarbeiter von BP und Regierungsstellen zur Verfügung stellen zeigen dabei auf eine jahrzehntelange Tradition bei BP von

  • desaströsen Ergebnissen interner und externer Inspektionen,
  • gefolgt von Beschwerden der Mitarbeiter über veraltete Installationen,
  • die Unterdrückung solcher Beschwerden,
  • Entlassung von internen Inspektoren die Probleme aufgezeigt haben,
  • schwere Unfälle durch Korosion,
  • von BP in Auftrag gegebenene unabhängige Untersuchungen mit wiederum desaströsen Ergebnissen,
  • dem Versprechen des höheren Managements, dass jetzt alles anders wird,
  • das Fälschen von Berichten gegenüber Behörden,
  • Regierungsinspektionen (für die ein richterlicher Durchsuchungsbefehl notwendig war) und die zeigen, dass alles beim Alten geblieben ist,
  • Strafen in Millionenhöhe für die gefährlichen Zustände,
  • das Fälschen von Berichten,
  • gefolgt von weiteren Unfällen,

und alles beginnt wieder von vorn.

ölverschmierte Wasservögel
Photo © Jose-Luis Magana/Greenpeace

Zitate aus dem Artikel:

    Similar themes about BP operations elsewhere were sounded in interviews with former employees, in lawsuits and little-noticed state inquiries, and in e-mails obtained by ProPublica. Taken together, these documents portray a company that systemically ignored its own safety policies across its North American operations -- from Alaska to the Gulf of Mexico to California and Texas. Executives were not held accountable for the failures, and some were promoted despite them. . . .
    . . The report said that Richard Woollam, the manager in charge of corrosion safety in Alaska at the time, had "an aggressive management style" and subverted inspectors' tendency to report problems. "Pressure on contractor management to hit performance metrics (e.g. fewer OSHA recordables) creates an environment where fear of retaliation and intimidation did occur," it said. Woollam was soon transferred.
    Two years later, in March 2006, disaster struck. More than 200,000 gallons of oil spilled from a corroded hole in the Prudhoe Bay pipeline. Inspectors found that several miles of the steel pipe had corroded to dangerously thin levels. . . .Woollam now works in BP's Houston headquarters.

Gegen diese (Un-)Sicherheitskultur bei BP erscheint das was im folgenden für die NASA gesagt wurde, schon wieder vergleichsweise harmlos. Und bei BP sind letztendlich sehr viel mehr Mitarbeiter bei Arbeitsunfällen umgekommen als durch alle Shuttle-Katastrophen.

NY Times June 18, 2010: 'BP had been cited by the Occupational Safety and Health Administration for 760 “egregious willful” safety violations in its refineries ... between 2007 and 2010'. Und das nachdem BP nach 2 großen Unfällen in 2006 (Prudhoe Bay leak and the Texas City explosion) versprochen hatte, eine neue Sicherheitskultur im Konzern zu etablieren.

Sehr unangenehm für Präsident Obama ist der Rolling Stone Artikel The Spill, The Scandal and the President. Der Autor berichtet, dass Obama zwar während der Wahlkampagne versprochen hatte, bei der Aufsichtsbehörde MMS (Minerals Management Service) aufzuräumen, die dafür bekannt ist, dass sie sehr eng mit der Ölindustrie im Bett ist (wörtlich und im übertragenen Sinne). Trotzdem hat er dann den Bock zum Gärtner gemacht und Ken Salazar zum Innenminister und damit zur Aufsicht über diese Behörde ernannt, der dafür bekannt ist, extrem entgegenkommend gegenüber Erdölkonzernen zu sein.

Innerhalb der Behörde selbst wurde schon seit langem gewarnt (Zitate aus R.S.):

    In May 2000, an environmental assessment for deepwater drilling in the Gulf presciently warned that "spill responses may be complicated by the potential for very large magnitude spills (because of the high production rates associated with deepwater wells)." The report noted that the oil industry "has estimated worst-case spill volumes ranging from 5,000 to 116,000 barrels a day for 120 days," and it even anticipated the underwater plumes of oil that are currently haunting the Gulf: "Oil released subsea (e.g., subsea blowout or pipeline leak) in these deepwater environments could remain submerged for some period of time and travel away from the spill site." The report ominously concluded, "There are few practical spill-response options for dealing with submerged oil." . . . . Rather than heeding such warnings, MMS simply assumed that a big spill couldn't happen. "There was a complete failure to even contemplate the possibility of a disaster like the one in the Gulf," says Holly Doremus, an environmental-law expert at the University of California. "In their thinking, a big spill would be something like 5,000 barrels, and the oil wouldn't even reach the shoreline." In fact, Bush's five-year plan for offshore drilling described a "large oil spill" as no more than 1,500 barrels. In April 2007, an environmental assessment covering the area where BP would drill concluded that blowouts were "low probability and low risk," even though a test funded by MMS had found that blowout preventers failed 28 percent of the time. And an environmental assessment for BP's lease block concluded that offshore spills "are not expected to damage significantly any wetlands along the Gulf Coast."

Das heißt wir haben einen extremen Bruch zwischen der eigenen Forschungsabteilung und der Führungsriege der MMS, die alle Risiken leugnet und dafür die Hand aufhält. Ebenfalls 'ihr Fett weg' bekommt die NOAA (National Oceanic and Atmospheric Administration), die gleich zu Beginn eine extrem realistische Schätzung für den Umfang der Katastrophe gemacht hatte, diese aber nicht veröffentlichte und bis ganz zuletzt mit extrem verharmlosenden Statements in die Öffentlichkeit ging.

Auch Greenpeace Direktor Kumi Naidoo gibt im STANDARD (18. Juni) der US-Regierung einen großen Teil der Schuld an der Katastrophe:

    "Wenn Sie mich fragen, wem ich mehr Schuld gebe an der Katastrophe, dann muss ich sagen: der US-Regierung" , meinte indes Greenpeace-Chef Kumi Naidoo am Freitag in Wien im Gespräch mit dem STANDARD. Denn die Regierung habe dabei versagt, sichere und strenge Regeln für Tiefseebohrungen zu erlassen. "Wenn diese Katastrophe eines gezeigt hat, dann, dass es massive Korruption bei der Vergabe der Bohrrechte gibt", sagt Naidoo. "Der US-Kongress ist das beste Parlament, das man für Geld kaufen kann." Der Einfluss der Ölindustrie auf die Politik müsse zurückgedrängt, das "Verschmutzer zahlt" -Prinzip Gesetz werden.

