WIDERSTANDSFÄHIGKEIT

DEFINITION Vermögen von Systemen, auch bei inneren oder äußeren Störungen fehlerfrei zu agieren und bei eintretenden, potentiell sicherheitswirksamen Fehlern oder anderen unerwünschten Ereignissen die Folgen zu minimieren.

UNTERKATEGORIEN Robustheit Resilienz Robustheit

DEFINITION Widerstandsfähigkeit gegenüber unbekannten, untypischen oder bekannten, aber ungewollten Gegebenheiten und Einflüssen.

Robustheit ist synonym zu „abfangbar“ zu verstehen

AUSPRÄGUNGEN

Stabilität bei kleinen Änderungen des Inputs

Ausmaß der Änderungen im Systemverhalten bei kleinen Änderungen von Input oder Rahmenbedingungen

Bewältigung unbekannter Situationen bzw.

unvorhergesehener Ereignisse

Fähigkeit mit Unbekanntem fertig zu werden, z.B. ungelernte Objekte, die neu in der Welt erscheinen

Security

Fähigkeit eines Systems, Angriffen von außen zu widerstehen bzw. trotz Angriffen fehlerfrei (oder fehlerminimiert) zu agieren.

Resilienz

DEFINITION Widerstandsfähigkeit gegenüber den Fehlerfolgen nach einem mehr oder weniger punktuellen Ereignis einer potentiell schädigenden Fehlfunktion.

Resilienz ist synonym zu „linderbar“ oder „heilbar“ zu verstehen

AUSPRÄGUNGEN

passive Wirkungsbegrenzung nach Fehlern

Schadensbegrenzung bzw. -vermeidung durch wirkungsbegrenzende Maßnahmen am System oder Schutzmöglichkeiten des Umfelds wie beispielsweise Sicherheitsbauteile.

aktive Wirkungsminderung nach Fehlern

Aktives systemimmanentes Verhalten, das nach Auftreten eines Fehlers sicherheitswirksame Folgen reduziert und/oder verhindert.

4.2.6 Dimension Involviertheit des Menschen

Der Mensch, der als Bediener eines Kraftfahrzeugs oder als mit einem Roboter kollaborierender Mitarbeiter in dynamische Prozesse eingebunden ist, beeinflusst damit die Sicherheit des Gesamtsystems, dessen unverzichtbarer funktionaler Teil er ist. Folglich kann eine Beurteilung der Sicherheit von Systemen nicht ohne Bezug zum Menschen erfolgen. Dieser kann einerseits als Handelnder die Sicherheit des Gesamtsystems aktiv beeinflussen und ist andererseits derjenige, den es vor etwaigen Gefährdungen zu schützen gilt. Diese beiden Aspekte werden im Rahmen der

Taxonomie in der Dimension INVOLVIERTHEIT DES MENSCHEN berücksichtigt. Mit Blick auf den Menschen als Handelndem wird unterschieden zwischen seinen sicherheitsbeeinflussenden Möglichkeiten im Umgang mit dem System, etwaigen Abweichungen von der bestimmungsgemäßen Verwendung desselbigen sowie der Intention, die solchen Abweichungen zugrunde liegt. Blickt man auf den Menschen als Gefährdetem, der etwaigen unerwünschten Folgen nicht intendierten Systemverhaltens ausgesetzt ist, so werden in Abhängigkeit von der Rolle des Menschen – verbunden mit einem systemspezifischen Expertisegrad und etwaigen Schutzmöglichkeiten seines Umfelds im Umgang mit dem System – unterschiedliche Klassen von Gefährdeten unterschieden.

Der Mensch als Handelnder kann sowohl sicherheitsmindernd als auch sicherheitserhöhend wirken. In der Probabilistischen Sicherheitsanalyse (PSA) werden zur prospektiven Sicherheitsbeurteilung komplexer Systeme mit hohem Gefährdungspotential folglich auch Fehlerwahrscheinlichkeiten menschlicher Bediener berücksichtigt ¹²⁰. In diesen Analysen (Human Reliability Analysis, HRA) wird von diskreten Aufgaben ausgegangen, die vom Menschen entweder fehlerfrei oder fehlerbehaftet ausgeführt werden. Der Mensch ist in diesen Betrachtungen Funktionselement eines Mensch-Maschine-Systems, wenn er zum Betätigen und Überwachen von technischen Erzeugnissen herangezogen wird (ebd.). Ähnlich wie Ausfallraten von Maschinen können Fehlerwahrscheinlichkeiten, sogenannte HEPs ¹²¹ für bestimmte Teilaufgaben bestimmt werden ¹²². Dieses Vorgehen ist aber nur möglich, wenn die Aufgaben des Menschen genau vorgegeben werden. Hier entstehen bei der Sicherheitsbewertung menschlicher Handlungen mit dessen natürlicher Intelligenz, eingebettet in ein maschinell oder technisch geprägtes Umfeld, dieselben Schwierigkeiten, die auch bei der Bewertung von Systemen der künstlichen Intelligenz entstehen:

