Krananlagen: Risiko‑ & Resilienzstrategie

• Risiko: Im Sinne von ISO 31000 ist Risiko die Auswirkung von Unsicherheit auf Ziele. Es wird durch die Kombination aus Eintrittswahrscheinlichkeit und Konsequenz beschrieben und umfasst negative wie positive Abweichungen. Im technischen Facility Management (tFM) für Krananlagen bezieht sich Risiko insbesondere auf Personen- und Anlagensicherheit, Verfügbarkeit/Produktionsausfall, Rechtskonformität und finanzielle Auswirkungen über den Lebenszyklus.

• Resilienz: Resilienz bezeichnet die Fähigkeit eines Systems oder einer Organisation, Störungen zu antizipieren, zu absorbieren, sich anzupassen und die Funktionsfähigkeit rasch wiederherzustellen. Technische Resilienz von Krananlagen entsteht durch Robustheit (z. B. konservative Auslegung), Redundanz (z. B. Doppelhubwerke), Ressourcenverfügbarkeit (Ersatzteile, Kompetenzen) und Wiederherstellungsfähigkeit (geplante Wiederanlaufprozeduren).

• Business Continuity Management (BCM): BCM ist das Managementsystem zur Aufrechterhaltung und raschen Wiederherstellung kritischer Geschäftsprozesse bei Störungen. Nach gängiger Praxis (z. B. ISO 22301) umfasst BCM Business-Impact-Analyse (BIA), Festlegung von RTO/RPO, Kontinuitätsstrategien, Notfall- und Wiederanlaufpläne, Übungen sowie kontinuierliche Verbesserung. Im Kran-Kontext adressiert BCM die technische Verfügbarkeit (z. B. Alternativkrane, Notbetriebsstrategien) und prozessuale Kontinuität (z. B. Umplanung von Materialflüssen).

• Facility Management (FM): Nach ISO 41011 ist FM die Integration von Menschen, Prozessen und Orten zur Verbesserung der Leistung der gebauten Umwelt. Technisches FM umfasst Planung, Betrieb, Instandhaltung und Erneuerung technischer Anlagen – hier: Krananlagen samt Hubwerken, Fahrwerken, Steuerungen und Lastaufnahmemitteln – unter Einhaltung normativer und gesetzlicher Anforderungen.

• Kontext und Ziele: Ableitung von Sicherheits-, Verfügbarkeits- und Compliance-Zielen aus Produktionsanforderungen, Rechtsrahmen und Normen (u. a. BetrSichV/TRBS im deutschsprachigen Raum, EN/DIN/ISO-Normen für Krane).

• Risikoidentifikation: Systematische Erfassung von Gefährdungen und Ausfallursachen über den Lebenszyklus (Planung, Betrieb, Instandhaltung, Modifikation). Typische Methoden: Gefährdungsbeurteilung, FMEA/FMECA, Bow-Tie-Analysen, HAZOP für komplexe Förderprozesse.

• Risikoanalyse und -bewertung: Quantitativ (z. B. Ausfallraten, Restlebensdauer von Seilen/Bremsen) und qualitativ (z. B. Risikomatrix). Berücksichtigung von Beanspruchungsklassen (Duty-Klassen), Umgebungsbedingungen (Staub, Temperatur, Korrosion), Nutzungsmuster (Lastkollektiv).

• Risikobehandlung: Präventive Maßnahmen (z. B. zustandsorientierte Instandhaltung, Upgrades von Steuerungen/Sicherheitsfunktionen), detektive Maßnahmen (Überlastschutz, Zustandsüberwachung), reaktive Maßnahmen (geplante Notprozesse, Spontanreparatur). Auswahlkriterien: Wirksamkeit, Kosten, Compliance, Auswirkungen auf BCM.

• Überwachung und Verbesserung: KPIs (z. B. mittlere Zeit zwischen Ausfällen, ungeplante Stillstandsdauer), Audits, Lessons Learned nach Störungen.

• BIA: Ermittlung der Kritikalität von Kranen als Engpassressource in Materialflüssen; Bewertung von Abhängigkeiten (z. B. Ofenversorgung, Versand).

• Strategien: Redundanz (Parallelkrane; Lastaufnahmemittel mit Mehrzwecknutzung), Diversifikation (alternative Handhabungstechnologien wie Flurförderzeuge, AGVs), Lagerstrategie (Pufferbildung), technische Notbetriebsfunktionen (Heruntersetzen der Hubgeschwindigkeit, Verringerung der Last).

• Planung: Notfallhandbücher, Kommunikations- und Eskalationswege, Ersatzteil- und Dienstleisterkonzepte (Service Level Agreements), Schicht- und Bereitschaftsplanung.

• Übungen: Regelmäßige Tests von Not- und Wiederanlaufprozessen (z. B. Kran-Ausfall-Drill), Validierung der RTO, Aktualisierung nach Änderungen (Management of Change).

