key: cord-0044992-0hah3g7e
authors: Romeike, Frank; Hager, Peter
title: Risiko-Management in der Produktion
date: 2020-06-09
journal: Erfolgsfaktor Risiko-Management 4.0
DOI: 10.1007/978-3-658-29446-5_6
sha: f1fa6eeaaec946dcfa8564f83ed1ae4be3225db5
doc_id: 44992
cord_uid: 0hah3g7e

In einem Industrie- und Handelsunternehmen können Risiken an jedem Punkt entlang der Wertschöpfungskette entstehen. So hatte die Nuklearkatastrophe von Fukushima im März 2011 oder die COVID-19-Pandemie im Jahr 2020 massive Auswirkungen auf die Produktionsprozesse weltweit. Die Unterbrechung länderüberschreitender Lieferketten führte zu zumindest zeitweisen Produktionsstopps. Vor allem in der Folge der verstärkten Globalisierung der Wertschöpfungsnetzwerke sowie die Verschlankung derartiger Netzwerke ist die Risikoexponierung vieler produzierender Unternehmen in den vergangenen Jahren stark angestiegen. Das Kapitel "Risiko-Management in der Produktion" bietet eine Einführung in Methoden zum Aufbau eines wirksamens Risiko-Managements im Bereich der Produktion. So werden u.a. die Methoden Szenariotechnik/Szenarioanalyse (deterministisch), FMEA (Failure Mode and Effects Analysis), Fehlerbaumanalyse (Fault Tree Analysis), Bow-Tie-Analyse, CIRS, PAAG und HAZOP beschrieben.

Die Risikoquellen in einer Wertschöpfungskette können sowohl endogener als auch exogener Natur sein. Neben Versorgungsrisiken (exogen), Nachfragerisiken (exogen) und Umfeldrisiken (exogen) können im Workflow-Prozessrisiken (endogen und exogen) sowie Steuerungsrisiken (exogen und endogen) entstehen (Vgl. Abb. 6.4) . Umfeldrisiken können beispielsweise durch geopolitische, politische Risiken, Naturkatastrophen oder Terrorismus entstehen. Prozessrisiken und Steuerungsrisiken resultieren aus den unternehmensinternen Produktions-und Logistikprozessen bzw. aus strategischen Entscheidungen des Managements. Empirische Studien sind bei einer Analyse der wesentlichen Risikotreiber in Wertschöpfungsnetzen zu dem Ergebnis gekommen, dass vor allem Versorgungs-und Nachfragerisiken die Risikolandkarte dominieren. 8 9 Die Stärke eines Erdbebens kann mit Hilfe einer Magnitudenskala gemessen werden. Die populärste Magnitudenskala ist die Richterskala, die von Charles Francis Richter und Beno Gutenberg am California Institute of Technology 1935 entwickelt und anfänglich als ML-Skala (Magnitude Local) bezeichnet wurde. Aufgrund ihrer Definition ist die Richterskala nach oben unbegrenzt, die physischen Eigenschaften der Erdkruste machen aber ein Auftreten von Erdbeben der Stärke 9,5 oder höher nahezu unmöglich, da das Gestein nicht genug Energie speichern kann und sich vor Erreichen dieser Stärke entlädt. Der angegebene Wert, die Magnitude oder Größenklasse leitet sich aus dem dekadischen Logarithmus der maximalen Amplitude (Auslenkung) im Seismogramm ab, mit der ein kurzperiodisches Standardseismometer ein Beben in einer Entfernung von 100 km zum Epizentrum aufzeichnen würde. Ein Punkt mehr auf der Skala bedeutet demnach einen etwa zehnfach höheren Ausschlag (Amplitude) im Seismogramm und die 32-fache Energiefreisetzung (logarithmischer Anstieg) im Erdbebenherd. Vgl. Seibold (1995, S. 70 ). 10 Vgl. Münchener Rückversicherungs-Gesellschaft (1996, S. 8) . 11 Vgl. United Nations Centre for Regional Development (UNCRD) (1995, S. 59 ff.) .

So führte beispielsweise das Erdbeben von Kōbe (Hanshin-Awaji-Erdbebenkatastrophe, offizielle Bezeichnung Süd-Hyōgo-Beben), welches am 17. Januar 1995 eine Stärke von M = 7,3 9 erreichte, nicht nur zu einer Naturkatastrophe mit einer der höchsten Schadenssummen aller Zeiten in Japan, sondern vor allem auch zu massiven Schäden im Bereich der Wertschöpfungskette von diversen Computerherstellen. Die Gesamtsumme aller durch das Erdbeben verursachten Schäden wird auf etwa 100 Milliarden US-Dollar -ohne Berücksichtigung von Folgeschäden durch Produktionsunterbrechungengeschätzt. Die Ursache für das schwere Beben liegt in der tektonischen Struktur, da vor der Ostküste Japans drei Kontinentalplatten (Eurasische Platte, philippinische Platte und Pazifische Platte) aufeinandertreffen. Durch das Erdbeben und seine Folgen starben etwa 6400 Menschen, rund 42.000 Menschen wurden verletzt. 300.000 Menschen wurden durch das Erdbeben obdachlos, viele davon erst durch die vom Beben ausgelösten mehr als 300 Brände. Es wurden etwa 210.000 Gebäude zerstört oder schwer beschädigt, davon 7500 durch Feuer. 10 Das Epizentrum lag etwa zwanzig Kilometer südwestlich vom Stadtzentrum von Kōbe in der Straße von Akashi, das Hypozentrum lag in einer Tiefe von sechzehn Kilometern. Das Hauptbeben dauerte etwa zwanzig Sekunden und setzte achtmal soviel Energie frei wie die Hiroshima-Bombe.

Trotz der gesetzlich vorgeschriebenen erdbebensicheren Bauweise (Urban Building Law aus dem Jahr 1919) wurden sowohl Neubauten als auch ältere Gebäude beschädigt oder zerstört. Obwohl diese Gesetze im Laufe der Zeit immer wieder nach Schadenbeben in Japan modifiziert und den neuen Erkenntnissen angepasst wurde, hielten auch viele neuere Gebäude den Schwingungen und Disalokationen des Untergrunds nicht stand. 11 12 Vgl. United Nations Centre for Regional Development (UNCRD) (1995, S. 101) . 13 Vgl. United Nations Centre for Regional Development (UNCRD) (1995, S. 75 ).

In Kobe wurde zuvor ein Sicherheits-Steuerungssystem zur Verhinderung von Überschwemmungsschäden durch gebrochene Wasserleitungen installiert. Bei einer Magnitude von M = 5 wurde automatisch die Wasserzufuhr gestoppt. Die Löschwasserversorgung sollte daher durch Tankwagen erfolgen. Durch die Zerstörung des Straßennetzes war es jedoch den Tankwagen nicht in allen Fällen möglich, die Brandherde zu erreichen. Nach einem besonders regenarmen Sommer waren die Zisternen der Stadt nicht mit Löschwasser aufgefüllt worden, so dass die Feuerwehr den meisten Bränden tatenlos zusehen musste. 12 In der Folge des Erdbebens waren alle Transportwege zwischen zwischen Nishainomiya und Kōbe schwer beschädigt. Ebenso wurden die wesentlichen Versorgungssysteme wie Elektrizität, Wasserversorgung, Gasleitungen und Telekommunikation zum Teil stark zerstört. Dadurch wurde das urbane Leben für mehrere Tage erschwert, und auch die Aufräumarbeiten konnten nicht in vollen Umfang durchgeführt werden. So waren beispielsweise nach dem Erdbeben etwa 85 Prozent der Menschen ohne Wasserversorgung. 13 Die Wiederherstellungszeiten der Infrastruktur gestalteten sich in Kōbe wie folgt: Zielsetzung eines präventiv ausgerichteten Risiko-Managements ist es, potenzielle Schwachstellen sowie die Ursachen für Störungen in der Wertschöpfungskette zu identifizieren und adäquate Maßnahmen zu initiieren, um die Resilienz des gesamten Systems zu erhöhen.

