Schlüsselbegriff Redundanz

Autor: Christoph Steinemann

«Redundanz» kann als Methode verstanden werden, wie in sicherheitsrelevanten Bereichen die Sicherheit objektiv erhöht werden kann. Es geht insbesondere darum Teile mehrfach auszulegen, damit das Versagen eines Teils nicht zur Katastrophe führt.

Kette ohne Redundanz

Redundantes Kettenglied

Praktisch allen AlpinistInnen werden wohl Beispiele für Redundanz im Bergsport einfallen. Wir richten einen Standplatz an mindestens zwei Sicherungspunkten ein, wir verwenden in vielen Fällen Verschlusskarabiner an Stelle einfacher Normalkarabiner, wir verwenden unter Umständen zwei Seile, usw.

Eher weniger im Bewusstsein dürfte sein, dass «Redundanz» durchaus auch in nicht-technischen Bereichen angewandt wird und ihre Berechtigung hat. So führen wir beim Anseilen neben dem Selbstcheck auch einen Partnercheck durch und erreichen damit eine organisatorische Redundanz für ein sicherheitstechnisches Problem.


Inhalt


Begriffsdifferenzierung

«Redundanz» hat in der IT ein "Gschmäckle". Man legt Systeme redundant aus, um die Ausfallsicherheit zu erhöhen. Das kann man in Analogie zu ähnlichen Differenzierungen als «Weiße Redundanz» bezeichnen. Geht es aber beispielsweise um Datenhaltung, so hat Redundanz negative Konsequenzen. Die verschiedenen Datenbestände können auseinanderlaufen, es gibt Widersprüche und durchaus auch sicherheitsrelevante Probleme – «Schwarze Redundanz». Die Differenzierung kann uns helfen genauer zu verstehen, was Redundanz für die Sicherheit im Alpinismus bedeutet und wo Gefahren oder gar Fallen lauern. Auch interessant ist es, die «Weiße Redundanz» weiter in «Heiße Redundanz» und «Standby-Redundanz» zu unterteilen (wie auf obiger Wikipedia-Seite). Die ganzen Unterscheidungen helfen Redundanz in Sicherungssystemen gezielter einzusetzen und deren Wirkung damit zu optimieren.

Weiße Redundanz

Dies ist der einfachste Fall. Das was normalerweise unter Redundanz bei der Sicherungstechnik verstanden wird, die Redundanz, die wir üblicherweise anstreben. Hat beispielsweise ein Bohrhaken eine bestimmte Versagenswahrscheinlichkeit (p1), so wird durch redundante Auslegung (zweiter Bohrhaken, korrekt verbunden) die Versagenswahrscheinlichkeit (p2 = p12 << p1) wesentlich kleiner. (Die Wahrscheinlichkeit p ist ein Wert zwischen 0 und 1 (0 ≤ p ≤ 1). Schließen wir die Grenzwerte aus (1 ist das "Sichere Ereignis", also etwas, das auf jeden Fall eintritt während 0 das Ereignis ist, das bestimmt nicht eintritt), so stimmt obige Beziehung.)

Zusammengefasst kann man von der «Weißen Redundanz» sagen, dass bei Ausfall des einen Systems der übrig bleibende Teil die Funktion voll übernimmt. (Ein Fixpunkt eines Standes bricht aus, der andere hält – nichts passiert.)

Von der Auslegung der «Weißen Redundanz» her kann man weiter zwischen «Heißer Redundanz» und «Standby-Redundanz» unterscheiden.

Heiße Redundanz

"Heiße Redundanz (engl. Hot-Spare) bedeutet, dass im Gesamtsystem mehrere Teilsysteme dieselbe Funktion parallel ausführen." (Wikipedia)

Auch dies ist wiederum der üblichere Fall. Die redundant ausgelegten Systeme sind beide (bzw. alle) (gleichzeitig) aktiv. Am einfachsten vielleicht der Fall wo zwei Exen gegengleich eingehängt werden oder die Doppelseiltechnik zur Anwendung kommt.