Wesentliche Schnittstellen sind die rechtskonforme Organisation von Prüfungen (wiederkehrende Prüfungen durch befähigte Personen), ein risikobasierter Instandhaltungsansatz (TBM/CBM/RBM) sowie die Integration von Zustandsdaten (z. B. Hubzyklenzähler, Betriebsstunden, Lastkollektive, Schwingungen) in die Entscheidungsfindung.

• Brücken- und Laufkrane: Ein- oder Zweiträger-Laufkrane in Hallen; hohe Flächenabdeckung, geeignet für mittlere bis hohe Lasten; häufige Automatisierung.

• Portalkrane/Schwenkkrane: Portale innen/außen, Wand- oder Säulenschwenkkrane für Arbeitsplatznähe und wiederkehrende Handhabungen.

• Hänge- und Leichtkransysteme: Profilbahnsysteme für ergonomische, flexible Arbeitsplatzversorgung, meist mit Elektrokettenzug.

• Sonder- und Prozesskrane: Gießkrane, Kühlofenkrane, Papierrollenkrane, Greiferkrane; hohe Anforderungen an Verfügbarkeit und Sicherheit.

• Mobile und Turmdrehkrane: Vorwiegend temporär/baulich; im FM-Kontext relevant bei Umbauten und Instandhaltungsprojekten innerhalb der Liegenschaft.

• Elektro-Seilzüge: Hohe Tragfähigkeit, gute Laufruhe, geeignet für hohe Einsatzzahlen.

• Elektrokettenzüge: Kompakter, wartungsarm, prädestiniert für Leichtkransysteme und mittlere Einsatzzahlen.

• Allgemeine LAM: Haken, Schäkel, Anschlagketten, Textil- und Drahtseile, Rundschlingen.

• Lasttraversen/Spreader: Verteilen Lasten, ermöglichen Mehrpunktanschlag (z. B. Container-Spreader, Coil-/Coil-C-Haken).

• Formschlüssige Greifer/Zangen: Blechpaketzangen, Coil-Greifer, Palettengreifer.

• Greifmittel mit Hilfsenergie: Magnettraversen, Vakuumsauger; erfordern besondere Sicherheitsfunktionen (z. B. Energieüberwachung, Resthaltekraft).

• Spezielle LAM: Fassgreifer, Stein- und Rohrzangen, Klemmen.

• ISO/FEM M-Klassen: Mechanismen werden anhand des Lastkollektivs (Lastspektrum) und der Nutzung (Betriebsstunden/Zyklen) in Gruppen M1 bis M8 eingestuft. Höhere M-Klassen bedeuten schwerere Beanspruchung (häufigere Zyklen, höhere mittlere Lastanteile). In der Praxis findet man bei Hubwerken häufig die Bezeichnungen 1Bm/1Am/2m/3m, die gängigen FEM/ISO-Gruppen entsprechen (ungefähre Zuordnung: 1Bm ≈ M3, 1Am ≈ M4, 2m ≈ M5, 3m ≈ M6).

• DIN EN 15011 (Brücken- und Portalkrane): Die Klassifizierung erfolgt über zwei Achsen – Lastkollektiv (z. B. H1 bis H4 von leicht bis schwer) und Ausnutzungsgrad/Betriebszeit (z. B. T- oder S-Klassen). Die Kombination führt zur Mechanismengruppe des Hubwerks und der Fahrwerke. Diese Systematik ist konsistent mit den ISO/FEM-Duty-Gruppen.

• Wartungszyklen: Mit steigender Duty-Klasse nehmen Verschleißraten an sicherheits- und funktionskritischen Komponenten zu (Seile, Ketten, Bremsen, Kupplungen, Getriebe, Laufräder). Daraus folgen engere Inspektions- und Schmierintervalle sowie niedrigere Schwellwerte für vorbeugende Erneuerung. Für hohe Duty-Klassen (M6–M8 bzw. H3/H4) sind zustandsorientierte Verfahren (CBM) empfehlenswert: Zählwerke für Hubspiele, Lastkollektivaufzeichnung, Schwingungs-/Temperaturmessung, Bremsenprüfung, Seil-/Kettendiagnostik.

• Restlebensdauer/Discard-Kriterien: Die zulässige Betriebsdauer bis zur geplanten Erneuerung (z. B. Drahtseilwechsel) hängt von Duty-Klasse und dokumentiertem Lastkollektiv ab. Dokumentation der Zyklen und der prozentualen Auslastung erleichtert die vorausschauende Planung und verhindert vorzeitige Ausfälle.

• Sicherheitsfunktionen: Höhere Beanspruchung erfordert oft erweiterte Sicherheits- und Überwachungsfunktionen (Überlastschutz mit Lastkollektiverfassung, zweikanalige Endschalter, Not-Halt-Konzepte, Energieüberwachung bei Magnet-/Vakuumgreifern).