Hierbei ist zu berücksichtigen, dass ein bestimmtes Risikoszenario häufig erst durch die Kombination mehrerer Ursachen auftritt. Abb. 6.5 veranschaulicht, dass ein Risikoeintritt mehrere Folgereignisse auslösen kann, wobei diese oftmals nicht nur in eine Richtung wirken, sondern es können auch Rückkopplungen auftreten. In der unternehmerischen Praxis ist nicht selten zu beobachten, dass das, was man als Wirkung bezeichnet, auf die Ursache zurückwirkt und damit selbst zur Ursache wird. Außerdem können in der Praxis so genannte "Dominoeffekte" eintreten, sodass einzelne als unwesentlich wahrgenommene Risikoereignisse eine Kette weiterer Risiken mit schwerwiegenden Auswirkungen auslösen können.

Derartige "Dominoeffekte" werden auch als systemische Risiken bezeichnet. Ein systemisches Risiko liegt vor, wenn sich ein auf ein Element eines Systems einwirkendes Ereignis aufgrund der dynamischen Wechselwirkungen zwischen den Elementen des Systems auf das System als ganzes negativ auswirken kann oder wenn sich aufgrund der Wechselwirkungen zwischen den Elementen die Auswirkungen mehrerer auf einzelne Elemente einwirkender Ereignisse so überlagern, dass sie sich auf das System als ganzes negativ auswirken können. Ihre besondere Brisanz gewinnen systemische Risiken nicht allein aus den direkten physischen Schäden, die sie verursachen. Es sind vielmehr die weitreichenden Wirkungen in zentralen gesellschaftlichen Systemen (etwa der Wirtschaft, der Finanzwelt oder der Politik), die den Umgang mit diesem Risikotyp schwierig und zugleich dringlich machen. 14 Vgl. vertiefend Erben (2004, S. 46-50) .

Zur damaligen Zeit wurden die meisten Aktiv-Matrix-Displays (Flüssigkristallbildschirme für die Laptop-Fertigung, Thin Film Transistor = TFT) in Japan und überwiegend in Kōbe produziert. So mussten die Unternehmen Fujitsu, Matsushita, Sanyo, Sharp und Display Technology ihre Produktion zeitweilig einstellen. In der Folge der globalen Vernetzung der Wertschöpfungsketten kam es auch im globalen Kontext zu wirtschaftlichen Schäden in der Folge von Betriebsunterbrechungen. Die Produktionsausfälle führten beispielsweise zu Lieferengpässen bei den USamerikanischen Herstellern Apple und IBM Corporation.

In der Folge des Erdbebens fiel auch der japanische Nikkei 225-Börsenindex am Tag nach dem Erdbeben um über tausend Punkte (5, 6 Prozent) . Auch die Börsen in Hongkong und Singapur brachen um 3,6 Prozent bzw. um 3,1 Prozent ein. Dies führte indirekt zur Insolvenz der Barings Bank, da deren Mitarbeiter Nick Leeson hohe Summen in Optionen auf den Nikkei investiert hatte. 14 In Abb. 6.5 sind die Abhängigkeiten und komplexen Wirkungsketten des Tōhoku-Erdbeben aus dem Jahr 2011 skizziert. Das große Seebeben vor der Sanriku-Küste der japanischen Region Tōhoku ereignete sich am 11. März 2011 und erreichte eine Magnitudenstärke von M = 9,0. Während der nördliche Teil des betroffenen Gebiets bereits mehrfach in der Historie von starken Tsunamis verwüstet wurde (vermutlich etwa 1611, 1896, 1933) , gab es in der südlichen Region (Sendai) wohl nur im Jahr 869 einen ähnlich hohen Tsunami. 15 Auf der Basis diverser wissenschaftlicher Analysen historischer seismischer Flutwellen und von GPS-Messungen lässt sich eine Spannweite von Wiederkehrperioden von 440 bis 1500 Jahren für ein Großbeben der Magnitude M = 9,0 in dieser Region Japans schätzen. 16 Die Konsequenz war, dass einige Fabrikationsstätten japanischer Automobilhersteller und Zulieferbetriebe ihren Betrieb einstellen mussten. Diese Betriebsunterbrechungen führten global zu Lieferschwierigkeiten und Produktionsunterbrechungen in der Automobilindustrie. An der japanischen Ostküste -insbesondere rund um Fukushima, wurden Mikrocontrollern bzw. Mikroprozessoren produziert. Sie werden u. a. in Geld-und Tele 19 Kahn war bei der RAND Corporation beschäftigt, einem vom amerikanischen Verteidigungsministerium gegründeten Institut für Zukunftsforschung. 20 Vgl. Kahn und Wiener (1968, S. 6) , Romeike und Spitzner (2013, S. 94 ff.), Romeike (2018a, S. 166 ff.) sowie Götze (1993, S. 36 Da eine einzelne Person alle Anforderungen nur in den seltensten Fällen erfüllen kann, sollte die Szenariotechnik immer nur im Rahmen von (interdisziplinär zusammengesetzten) Workshops angewendet werden. So eignet sich die Szenariotechnik ideal für die Risikoevaluierung im Rahmen von Projektteams oder Risikokomitees.

In der Unternehmenspraxis sind unterschiedliche Typen von Szenarien bekannt, deren Übergänge jedoch fließend sind.

Trendszenarien stellen die Frage, wie es weitergeht, wenn alles wie bisher weiterläuft ("business as usual"). Als Ausgangsszenarien sind sie wichtig. Sie kommen Trendextrapolationen am nächsten, berücksichtigen aber auch qualitative Informationen und sind damit methodisch komplexer. Beispiel: Wie entwickelt sich die Risikolandkarte, wenn keine neuen Risiken hinzutreten und die ökonomischen Rahmenbedingungen gleichbleiben?

Alternativszenarien stellen die Frage, was wäre, wenn diese oder jene Richtung eingeschlagen würde (beispielsweise "best case" oder "worst case"). Sie geben alternative Entwicklungsmöglichkeiten an, die, wenn sie erreicht werden sollen, entsprechendes zielgerichtetes Handeln voraussetzen oder, wenn sie vermieden werden sollen, entsprechende Gegenmaßnahmen notwendig machen. Beispiel: Wie entwickelt sich die Risikolandkarte, wenn der Dollar/Euro-Wechselkurs sich um zwanzig Prozent verändert? Wie entwickelt sich die Risikolandkarte, wenn unser Hauptkunde insolvent wird?

Kontrastszenarien stellen die Frage, was zu tun ist, um ein bestimmtes Ziel zu erreichen. Beispiel: Was ist zu tun, damit unsere Risikotragfähigkeit erhalten bleibt oder Value at Risk den Betrag von fünf Millionen Euro nicht überschreitet?

In Tab. 6.1 sind die wesentlichen Stärken und Grenzen der deterministischen Szenarioanalyse zusammengefasst.

Die Die Ergebnisse der Analyse sind -je nach Stärke der subjektiven Beeinflussung durch die Teilnehmer -nicht wertfrei und daher keine gesicherten Erkenntnisse, sie sind stets angreifbar. Die Szenarioanalyse "zwingt" die Teilnehmer zu einem strukturierten Vorgehen bei der Analyse zukünftiger Szenarien.

Die Anwendung der Methode ist zeit-und arbeitsintensiv, damit in der Regel auch mit hohen Kosten verbunden. Komplexität kann mit Hilfe der Einflussfaktorenanalyse sowie der Konsistenzmatrix reduziert werden.

det. Bei der Analyse sind die Einsatzbedingungen des Produkts in der Nutzungsphase, insbesondere bezogen auf Sicherheitsrisiken sowie auf einen erwartungsgemäßen Fehlgebrauch, zu berücksichtigen.

Die Kernidee der modernen FMEA basiert auf dem frühzeitigen Erkennen und Vermeiden von potenziellen Fehlern und damit der Reduktion des Auftretens potenzieller Wirkungen von Risikoeintritten. Die FMEA analysiert daher präventiv bzw. antizipativ Fehler und deren Ursache. Sie folgt damit der im Risiko-Management wichtigen Unterscheidung zwischen Ursache (cause), Risiko (risk) und Wirkung (effect). Siehe hierzu vertiefend die Ausführungen zur Bow-Tie-Analyse.

Sie bewertet Risiken bezüglich Auftretens, Bedeutung und ihrer Entdeckung in der Ursachenebene. Hierbei gilt die einfache und fast triviale Logik: Je früher ein Fehler erkannt wird, desto besser. Eine Fehlerfortpflanzung über den gesamten Produktentstehungszyklus von der Forschung und Entwicklung bis zum ausgelieferten Produkt bedeutet fast immer eine Potenzierung des Aufwandes.