Einen Fehler als Abweichung von einer vorgeschriebenen Handlungsausführung zu definieren, ist in Mensch-Maschine-Systemen nur für Handlungen in klar strukturierten technischen Systemen nützlich, also solchen, in denen eine korrekte Handlungssequenz als normative Arbeitsanweisung definiert werden kann. Je komplexer und dynamischer ein System ist, desto schwieriger wird es, Handlungssequenzen eindeutig festzulegen ¹²³.

120 Giesa, H. G., & Timpe, K. P. (2002). Technisches Versagen und menschliche Zuverlässigkeit:

Bewertung der Zuverlässigkeit in Mensch-Maschine-Systemen. Mensch-Maschine-Systemtechnik, 63-106.

121 Human Error Probability

122 Z.B. Noroozi, A., Khan, F., MacKinnon, S., Amyotte, P., & Deacon, T. (2014). Determination of human error probabilities in maintenance procedures of a pump. Process Safety and Environmental Protection, 92(2), 131-141.

123 Giesa, H. G., & Timpe, K. P. (2002). Technisches Versagen und menschliche Zuverlässigkeit:

Bewertung der Zuverlässigkeit in Mensch-Maschine-Systemen. Mensch-Maschine-Systemtechnik, 63-106.

Zu den Stärken¹²⁴ des Menschen gehört es, auf wechselnde und unbekannte Bedingungen reagieren zu können. Menschliche Fähigkeit zur kreativen Adaption kann also sicherheitserhöhend wirken – ein bisher im Zusammenhang mit funktionaler Sicherheit nur wenig betrachteter Fakt, schlicht weil ihr Einfluss quantitativ schwer zu fassen ist. In der vorliegenden Taxonomie ist dieser Einfluss durch die Berücksichtigung des Menschen als „Teil der Prozesskette“ ¹²⁵ einbezogen.

Sicherheitsgewährleistend ist der Mensch, wenn er in Situationen die Sicherheit dadurch sicherstellt, dass er Aufgaben der ausgefallenen oder überforderten Technik übernimmt oder korrigierend eingreift. Sicherheitserhöhend operiert ein Mensch, wenn er in Sondersituationen seine Fähigkeiten als universeller Problemlöser mit Einfallsreichtum korrekt nutzt. Dies ist insbesondere dann wichtig, wenn es zu sicherheitskritischen Situationen kommt, die in der Entwicklung nicht vorhergesehen wurden und für die es deshalb keine technischen Lösungen gibt. Mit „Weltwissen“ und Erfahrung ausgestattet kann der Mensch u. U. schwerwiegendes Systemversagen verhindern oder zumindest die negativen Folgen von nicht erwünschten Systemzuständen verhindern oder mindern. Eine falsche Auslegung der Anforderungen an den Menschen hingegen kann dazu führen, dass die Sicherheit des Gesamtsystems nicht gewährleistet ist. Das wäre beispielsweise der Fall, wenn der Mensch als letzte Instanz bei einer Überforderung der Automatisierung gefordert würde, die Übergabe aber so gestaltet ist, dass auch der Mensch überfordert wird (wie beispielsweise beim hochautomatisierten Fahren, in denen die vom Fahrzeug übernommene Aufgabe an den Menschen zurückdelegiert werden kann).