• Kritikalität und BCM: Duty-Klasse ist ein starker Indikator für die Bedeutung im Produktionsfluss. Krane mit hoher Duty-Klasse in Engpassprozessen sind typischerweise „hoch kritisch“. Für sie sind BCM-Maßnahmen wie Redundanz (Parallelhubwerk, zweiter Kran), schnelle Wiederanlaufstrategien (Ersatzhubwerk im Stand-by), erweiterte Ersatzteilbevorratung (Seile, Bremsbeläge, Frequenzumrichter), Service-Level-Vereinbarungen und regelmäßige Wiederanlaufübungen besonders relevant.

• Lebenszyklus- und CapEx/OpEx-Optimierung: Die passende Duty-Klasse bereits in der Beschaffung zu wählen, reduziert Lebenszykluskosten. Unterdimensionierung führt zu überproportionalem Verschleiß und hohen Stillstandskosten; Überdimensionierung erhöht CapEx, kann aber bei hoher Kritikalität durch Resilienzgewinne gerechtfertigt sein.

• Leicht beanspruchte Anlagen (M3–M4; H1/H2): Niedrige bis mittlere Auslastung, längere Wartungsintervalle möglich; Fokus auf ordnungsgemäße Sichtprüfung, Funktionskontrollen und termingerechte periodische Prüfungen.

• Mittel bis schwer beanspruchte Anlagen (M5–M6; H2/H3): Engere Intervalle, systematische Zustandsüberwachung; gezielte präventive Teilewechsel nach Betriebsdaten.

• Stark beanspruchte Prozesskrane (M7–M8; H3/H4): Hohe Automatisierung, kontinuierliche Zustandsdiagnose, redundante Systeme, umfassende BCM-Planung; Instandhaltung in geplanten Kurzfenstern mit vorbereiteten Kits und Spezialisten.

Zusammenfassend strukturieren Duty-/Dienst-Klassen die technische und organisatorische Planung im tFM: Sie leiten die Instandhaltungsstrategie ab, ermöglichen eine belastbare Risiko- und Kritikalitätsbewertung und bilden die Brücke zwischen normgerechter Auslegung, sicherem Betrieb und wirksamem BCM.

Ein belastbarer rechtlicher und normativer Rahmen ist die Voraussetzung für die sichere, wirtschaftliche und regelkonforme Planung, den Betrieb und die Instandhaltung von Krananlagen und zugehörigen Lastaufnahmemitteln. Für Betreiber bedeutet dies, Anforderungen aus Arbeitsschutzrecht, Unfallverhütung, Technischen Regeln sowie Informationssicherheits- und KRITIS-Recht zu integrieren und in ein kohärentes Compliance- und Asset-Management (FM) zu überführen. Im Folgenden werden die maßgeblichen Quellen, ihre Kernanforderungen und die Implikationen für das Facility Management strukturiert dargestellt.

• Arbeitsschutzgesetz (ArbSchG): Das ArbSchG begründet die übergeordnete Pflicht des Arbeitgebers, Sicherheit und Gesundheit der Beschäftigten durch geeignete Organisation, Gefährdungsbeurteilungen, Unterweisungen und wirksame Maßnahmen zu gewährleisten. Kernelemente sind die systematische Gefährdungsbeurteilung, der Stand der Technik und die Dokumentationspflicht. FM-Implikationen: Integration der Gefährdungsbeurteilung in die Anlagenakte, klare Verantwortlichkeiten (Betreiber, fachkundige Personen, Fremdfirmen), regelmäßige Unterweisungen für Kranführer, Anschläger und Einweiser sowie das Nachhalten dieser Nachweise.

• Betriebssicherheitsverordnung (BetrSichV): Krane und Lastaufnahmemittel sind Arbeitsmittel im Sinne der BetrSichV. Anforderungen umfassen die Ermittlung von Schutzmaßnahmen auf Basis einer Gefährdungsbeurteilung, die Bereitstellung sicherer Betriebsanweisungen, die Durchführung von Prüfungen vor Inbetriebnahme und wiederkehrenden Prüfungen durch zur Prüfung befähigte Personen (TRBS 1203), den sicheren Betrieb, Instandhaltung und Änderungsmanagement. FM-Implikationen: Lebenszyklusdokumentation (Kommissionierung, Umbauten, Prüfberichte), verbindliche Prüf- und Wartungspläne je nach Beanspruchung, eindeutige Asset-Kennzeichnung, Steuerung externer Prüfer und digitale, revisionssichere Nachweisführung.

• DGUV Vorschrift 52 (Krane) und DGUV Vorschrift 54 (Winden, Hub- und Zuggeräte): Diese Unfallverhütungsvorschriften konkretisieren die Arbeitsschutzpflichten. Sie regeln u. a. Anforderungen an den sicheren Betrieb, die Befähigung und Auswahl von Kranführern, den Einsatz von Anschlag- und Einweispersonal, die sichere Traglastverwendung (Lastmoment/Lastdiagramme), Prüfungen vor erster Inbetriebnahme und nach wesentlichen Änderungen sowie wiederkehrende Prüfungen. FM-Implikationen: Schulungs- und Eignungsnachweise für Bedienpersonal, Führung eines Prüffristenkatasters, Umsetzung von Prüf- und Erprobungsabläufen (z. B. Funktions- und Lastproben) und Sicherstellung der Verfügbarkeit von Betriebsanleitungen und Lasttabellen an der Anlage.