Standby-Redundanz

"Standby-Redundanz (passive Redundanz): Zusätzliche Mittel sind eingeschaltet bzw. bereitgestellt, werden aber erst bei Ausfall oder Störung an der Ausführung der vorgesehenen Aufgabe beteiligt." (Wikipedia)

Dieser Spezialfall der «Weißen Redundanz» kann zum Einsatz kommen, wenn ein System aus Sicherheitsgründen hintersichert werden soll, ohne dass die Hintersicherung belastet wird. Einen Abseilstand dem man nicht zu 100% traut, kann man so hintersichern. Bevor man als LetzteR abseilt, wird die Hintersicherung entfernt. Durch die vorhergehende Belastung des Standes hat man die Überzeugung gewonnen, dass der Stand hält. Hätte man «Heiß» hintersichert, wüsste man nicht, ob der Stand die Belastung ausgehalten hat oder die Hintersicherung. Hier hat die Hintersicherung also zwei Funktionen.

  • Einerseits übernimmt sie die Funktion und verhindert so die Katastrophe, wenn beim Ablassen oder Abseilen der (übrigen) Gruppenmitglieder der Stand ausbrechen sollte. – Diese Funktion könnte auch durch «Heiße Redundanz» erfüllt werden.
  • Andererseits soll sie dem oder der Letzten, die dann ohne Hintersicherung abseilen muss, das nötige Vertrauen in den bestehenden Stand vermitteln. – Das kann nur erreicht werden, wenn die Hintersicherung während des Ablassens der andern nicht belastet wurde. Diese Funktion wird folglich nur durch «Standby-Redundanz» erreicht.

Schwarze (und graue) Redundanz

Bei der «Schwarzen Redundanz» wird Redundanz entweder falsch verstanden, was zu Problemen führt, oder die (korrekte) Redundanz selbst führt zu Problemen.

Einerseits sind die Effekte der Redundanz nicht immer nur positiv. Redundanz erhöht immer die Komplexität im System, was für sich genommen durchaus zu erhöhtem Gefahrenpotential führen kann. Es fällt auch zusätzlicher Zeit- (und Material-)bedarf an. Am besten spricht man in diesem Fall vielleicht von «Grauer Redundanz». Um einen Begriff aus der Ökonomie zu benutzen, kann man sagen dass Redundanz einen Grenznutzen hat. Irgendwann lohnt sich der Aufwand für zusätzliche Redundanz nicht mehr. Darauf haben Wassermann und Wicky beispielsweise 2007 in ihrem Artikel zum Standplatzbau bereits hingewiesen: Obwohl die übliche Lehrmeinung besagt, dass zwei (oder mehr) Fixpunkte verbunden werden indem in jeden ein Verschlusskarabiner eingehängt wird, ist das eigentlich unnötig, denn die benötigte Redundanz wird ja eben durch die beiden Fixpunkte und entsprechend durch zwei verschiedene Karabiner bereits hergestellt (mehr zum Thema und zu Verschlusskarabinern später).

Der zweite Fall ist viel versteckter, und auch viel verheerender. Sehen wir uns als Beispiel den im Basler Jura verbreiteten «Glesser-Stand» an. Hier wurde Redundanz falsch verstanden. Es hat zwar zwei Bohrlöcher, aber das System ist so ausgelegt, dass beim Bruch einer Verankerungsstelle unter Sturzbelastung höchstwahrscheinlich der verbindende Metallbügel aufgebogen wird und somit der (Seilschafts-)Absturz erfolgt. Die Versagenswahrscheinlichkeit wird durch die zweite Verankerung nicht vermindert sondern im Gegenteil erhöht (p2 ≈ 2*p1 > p1).