Aus Sicht der Automotive Action Group (AIAG) und des Verbands der Automobilindustrie e. V. (VDA) 26 unterstützt die FMEA Unternehmen bei der Erreichung der nachfolgenden Ziele:

• Verbesserung der Qualität, Zuverlässigkeit, Herstellbarkeit, Wartungsfreundlichkeit und Sicherheit von Produkten; • Herunterbrechen und Zuordnen von Systemanforderungen auf Untersysteme und Komponenten; • Senkung der Gewährleistungs-und Kulanzkosten; • Nachweisbarkeit der Produkt-und Prozessrisikoanalyse im Produkthaftungsfall; • Vermeidung von späten Änderungen während der Entwicklung; • Fehlerfreie Produkteinführungen; • Zielgerichtete Kommunikation bei internen und externen Kunden-und Lieferantenbeziehungen; • Aufbau einer Wissensbasis im Unternehmen, beispielsweise Dokumentation von gewonnenen Erkenntnissen (Lessons Learned); • Einhaltung gesetzlicher-und behördlicher Genehmigungsauflagen bei der Zulassung von Komponenten, Systemen und Fahrzeugen; • Sicherstellen der korrekten Erfassung von hierarchischen Beziehungen, Verknüpfungen und Schnittstellen zwischen Komponenten, Systemen und Fahrzeugen.

Im Prozessschritt der Risikoidentifikation und -bewertung ermittelt die FMEA die Ursache für ein Risiko über die drei Faktoren A, B und E. Hierbei symbolisiert A (Auftreten oder auch O für "Occurrence" beziehungsweise für "Probability") die subjektive Wahrscheinlichkeit, dass ein gewisses Risiko auftritt, E die Entdeckungswahrscheinlichkeit (oder auch D für "Detection") und B für die Bedeutung der Fehlerfolge/ (oder auch S für "Severity"). 27

Hierzu werden aktuell drei Matrizen (BxA = Produkt-Risiko, BxE = Verifizierungs-Risiko, AxE = Durchschlupf-Risiko) zur Analyse verwendet. Die früher oft benutzte RPZ (BxAxE) diente mehr oder weniger als Maß zur Risikobewertung, wird aber von keinem professionellen FMEA-Experten -aufgrund mangelnder Aussagekraft -mehr empfohlen. 28 Da üblicherweise alle drei Faktoren auf den Bereich 1 bis 10 normiert werden, eignet sich das Verfahren insbesondere zur Quantifizierung von qualitativen Daten. 29 Die in der Praxis häufig noch angewendete, aber nicht mehr empfohlene RPZ entsteht durch Multiplikation der A-, B-und E-Scorewerte (RPZ = B · A · E) und kann dementsprechend Werte zwischen 1 und 1000 annehmen.

Bedingt durch dieses Vorgehen, lassen sich die Ergebnisse lediglich als grobe Einschätzung eines Risikos verstehen und bietet eine grobe Priorisierung einzelner Risiken. Eine hohe RPZ deutet demnach auf die Notwendigkeit weiterer Maßnahmen hin, während Risiken mit niedriger RPZ vernachlässigt werden können. Die multiplikative Verknüpfung der drei Faktoren muss jedoch kritisch bewertet werden: Insbesondere bei "Lowprobability-high-consequence-risks" (Extremereignissen) kann die RPZ bei extrem niedrigen P-oder W-Werten insgesamt niedrig sein und damit eine geringe Dringlichkeit suggerieren. Da die verwendeten Matrizen meistens asymmetrisch sind, wird eine Multiplikation, wie in der RPZ, oft falsche Abarbeitungs-Prioritäten liefern.

Deshalb wurde bereits im Jahr 2009 der Ampelfaktor (Farbbestimmung in den drei Matrizen) als alternative Priorisierung vorgestellt. 30 Diese Auswertung ist inzwischen in vielen Unternehmen etabliert (sowie in anerkannten Methodenbeschreibungen sowie in der Mehrzahl der am Markt angebotenen Analyse-Software umgesetzt). Inzwischen wurde der "Ampelfaktor" zur RMR (Risk-Matrix based Ranking) weiterentwickelt.

Die Analyse der modernen FMEA erfolgt in der Regel grafisch unterstützend zu den Entwicklungstätigkeiten. Dies bringt den Beteiligten erheblich mehr Übersichtlichkeit und somit Nutzen als die früher übliche Formblattnotation.

Durch die Konsolidierung von Risiken an einzelnen Stellen eines größeren Systems, dessen Grenzen klar definiert sein müssen, erlaubt FMEA insbesondere auch die Ableitung eines Maßes für die Verlässlichkeit eines komplexen Systems. Im Kontext des Risiko-Managements ermöglicht die FMEA so, durch Analyse aller Netzwerkkomponenten, eine (grobe) Gesamtrisikobewertung für eine Infrastruktur zu erstellen.

Die FMEA ist letztendlich weniger eine Methode zur Risikoidentifikation, sondern mehr ein Mittel zu einer (möglichst) ganzheitlichen Dokumentation, Bewertung und Steuerung identifizierter Fehler beziehungsweise potenzieller Risiken sowie ein bedeutendes Medium zur Konzentration in der systematischen Kommunikation.

Ein weiterer Vorteil der Fehler-Folgen-Analyse ist die klare Formalisierung mit Hilfe von "Worksheets" (Arbeitsblättern), die neben der Funktion, die Fehlerursache, die Fehlerwirkung, die bedrohten Objekte (targets) sowie die Risikobewertung enthalten (vgl. Abb. 6.7). 28 Vgl. hierzu Werdich (2019) . 29 Vgl. Arvanitoyannis und Varzakas (2008 Step Structure Analysis

Step Function Analysis

Step Failure Analysis

Step Risk Analysis

Step Optimization Die FMEA zielt darauf ab, Fehler von vornherein zu vermeiden, statt sie nachträglich zu entdecken und zu korrigieren, da dies in der Regel immer mit höheren Kosten verbunden ist. Um optimale Ergebnisse zu erzielen, sollte die FMEA bereits vor der Einführung eines potenziell fehlerträchtigen Produkts oder Prozesses vorgenommen werden.

Aufgrund der aufgezeigten Schwächen der FMEA befindet sich die Methode zurzeit massiv im Wandel (unter anderem auch durch die Arbeiten der Verbände AIAG und VDA). Durch eine Ergänzung anderer Methoden beziehungsweise eine Erweiterung etwa im Bereich der Bewertung, könnte die FMEA in der Zukunft eine größere Rolle in einem universellen Analysemodell spielen.

Bei der Bewertung der Möglichkeiten und Grenzen der FMEA sollte man sich vor allem ins Bewusstsein rufen, für welchen Zweck die FMEA ursprünglich entwickelt wurde. Die Ursprünge liegen im Bereich der Analyse von Fehlern in der Design-bzw. Entwicklungsphase neuer Produkte oder Prozesse. Mit der Analyse komplexer Systeme (etwa im Bereich eines Produktionsprozesses oder einer Supply Chain) ist die FMEA überfordert und bietet hier keinen bzw. einen nur geringen Nutzen.

Mit Beginn der 1960er-Jahre wurden Ein berühmtes Mitglied der Untersuchungskommission der Challenger-Katastrophe war der Physiker und Nobelpreisträger Richard P. Feynman, der detaillierte Erkenntnisse der Ursachen und Versäumnisse in einem Buch zusammengefasst hat. 36 In der Folge des Challenger-Unfalls gilt die Fehlerbaumanalyse heute als eine der wichtigsten Techniken der Systemzuverlässigkeit und Sicherheitsanalyse in der Raumfahrt und in anderen Branchen.

Als internationaler Standard IEC 61025 (EN 61025) ist das Verfahren unter dem Begriff Fehlerzustandsbaumanalyse von der International Electrotechnical Commission beschrieben. In Deutschland ist die Fehlerbaumanalyse Inhalt der nationalen DIN 25424. 37 Die Fehlerbaumanalyse basiert auf der booleschen Algebra 38 und dient dazu, die Wahrscheinlichkeit eines Ausfalls einer Anlage oder Gesamtsystems zu bestimmen. Die Fehlerbaumanalyse verfolgt das Ziel, durch die Analyse der logischen Verknüpfungen potenzielle Teilsystemausfälle auf allen kritischen Pfaden zu ermitteln, die zu einem Ausfall des Gesamtsystems führen können.