• TRBS (Technische Regeln für Betriebssicherheit): Insbesondere TRBS 1111 (Gefährdungsbeurteilung), TRBS 1201 (Prüfungen von Arbeitsmitteln) und TRBS 1203 (Befähigte Personen) konkretisieren die BetrSichV. Sie definieren Prüfarten, -umfänge, Qualifikationen der Prüfer sowie Kriterien zur Festlegung von Prüffristen in Abhängigkeit von Nutzung, Umgebungsbedingungen und Schadensfolgen. FM-Implikationen: Ableitung risikobasierter Prüfintervalle, Qualifikationsmanagement für interne/externe Prüfer, standardisierte Checklisten und Befundberichte, Verknüpfung mit CMMS/EAM-Systemen zur Termin- und Maßnahmensteuerung.

• IT-SiG 2.0 und KRITIS-Verordnung betreffen Betreiber kritischer Infrastrukturen. Soweit Krananlagen Teil kritischer Prozesse oder vernetzte OT-Systeme in KRITIS-Umgebungen sind, ergeben sich Pflichten zur Umsetzung „Stand der Technik“-Sicherheitsmaßnahmen, zum Betrieb von Systemen zur Angriffserkennung, zur Meldung erheblicher IT-Störungen an das BSI sowie zum Benennen eines Sicherheitskontakts. Lieferketten- und Fernwartungsrisiken sind angemessen zu adressieren. FM-Implikationen: Erstellung einer vollständigen OT-Asset-Inventur (inkl. Kransteuerungen, Funkfernsteuerungen, Netzwerkkomponenten), Segmentierung (Zonen/Conduits), Patch- und Schwachstellenmanagement, geregelte Fernzugriffe (Jump-Hosts, MFA, Protokollierung), Notfall- und Wiederanlaufpläne sowie die Verzahnung von Instandhaltung und ISMS-Prozessen.

• Kernanforderungen: Auslegung, Konstruktion, Steuerungs- und Schutzeinrichtungen, Grenzlast- und Wegbegrenzer, Bremsen, Endschalter, Anforderungen an elektrische/elektronische Systeme, Prüfungen bei Abnahme, Kennzeichnung und Dokumentation. Klassifizierung von Beanspruchung und Einsatzprofilen für Kran und Hebezeugmechanismen.

• FM-Implikationen: Nutzung der Herstellerunterlagen für präventive Wartung, Festlegung von Ersatzteilstrategien nach Beanspruchungsklasse, Durchführung und Dokumentation von Abnahmeprüfungen, Nachrüstungsentscheidungen bei Änderungen des Einsatzprofils.

• Kernanforderungen: Konstruktion, Sicherheitsfaktoren, Verriegelungen/Einrichtungen gegen unbeabsichtigtes Lösen, Kennzeichnung (WLL/Tragfähigkeit, Typ, Seriennummer), Betriebsanleitungen und Prüfpflichten.

• FM-Implikationen: Inventarisierung von Klemmen, Traversen, Vakuumhebern, Magneten etc., eindeutige Kennzeichnung, Festlegung und Nachhaltung von Prüfintervallen, Ausschleusung beschädigter Komponenten und Schulung des Personals im Sichtprüfprozess.

• Kernanforderungen: Systematik der Prüfungen (Sicht-/Funktionsprüfungen vor Gebrauch, häufige Prüfungen, wiederkehrende eingehende Prüfungen), Prüfumfang (Tragstruktur, Seile, Ketten, Bremsen, Sicherheitseinrichtungen, Steuerung), Befunddokumentation und Bewertungsmaßstäbe.

• FM-Implikationen: Standardisierte Prüf- und Checklisten, risikobasierte Anpassung der Prüffristen an Nutzung und Umfeld, digitale Prüfberichte mit Mängeltracking und Eskalationslogik.

• Kernanforderungen: Organisation des sicheren Hebebetriebs, Rollen und Verantwortlichkeiten (z. B. „verantwortliche Person“, Kranführer, Anschläger), Einsatzplanung, Kommunikation und Signale, besondere Hebevorgänge (z. B. Tandemhub, Heben über Personen).

• FM-Implikationen: Betriebskonzepte und Hebepläne, Qualifikations- und Unterweisungsmatrix, Standard Operating Procedures und Lessons Learned nach Abweichungen/Beinaheereignissen.

• Kernanforderungen: ISMS mit Risikoanalyse, Maßnahmenkatalog, kontinuierliche Verbesserung, Asset- und Änderungsmanagement, Lieferanten- und Zugriffskontrollen.

• FM-Implikationen: Einbindung von Kran-OT in das ISMS, Steuerung von Dienstleisterzugriffen (z. B. für Remote-Service), Nachweisführung gegenüber Audits.

• Kernanforderungen: Zonen-/Conduit-Modell, Sicherheitslevel-Ziele, Komponenten- und Systemanforderungen, sichere Integration und Wartung von OT-Systemen.