BP selbst ist dafür bekannt, bzw. berüchtigt, dass ohne Rücksichten Geld eingespart wird. Zitat aus Rolling Stone:

    The company applied the same deadly cost-cutting mentality to its oil rig in the Gulf. . . . BP shaved $500,000 off its overhead by deploying a blowout preventer without a remote-control trigger – a fail-safe measure required in many countries but not mandated by MMS, thanks to intense industry lobbying. It opted to use cheap, single-walled piping for the well, and installed only six of the 21 cement spacers recommended by its contractor, Halliburton – decisions that significantly increased the risk of a severe explosion. It also skimped on critical testing that could have shown whether explosive gas was getting into the system as it was being cemented, and began removing mud that protected the well before it was sealed with cement plugs.

Viele andere Beispiele für desaströse Geldeinsparungsentscheidungen werden jetzt überall in der US-Presse dokumentiert. So wird der BP Geschäftspartner, Anadarko, mit folgendem Statement zitiert:

    "BP operated unsafely and failed to monitor and react to several critical warning signs during the drilling of the Macondo well. BP’s behavior and actions likely represent gross negligence or willful misconduct and thus affect the obligations of the parties under the operating agreement."
D.h. sie sprechen hier von grob fahrlässig, bzw. sogar von bewusstem Fehlverhalten.

Aktualisierung August 2010:
Die NY Times vom 23.Juli berichtet:

    The rig’s history of mechanical errors was documented in a confidential audit conducted by BP seven months before the explosion and reviewed by The New York Times. According to the September 2009 document, four BP officials discovered that Transocean, the rig’s owner, had left 390 repairs undone, including many that were “high priority,” and would require a total of more than 3,500 hours of labor. It is unclear how many of the problems remained by the day of the catastrophe.
    The 60-page audit found that previously reported errors had been ignored by Transocean. “Consequently, a number of the recommendations that Transocean had indicated as closed out had either deteriorated again or not been suitably addressed in the first place,” investigators wrote.

Und später im Text:

    The findings reinforced those in two separate audits, obtained by The Times, that were performed in March and April by Lloyd’s Register Group, a maritime and risk-management organization. In an audit conducted April 1 to 12, investigators identified 26 components and systems on the rig that were in “bad” or “poor” condition.
    A month earlier, an audit on the rig’s “safety culture” by a separate division of Lloyd’s found some workers were dismayed about safety practices and feared reprisals if they reported mistakes.

Ein sehr ausführlicher Artikel über meeresbiologische Hintergründe, Stichwort "deep scattering layer" (DSL) findet sich auf Mother Jones - The BP Cover-Up.

Und hier noch der Link zu dem dramatischen 12-Seiten Bericht der NY Times über die letzten Stunden der Deepwater Horizon: Deepwater Horizon’s Final Hours. Auch da wurden viele Entscheidungen nicht gefällt und es wurde gezögert an Stellen, wo weitgehende Entscheidungen vielleicht Menschenleben gerettet hätten.

Im Januar 2011 wird der 398 Seiten Report der Untersuchungskomission veröffentlicht: BP Deepwater Horizon Oil Spill and Offshore Drilling. Er besteht aus 3 Hauptteilen: The Path to Tragedy (inkl. Geschichte des Offshore Drillings), die Details der Katastrophe und zuletzt, Lessons Learned. Der Report ist zum Teil sehr technisch, aber auch sehr spannend, z.B. die Seiten 115 - 121, auf denen die Details der Fehler zusammengefasst werden:

    Certainly we will never know what motivated the final decisions of those on the rig who died that night. What we nonetheless do know is considerable and significant: (1) each of the mistakes made on the rig and onshore by industry and government increased the risk of a well blowout; (2) the cumulative risk that resulted from these decisions and actions was both unreasonably large and avoidable; and (3) the risk of a catastrophic blowout was ultimately realized on April 20 and several of the mistakes were contributing causes of the blowout.
    The immediate cause of the Macondo blowout was a failure to contain hydrocarbon pressures in the well. Three things could have contained those pressures: the cement at the bottom of the well, the mud in the well and in the riser, and the blowout preventer. But mistakes and failures to appreciate risk compromised each of those potential barriers, steadily depriving the rig crew of safeguards until the blowout was inevitable and, at the very end, uncontrollable.

Im Prinzip geht es bei den Ölbohrungen um die gleichen Sicherheitsprinzipien wie Bruce Schneier sie für die Informationssicherheit auch beschreibt:

    "Multiple layers of defense", bestehend aus Aktionen zum Verhindern des Problems, Aktionen zum Entdecken und dann die Reaktion auf das Problem (analog dazu in der Medizin: Verhütung, Diagnose und Behandlung. In der IT ist leider die Hauptkonzentration auf die Verhinderung, ziemlich wenig zu Monitoring und kaum Aufwand für eine vorsorgende Planung der Reaktion auf Probleme).

Im Fall der Deepwater-Katatstrophe gab es beim Verhindern des Problems mindestens 6 problematische Entscheidungen von Haliburton und BP zur Zementierung und ähnlich viele zur Strategie des „temporary abandonment“. Diese problematischen Entscheidungen wurden fast immer nur von einer der beiden Partnerfirmen getroffen und die damit verbundenen Risiken nicht mit dem anderen Partner kommuniziert. Vermutlich wollte keine der beiden Firmen als Verhinderer des schnellen Abschlusses bereits verspäteten Projekts dastehen und als jemand, der den anderen Partner zu einem vorsichtigeren Vorgehen zwingt. Beide sind unabhängig voneinander viele Risiken eingegangen, die sich gegenseitig potenziert haben.

Beim Thema Entdecken des Problems gab es eine lange Kette von Fehldeutungen der ungewöhnlichen und anomalen Ergebnisse, die speziell im Hinblick auf die von beiden Firmen bereits vorher eingegangen Risiken starke Warnungen hätten sein müssen. Im Bericht steht auf Seite 119: „It appears .... they started from the assumption that the well could not be flowing, and kept running tests and coming up with various explanations until they had convinced themselves their assumption was correct.“

Der letzte Layer ist dann die Reaktion. Hier ging es vor allem um das schnelle Aktivieren des Blowout Preventers (BOP). Dies wurde aber aus Angst vor Kompetenzübertretungen und möglichem Ärger bei zu frühem Aktivieren so lange hinausgezögert, bis es deutlich zu spät war. Ob der BOP vorher funktioniert hätte bleibt offen, vieles deutet daraufhin dass er wegen fehlender Wartungsarbeiten sowieso defekt war. Dann auf Seite 122:

    ".... the root causes are systemic and, absent significant reform in both industry practices and government policies, might well recur. The missteps were rooted in systemic failures by industry management (extending beyond BP to contractors that serve many in the industry), and also by failures of government to provide effective regulatory oversight of offshore drilling.
    The most significant failure at Macondo—and the clear root cause of the blowout—was a failure of industry management. Most, if not all, of the failures at Macondo can be traced back to underlying failures of management and communication. Better management of decisionmaking processes within BP and other companies, better communication within and between BP and its contractors, and effective training of key engineering and rig personnel would have prevented the Macondo incident. BP and other operators must have effective systems in place for integrating the various corporate cultures, internal procedures, and decisionmaking protocols of the many different contractors involved in drilling a deepwater well.
    While initial well design decisions undergo a serious peerreview process and changes to well design are subsequently subject to a management of change (MOC) process, changes to drilling procedures in the weeks and days before implementation are typically not subject to any such peer-review or MOC process. At Macondo, such decisions appear to have been made by the BP Macondo team in ad hoc fashion without any formal risk analysis or internal expert review.