Die Fehlerbaumanalyse nimmt daher als Ausgangspunkt -im Gegensatz zur FMEAnicht eine einzelne Systemkomponente, sondern das potenziell gestörte Gesamtsystem. Sie gehört zu den "Top-down"-Analyseformen (vgl. Abb. 6.9). In einem ersten Schritt wird daher das Gesamtsystem detailliert und exakt beschrieben. Darauf aufbauend wird analysiert, welche primären Störungen eine Störung des Gesamtsystems verursachen oder dazu beitragen können. Der nächste Schritt gliedert die sekundären Störungsursachen weiter auf, bis schließlich keine weitere Differenzierung der Störungen mehr möglich oder sinnvoll ist. Der Fehlerbaum stellt damit alle Basisergebnisse dar, die zu einem interessierenden Top-Ereignis führen können.

In der einfachsten Form besteht er aus den folgenden Elementen: Entscheidungsknoten (E), die Entscheidungen kennzeichnen, Zufallsknoten, die den Eintritt eines zufälligen Ereignisses darstellen sowie aus Ergebnisknoten (R), die das Ergebnis von Entscheidungen oder Ereignissen darstellen. Zwischen diesen Elementen befinden sich Verbindungslinien 36 Vgl. Feynman (1996) . 37 Fehlerbaumanalyse, Teil 1: Methode und Bildzeichen, Teil 2: Handrechenverfahren zur Auswertung eines Fehlerbaumes. 38 Die boolesche Algebra ist eine spezielle algebraische Struktur, die die Eigenschaften der logischen Operatoren UND (∧), ODER (∨), NICHT (¬) sowie die Eigenschaften der mengentheoretischen Verknüpfungen Durchschnitt (⊓), Vereinigung (⊔ oder * ), Komplement (∘) verallgemeinert.

Komplexe Fehlerereignisse werden mittels logischer Verknüpfung (booleschen Algebra; auch als boolescher Verband bezeichnet) weiter in einfachere Ereignisse aufgeteilt. Verknüpfungen lassen sich grundlegend in zwei Kategorien einteilen: in Oder-Verknüpfungen, bei denen der Fehler auftritt, falls eines der Ereignisse auftritt, sowie in Und-Verknüpfungen, bei denen der Fehler nur auftritt, falls alle Ereignisse auftreten. Ein Block-Gatter führt zwischen einem Ereignis und der entsprechenden Ursache eine Nebenbedingung ein.

Die Nebenbedingung muss zusätzlich zur Ursache vorhanden sein, damit die Wirkung eintritt. Die Bedingung beschreibt Ereignisse, die keine Fehler oder Defekte sind und im Normalbetrieb auftreten. Um einen großen Fehlerbaum anschaulich zu präsentieren, können ganze Unterbäume durch ein Transfer-Symbol markiert und separat analysiert werden. Die im Fehlerbaum definierten Ursachen sind Zwischenereignisse, die weiter untersucht werden, bis ein gewünschter Detaillierungsgrad erreicht wird. Ursachen, die nicht weiter untersucht werden, sind Blätter im Fehlerbaum. Blätter sind entweder Basisereignisse des Systems oder Ereignisse, die für die Analyse (noch) nicht detailliert genug beschrieben wurden (nicht untersuchte Ereignisse).

In Abb. 6.9 ist ein Beispiel für einen Fehlerbaum dargestellt. In Abb. 6.10 sind die grundlegenden Symbole im Zusammenhang mit der Fehlerbaumanalyse skizziert.

Eine wesentliche Eigenschaft der Ereignisse in einem Fehlerbaum ist, dass sie unerwünscht sind. Sie beschreiben Fehlerzustände, Störungen oder Ausfälle. Nach Erstellung des Fehlerbaums wird bei der quantitativen Fehlerbaumanalyse jedem Basisereignis eine bestimmte Eintrittswahrscheinlichkeit für den Ausfall zugewiesen. Identifizieren des unerwünschten TOP-Ereignisses besonderem Interesse sind dabei der sogenannte "Single point of failure" (SPOF). Hierunter versteht man eine besonders kritische Komponente. Wenn diese Komponente ausfällt, tritt das Top-Ereignis ein (siehe Dichtungsring und Explosion der Challenger). Insbesondere in der Luftfahrt ist die Vermeidung von "Single points of failure" von herausragender Bedeutung.

Außerdem werden sogenannte "Cut Sets" analysiert. Hierbei handelt es sich um Kombinationen von Komponenten, die alle gemeinsam ausfallen müssen, damit es zum Eintritt des Top-Ereignisses kommt.

Des Weiteren werden "Minimal Cut Sets" analysiert. Hierbei handelt es sich um Systeme mit wenigen Komponenten und bereits der Ausfall einer Komponente ist ausreichend für den Ausfall des Gesamtsystems.

Bei der quantitativ ausgerichteten Fehlerbaumanalyse werden den einzelnen Ursachen Wahrscheinlichkeiten zugeordnet, die anschließend über bedingte Wahrscheinlichkeiten (auch konditionale Wahrscheinlichkeit) im Detail bewertet werden. Resultierend aus den Axiomen von Kolmogorow 39 gilt bei einer UND-Verknüpfung zweier unabhängiger Ereignisse: • In der Planung von Industrieanlagen, vor allem in der Verfahrenstechnik, und im vorbeugenden Brandschutz. • In der Software-Entwicklung wird sie verwendet, um die Fehler von Programmen zu analysieren.

• In der Flugsicherheit werden zur Bestimmung der definierten Sicherheit Fehlerbaumanalysen mittels Checklisten ausgeführt. • In der Produktentwicklung, vor allem in der Automobilindustrie. • Im Rahmen der PSÜ (Periodische Sicherheitsüberprüfung) für kerntechnische Anlagen, um die Wahrscheinlich für den Ausfall eines sicherheitstechnischen Systems angeben zu können.

In Tab. 6.3 sind die wesentlichen Stärken und Grenzen der Fehlerbaumanalyse zusammengefasst. Es existieren verschiedene Variationen der Bow-Tie-Analyse, die davon abhängen, zu welchem Zweck die Analyse genutzt werden soll (Risikoidentifikation, Risikobewertung, Risikokommunikation) und aus welchen konkreten Elementen das Diagramm besteht bzw. welche Methoden angewandt werden.

Die Anwendung der Bow-tie Analysis kann begleitet werden durch weitere analytische Methoden, beispielsweise die "Analytic Hierarchy Method" für die Priorisierung der Risiken oder eine Kritikalitätsbewertung basierend auf einem Scoringansatz (vgl. Abb. 6.13). Hierbei erfolgt beispielsweise die Bewertung der Kritikalität über einen Scoringansatz (beispielsweise mit Hilfe von Scorewerten von 1 bis 5). Die Kritikalität basiert immer auf der Bewertung der Wirkung der identifizierten Szenarien. In einem zweiten Schritt erfolgt die Bewertung nach "Ability to act", d. h. welche präventiven oder auch reaktiven Maßnahmen überhaupt ergriffen werden können, um den Risikoeintritt zu verhindert oder die Wirkung zu reduzieren. Anschließend können die Risikoszenarien in einer einfachen Grafik visualisiert werden.

Abb. 6.13 Scoringbasierte Ansatz zur pragmatischen Bewertung von Kritikalität und "Ability to act". (Quelle: Eigene Abbildung)

In einem weiteren Schritt sollten für alle kritische Szenarien detaillierte Maßnahmenpakete definiert werden. Zu diesem Zweck sollten die einzelnen Szenarien noch einmal im Detail analysiert werden und mit Hilfe geeigneter quantitativer Methoden (bspw. "worst case", "realistic case" und "best case" sowie ggf. Schätzung der Häufigkeit) bewertet werden (Abb. 6.14).

Die wesentlichen Stärken und Schwächen der Bow-Tie-Analyse sind in Tab. 6.4 zusammengefasst. zu erklären, sondern will zukünftige Chancen und Risiken antizipieren und helfen, bessere Antworten auf bessere Fragen zu finden. Risiko-Management sollte daher proaktiv (oder auch prospektiv) ausgerichtet sein.

Allgemein können drei unterschiedliche Arten bzw. Generationen von Frühaufklärungssystemen unterschieden werden (vgl. Abb. 6.15):

• Kennzahlen-und hochrechnungsorientierte, • Indikatororientierte und • Strategische Frühaufklärungssysteme.