• FM-Implikationen: Segmentierung von Kransteuerungen, Härtung von Steuerungen und Funkfernsteuerungen, Protokollierung, Change- und Patch-Management im Kontext der Anlagenverfügbarkeit.

Die Klassifizierung von Kranen und Mechanismen dient der bemessungsgerechten Auslegung, der Ableitung von Wartungsanforderungen und der Bewertung der Restlebensdauer. In der Praxis koexistieren ISO/FEM-Mechanismengruppen (M-Klassen, z. B. nach FEM 1.001/ISO 4301) und die H-Klassifizierung nach DIN EN 15011 für Hubwerke.

• M3 (FEM 1Bm) ≈ H1 – leichte Beanspruchung, geringe Einschaltdauer, überwiegend geringe Lasten.

• M4 (FEM 1Am) ≈ H2 – mittlere Beanspruchung, wechselnde Lasten.

• M5 (FEM 2m) ≈ H3 – schwere Beanspruchung, höhere Lastkollektive, häufigere Einsätze.

• M6–M7 (FEM 3m–4m) ≈ H4 – sehr schwere bis extrem schwere Beanspruchung, hohe Lastanteile, hohe Lastspiele.

Es handelt sich um eine indikative Harmonisierung; maßgeblich sind stets die Herstellerangaben und die konkrete Auslegung/Klassifizierung des jeweiligen Kran- oder Hebezeugmechanismus. FM-Implikationen: Einheitliche Pflege der Beanspruchungsklassen im Anlagenstammdatenmodell, daran gekoppelte Inspektions- und Wartungsstrategien (Intervalle, Umfang), Nutzung von Lastkollektiv- und Zyklenzählern zur Zustandsbewertung, Harmonisierung von Flottenvorgaben bei Mischbeständen (Alt-/Neuanlagen) und Ableitung einer nachhaltigen Ersatzteil- und Retrofit-Strategie.

• Gefährdungsbeurteilungen (Anlage, Tätigkeit, Arbeitsplatz) inklusive Ableitung der Schutzmaßnahmen.

• Betriebsanweisungen und Notfallprozeduren; Lastdiagramme/Lasttabellen.

• Nachweise der Qualifikation/Unterweisung für Kranführer, Anschläger, Einweiser.

• Prüf- und Abnahmeprotokolle (vor Inbetriebnahme, wiederkehrend, nach Änderungen) einschließlich Lastproben und Funktionsprüfungen.

• Instandhaltungsnachweise (präventiv/korrektiv), Seil-/Kettenwechsel, Schmierung, Kalibrierungen.

• Änderungs- und Konfigurationsmanagement (Mechanik, Elektrik, Software/Firmware), inklusive Freigaben und Risikoanalyse.

• Für vernetzte Systeme: ISMS-Dokumente, Freigaben für Fernzugriffe, Protokolle der Angriffserkennung, Störungsmeldungen.

• Festlegung risikobasiert gemäß BetrSichV/TRBS und einschlägigen Normen (z. B. ISO 9927), unter Berücksichtigung von Beanspruchungsklasse, Betriebsumgebung (korrosiv, staubig), Nutzungshäufigkeit und Schadensfolgen.

• Mindestanforderungen: Prüfung vor erster Inbetriebnahme und nach wesentlichen Änderungen durch befähigte Personen; wiederkehrende Prüfungen in vorgegebenen Abständen; ergänzende häufige Sicht-/Funktionsprüfungen im Betrieb.

• Spezifische Komponenten (z. B. Drahtseile, Ketten, Lastaufnahmemittel) mit eigenen, teils kürzeren Prüfzyklen gemäß Hersteller und Norm.

• Produktkonformität und CE-Kennzeichnung der Hersteller nach anwendbaren Richtlinien/Normen; Aufbewahrung von EG-Konformitätserklärungen, Betriebsanleitungen und technischen Unterlagen.

• Organisationszertifizierungen: Bei KRITIS-Relevanz Nachweis eines wirksamen ISMS (z. B. ISO/IEC 27001) sowie Umsetzung einschlägiger 62443-Anforderungen; ggf. branchenspezifische Sicherheitsstandards.

• Nachweisfähigkeit: Revisionssichere, manipulationsgeschützte Dokumentation, definierte Aufbewahrungsfristen, Audit-Trails und regelmäßige interne Audits/Managementreviews.

• ein zentrales Anlagen- und Dokumentenregister, das Rechtsquellen, Normanforderungen, Beanspruchungsklassen, Prüffristen und Verantwortlichkeiten verknüpft;

• ein risikobasiertes Prüf- und Wartungsregime, das technische Beanspruchung und betriebliche Kritikalität abbildet;

• die Verzahnung von Safety (ArbSchG/BetrSichV/DGUV) und Security (IT-SiG/KRITIS, ISO/IEC 27001, 62443) für vernetzte Kransteuerungen;

• digitale Werkzeuge (CMMS/EAM) für Terminsteuerung, Befundbearbeitung, Eskalation und KPI-gestützte Steuerung;

• qualifikationsbezogene Personaleinsatzplanung und systematische Lieferantensteuerung.