Ab Seite 217 des Reports finden sich dann Beispiele für die Wege, mit denen anderen Industrien oder Firmen die Sicherheitskultur in den Griff bekommen haben. Oft ist der Auslöser solcher Aktivitäten so eine Katastrophe wie hier. So wurden wohl nach den Katastrophen Exxon Valdez, Bhopal und Three Mile Island vernünftige Lehren gezogen, wenn auch oft nur mit begrenztem Wirkungsradius, z.B. nur für 1 Land. Auf den Seiten 230 und 231 wird SUBSAFE der US-Navy erwähnt, das in dem excellenten Bericht der Untersuchungskomission des Columbia-Absturzes noch viel ausführlicher besprochen wird.

 

Auch Satiriker haben beobachtet, dass der Umgang mit der Katastrophe und die vielen ungewöhnlichen Lösungsansätze durchaus etwas bizarres an sich hatten, z.B. die Aktion der Tennisbälle. Hier auf Youtube BP Coffee Spill.

 

Das nächste Thema ist nicht direkt mit BP gekoppelt, aber zeigt, dass die Erdölgewinnung auch ohne Katastrophe ziemlich katastrophal für die Umwelt sein kann. Es geht um hydraulic fracturing. Das wird eingesetzt, wenn das Gestein indem die Kohlenwasserstoffe (das Erdöl) steckt nicht porös sind und das Öl das unter hohem Druck steht, leicht zum Bohrloch laufen lassen, sondern stabil. In diesem Fall wird diese Methode angewendet bei der Flüssigkeiten unter hohem Druck in die ölführenden Schichten gepresst werden, was zu Rissen im Gestein führen soll, die zum Teil durch Verunreinigungen in der Flüssigkeit (manchmal sogar Erdnusschalen) aufrecht erhalten werden sollen.

Zum Problem wird das ganze wenn die Flüssigkeit giftige Zusatzstoffe enthält die in die Umwelt gelangen (können). Dazu gab es in den USA eine Untersuchung der Jahre 2005 bis 2009:

    The inquiry over hydrofracking, which was initiated by the House Energy and Commerce Committee when Mr. Waxman led it last year, also found that 14 of the nation’s most active hydraulic fracturing companies used 866 million gallons of hydraulic fracturing products — not including water. More than 650 of these products contained chemicals that are known or possible human carcinogens, regulated under the Safe Drinking Water Act, or are listed as hazardous air pollutants, the report said.
    Companies injected large amounts of other hazardous chemicals, including 11.4 million gallons of fluids containing at least one of the toxic or carcinogenic B.T.E.X. chemicals — benzene, toluene, xylene and ethylbenzene. The companies used the highest volume of fluids containing one or more carcinogens in Colorado, Oklahoma and Texas.

 

Die Bhopal Katastrophe 1984

Jetzt noch ganz kurz zur wohl schlimmsten technischen Katastrophe des 20. Jahrhunderts: Bhopal. 2018: The World’s Worst Industrial Disaster Is Still Unfolding. Wikipedia sagt: Der Unfall war 1984, Schätzungen der Opferzahlen reichen von 3.800 bis 25.000 Toten durch direkten Kontakt mit der Gaswolke sowie bis zu 500.000 Verletzten, die mitunter bis heute unter den Folgen des Unfalls leiden. Haften tut eigentlich niemand, das wenige gezahlte Geld ist versickert, Und aufgeräumt ist fast nichts, d.h. das Gift richtet immer noch sein Unheil an, siehe der erste Artikel. Die Katastrophe wäre leicht zu verhindern gewesen, wenn alle Verantwortlichen mehr Sorgfalt bei dem Umgang mit den giftigen Stoffen gezeigt hätten.

 

Die Fukushima Katastrophe 2011

Anzeige für maintenance jobs in Fukushima zum Aufräumen
Mehr Informationen über diese Maintenance Mechanic Jobs in Fukushima finden sich weiter unten im Text.

Es geht leider immer weiter mit mehr oder weniger selbst-verschuldeten oder voraussehbaren Technik-Katastrophen. Ich lese, dass die Notstrom-Anlage, deren Versagen ja ein großer Aspekt der ausgefallenen Kühlung und damit der Katastrophe war, lange überfällig in Bezug auf Wartung war. Da das Kraftwerk eh in absehbarer Zeit abgestellt werden sollte hat man es offenbar mit der Wartung nicht mehr so genau genommen - "bis dahin wird schon nichts passieren". Der Spiegel berichtet, dass Schlamperei bei Tepco große Tradition hat:

    2003 hielt der Tepco-Präsident eine Rede. Es ging um den bislang größten Skandal in der Geschichte von Japans größtem Energieversorger, der sich im Jahr zuvor ereignet hatte: In 29 Fällen waren Wartungsdokumente von Atomkraftwerken gefälscht worden, Tepco musste 17 Atomreaktoren vorübergehend vom Netz nehmen, Firmenchef Hiroshi Araki räumte zusammen mit vier Top-Managern seinen Posten. Katsumata rechnete in seiner Rede schonungslos mit den Missständen in seinem Unternehmen ab - und kündigte nicht weniger als eine neue Unternehmenskultur an, in der ein strikter Ethikkodex und kommunikative Offenheit herrschen sollten.