Kennzahlen-und hochrechnungsorientierte Frühaufklärungssysteme basieren auf einem periodischen Vergleich von Kennzahlen bzw. auf innerjährlichen Hochrechnungen von Über-und Unterschreitungen bestehender Jahrespläne (Budgets) und eignen sich daher vor allem für das operative Controlling. 45 Hierbei werden insbesondere Soll-Ist-Zahlen bzw. Soll-Wird-Zahlen verglichen. Beim Unter-bzw. Überschreiten definierter Schwellenwerte sollen adäquate Warnmeldungen ausgelöst werden. Kritisch ist hierbei anzumerken, dass kennzahlen-und hochrechnungsorientierte Frühaufklärungssysteme auf vergan-45 Vgl. Romeike (2006, S. 453 ff.) . Zentrale Elemente von indikatororientierten Frühaufklärungssystemen sind Indikatoren (leading indicators), die Informationen über die zukünftige Entwicklung der Umweltveränderungen im unternehmensinternen und externen Bereich liefern. 46 Die Definition und Erhebung von Indikatoren sollte sinnvollerweise im Rahmen von existierenden Planungs-und Berichtssystemen bzw. im Zusammenhang mit einer implementierten Balanced Scorecard erfolgen. Die größte Herausforderung bei indikatorbasierten Frühaufklärungssystemen besteht bei der Selektion geeigneter Indikatoren, da Kausalzusammenhänge in einer komplexen Wirtschaftswelt nur selten über singuläre und statische Indikatoren erklärt werden können. Indikatoren spiegeln nicht selten lediglich die bisherigen Erfahrungen und Kenntnisse wider und blenden potenzielle neue Entwicklungen und Kausalitäten aus. Adäquate Indikatoren müssen insbesondere eindeutig, vollständig und rechtzeitig verfügbar sein, frühzeitig auf zukünftige Entwicklungen hinweisen sowie unter ökonomischen Gesichtspunkten sinnvoll erfasst werden können. In den vergangenen Jahren haben insbesondere global operierende Konzerne große Anstrengungen unternommen, um adäquate (Key)-Risk-Indikatoren zu definieren und zu erfassen.

Strategischen Frühaufklärungssystemen liegt das Konzept der schwachen Signale von Ansoff zugrunde. 47 Ansoff geht davon aus, dass tief greifende Umbrüche (etwa im ökonomischen, sozialen und politischen Bereich) nicht zufällig ablaufen, sondern sich lange im Voraus durch schwache Signale (weak signals) ankündigen. Oft handelt es sich um Informationsrudimente, das heißt unscharfe und wenig strukturierte Informationen, wie beispielsweise Gefühle, dass mit Bedrohungen bzw. Chancen zu rechnen ist (etwa basierend auf Presseberichten, Studien von Zukunftsforschungsinstituten, Informationen aus Diskussionsforen im Internet oder Informationen bezüglich der allgemeinen wirtschaftlichen Entwicklung), nur vagen Informationen über mögliche Quellen und Ursachen latenter Gefahren, nur vagen Informationen bzgl. konkreter Bedrohungen und Chancen, aber klarer Vorstellung hinsichtlich strategischer Relevanz. Schwache Signale verstärken sich häufig im Zeitablauf und weisen immer stärker auf Trend-/Paradigmawechsel hin. Nach Ansoff gibt es unerwartete Diskontinuitäten nur, weil die Empfänger dieser Signale nicht darauf reagieren. Zur Vorbeugung von strategischen "Überraschungen" müssen schwache Signale rechtzeitig geortet werden. Dies bedingt eine Sensibilisierung aller Mitarbeiter für schwache Signale, da mit zunehmender Konkretisierung der Signale die Reaktionsfähigkeit des Unternehmens abnimmt. Insbesondere erfordert die Umsetzung des Konzepts von schwachen Signalen eine Abkehr von starren und streng hierarchisch strukturierten Denk-und Organisationsstrukturen. Frühaufklärungssysteme der dritten Generation werden auch unter dem Begriff des "strategischen Radars" bzw. "360-Grad-Radar" zusammengefasst, da das Ortungssystem offen und ungerichtet ist. Das "strategische Ra-dar" verwendet vor allem die Instrumente des "Scanning" und "Monitoring". Ersteres stellt ein ungerichtetes Abtasten des gesamten Unternehmensumfeldes dar und bezweckt das Erkennen trendartiger Entwicklungen. Diese werden im Rahmen des Monitorings gezielteren und tief greifenderen Analysen unterzogen.

Ziel dabei ist es, möglichst viele unscharfe Signale zu empfangen, die erst in einem weiteren Schritt hinsichtlich ihres Verhaltens-bzw. Ausbreitungsmuster sowie ihrer Ursachen und Wirkungen analysiert werden. In einem weiteren Schritt wird die Relevanz der analysierten Signale beurteilt und hinsichtlich ihrer Dringlichkeit in eine Rangordnung gebracht. Erst in einem abschließenden Schritt werden adäquate Reaktionsstrategien entwickelt und umgesetzt. Bei der Analyse von strategischen Frühaufklärungssystemen können Instrumente aus dem strategischen Marketing (Erfahrungskurve, Produktlebenszyklus etc.) und auch andere etablierte und praxiserprobte Methoden (Szenario-Technik, Portfoliomethode, Delphi-Verfahren, Trend-Impact-Analyse etc.) verwendet werden.

Die Eigenschaften eines guten Risikoindikators können wie folgt beschrieben werden:

• Ein Risikoindikator wird regelmäßig gemessen.

• Ein Risikoindikator sollte das Risiko reflektieren.

• Ein Risikoindikator benötigt Schwellenwerte, die definieren, ab wann korrigierende Aktionen und Maßnahmen eingeleitet werden sollen. • Ein Risikoindikator wird zeitnah gemessen. • Ein Risikoindikator zeigt die Veränderungen des Risikoprofils präventiv an, bevor bestimmte Ereignisse akut werden. • Ein Risikoindikator sollte effizient gemessen werden.

Die regelmäßige Messung ist eine Voraussetzung für die Erkennung von ungünstigen Trends. Darüber hinaus hängt es von der verbleibenden Reaktionszeit nach einer Warnmeldung ab, wie oft gemessen werden muss. Wenn die Reaktionszeit kurz ist, muss die Messfrequenz entsprechend hoch sein. Wenn die Reaktionszeit sehr lang ist und trotzdem mit einer hohen Messfrequenz gemessen wird, kommt es sehr leicht zur Vernachlässigung der Warnmeldungen. In solchen Fällen würde das Ziel der Implementierung von Risikoindikatoren geradezu verfehlt.

In einem nächsten Schritt müssen für den Risikoindikator Schwellenwerte definiert werden. Unternehmen und Unternehmenslenker sind daran interessiert zu erfahren, wann eine Situation gefährlich oder gar kritisch wird. Oftmals werden diese Situationen mit Ampelfarben abgebildet. Die Schwellenwerte müssen für jeden Risikoindikator individuell bestimmt werden. In der Unternehmenspraxis sind regelmäßig die Risikoindikatoren mit einer "Warnmeldefunktion" verknüpft, die nach einer Überschreitung der festgelegten Schwellenwerte den verantwortlichen Personenkreis informiert.

Ein Risikoindikator soll zeitnah gemessen werden. Die Messfrequenz wird durch die notwendige Reaktionszeit und durch die zu erwartende Schadenshöhe bestimmt. Die Bestimmung wird unter der Randbedingung der Wirtschaftlichkeit optimiert. Es scheint so selbstredend, dass die Risikoindikatoren die Veränderungen im Risikoprofil abbilden sollen. Die Erfüllung dieser Anforderung ist in der Praxis keineswegs so trivial, wie vermutet werden könnte. Dass Risiko-Indikatoren effizient gemessen werden sollen, ist eher eine Randbedingung als eine funktionale Eigenschaft.

In der Folge der rasanten Entwicklungen in den Bereichen Artificial Intelligence (AI), Big Data, Datenanalysen und Predictive Analytics haben sich in den vergangenen Jahren die Möglichkeiten zur Früherkennung von potenziellen Risiken und schwachen Frühwarnindikatoren massiv verbessert.