Damit wird der rechtliche und normative Rahmen zur handhabbaren, auditfesten Praxis, die Sicherheit, Verfügbarkeit und Wirtschaftlichkeit gleichwertig adressiert.

Eine wirksame Risikosteuerung im Kranbetrieb erfordert eine klare organisatorische Verankerung, definierte Rollen und Verantwortlichkeiten sowie durchgängige Prozesse von der Identifikation bis zur Wirksamkeitskontrolle von Maßnahmen. Die nachfolgenden Ausführungen konkretisieren Governance, Prozesse, Schnittstellen und Qualifikationsanforderungen unter Berücksichtigung einschlägiger Regelwerke (u. a. BetrSichV, TRBS 1111/1201/1203, DGUV Vorschriften/Grundsätze, ISO 31000/45001/IEC 31010).

• Facility Management (FM)

• Trägt die Gesamtverantwortung für den sicheren Betrieb und die Ressourcenausstattung des Risikomanagements.

• Definiert die Risikopolitik (Akzeptanzkriterien, ALARP-Prinzip) und genehmigt Maßnahmenpläne, Budgets und Prüffristen.

• Etabliert und überwacht das Management of Change (MOC) für technische und organisatorische Änderungen.

• Stellt eine integrierte Dokumentationslandschaft (EHS/CMMS/ERP) bereit und verankert Auditroutinen.

• Berichtet an Unternehmensleitung, Behörden und Versicherer; steuert externe Dienstleister vertraglich (SLA, KPIs).

• Beraten die Führungskräfte, moderieren die Gefährdungsbeurteilung gemäß TRBS 1111 und prüfen Wirksamkeit von Schutzmaßnahmen.

• Pflegen Rechtskataster und Regelwerksbezug, leiten Lessons Learned aus Beinaheereignissen und Audits ab.

• Initiieren Unterweisungen, führen Begehungen durch und vertreten den Präventionsgedanken im Tagesgeschäft.

• Koordinieren die Ereignisuntersuchung (Root-Cause-Analysen) und das Eskalationsmanagement.

• Verantwortlich für die zustands- und präventionsorientierte Instandhaltung, Fristenmanagement und die technische Prüfvorbereitung.

• Führt Inspektionen, Wartungen und Instandsetzungen durch; dokumentiert Befunde und Freigaben im CMMS.

• Stellt die Verfügbarkeit sicher (Ersatzteilstrategie, Obsoleszenzmanagement) und betreibt Sperr-/Freigabeprozesse (LOTO).

• Benennt zur Prüfung befähigte Personen gemäß TRBS 1203 und koordiniert externe Sachverständigenprüfungen.

• Setzen operative Schutzmaßnahmen um (Vorabchecks, Einhaltung Lastdiagramme, Kommunikations- und Signalkodizes).

• Besitzen Stop-Work-Authority bei unsicheren Situationen und melden Abweichungen/Störungen unverzüglich.

• Wirken an Job-Safety-Analysen (JSA) und Freigabeprozessen (z. B. Hubgenehmigungen, Arbeiten in Ex-Zonen) mit.

• Führen das Kranbuch bzw. digitale Checklisten und dokumentieren tägliche Funktionsprüfungen (Bremsen, Haken, Seile).

• Führen wiederkehrende Prüfungen nach BetrSichV/TRBS 1201 durch, inklusive zerstörungsfreier Prüfverfahren an tragenden Teilen.

• Bewerten wesentliche Änderungen, geben Konformitätsbewertungen und Prüffreigaben ab.

• Liefern unabhängige Gutachten und Benchmarking-Impulse; dienen als zweite Verteidigungslinie gegen Betriebsblindheit.

Die Verantwortlichkeiten sind in einer RACI-Logik zu operationalisieren: FM ist Entscheider und Ressourcenhalter, Sicherheitsbeauftragte beraten und überwachen, Instandhaltung und Kranführung agieren operativ, externe Sachverständige prüfen und bestätigen unabhängig.

• Identifikation

• Systematische Gefährdungsbeurteilung entlang des Lebenszyklus (Planung–Betrieb–Änderung–Außerbetriebnahme).

• Methodenmix: Checklisten (DGUV/Hersteller), Gemba-Begehungen, HAZOP/What-if für Sonderhübe, FMEA für kritische Baugruppen, Auswertung von Near-Miss- und Condition-Monitoring-Daten (z. B. Überlastabschaltungen, Laufrollenverschleiß, Seilzustand).

• MOC als Trigger: Jede Änderung an Steuerungen, Tragmitteln, Fahrwegen oder Betriebsregeln initiiert eine erneute Gefährdungsbeurteilung.

• Qualitativ-quantitative Beurteilung mittels Risikomatrix nach ISO 31000/IEC 31010; Dimensionen: Eintrittswahrscheinlichkeit, Schadensschwere (Personen, Anlagen, Umwelt, Verfügbarkeit).