Die Realität sieht anders aus. Hier eine Liste der Schlampereien und Fälschungen was die Wartung betrifft:

  • In den achtziger und neunziger Jahren hat Tepco mehrfach die Daten aus freiwilligen Inspektionen gefälscht, darunter die Anzahl der Risse in den Reaktordruckbehältern.
  • Ebenfalls 2002 hatte ein Ingenieur des US-Unternehmens General Electric, Hersteller von drei der sechs Reaktoren des AKW Fukushima-Daiichi, Alarm geschlagen: Bei insgesamt 13 Reaktoren in Tepco-Kraftwerken seien Inspektionen nicht durchgeführt worden. Er zeigte der japanischen Atomaufsichtsbehörde Datenfälschungen und Vertuschungen in 29 Fällen an, was 2002 den besagten Rücktritt der Tepco-Führung auslöste.
  • Ebenfalls 2006 wurde dem Konzern vorgeworfen, Daten über die Kühlwassertemperatur in ihren Reaktoren in den Jahren 1985 und 1988 gefälscht zu haben. Die Daten seien noch 2005 bei Inspektionen vorgelegt worden.
  • 2007 tauchten weitere gefälschte Reaktordaten von Tepco auf.
  • 2007 starben mindestens acht Menschen, als das Kraftwerk Kashiwazaki-Kariwa bei einem Erdbeben schwer beschädigt wurde. Rohre barsten, Feuer brachen aus, aus einem Abklingbecken mit verbrauchten Brennstäben schwappte radioaktives Wasser. Tepco musste das betroffene Reaktorgebäude dekontaminieren. Danach blieb das AKW ein Jahr lang abgeschaltet, weil die Erdbebensicherheit - die angeblich schon vorher bestand - erhöht werden musste. Später stellte sich heraus, dass Tepco 117 Inspektionen in Kashiwazaki versäumt hatte.
  • Am 2. März 2011 - wenige Tage vor Beginn der Erdbebenkatastrophe - hat Japans Atomaufsicht massive Schlamperei-Vorwürfe gegen Tepco erhoben. Insgesamt 33 Teile des havarierten AKW Fukushima-Daiichi, darunter zentrale Elemente des Kühlsystems der sechs Reaktoren und der Abklingbecken, seien nicht wie vorgeschrieben überprüft worden. Tepco hat die Versäumnisse inzwischen eingeräumt.
  • Zugleich meldete Tepco an die Atomaufsichtsbehörde, dass man nicht nur 33 Inspektionen im AKW Fukushima-Daiichi, sondern auch 19 weitere im nahe gelegenen AKW Fukushima-Daini unterlassen habe.

Und dazwischen gab es kräftig Unfälle, wie der Spiegel in dem Artikel darlegt. Das Wall Street Journal berichtet jetzt aktuell von langen Verzögerungen bevor Tepco als Verzweiflungsaktion das Meerwasser eingeleitet hat: Bid to 'Protect Assets' Slowed Reactor Fight.

    Tepco "hesitated because it tried to protect its assets," said Akira Omoto, a former Tepco executive and a member of the Japan Atomic Energy Commission, an official advisory body involved in the effort to tame the plant. Both Tepco and government officials had good reason not to use saltwater, Mr. Omoto added. Early on, nuclear fuel rods were still under cooling water and undamaged, he said, adding, "it's understandable because injecting seawater into the fuel vessel renders it unusable."

Die NY Times berichtet darüber, warum es wohl so schlecht aussieht um die Sicherheit der Kernkraftwerke in Japan: Japanese Workers Braved Radiation for a Temp Job und erklärt damit wohl auch die Anzeige der Job-Agentur. Traditionell wird die gefährliche und schmutzige Arbeit in Japan nicht vom Personal des Betreibers erledigt, sondern von Personal von Contractorn, Sub-Contractorn und Sub-Sub-Contractorn. Ganz unten, sowohl was Gehalt und andere Vorteile betrifft, aber auch was den Arbeitsschutz, sichere Arbeitsausstattung usw. betrifft stehen Arbeiter die sich tagesweise für Aufgaben verdingen, die alle anderen nicht machen möchten. Diese Arbeiter und die Contactor sind dann in aller Regeln auch nicht wirklich ausgebildet und eingewiesen. So waren auch die beiden Angestellten die in das radioaktive Wasser geraten waren keine Angestellten des Betreibers.

Die NY Times berichtet in dem Artikel dass nur 11% des Personals in Fukushima im Jahr 2010 direkt beim Betreiber angestellt waren und in der gesamten Industrie lag der Wert bei 12%. Auch die japanische "Nuclear and Industrial Safety Agency" moniert, dass das externe Personal im Schnitt die 16-fache Dosis der festen Angestellten bekommt. Die Arbeiter dürfen arbeiten, bis ihr Dosimeter die maximale Dosis zeigt, dann sind sie ohne Job.

An anderer Stelle gehe ich im Zusammenhang mit technischen Risikoanalysen auch auf Kernenergie ein.

 

2. Hälfte 2011:
Die United States Nuclear Regulatory Commission hat eine 96-Seite Studie veröffentlicht: Recommendations for enhancing reactor Safety - Review of Insights from the Fukushima Dai-Ichi Accident (pdf). Im November 2011 dann ein weiterer ausführlicher Bericht des US Nuclear Energy Institutes über die genauen Abläufe: Special Report on the Nuclear Accident at the Fukushima Daiichi Nuclear Power Station.

Hier der Bericht der schweizer Organisation ENSI (Eidgenössisches Nuklearsicherheitsinspektorat): ENSI Analyse Fukushima 11032011 hinsichtlich der administrativen u. politischen Fehler (42 Seiten).

 

Dez. 2011:
26.12.: Der Abschlussbericht für die japanische Regierung erhebt schwere Vorwürfe. Es wäre bei den Risikobetrachtungen nicht mit einer so hohen Tsunami-Welle gerechnet worden und auch nicht mit einem Komplettausfall der Stromversorgung. Auch die nachträglichen Reaktionen wären nicht immer optimal gewesen und die Kommunikation zwischen den Einsatzteams mangelhaft. Neuneinhalb Monate nach der Atomkatastrophe laufen übrigens nur noch sechs der insgesamt 54 Atomreaktoren des Landes. Hier der detailliertere Bericht in Asahi Shimbun. Und hier der Link zur englischen Version des Reports: Investigation Committee on the Accident at the Fukushima Nuclear Power Stations und eine 22-seitige Zusammenfassung.

 

März 2012:
NY Times: War der Fukushima-Unfall vermeidbar?. Diese Frage wird in Japan immer noch gestellt und von vielen mit JA beantwortet. Einige Zitate aus dem NY Times Artikel:

    One of those whose warnings were ignored was Kunihiko Shimazaki, a retired professor of seismology at the University of Tokyo. Eight years ago, . . . . Mr. Shimazaki warned that Fukushima’s coast was vulnerable to tsunamis more than twice as tall as the forecasts of up to 17 feet put forth by regulators and Tepco. Minutes of the meeting on Feb. 19, 2004, show that the government bureaucrats running the committee moved quickly to exclude his views from debate as too speculative and “pending further research.” None of the other 13 academics on the committee objected. Mr. Shimazaki’s warnings were not even mentioned in the committee’s final report two years later. He said the committee did not want to force Tepco to make expensive upgrades at the plant.

und

    Mr. Fujiwara, who used to design reactors, said he clashed with supervisors over an audit he conducted in March 2009 at the Tomari nuclear plant on the northern island of Hokkaido. Mr. Fujiwara said he refused to approve a routine test by the plant’s operator, Hokkaido Electric Power, saying the test was flawed. A week later, he said he was summoned by his boss, who ordered him to “correct” his written report to indicate that the test had been done properly. After Mr. Fujiwara refused, his employment contract was not renewed. “They told me my job was just to approve reactors, not to raise doubts about them,” said Mr. Fujiwara.