Bereits heute wissen wir, dass sich aus Facebook-und Twitter-Nachrichten politische Einstellungen ableiten lassen und diese Informationen auch genutzt werden. 48 Bei der Descriptive Analytics geht es um die Frage "Was ist passiert?", das heißt eine Analyse von Daten aus der Vergangenheit, um potenzielle Auswirkungen auf die Gegenwart zu verstehen (siehe Business Intelligence).

Bei Diagnostic Analytics geht es um die Frage "Warum ist etwas passiert?", das heißt eine Analyse der Ursache-Wirkungs-Beziehungen, Wechselwirkungen oder Folgen von Ereignissen (siehe Business Analytics).

Bei Predictive Analytics geht es um die Frage "Was wird passieren?", das heißt eine Analyse potenzieller Zukunftsszenarien sowie eine Generierung von Frühwarninformationen. Basierend auf Technologien des Data Mining, Artificial Intelligence, statistischer Methoden und Operations-Research erfolgt eine Berechnung von Wahrscheinlichkeiten zukünftiger Ereignisse.

Bei Prescriptive Analytics geht es um die Frage "Wie müssen wir handeln, damit ein zukünftiges Ereignis (nicht) eintritt?", das heißt im Kern werden -basierend auf den Ergebnissen von Predictive Analytics -Maßnahmen simuliert, etwa basierend auf stochastischen Szenarioanalysen sowie Sensitivitätsanalysen. 53 Die Internet-Suchmaschine Google hat mit "Google Flu Trends" bereits im Jahr 2008 gezeigt, wie mithilfe von Algorithmen und Big Data die jährlichen Grippewellen besser prognostiziert werden können. 54 Die Idee von Google war, die Suchanfragen seiner Nutzer zu analysieren und hieraus Frühwarninformationen für eine Grippewelle abzuleiten (vgl. Abb. 6.17). Der Datenanalysten von Google verglichen über einen fünfjährigen Zeitraum die 50 Millionen am häufigsten von US-Bürgern eingegebenen Suchbegriffe mit den realen Krankheitsdaten, wie sie von der Seuchenschutzbehörde Centers for Disease Control and Prevention (CDC) archiviert werden. Die Google-Analysten fanden aus 50 Millionen Suchbegriffen und 450 Millionen Begriffskombinationen 45 Begriffe, die stark mit dem Auftreten einer Grippe korrelierten. Anfangs präsentierte "Google Flu Trends" sehr gute Prognosen. Im Jahr 2013 prognostizierte Google jedoch doppelt so viele Fälle, wie tatsächlich auftraten. Auch die Pandemie H1N1 2009/10 (Schweinegrippe) wurde von Google nicht als Szenario erkannt. Die Gründe hierfür sind vielfältig: Erstens schlossen 53 Vg. Romeike (2015) . 54 Vgl. Lazer, Kennedy, King, und Vespignani (2014) . "Heinrichs Gesetz" (Heinrich's law) hat zum Inhalt, dass katastrophale Ereignisse nicht unvorhersehbar sind oder überraschend eintreten. 58 Gerade kleine Fehler oder gefährliche Situationen ohne negative Auswirkungen dürfen nicht einfach mit der Bemerkung "Ist ja gerade noch mal gut gegangen" abgetan werden. Basierend auf Heinrichs Gesetz bilden 300 Beinahe-Unfälle (oder "leichte Fehler" oder "kleine Verschwendungen") die statistische Grundlage für 29 mittelschwere Vorkommnisse (oder "sichtbare/ spürbare Fehler" oder "deutliche kostenwirksame Verschwendungen") und diese wiederum sind die statistische Basis für einen Katastrophenfall (oder "Kunstfehlerklage"). Mittelschwere Unfälle und Katastrophen deuten sich also an in Form von Frühwarninformationen, abgeleitet aus Frühwarnindikatoren. So wird der Grenzübergang vom Bagatellfehler (also dem allseits akzeptierten und arbeitstäglich tolerierten kleinen Fehler) zum mittelschweren Problem ebenso wie der Übergang zur Katastrophe gerade dann in der Praxis beobachtbar vollzogen, wenn Außergewöhnliches passiert bzw. Organisation und Mitarbeiter unter Zeitdruck geraten.

Heinrichs Gesetz rät, durch verstärkte Fehlererkennung, Fehlervermeidung und Fehlerbehebung bereits am "stumpfen Ende" des Risikoeisbergs die Unglücksfälle am "spitzen Ende" zu verhindern (vgl. Abb. 6.18).

Da Herbert William Heinrich für die Basis seiner "Gesetzmäßigkeit" keine empirischen Daten und Dokumente vorweisen konnte, geriert "Heinrichs Gesetz" auch in Kritik. 59 So wird u. a. kritisiert, dass seine Studien auf Unfällen basieren, die in den 1920er-Jahren passierten. Sicherheit bei der Arbeit und die Arbeitsplätze selbst haben sich bis heute substanziell verbessert.

Außerdem wird von Kritikern die unterstellte 300-29-1 Ratio (Heinrichs Dreieck, siehe Abb. 6.18) kritisiert, da es danach nicht möglich ist, von Einzelfalldaten, die mit den üblichen Erfassungsmethoden von 1926 dokumentiert wurden, auf die verletzungsfreien Unfälle zu schließen. Vielmehr führen aktuelle Untersuchung von Unfällen zu dem Ergebnis, dass die Unfälle, die zum Tode oder zu schwerwiegende Verletzungen führten, nicht mit 57 Vgl. Heinrich, Petersen, Roos, Brown, und Hazlett (1980) . 58 Vgl. von Eiff und Middendorf (2004, S. 537-542) . 59 Vgl. hierzu insbesondere Manuele (2002) und Manuele (2003) . denen von Unfällen, die häufig auftreten und mit leichten Verletzungen ausgehen, kausal zusammenhängen.

Trotz dieser Kritik kann Heinrichs Gesetz vom Prinzip auch auf Unternehmen aus Industrie und Handel übertragen werden. Auch dort (siehe auch die Ausführungen zu Frühwarnindikatoren im vorangegangenen Kapitel) treten Ereignisse häufig nicht unvermittelt und plötzlich ein. Vielmehr gehen sogenannte "Vorläufer" -also Frühindikatoren einer möglichen Veränderung -voraus. Strukturbrüche und Krisen lassen sich daher frühzeitig noch vor ihrem eigentlichen Eintreten wahrnehmen.

Wie bereits skizziert, geht insbesondere der "Weak Signal"-Ansatz von Ansoff davon aus, dass unerwartete exogene Störungen nicht vollständig unvorhersehbar eintreten. Frühaufklärungsinformationen werden quasi mit einem "360-Grad-Radar" überall und zu jeder Zeit als "schwache Signale" gewonnen. Dabei kann es sich beispielsweise um folgende, unscharf strukturierte Informationen handeln: 60 • die Verbreitung neuartiger Meinungen und Ideen in Medien, • die plötzliche Häufung gleichartiger Ereignisse mit strategischer Relevanz für das betreffende Unternehmen, • Meinungen und Stellungnahmen von Organisationen und Verbänden bzw. von Schlüsselpersonen aus dem öffentlichen Leben, • Tendenzen der Gesetzgebung und Rechtsprechung.

"Schwache Signale" werden bevorzugt über öffentlich zugängliche Kommunikationsorgane wie etwas das Internet verbreitet. Eine besondere Problematik "schwacher Signale" besteht aus der anfänglich vorherrschenden Ignoranz bei den Empfängern, die in eine regelrechte "Ignoranzfalle" münden kann. Trotz einer hohen Manövrierfähigkeit wer-60 Vgl. Romeike (2005b, S. 22-27) . den daher häufig "schwache Signale" nicht ernst genommen. Erst bei einer zunehmenden Häufung von Signalen und gleichzeitig abnehmender Ignoranz bei den Signalempfängern wächst die Bereitschaft zu Reaktionsstrategien.

Das Konzept der "schwachen Signale" von Ansoff weist eine Reihe von Schwächen auf. Insbesondere wird die Frühzeitigkeit der Problemerkennung erkauft mit einer größeren Unsicherheit und erhöhten Subjektivität in der Signalinterpretation. Außerdem können die Ereignisse und deren Einfluss auf die Strategieumsetzung und die Potenziale nur qualitativ gemessen werden.