• Festlegung von Akzeptanzkriterien (z. B. keine Toleranz für Lebensgefahr; begrenzte Toleranz für geringe Sachschäden bei kontrollierten Testläufen).

• Nutzung von Felddaten (MTBF, Fehlerspektren) zur Kalibrierung der Eintrittswahrscheinlichkeiten; Berücksichtigung kumulativer Risiken (z. B. Wind, Sicht, Lastgeometrie).

• Technische Maßnahmen: Überlastsicherungen, Anti-Kollisionssysteme, Endschalter-Redundanz, Schwingungsdämpfung, Geofencing, Not-Halt-Architektur nach Performance Level.

• Organisatorische Maßnahmen: Verkehrs- und Absperrkonzepte, Einweiserpflicht, Lastwegplanung, Permit-to-Work, Zwei-Personen-Prinzip bei kritischen Hüben.

• Personelle Maßnahmen: Qualifizierung, Eignungsuntersuchungen, Unterweisungen, Kompetenzmatrizen.

• Lieferkettenmaßnahmen: Qualifikation von Dienstleistern, Ersatzteilqualität (zertifizierte Tragmittel, Seilchargenverfolgung).

• Kennzahlen: Near-Miss-Rate, Überlastabschaltungen pro 1.000 Hübe, Mängelquote bei Prüfungen, Fristeneinhaltung, MTTR/MTBF, Audit-Compliance.

• Regelmäßige Reviews im FM-Board; Abweichungen lösen Korrektur- und Vorbeugemaßnahmen (CAPA) aus.

• Interne Audits (ISO 45001) und externe Prüfungen; Trendanalysen und Visualisierung im EHS-Dashboard.

• Lückenlose Nachverfolgbarkeit von Risiken, Maßnahmen, Verantwortlichen und Fristen im zentralen System.

• Kranbuch/Prüfbuch mit digitalen Signaturen, Prüfattesten, Kalibrierprotokollen (z. B. Lastmesszellen), Seilprüfnachweisen und Freigaben nach Instandsetzung.

• Versionierte Arbeits- und Betriebsanweisungen; Änderungsstände mit Freigabe durch FM und Arbeitsschutz.

• Störungen

• Sofortmaßnahmen: Last sichern/ablassen, Gefahrenbereich absperren, Energiequellen sichern (LOTO), Erstmeldung über definierten Meldekanal (Funk/Andon/Hotline).

• Rollenfolge: Kranführer meldet an Schichtleitung; Instandhaltung übernimmt technische Diagnose; Sicherheitsbeauftragte bewertet Gefährdung und kommuniziert Schutzmaßnahmen; FM koordiniert Ressourcen und ggf. externe Unterstützung.

• Service-Level: Reaktions- und Wiederanlaufzeiten abgestimmt auf Kritikalität; Priorisierung nach Auswirkungen auf Sicherheit und Betrieb.

• Änderungsantrag mit Beschreibung, Risikobewertung, Prüf- und Abnahmeplan, Schulungsbedarf, Dokumentenupdates.

• Interdisziplinäre Freigabe (FM, Instandhaltung, Sicherheitsbeauftragte, ggf. Sachverständige); Re-Inbetriebnahme nur mit dokumentierter Abnahme.

• Kommunikationspaket: Safety Alerts, aktualisierte Betriebsanweisungen, Unterweisung der betroffenen Belegschaft.

• Klar definierte Trigger: Personenschaden, Lastabsturz, wiederholte Überlast, strukturrelevante Risse, Beinaheereignis mit hohem Potenzial.

• Eskalationspfad bis Geschäftsleitung; bei meldepflichtigen Ereignissen Einbindung von Behörden/Versicherern; Pressestellen- und Notfallkommunikation nach Plan.

• Nachbereitung: RCA, Maßnahmenplan mit Fristen und Verantwortlichen, Wirksamkeitscheck, Lessons Learned im gesamten Werkverbund ausrollen.

• Rechtssichere, manipulationsresistente Ablage mit Zugriffs- und Aufbewahrungskonzept (einschließlich Nachweispflichten nach BetrSichV und DGUV).

• Verknüpfte Objektakten: Seriennummern, Tragmittelzertifikate, Instandhaltungs- und Prüfverläufe, Software-/Parameterversionen der Steuerungen.

• Qualifikations- und Unterweisungsnachweise personenbezogen mit Gültigkeiten, Schulungsinhalten und Trainerqualifikation.

• Prüf- und Messmittelmanagement: Kalibrierzustand der Mess- und Prüfmittel, Rückführbarkeit auf Normale, Prüfmittelkarteien.

• Audit-Trail: Wer hat was wann entschieden, freigegeben oder geändert; digitale Signaturen und Freigabeworkflows.

• Kranführer

• Ausbildung und Beauftragung gemäß DGUV Grundsatz 309-003; Mindestalter und Eignung; jährliche Unterweisung nach DGUV Vorschrift 1.

• Gerätespezifische Einweisung (Steuerungslogik, Notablass, Lastanzeige, Fahrwege) und Praxistraining unter Aufsicht.