 

Juli 2012:
Der offizielle Fukushima Abschlussbericht fällt desaströs für die Betreiber, die Regulierungsbehörden und die Regierung aus: die Katastrophe wäre vermeidbar gewesen wenn nicht die Regulierungsbehörden ständig versucht hätten auf die Betreiber Rücksicht zu nehmen und dabei die Interessen der Bevölkerung zu missachten. Die Zusammenfassung des Fukushima-Berichts (PDF) steht in der englischen Version zur Verfügung.

 

August 2013:
Die Katastrophe nimmt kein Ende: 270 Millionen Liter radioaktives Wasser ins Meer, 2.000 Arbeiter verstrahlt. Und jetzt laufen aus dem Kraftwerkskomplex riesige Mengen hoch-radioaktives Wasser aus.

Im Wiener Standard ist ein sehr guter Artikel einer Japanologin: Warum steigt Japan aus der Atomenergie nicht aus? (leider nicht in der Online-Ausgabe). Zitat aus dem Artikel: " . . . und zitiert einen LDP-Abgeordneten: „Die Tatsache, dass Japan Atomkraftwerke hat, bedeutet eine latente atomare Abschreckung, denn dadurch lassen sich in kurzer Zeit Atomwaffen herstellen. Wenn man aus der Atomenergie aussteigt, bedeutet dies eine Abkehr vom Prinzip der latenten atomaren Abschreckung.“

 

Juli 2017:
Das Leider der betroffenen geht immer weiter: Fukushima: Kranke Kinder stören Japans "Wiederaufbau". Die wachsende Zahl an Kindern und Jugendlichen, die an Schilddrüsenkrebs erkranken, will der Staat nicht als Folge der Katastrophe anerkennen.

 

Die Columbia Katastrophe 2003

space shuttle foto
Space Shuttle - Quelle: NASA
Space Shuttle beim Star
Space Shuttle beim Start - Quelle: NASA

 

Sehr lesenswerte Informationen zur Bedeutung von Sicherheitskultur finden sich in den Reports zur Columbia Katastrophe, hier vom Columbia Accident Investigation Board CAIB (auch hier), aber auch von der NASA selbst.

Das eigentlich erschütternde an dem Unfall ist nicht der technische Aspekt, sondern der menschliche, nämlich die Auseinandersetzung zwischen den Ingenieuren, die Bilder haben wollten, damit sie eine fundierte Entscheidung treffen können und evtl. die Astronauten doch noch retten und ihren Vorgesetzten, die an einer Untersuchung der möglichen Probleme nicht interessiert waren und die alle Versuche abgewürgt haben, rechtzeitig mehr zu erfahren.

Nachträglich weiß man, dass es eine Chance gegeben hätte, die Astronauten mit einem anderen Shuttle zu retten, der Sauerstoff und das Wasser hätte ganz knapp gereicht.

Speziell empfehle ich Part 2, Kapitel 6.3 im Volume 1, das liest sich wie ein Drama oder Krimi, leider mit richtigen Toten, speziell die Auseinandersetzung zwischen Linda Ham und dem Ingenieur Rocha, die da als Faksimile der Emails abgedruckt ist.


Immer wieder haben die Techniker das Management auf das Problem aufmerksam machen wollen. Leider waren das oft nicht sehr klare und sprechende Folien.

powerpiont präsentation zu den problematischen Dichtungsringen

Hier eine Zusammenfassung der Kritikpunkte von Edward Tufte an dieser entscheidenden Präsentationsfolie, mit dem die Techniker das Management überzeugen wollten, dass es ein Problem gibt.

  • Die Überschrift stimmt nicht. Die besagt nämlich, dass die Test eher konservativ sind, d.h. auf der sicheren Seite liegen. Aber das sind nicht, siehe letzter Bullet.
  • Auf diesem Slide werden 5 Einrück-Ebenen genutzt. Niemand kann erkennen, wie wichtig dabei jeder Satz ist

  • Das Wort "significant" wird 5x verwendet, jedesmal mit einer anderen Bedeutung. Die reicht von
  • "knapp daneben" ("crater [ein Berechnungsprogramm für Schäden an den Hitzekacheln] overpredicted penetration of tile [Hitzekachel] coating significantly"),
  • über "640x größer" ("flight condition is significantly outisde of test database") bis zu
  • "einem Schaden der zum Tod aller 7 Astronauten führt" ("once tile is penetrated SOFI [spray on foam isolation, der Schaum, der sich abgelöst hat und den Shuttle getroffen hat] can cause significant damage"). Dieser "significant damage" wird von den NASA Ingenieuren übrigens immer nur etwas beschönigend LOV genannt, Loss of Vehicle, das klingt nicht ganz so tödlich.
  • Die unterste Zeile sagt (in ziemlich kleiner Schrift) dass angenommen wird, dass die Isolierung in diesem Fall vermutlich 1920 cubic-inches war, aber die Tests wurden nur bis zu einer Größe von 3 cubic-inches durchgeführt. D.h. die Tests sind vollkommen irrelevant.

Hier der Originalartikel von Edward Tufte über Columbia und Edward Tufte.

Wie kann man so ein "Powerpoint-Desaster" vermeiden? Wer sich mehr für Präsentationstechniken für Wissenschaftler und Techniker interessiert findet Hilfe bei Edward Tufte (siehe oben). Generel gibt es viele Informationen zu alternativen Techniken statt überladedenen Bullet-Slide (die aber für eine Präsentation von wissenschaftlichen Daten nur begrenzt geeignet sind - andererseits: siehe das Beispiel von Tufte zur Darstellung der Verluste von Napoleons Feldzug nach Russland, wo 1 Graphik das Desaster des ganzen Feldzugs vollständig darstellt). Zur technischen Darstellungen siehe auch Periodic System of Visualization.

Bei den "schlichten Präsentationen" sind 2 recht bekannt: die Takahashi Methode oder die Lessig Methode, die beide nur wenige Symbole oder Worte pro Slide nutzen. Viele solcher Techniken werden auf Presentation Zen.