Die PAAG-Methode und die HAZOP-Methode beinhaltet eine systematische Vorgehensweise zum Auffinden möglicher Zielabweichungen und Störungen in Systemen aller Art. Etabliert hat sich die Methode insbesondere als Instrument der Sicherheitstechnik in der Prozess-, Pharma-und Petrochemie. Von der methodischen Seite ist die PAAG-Methode und die HAZOP-Methode mit der Design-FMEA vergleichbar. Die HAZOP-Methode (von englisch Hazard and Operability) war ursprünglich für Chemieanlagen konzipiert, wird heute aber auch für Anlagen in anderen Industrien eingesetzt, hauptsächlich bei der Planung von Neuanlagen, aber auch bei der Planung von Umbauten und bei der Bewertung von bestehenden Anlagen. In Deutschland ist die HAZOP-Methode auch als PAAG-Verfahren bekannt. PAAG basiert auf den Bausteinen Prognose, Auffinden der Ursache, Abschätzen der Auswirkungen, Gegenmaßnahmen definieren.

In einer HAZOP-Studie wird untersucht, welche Abweichungen vom bestimmungsgemäßen Betrieb einer Anlage zu welchen Problemen bezüglich Sicherheit und Betrieb einer Anlage führen können. Die Studie wird in der Unternehmenspraxis regelmäßig in einem interdisziplinären Team durchgeführt, welches Kompetenzen über die eingesetzten Substanzen, den Prozess, die Anlage und die Automatisierungstechnik zusammenführt. Im Rahmen der Analyse wird systematisch jede Komponente einer Anlage untersucht, was geschehen könnte, wenn ein charakteristischer Betriebsparameter dieser Komponente vom vorgesehenen Wert bzw. Wertebereich abweichen sollte.

Dabei werden eine oder mehrere Sollfunktionen für die betrachtete Komponente (Anlagenteil, Verfahrensabschnitt, Aggregat, Apparat etc.) definiert, mit denen die vorgesehene Funktionalität beschrieben wird. Anhand von einfachen Leitworten (ja/nein, mehr/ weniger, sowohl als auch, teilweise, anders als) wird dann die "Ausführung" der Sollfunktion entsprechend geändert, die daraus resultierenden Konsequenzen diskutiert und so Ursachen für Ablaufstörungen bis hin zu Störfällen erkannt.

Üblicherweise basiert eine HAZOP-Studie auf einer gemeinsamen Betrachtung der Fließbilder der Anlage. Den Fließbildern lassen sich die Stoffströme und zum Teil auch die Informationsflüsse innerhalb der Anlage entnehmen. Zentraler Baustein der Methodik ist die Anwendung so genannter Leitworte, mittels derer die Abweichungen und Störungen "generiert" werden (vgl. Tab. 6.5).

Je nach Unternehmen kann die Methodik individualisiert werden. So kann man sich beispielsweise auf vier Leitworte (nein, mehr, weniger, anders als) beschränken, anhand derer die Diskussion gesteuert wird. Die Methodik wird immer durch Kreativitätsmethoden begleitet. In der Regel erfolgt dies basierend auf einem Brainstorming von Experten verschiedener Fachrichtungen. Wie auf den Ozeanen geraten auch in der komplexen Wirtschaftswelt des 21. Jahrhunderts immer mehr Flaggschiffe in akute Seenot oder versinken komplett. Ob Enron, Wor-ldCom, Schlecker, Quelle, Nokia oder Kodak -die Topmanager dieser Unternehmen erkannten die Risiken zu spät, ignorierten die Frühwarnindikatoren oder waren schlichtweg korrupt. Und auch der Staat liefert uns regelmäßig Beispiel für ein eher reaktives Krisenmanagement an Stelle eines antizipativen Krisenmanagements (Krisenvorsorge). So basierten fast alle Maßnahmen zur Bekämpfung der COVID-19-Pandemie -in der Folge des neuartigen Coronavirus SARS-CoV-2 -auf Ad-hoc-Maßnahmen, die nicht zuvor geplant waren. Dies erstaunt umso mehr, als dass ausgewiesene Experten seit vielen Jahren auf die Risiken einer Pandemie hinweisen. Der exzellente Statistiker und Professor für Internationale Gesundheit, Hans Rosling, hat bereits vor vielen Jahren auf die fünf globalen Risiken hingewiesen, die uns beunruhigen sollten. Als Top-1-Risiko beschreibt er in seinem Buch "Factfulness" das Risiko einer globalen Pandemie. 61 In renommierten Fachzeitschriften, wie etwa Nature, Science und Nature Reviews Microbiology, wurden Studienergebnisse über die Risiken einer globalen Epidemie veröffentlicht, die beispielsweise durch Coronaviren verursacht werden können. Und auch die Risikoanalyse "Pandemie durch Virus Modi-SARS" aus dem Jahr 2012 wurde von Wissenschaftlern und Experten des Robert Koch-Instituts (RKI) und zahlreichen Bundesämtern erstellt und den Mitgliedern des Deutschen Bundestages präsentiert. Das fiktive Szenario beschrieb eine von Asien ausgehende, globale Verbreitung eines neuartigen Erregers "mit außergewöhnlichem Seuchengeschehen". Hierfür wurde der hypothetische, jedoch mit realistischen Eigenschaften versehene Erreger "Modi-SARS" zugrunde gelegt. So stellt sich die Frage, warum aus dem konkreten Pandemie-Szenario keine präventiven und Risiko reduzierenden Maßnahmen abgeleitet und umgesetzt wurden.

Die typischen Verläufe von Krisen sind in Abb. 6.19 idealtypisch dargestellt. Eine eruptive Krise kann dadurch charakterisiert werden, dass sich kurz nach dem Kriseneintritt ein stark ansteigendes öffentliches Interesse zeigt. Dieses Interesse nimmt jedoch relativ schnell -in Abhängigkeit von den Krisenbewältigungsmaßnahmen -stetig ab. Als Beispiele können hier Katastrophen in der Folge von Flugzeugabstürzen oder Großbrände genannt werden.

Bei einer schleichenden Krise ist das öffentliche Interesse anfänglich sehr gering und nimmt im Zeitablauf, ausgelöst durch Multiplikator-und Akzeleratorwirkungen, exponentiell zu. Im Höhepunkt des Krisenverlaufs eskaliert die Krise. Eine schleichende Krise weist häufig darauf hin, dass entweder kein oder nur ein unzureichendes Krisenmanagement betrieben wurde.

Ein vielzitiertes Beispiel ist die geplante Versenkung der Brent Spar, bei der es sich um einen schwimmenden Öltank in der Nordsee handelt. Der im Besitz des Shell-Konzerns und Esso befindliche Tank wurde in den Medien oftmals irrtümlich als Förderplattform bezeichnet. Als Pipelines, die das Öl zum Ölterminal Sullom Voe befördern, die Aufgabe des Öltransports übernahmen, wurde die mit einer Höhe von 140 Metern, einem Durchmesser von 30 Metern und einem Gewicht von 14.500 Tonnen zu den kleineren Tanks zählende Brent Spar überflüssig und sollte 1995 im Meer versenkt werden. Nach anfänglichem Desinteresse in der Bevölkerung gelang es der Umweltorganisation Greenpeace -u. a. durch 

Nachdem mehrere Besatzungsmitglieder in der Ferne Lichter eines Schiffes ausgemacht hatten, wurde ab 0:45 Uhr versucht, durch regelmäßigen Abschuss von Seenotraketen Kontakt zu dem Schiff aufzunehmen, doch blieb eine Antwort aus. Bei der durch den Kapitän um 0:05 Uhr angeordneten Evakuierung wurde etwa 65 Minuten nach der Kollision das erste Rettungsboot in das Wasser hinabgelassen. Gegen 2:10 Uhr war Kesselraum Nummer vier, die siebte wasserdichte Abteilung vom Bug aus gesehen komplett geflutet. Rund 40.000 Tonnen Wasser drückten den Bug in die Tiefe, das Wasser erreichte nun die Schiffsbrücke und begann, das Bootsdeck zu über spülen. Experten hatten zuvor bestätigt, dass das Schiff wegen seiner 16 wasserdichten Abteilungen unsinkbar sei. Unglücklicherweise durchbohrte der Eisberg sechs davon. Von den 2220 Personen kamen 1513 ums Leben -einer davon war der Kapitän E