Eine besondere Kategorie menschlicher Fehlhandlungen sind diejenigen, die entgegen der bestimmungsgemäßen Verwendung des Systems erfolgen. Dazu gehören zum einen bewusste Fehlhandlungen ohne Ziel einer Schädigung. Dies sind Handlungen entgegen von Vorgaben, die aus dem Ziel der Erhöhung der Effizienz oder aus Gründen der Arbeitserleichterung (z. B. Umgehen von Sicherheitssystemen ¹²⁶) oder der Verbesserung der Zielerreichung (z. B. zu schnelles Fahren bei Zeitdruck oder zur Erhöhung des Thrill ¹²⁷) initiiert werden. In der Taxonomie ist dies durch die Kategorie „Fehlbenutzung wegen Manipulationsanreizen außerhalb der bestimmungsmäßigen Verwendung“

abgedeckt ¹²⁸. Die Manipulation ist in diesem Fall keine bösartige Sabotage, sondern eher die „Ergreifung von Möglichkeiten“. Die Auslegung der technischen Systeme befördert oder hemmt solche Manipulationsmöglichkeiten. Zum anderen gehören zu den Fehlhandlungen entgegen der bestimmungsgemäßen Verwendung auch

124 Die gleichzeitig seine Schwächen sein können.

125 „In the loop“ und als Überwacher „on the loop“

126 Siehe dazu TRBS – 1151 Technische Regel für Betriebssicherheit – Gefährdungen an der Schnittstelle Mensch – Arbeitsmittel – Ergonomische und menschliche Faktoren, Arbeitssystem (TRBS 1151), GMBl. Nr. 17/18 Ausgabe: März 2015, Anlage 6

127 Holte, H. (2012). Einflussfaktoren auf das Fahrverhalten und das Unfallrisiko junger Fahrerinnen und Fahrer (Schriftenreihe der Bundesanstalt für Straßenwesen, M229). Bremerhaven: Wissenschaftsverlag NW. 128 Siehe auch TRBS – 1151 Technische Regel für Betriebssicherheit – Gefährdungen an der Schnittstelle Mensch – Arbeitsmittel – Ergonomische und menschliche Faktoren, Arbeitssystem (TRBS 1151), GMBl. Nr. 17/18 Ausgabe: März 2015.

diejenigen, die gezielt durchgeführt werden im Wissen um die damit verbundenen schadhaften Folgen. Unter dem Aspekt dieser Schädigung oder bewussten Störung der intendierten Funktionsweise lassen sich physische Sabotageakte sowie Eingriffe in die Funktionsweise des Systems zusammenfassen, die mit etwaigen Folgen für die Sicherheit des Menschen verbunden sind. Wechselt man den Blickwinkel von diesem Aspekt menschlicher Involviertheit auf die Eigenschaften des davon getroffenen Systems (Störbarkeit durch den Menschen durch gezielte Eingriffe), so wäre das die Security des Systems. Wie in Abschnitt 4.2.5 dargelegt umfasst die Security die Fähigkeit des Systems, Angriffen zu widerstehen bzw. trotz Angriffen fehlerfrei (oder fehlerminimiert) zu agieren.

Der Mensch ist als Gefährdeter Angriffspunkt von Schädigungen und muss dementsprechend geschützt werden. Bedeutsam ist dabei die Unterscheidung, zu welcher Klasse die Gefährdeten gehören bzw. welche individuellen Fähigkeiten ihnen zugebilligt werden können. So kann z.B. involvierten Erwachsenen mehr Umsicht im Umgang mit Produkten zugemutet werden als Kindern. Ferner relevant ist auch die Frage, welche Vulnerabilität die Gefährdeten aufweisen, die berücksichtigt werden muss (z. B. von Kindern beim Spielen mit Spielzeug). Die rechtlichen Anforderungen orientieren sich zweckmäßigerweise an diesen Eigenschaften der potentiell Gefährdeten. In der Taxonomie sind die Subklassen eingewiesene Arbeitnehmer, Nutzer, Verbraucher sowie Dritte ohne Beziehung zum System definiert.

Diese Subklassen unterscheiden sich zunächst in ihrer Schutzbedürftigkeit. Die Schutzbedürftigkeit orientiert sich unter anderem an dem vorausgesetzten Wissen über Funktion und Gefahrenpotenziale des Systems, in das diese Menschen involviert sind. Weiter unterscheiden sie sich in ihren Sicherheitserwartungen an das System und in ihrer vorausgesetzten Fähigkeit und (ökonomisch und/oder sozial bedingten) Bereitschaft, mit Gefahrenpotenzialen adäquat (also ggf. auch aktiv sicherheitsfördernd) umzugehen. Zudem orientiert sich die Unterteilung an den relevanten Gesetzen.