 

 
Nach oben

 

Zivilcourage, oder "Warum sind die beiden Shuttles abgestürzt?"

Das hat für mich 2 Aspekte: Einmal die Gleichgültigkeit gegenüber dem, was in seiner Umgebung vorgeht, zum anderen aber auch das Problem der Zivilcourage wenn es darum geht, potentielle Mängel aufzuzeigen. Ein extremes Beispiel sind die beiden Shuttle Katastrophen der NASA. In beiden Fällen wussten die Ingenieure, dass man auf ganz dünnem Eis wandert, aber sie haben sich nicht durchsetzen können/wollen/dürfen. Siehe weiter oben und gleich anschließend weiter unten.

Das Sich-durchsetzen ist im Detail auch gar nicht so einfach. Die Shuttle-Ingenieure wurden kräftig unter Druck gesetzt.

In einer Untersuchung habe ich gelesen, dass ganz generell, über alle Firmen hinweg, nicht nur bei der NASA, ca. 40% der Mitarbeiter der Meinung sind, dass das Aufzeigen von Problemen im Unternehmen der Karriere schadet. Da ist natürlich kein Wunder, wenn Mitarbeiter lieber mal wegschauen, bzw. sich nicht extra die Mühe machen, auf ein Problem hinzuweisen, für das sich letztendlich der Vorgesetzte auch nicht ernsthaft interessiert.

 

Warum sind die beiden Shuttles abgestürzt?

Diese Graphik verwende ich in meinen Risikoschulungen um die Problematik zu erläutern.

Darstellung der Problematik, dass die NASA Ingenieure sich nicht gegen NASA Management haben durchsetzen können und Sicherheit implementieren

Die Ausgangssituation ist, dass als Designkriterium für das Shuttle vorgegeben war, dass die empfindliche Unterseite mit dem Hitzeschild (TPS, Termal Protection System) auf jeden Fall geschützt sein muss. So wurde vorgegeben, dass es keine Ablösung des Isolierschaums an den externen Tanks geben darf, weil dieser Schaum zu Schäden am TPS führen könnte. Es zeigte sich aber sofort beim ersten Start, dass sich bei jedem Start reichlich Schaum löst und dass die Unterseite des Shuttles nach jeder Landung von Treffern und Einschlägen übersäht ist (im Durchschnitt hat die empfindliche Unterfläche des Shuttles dabei durchschnittlich 170 (!) Treffer pro Flug erhalten).

In der oberen Hälfte der Graphik haben wir die Managementebene, unten die Techniker. Das Management hat Termindruck und Budgetdruck. Die Regeln besagen zwar, dass sich keine Isolierung vom externen Tank lösen darf, andererseits hat sich auf allen Flügen Isolierungsschaum gelöst und es war bis zu Columbia noch kein Shuttle aus diesem Grund abgestürzt. Deswegen sagt das Management: Wir haben kein Problem.

Die Techniker sehen das anders. Als das Video vom Start zeigte, dass ein größerer Brocken den Shuttle getroffen hat, möchten sie das genauer untersuchen. Aber das Management verlangt jetzt von ihnen, dass sie beweisen, dass wirklich eine Gefahr besteht, anstatt dass jemand versucht zu beweisen, dass es sicher ist (Beweislastumkehr). Zum anderen verhindert das Management mehrmals, dass Fotos von der Shuttle-Unterseite gemacht werden.

 

Die Challenger-Katastrophe

Das war bei der Challenger-Katastrophe übrigens sehr ähnlich. Damals ging es um Dichtungsringe, die bei kalten Temperaturen undicht waren. Das war an sich gut bekannt. Bei der kritischen Entscheidung ging es ganz konkret darum, ob der Start des Challenger am nächsten Morgen, bei dem es kälter werden würde als je bei allen vorigen Shuttle-Starts, verschoben werden sollte.

Die Techniker wollten den Start verhindern, weil sie große Angst hatten, dass genau das passieren könnte, was dann später eintreten sollte. Sie wurden aber massiv unter Druck gesetzt (einem Subunternehmer wurde angedeutet, dass der Auftrag in Zukunft woanders hin gehen könnte) bis die Ingenieure grünes Licht für den Start gaben. Maßgeblich aktiv mit dem Versuch, die Katastrophe zu verhindern waren der 2012 verstorbene Roger Boisjoly und der 2016 verstorbene Robert Ebeling, die fast ein Jahr lang versucht hatten, die Katastrophe zu verhindern. Die NYT berichtet darüber aus Anlass ihres Todes: Roger Boisjoly, 73, Dies; Warned of Shuttle Danger und Robert Ebeling, Challenger Engineer Who Warned of Disaster, Dies at 89. Die Details zum Challenger Absturz gibt es im Rogers Commission Report.

Und auf diese Weise ist es in beiden Fällen gegen den Wunsch der Techniker abgelaufen. Challenger wurde gestartet und explodierte. Columbia wurde nicht inspiziert, solange noch Zeit für eine Rettungsaktion war.

Die Challenger Explosion wird übrigens auch in Part 2, Kapitel 5.1 und Kapitel 8 im Volume 1 des CAIB Reports behandelt. Der CAIB Report ist meiner Meinung nach übrigens unglaublich gut. Er behandelt das Thema vom Umgang mit gefährlichen Technologien lehrbuchhaft. Nicht nur werden die Parallelen zwischen den beiden Shuttle Katastrophen ausführlich diskutiert, sondern es werden auch Vergleiche mit anderen Industrien gezogen, die ebenfalls sehr gefährliche Sachen machen. Dies betrifft z.B. die Flugzeugindustrie, aber speziell wird auch mit der US Navy verglichen, die eine riesige Zahl von Kernreaktoren in U-Booten betreibt, ohne dass es bisher dabei zu tödlichen Zwischenfällen gekommen ist. Ein Aspekt bei der US Navy ist z.B., dass das Aufzeigen von möglichen Problemen belohnt wird und dass es regelmäßige Sicherheitsaudits gibt, die das sicherstellen sollen.

Noch ein interessanter Beitrag des recht bekannten Physiker R.P.Feynman zur Risikobetrachtung des Space Shuttles.

 

 
Nach oben

 

Änderung der Unternehmenskultur in Richtung Sicherheitsdenken

Die NASA hat erkannt, dass sie ein großes Problem hat und eine externe Firma beauftragt, die Unternehmenskultur der NASA in Richtung auf Kommunikation von Sicherheitsproblemen, oder wie ich sagen würde, genereller Zivilcourage zu verändern. Die Firma hat jetzt einen Bericht abgeliefert, auf den ich mich im Folgenden beziehe (englisch, 1 MB).