Smith war als risikofreudiger Draufgänger berühmt. Bei Sturm und schlechtem Wetter fuhr er regelmäßig "unter Volldampf". So wird berichtet, dass E. J. Smith regelmäßig das Schiff mit voller Fahrt durch die Sandbänke der Süd-West-Landzunge hindurchmanövrierte

Smith war ein weißhaariger "Gentleman" mit perfekter Ausstrahlung und bei Mannschaften, Passagieren und Reederei sehr beliebt. Dadurch war er gleichzeitig auch "unantastbar

als Aufsichtsorgan) hatte die tatsächliche Kompetenz von E. J. Smith sowohl falsch eingeschätzt als auch niemals überprüft

• Bereits bei der Jungfernfahrt des Schwesterschiffes der Titanic, der Olympic, verursacht Smith als verantwortlicher Kapitän aufgrund eines Navigationsfehlers im Hafen von New York eine Havarie mit einem anderen Schiff. Dieser Frühwarnindikator wurde von keiner Seite beachtet

Smith bekam die Kommandos über die beiden großen Schiffe im Alter von 60

Trotz seiner langjährigen Erfahrungen als Kapitän hatte er keinerlei Erfahrungen mit derart großen Schiffen

Man verließ sich auf die quer verlaufenden Schotts. Vorab wurden jedoch keinerlei Tests durchgeführt

• An Bord gab es keinerlei präventive Sicherheitsstandards oder präventive Notfallübungen. Es gab vielmehr zu wenige Rettungsringe und Rettungsboote

idealtypischer Verlauf unter Berücksichtigung der Wirkung eines Krisenmanagements skizziert

Das Krisenmanagement bietet verschiedene Methoden und Werkzeuge der Frühaufklärung und -erkennung. Als Beispiele seien hier die bereits beschriebene Methode der Szenarioanalyse oder das Medienmonitoring genannt

Welche Maßnahmen wurden nach Eintritt der Krise zur Schadensbegrenzung ergriffen? Vor allem ein präventiv erstellter Krisenplan bietet hier eine wertvolle Hilfe

Wie können die negativen Folgewirkungen einer Krise beseitigt werden? Wie erreicht man das Vertrauen der Kunden oder Shareholder zurück? Auch in dieser Phase spielt eine gezielte Kommunikation eine ganz wesentliche Rolle. Dies beginnt vor allem bei dem Versuch des Wiedererlangens des Vertrauens der Mitarbeiter, Kunden und Shareholder. Die Wiederaufnahme des Normalbetriebs, vor allem auch der geregelten Werbemaßnahmen nach der Zeit des permanenten medialen Drucks und der Rechtfertigungen ist enorm wichtig

Die Erfahrungen, die während der Krise gesammelt werden, sollten im Sinne einer "Lernenden Organisation" in der Lernphase wieder als Feedback in die Organisation zurückfließen

Basierend auf der Analyse von diversen Krisenverläufen können die folgenden zwölf Grundsätze des Krisenmanagements formuliert werden

Krisenvorsorge -wie auch Risiko-Management -ist eine Investition in die Zukunft

Die Formulierung eines Krisenplans bedeutet immer eine Gratwanderung zwischen standardisierten Inhalten und Prozessen sowie vollständiger Flexibilität

Think the unthinkable") reduziert die Wahrscheinlichkeit von existenzbedrohenden Krisen

Während einer Krise muss das Top-Management als "Kapitän" agieren, ein Krisenteam als Task Force und ein Kommunikationsprofi als Kommunikator

Ein Sparring mit einem (externen) Review-Team hilft

Der Wille zur Aufklärung muss kommuniziert werden. Als primäres Ziel muss eine rasche Transparenzschaffung über die Krisenursachen verfolgt werden

Die Interessen der Kunden und der Öffentlichkeit stehen an erster Stelle

der Krise ist es wichtig, dass bereits etablierte Kommunikationsnetzwerke genutzt werden

Eindeutige Botschaften in der Krisenkommunikation verstärken die Glaubwürdigkeit

Vertrauen ist das höchste Gut in einer Krise

Allianz Risk Barometer -Top Business Risks for

Münchener Rückversicherungs-Gesellschaft (Hrsg.): Topics Geo

Managing Surprise and Discontinuity -Strategic Response to Weak Signals (dt. Übersetzung: Die Bewältigung von Überraschungen -Strategische Reaktionen auf schwache Signale), in: Zeitschrift für betriebswirtschaftliche Forschung

Application of ISO 22000 and Failure Mode and Effect Analysis (FMEA) for Industrial Processing of Salmon: A Case Study

Automotive Action Group (AIAG)/Verband der Automobilindustrie e. V. (VDA): Fehler-Möglichkeits-und -Einfluss-Analyse (FMEA) Handbuch

Application of FMEA method for assessment of risk in land transportation of hazardous materials

Supply chain logistics management

Sandbank -Wie Barings & Co. Schiffbruch erlitten hat

Analyzing system safety and risks under uncertainty using a bow-tie diagram: An innovative approach

Kümmert Sie, was andere Leute denken? 7. Auflage

Szenario-Technik in der strategischen Unternehmensplanung

Industrial Accident Prevention: A Safety Management Approach

PPS im Automobilbau -Produktionsprogrammplanung und -steuerung von Fahrzeugen und Aggregaten

Risikomanagement in der Logistik

Einführung in die Logistik

Supply chain risk management: Understanding the business requirements from a practitioner perspective

The Year 2000. A Framework for Speculation on the next 33 Years

Risikomanagement in Wertschöpfungsnetzwerken -Status quo und aktuelle Herausforderungen

Frühaufklärungssysteme -Spezielle Informationssysteme zur Erfüllung der Risikokontrollpflicht nach KonTraG

Frühaufklärung für Unternehmen: Identifikation und Handhabung zukünftiger Chancen und Bedrohungen

How to Create a Mind

The Parable of Google Flu: Traps in Big Data Analysis

J: Effektives Risiko-und Chancenmanagement in turbulenten Zeiten -Wie Sie Szenarien und Simulationen richtig nutzen

Kostensenkung durch Just-In-Time Production

Heinrich Revisited: Truisms or Myths

On the Practice of Safety

Szenario-Technik als Instrument der strategischen Planung

Application of a generic bow-tie based risk analysis framework on risk management of sea ports and offshore terminals

Decision support framework for risk management on sea ports and terminals using fuzzy set theory and evidential reasoning approach

Topic 95

Toyota Production System: Beyond Large-Scale Production

Competitive Advantage: Creating and Sustaining Superior Performance

Frühwarnsysteme im Unternehmen

Frühaufklärungssysteme als wesentliche Komponente eines proaktiven Risikomanagements

Integriertes Risiko-Controlling und -Management im global operierenden Konzern

Szenarioanalyse: Lernen aus der Zukunft

Risikomanagement

Toolbox -Fehlermöglichkeits-und Einflussanalyse (FMEA)

Risk Analytics und Artificial Intelligence im Risikomanagement

Toolbox -Die Bow-Tie-Analyse

Toolbox -Fehlerbaumanalyse

Von Szenarioanalyse bis Wargaming -Betriebswirtschaftliche Simulationen im Praxiseinsatz

Erfolgsfaktor Risiko-Management 3.0 -Methoden

Predictive Analytics: Looking into the future

Predictive Analytics -Looking into the future

Factfulness: Wie wir lernen, die Welt so zu sehen, wie sie wirklich ist, 5. Auflage, Ullstein Verlag

The bowtie method: A review

Big Data in der Lebensversicherung

Ausarbeitung im Rahmen des Seminars Analyse

Entfesselte Erde -Vom Umgang mit Naturkatastrophen

Das PAAG-Verfahren -Methodik, Anwendung, Beispiele. Hrsg.: IVSS Sektion Chemie. 4. Auflage

Akademie für Raumforschung und Landesplanung (Hrsg.): Regionalprognosen. Methoden und ihre Anwendung

Plötzliche Unternehmenskrisen -Gefahr oder Chance?

Toyota Motor Corporation: The Toyota Production System -Leaner manufacturing for a greener planet

United Nations Centre for Regional Development (UNCRD): Comprehensive Study of the Great Hanshin Earthquake

Klinisches Risikomanagement -kein Bedarf für deutsche Krankenhäuser?

FMEA -Einführung und Moderation, 2. Auflage

Das Just-In-Time-Konzept

Global Risks 2012, An Initiative of the Risk Response Network