Glesserstand

Glesser kaputt 1

Glesser kaputt 2

Glesser kaputt 3

Glesser korrekt

(Das Problem ist nicht akut, da diese Stände praktisch ausschließlich am Ende der Einseillängen als Umlenkung benutzt werden. Einen (Vorstiegs-)Sturz in einen dieser Stände dürfte es sehr selten geben. Dennoch ist es verblüffend, dass dieser Stand zum Einsatz kommt. Es wäre im Grunde auch ein Leichtes den Stand so nachzurüsten, dass die erwünschte «Weiße Redundanz» zum Tragen kommt – s. Bild ganz rechts.)

Wichtig ist sich zu merken, dass es oft die Art ist, wie Fixpunkte verbunden werden, die entscheidet, ob die Redundanz «Schwarz» oder «Weiß» ist (auch dazu später mehr). Um auch diese Situation zusammenzufassen: Versagt bei der ("falschen") «Schwarzen Redundanz» ein Teil des Systems, so führt dies auch zum Versagen des Gesamtsystems!

Single Point of Failure (SPOF)

Beim «Single Point of Failure» (SPOF) handelt es sich um ein Glied in der Sicherungskette, das nicht redundant ausgelegt ist. Das Versagen dieses Sicherungsgliedes hat somit unmittelbar katastrophale Folgen (damit ist immer der Absturz der gesamten Seilschaft oder zumindest eines Mitglieds der Seilschaft gemeint). Die Analyse der Sicherungskette aus dem Blickwinkel der Redundanz fördert SPOFs zu Tage. Einige davon kann man dann durch Redundanz "nachrüsten", bei andern ist eine redundante Auslegung (technisch) nicht oder nur mit unrealistischem Aufwand möglich. Diesen verbleibenden SPOFs ("nicht eliminierbarer SPOF – NESPOF") muss unsere erhöhte Aufmerksamkeit gelten. Es gilt sie bspw. durch "organisatorische Redundanz" (Stichwort Partnercheck) zu entschärfen.

Denken wir beispielsweise ans Klettern in der Halle oder im Klettergarten so beginnt die Sicherungskette beim Gstältli (Klettergurt). (Man darf gerne einwenden, dass die Sicherungskette beim Kletterer, der Kletterin, selbst beginnt, mithin dem wichtigsten Glied in der Sicherungskette überhaupt. Diese Ansicht ist selbstverständlich nur zu unterstützen und entspricht der Grundhaltung aus der heraus die SiKo operiert.) Ein NESPOF. Konsequenz: der "Pflege" des Gstältlis (wo wird es verstaut bzw. gelagert?) gebührt erhöhte Aufmerksamkeit. Auch dem Wissen darum, wie ein Gstältli beschaffen ist (welche Laschen sind für Sturzbelastungen ausgelegt – welche nicht?).

Das nächste Glied ist der Einbindeknoten (Die Statistiken sprechen für sich! Die Ursache des größten Teils der Unfälle, die einen Krankenwageneinsatz in deutschen Kletterhallen nötig machen, ist ein falsch oder unvollständig geknoteter Einbindeknoten). NESPOF! Konsequenz: Selbst- und Partnercheck sind Pflicht!

Es folgt das Partieseil selbst. Doppel- oder Zwillingsseiltechnik helfen hier nur bedingt und sind oft unrealistisch. – NESPOF – Wiederum gebührt der Frage nach der Lagerung hohe Aufmerksamkeit (Stichwort Batteriesäure) insbesondere aber auch der Frage nach dem Seilverlauf. Wer klettert muss jederzeit die Gefahr von Scharfkantenbelastung im Auge behalten.

So kann man die gesamte Sicherungskette analysieren. Was ist bereits redundant ausgelegt, wo kann oder soll ich nachrüsten, was bleibt als SPOF übrig und wie erreiche ich hier ein vernünftiges Sicherheitsniveau? Umgekehrt kann diese Analyse auch aufzeigen, wo eine Erhöhung der Redundanz nicht nötig ist. Ein Beispiel: Überall wo ein Karabiner keinen SPOF bildet, ist die Verwendung eines Normalkarabiners ausreichend. Die Verwendung eines Verschlusskarabiners (in sich redundant gegen versehentliches Öffnen ausgelegt) ist nicht nötig.