Das Columbia Investigation Board (CAIB) kam zu dem Schluss, dass die Firmenkultur der NASA in Bezug auf Sicherheit einen gleichwertigen Beitrag zur Columbia Katastrophe geleistet hat, wie die Technikprobleme. Daher wurde diese Firma beauftragt, sich dieses Problems anzunehmen. Sie haben eine Umfrage unter den 19 0000 NASA Angestellten durchgeführt.

Dabei wurden 13 Aspekte, die das Unternehmen BST (Behavioral Science Technology) als kritisch ansieht, hinterfragt:

Organizational Factors

  • Procedural Justice (empfindet sich der Mitarbeiter von seinem direkten Vorgesetzten fair behandelt)
  • Leader-Member-Exchange (wie gut ist das Verhältnis und die Kommunikation zum Vorgesetzten)
  • Management Credibility (wird das Management als glaubwürdig, ehrlich, fair, und offen angesehen)
  • Perceived Organizational Support (wie sehr glauben die Mitarbeiter, dass das Unternehmen hinter ihnen steht)

Team Factor

  • Teamwork (wie gut arbeitet die Arbeitsgruppe als Team zusammen)
  • Work Group Relations (wie ist das Verhältnis der Teammitglieder zueinander)

Safety Specific Factor

  • Safety Climate (was glaubt der Mitarbeiter, welchen Stellenwert Sicherheit im Unternehmen hat)
  • Upward Communication (wie gut ist ein Mitarbeiter in der Lage, Probleme nach oben weiterzugeben)
  • Approaching Others (was glauben die Mitarbeiter, wie leicht es ist, mit einem Kollegen Sicherheitsprobleme zu erörtern)

Additional Scales

  • Social Efficacy (wie gut sind die Mitarbeiter darin, ihre eigene Position zu vertreten)
  • Reporting (berichten die Mitarbeiter Probleme, die sie sehen oder entdecken)

Dabei kam heraus, dass die Unternehmenskultur der NASA in Bezug auf Sicherheit der Missionen zwei große Schwachstellen hat.

  • Perceived Organizational Support (d.h. wie sehr glauben die Mitarbeiter, dass das Unternehmen hinter ihnen steht) und
  • Upward Communication (d.h. wie gut ist ein Mitarbeiter in der Lage, Probleme nach oben weiterzugeben)

Das Unternehmen schlägt nun ein Programm vor, dass die Unternehmenskultur in Bezug auf die Schwachstellen verändern soll. Dabei fordern sie nicht nur eine Verbesserung in diesen beiden extrem schwachen Bereichen, sondern generell liegen die übrigen Werte im Industrie-Durchschnitt, was für ein Unternehmen, das sich "Excellenz" auf die Fahnen geschrieben hat und sehr gefährliche Unternehmungen durchführt, nicht unbedingt ausreichend ist.

Ein ganz wichtiger Aspekt für BST ist die Diskrepanz zwischen den offiziellen Vorgaben des Managements (Excellenz auf allen Gebieten) und der gelebten Firmenkultur. Firmenkultur wird von BST definiert als "the way we do things around here". (Über die Hohlheit der sog. Mission-Statements vieler Firmen mache ich mich an anderer Stelle lustig.) Der wichtigste Weg, Mission Statements, d.h. Firmenkultur zu vermitteln ist, in dem das Management diese Werte vorlebt. Deswegen schlägt die Firma BST auch vor, dass zuerst das aller oberste Management der NASA in Kommunikationstechniken geschult wird.

Die NASA hat das konkrete Problem, dass die Mitarbeiter und Manager "Qualität" immer in Bezug auf die Technik sehen, und selten in Bezug auf Managementfähigkeiten und soziale Kommunikation und soziales Geschick von Vorgesetzten.

Eine der Schlussfolgerungen, die die NASA bereits gezogen hat, deckt sich mit meinen eigenen Erfahrungen in der EDV. Oft werden gute Techniker befördert, weil sie gute Techniker waren. Leider sind sie dann oft schlechte und furchtbar frustrierte Manager. Die Lösung muss meiner Meinung sein, dass die Firmen, so wie die NASA das hier jetzt vorschlägt, einen Karrierepfad anbietet, der vermeidet, dass die guten Techniker im Management verschlissen und frustriert werden. Ein solcher Pfad ist in der EDV oft der Bereich Consulting.

Der NASA-Sprecher erklärte: "If there are highly skilled technical people who prove to be poor managers with inadequate communications skills", Mr. Jennings said, "then the agency will not let them manage other people. Two tracks for employees may be needed, to separate management from technical excellence and to allow some people to advance and be rewarded without becoming managers", he said.

Mehr Informationen zu Unternehmenskultur und Business Ethik an anderer Stelle.

 

 
Nach oben

 

Aspekte des Sicherheitsdesign

Ein umfassendes Werk zum Thema Security Engineering aus IT Sicht hat Ross Anderson geschrieben (und dankenswerterweise vollständig als eBook kostenlos online gestellt). Hier sind seine Kapitel (erreichbar über den vorigen Link):

  • Chapter 1: What is Security Engineering?
  • Chapter 2: Usability and Psychology
  • Chapter 3: Protocols
  • Chapter 4: Access Control
  • Chapter 5: Cryptography
  • Chapter 6: Distributed Systems
  • Chapter 7: Economics
  • Chapter 8: Multilevel Security
  • Chapter 9: Multilateral Security
  • Chapter 10: Banking and Bookkeeping
  • Chapter 11: Physical Protection
  • Chapter 12: Monitoring and Metering
  • Chapter 13: Nuclear Command and Control
  • Chapter 14: Security Printing and Seals
  • Chapter 15: Biometrics
  • Chapter 16: Physical Tamper Resistance
  • Chapter 17: Emission Security
  • Chapter 18: API Security
  • Chapter 19: Electronic and Information Warfare
  • Chapter 20: Telecom System Security
  • Chapter 21: Network Attack and Defence
  • Chapter 22: Copyright and DRM
  • Chapter 23: The Bleeding Edge
  • Chapter 24: Terror, Justice and Freedom
  • Chapter 25: Managing the Development of Secure Systems
  • Chapter 26: System Evaluation and Assurance
  • Chapter 27: Conclusions

Die nächsten beiden Text sind allgemeiner und behandeln das Thema Sicherheitsdesign unabhängig von IT. Hier zuerst ein Artikel von Don Norman zum Thema Sicherheitsdesign. Don Norman kommt vom Design her, untersucht (unter anderem) aber auch, warum manche Katastrophen passieren (seine anderen Artikel sind auch alle sehr interessant). Don Norman findet da z.B., dass oft Fehler in der Bedienoberfläche gemacht werden. Z.B. zeigt er in diesem Artikel (der Teil eines Buches ist), wie die Programmierung eines Autopiloten, nämlich die vollkommen automatische Korrektur eines ungewöhnlichen Flugzustandes und seine schweigsame Arbeit verhindern kann, dass die Piloten erkennen, dass etwas sehr ungewöhnliches passiert und dass das Flugzeug in Gefahr ist.

