Bei der Risikomatrix werden für mögliche Ereignisse das zu erwartende Schadensausmaß und die zu erwartende Häufigkeit abgeschätzt. Die Risikomatrix verbindet Schadensausmaß und Häufigkeit zu einem bestimmten Risiko. Je höher das Schadensausmaß und je höher die Häufigkeit ist, desto höher ist auch das zugeordnete Risiko. Entsprechend dem Risiko werden anschließend Maßnahmen festgelegt, die das Risiko auf ein akzeptiertes Niveau reduzieren.
Ereigniskette
In einem ersten Schritt wird eine mögliche Ereigniskette von der Ursache bis zum eintretenden Ereignis beschrieben, und zwar ohne, dass irgendwelche Sicherheitseinrichtungen, die die Ereigniskette unterbrechen würden, installiert wären.
Schadensausmaß
Anschließend wird das Schadensausmaß des Ereignisses bewertet und klassifiziert (z.B. in die Klassen C0 bis C5, mit C0 für das höchste Schadensausmaß und C5 für geringe Schäden).
Schadensausmaße – Personengefährdung
Schadensausmaße – Umweltgefährdung
Häufigkeit
In einem zweiten Schritt wird die zu erwartende Häufigkeit der auftretenden Ursache abgeschätzt, wobei mit Häufigkeit das Auftreten pro x Jahren gemeint ist, z.B. 1-mal in 10 Jahren, und ebenfalls in Klassen unterteilt ist (in 10er-Potenzen, F0 bis F5). Wobei eine Einschätzung der Klassen F0 bis F2 über die Erfahrungen mit der eigenen Anlage erfolgen kann, müssen ab der Klasse F3 auf vergleichbare Industrieanlagen über die Literatur zurückgegriffen werden, um eine Abschätzung für die großen Zeiträume vornehmen zu können.
Bestimmung des Risikos
Häufigkeit und Ausmaß werden dann über die Risikomatrix einer bestimmten Risikostufe zugeordnet (A bis G), wobei A das höchste Risiko bedeutet. Die Risikomatrix legt auch fest, welche Risikostufen im Betrieb akzeptiert werden (grün) und welche nicht (rot). Dabei ist die Risikomatrix auf den jeweiligen Betrachtungsgegenstand/Menge z.B. die Betrachtung einzelner Hauptapparate (Pumpenstand, Behälter u.a.) „normiert“. Eine Risikomatrix, die als Betrachtungsgegenstand/Menge komplette Teilanlagen hat, sieht anders aus als die auf der Basis von einzelnen Hauptapparaten, da eine Teilanlage z.B. mehrere Pumpen haben kann und damit auf andere Häufigkeiten abgestimmt ist. In der Regel bezieht sich jedoch eine Risikomatrix auf die Betrachtung von einzelnen Hauptapparaten.
Die Praxis zeigt, dass das Team in der Sicherheitsdiskussion bei der Beschreibung der Ereigniskette und Bewertung des Ausmaßes relativ schnell zum Konsens kommt. Bei der Einschätzung der Häufigkeit oft mehr Diskussionsbedarf besteht. Von daher ist es wichtig, erst die Ereigniskette abschließend zu bewerten und sich erst dann der Häufigkeit zuzuwenden.
Reduktion des Risikos
Risiken, die nicht akzeptiert werden, müssen auf das akzeptierte Niveau (grünes Feld) zurückgeführt werden. In der Regel erfolgt das durch die Implementierung einer Sicherheitseinrichtung, die die Ereigniskette unterbricht und damit die Häufigkeit des Wirksamwerdens der auftretenden Ursache (durchgehende Ereigniskette) reduziert. Man spricht hier auch von präventiven Maßnahmen (Ereignis vermeiden). Maßnahmen, die nach dem Ereignis greifen bezeichnet man als mitigative Maßnahmen (Schaden des eingetretenen Ereignisses begrenzen).
Zuverlässigkeitsklassen von Sicherheitsmaßnahmen
Wie weit die Häufigkeit reduziert wird, hängt dabei von der Zuverlässigkeit der Sicherheitseinrichtung ab, also wie oft die Sicherheitseinrichtung bei Ansprechen einwandfrei funktioniert, bzw. versagt. Man spricht hier auch von der “Probability of Failure on Demand” dem PFD, also der Wahrscheinlichkeit des Versagens bei Anforderung der Sicherheitsfunktion. Der Sicherheitseinrichtung wird somit eine Zuverlässigkeitsklasse zugeordnet. PFDs werden in 10er-Potenzen angegeben. Das heißt, dass eine Häufigkeit entsprechend dem PDF reduziert wird. Eine Häufigkeit von 1-mal in 10 Jahren wird mit einer Sicherheitseinrichtung mit einem PFD von 10-1 auf eine Häufigkeit von 1-mal in 100 Jahren reduziert.
Häufigkeit neu = Häufigkeit * PFD
In der Praxis werden dem einfacheren Umgang geschuldet die PFDs auch durch die synonymen Zuverlässigkeitsklassen “I” für increased, “H” für “high”, “VH” für “very high” und „HMI“ für hohe mechanische Integrität beschrieben. Unter einer hohen mechanischen Integrität werden konstruktiv bedingte Maßnahmen verstanden, wie z.B. die Nutzung von duktilen Werkstoffen, um Splitterbruch zu verhindern. Für Sicherheitseinrichtungen der Prozesssteuerung (PCT) wird eine entsprechende Klassifizierung nach SIL (Safety Integration Level) vorgenommen und zertifiziert.
Anforderungsbereich von Sicherheitseinrichtungen
Insgesamt muss bei der Betrachtung berücksichtigt werden, dass die Risikomatrix für den sogenannten “low demand” Bereich gilt, also Häufigkeiten des Ansprechens von Sicherheitseinrichtungen, die im Bereich von wenigen Malen pro Tag liegen. Für ein häufigeres Ansprechen sind andere Methoden anzuwenden.
Ereignisse mit Außenwirkung
Eine Besonderheit ist das Schadensausmaß C0 bzw. das Risiko A. Ein Schadensausmaß C0 soll grundsätzlich vermieden werden, so dass hier immer erst durch eine Schadensbegrenzungsmaßnahme (Mitigation) das Schadensausmaß auf ein Schadensausmaß der Kategorie C1 reduziert werden muss. Das kann durch eine VH oder eine HMI-Maßnahme erfolgen. In einem zweiten Schritt muss dann das Risiko durch entsprechende präventive Maßnahmen in ein Feld akzeptierten Risikos (grün) gebracht werden.
Explosionsschutz
Die Risikomatrix darf nicht für die Bewertung des Explosionsschutzes eingesetzt werden. Der Explosionsschutz folgt einer anderen Bewertung: Hier ist im Wesentlichen die Wahrscheinlichkeit des Auftretens einer explosionsfähigen Atmosphäre in Kombination mit der Wahrscheinlichkeit des Wirksamwerdens einer Zündquelle die Grundlage für die Bewertung. Eine Explosion ist immer zu vermeiden, dabei wird nicht nach dem Ausmaß der Explosion unterschieden.