Hier ein Link zu seinem Kapitel Coffee Cups in the Cockpit aus seinem Buch "Turn Signals are the Facial Expression of Automobils" (englisch), in dem diese Problematik diskutiert wird. Er schildert hier auch einen Flugzeugabsturz aus dem Jahr 1979, der dadurch verursacht wurde, dass der Pilot während des Landeanflugs am Steuer des Flugzeugs gestorben war, ohne dass der Kopilot es gemerkt hat. Der Kapitän war erheblich älter, er war der Chef der Fluglinie. Der Kopilot hätte an sich auf Antworten auf seine "Callouts" von Flugzuständen bestehen müssen, aber immerhin war der Pilot der große Chef und für Exzentritäten bekannt. Der Chef flog auch öfters zu tief an, dafür war er ebenfalls bekannt. Deswegen hat sich der Kopilot nicht getraut, den Chef zu rütteln.

Das klingt recht unglaublich, aber zusätzlich berichtet Don Norman von Tests, die die Fluggesellschaft United Airlines dann im Simulator durchgeführt hat. Dabei hatten sich die Piloten auch tot gestellt und in 25% der Fälle hatte der Kopilot nicht das Ruder übernommen und die Maschinen waren im Simulator "abgestürzt".

 

 
Nach oben

 

Die Sicherheitsgeschichte der Dampfkessel

(April 2005)

Ein hochinteressanter Artikel zur Sicherheitsgeschichte der Dampfkessel ist ein gutes Lehrstück zur Sicherheitsethik. Nach vielen Vorgängern hat James Watt die erste kommerziell im großen Maßstab einsetzbare Dampfmaschine geschaffen und patentiert. Er hat dafür Niederdruckdampf verwendet, weil ihm der Hochdruck zu gefährlich war. Da er mit Hilfe des Patentes den Markt kontrolliert hat, ging das lange Zeit gut.

Dann jedoch haben andere Ingenieure wegen der größeren Effektivität Hochdruckmaschinen gebaut, die ein kommerzieller Erfolg wurden, aber durch die Explosionen der Dampfkessel eine große Zahl von Toten bedingt haben. Einige Leute haben eine Reglementierung gefordert, die Mehrheit hat dies aber als Hemmung des Fortschrittes gesehen und so hat es Jahrzehnte gedauert und viele tausend Tote erfordert. So sind in den USA allein von 1816 bis 1848 allein auf Dampfschiffen 2562 Menschen ums Leben gekommen und eine ähnliche Zahl verletzt worden. Diese große Zahl von Opfern wurde als notwendig für den Fortschritt und unvermeidbar betrachtet, obwohl es immer wieder Forderungen gab (u.a. sehr lautstark von James Watt), dass Sicherheitsregeln und Standards aufgestellt werden sollten. Dazu kam es in den USA aber dann erst 1985, und auch da erst mal nur für Dampfschiffe, nicht für die stationären Anlagen in der Industrie und für Lokomotiven.

In England wurden in der 2. Hälfte des 19. Jhdt. Sicherheitsregeln für Dampfmaschinen eingeführt, in den USA erst zu Beginn des 20. Jhdt. In Deutschland wurden regionale "Dampfkessel Überwachungsvereine" (DÜV) gegründet, die sich später in Technische Überwachungsvereine, TÜV, umbenannten. Der TÜV Österreich wurde 1872 gegründet.

 

 
Nach oben

 

Kaprun 2000

Der Standard in Wien vom 21.2.04:

Keine Täter

Der Richter im Prozess um die Kaprun Katastrophe mit 155 Toten konnte keine menschlichen Täter ausmachen und sprach daher die 16 Angeklagten frei. Firmen kann man nach österreichischem Recht nicht anklagen. "Die Brandursache war konstruktions- und produktions-bestimmt".

Das heißt, der Heizlüfter, der nachträglich zur Bequemlichkeit für den Kabinenführer eingebaut worden war, konnte dort ruhig eingebaut werden. Als "Gefährdungspotenzial" sei er nicht zu erkennen gewesen und er galt als "eigensicher" Es war also nach Ansicht des Gerichts zu viel verlangt, dass jemand nachhaltige Bedenken äußerte, wenn eine rot glühende Hitzequelle, die im ursprünglichen technischen Design der Seilbahn nicht vorgesehen war, in der Nähe hoch brennbaren Materials eingebaut wurde. Vielleicht ist es wirklich zu viel verlangt.

Aber ein ganz ernst gemeinter Tipp: Jeder möge seinen persönlichen Bereich und/oder seinen Arbeitsplatz auf die gewissen kleineren oder größeren Veränderungen überprüfen, die getroffen wurden, um die Bequemlichkeit zu erhöhen. Das Urteil im Kaprun-Prozess besagt nämlich nichts anderes, als dass jeder selbst für seine Sicherheit sorgen muss. (RAU)

Hier noch ein Hintergrundartikel im WDR zur Katastrophe und eine Glosse zum letztendlichen Freispruch und ein Kommentar zur Einführung des Unternehmensstrafrechts in Ö.

Und hier noch ein paar Gedanken zu diesem Thema:

Erst mal erinnert mich der Vorschlag in dem Artikel ("dass alle ihre Augen offen halten sollen") an den Schluss des zweiten Artikels über den elektronischen Bankraub in Israel, bei dem die Täter ein FunkLAN installiert hatten, das keiner der Angestellten bemerkt hatte. Dazu hat ein Sicherheitsbeauftragter einer US-Bank einen Test gemacht und ebenfalls ein FunkLAN aufgestellt, und zwar mit einem Aufkleber, dass Security angerufen werden soll. Auch hier hat niemand etwas unternommen.

 

 

 

Nach oben

Weiterführende Informationen

An anderer Stelle habe ich einen speziellen Text zu Business Ethik Programmen in Unternehmen. Achtung: Eigenwerbung! Ich gebe Kurse zum Thema Unternehmenskultur und Businessethik

Business Ethics: 17 Articles in: Business Ethics, Ethical Choices, Honesty

Business-Ethics.com - The Magazine of Corporate Responsibility

 



Philipp Schaumann, https://sicherheitskultur.at/


zeigende Hand als Hinweis auf Verlinkung zur HauptseiteHome

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License Icon
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.