• Zusatzausbildung für Sonderhübe, Lastaufnahme mit Anschlagmitteln, Arbeiten in windexponierten Bereichen; Kenntnis der Handzeichen/Kommunikationsprotokolle.

• Fachkunde gemäß TRBS 1203 für befähigte Personen; elektrotechnische Qualifikation nach DIN VDE 1000-10/0105-100; hydraulik-/mechanikspezifische Schulungen.

• Diagnostik- und NDT-Kompetenzen (z. B. Magnetpulverprüfung an Haken/Tragmitteln); Herstellertrainings für Steuerungen und Frequenzumrichter.

• LOTO-Compliance und Freigabekompetenz nach Instandsetzung.

• Fortbildung in Gefährdungsbeurteilungsmethoden, Unfallanalyse (RCA), Auditierung (ISO 45001), Rechtsmonitoring.

• Moderations- und Change-Management-Kompetenzen zur wirksamen Umsetzung von Präventionsmaßnahmen.

• Managementkompetenzen in Risiko- und Compliance-Steuerung (ISO 31000), Vertrags- und Dienstleistermanagement, Budgetierung und KPI-Steuerung.

• Krisen- und Notfallmanagementschulung, inklusive Kommunikations- und Eskalationsprozesse.

• Anerkennung als zur Prüfung befähigte Person bzw. Qualifikation nach einschlägigen Normen; kontinuierliche Weiterbildung in Normen- und Technikstand.

• Blended-Learning-Ansatz mit Praxissimulationen und Begehungen; Kompetenzmatrizen mit Gültigkeiten und Rezertifizierung.

• Wirksamkeitskontrolle der Unterweisungen durch Beobachtungen, Kurztests und Auditfeststellungen; gezielte Nachschulung bei Abweichungen.

Die organisatorische Verankerung des Risikomanagements schafft Verbindlichkeit, Transparenz und Handlungsfähigkeit. Klare Rollen, robuste Prozesse, integrierte Kommunikation sowie belastbare Nachweise und Qualifikationen sind die zentralen Pfeiler, um Sicherheits- und Verfügbarkeitsziele im Kranbetrieb nachhaltig zu erreichen.

Krananlagen lassen sich in modularisierte Hauptbaugruppen gliedern, deren Auslegung die Gesamtperformance, Sicherheit und Instandhaltbarkeit maßgeblich bestimmt. Wesentliche Elemente sind die Tragstruktur (z. B. Brücke, Ausleger, Turm, Portal), das Hubwerk mit Trommel, Seil und Antrieb, das Katzfahrwerk, Fahrwerke bzw. Unterwagen, Drehwerk (bei drehbaren Systemen) sowie Energiezuführungen und Steuerungseinrichtungen. Die Tragstruktur folgt normativen Nachweisen zur Ermüdung und Stabilität (z. B. EN 13001-Reihe), wobei die Lastkollektive aus dem Einsatzprofil (FEM/ISO-Klassen) abgeleitet und in Designreserven sowie Betriebsüberwachung überführt werden.

Das Hubwerk kombiniert typischerweise frequenzgeregelte Elektromotoren, Getriebe und Scheiben- oder Trommelbremsen. Drahtseile werden nach ISO 4309 dimensioniert und in definierten Intervallen sowie magnetinduktiv geprüft; Seilscheiben und Umlenkrollen sind auf Flankenspiel, Einlaufrillen und axialen Versatz zu überwachen. Energieversorgung und -übertragung erfolgt über Schleifleitungen, Energieketten oder Schleifringe (für Drehwerke), ergänzt um USV/UPS für sicherheitskritische Steuerungen. Schaltschrankarchitekturen berücksichtigen Schwingungs- und Korrosionsschutz (IP-Schutzarten, Beschichtungen), Klimatisierung und EMV-gerechtes Verdrahten.

Die Sensorik bildet das Bindeglied zwischen Mechanik und Automatisierung: Drehgeber erfassen Hub- und Fahrwege, Lastmessbolzen bzw. -zellen liefern direkte oder indirekte Lastsignale, Neigungs- und IMU-Sensoren unterstützen Schwingungs- und Krängungskompensation. Windmesser, Temperatur- und Feuchtesensoren ermöglichen Umgebungsgrenzwertfunktionen (z. B. Windabschaltung bei definierten Beaufort-/m/s-Grenzen, Derating bei Hitze).

• Überlast- und Lastmomentbegrenzer, die dynamische und statische Überlasten verhindern (inkl. Lastkollektivspeicher zur Lebensdauerbewertung).

• Endlagen- und Referenzschalter (zweikanalig, diversitär), ergänzt um sichere softwarebasierte Endlagen (Virendanschläge) mit plausibilisierter Positionsmessung.

• Redundante, selbsttätige Bremsen am Hub- und Fahrantrieb mit Überwachung der Bremslüftung, -temperatur und Belagverschleiß.

• Seilbruch- und Schlappseilerkennung, Hakenzentrierung, Hakensicherungen.

• Safe-Motion-Funktionen der Antriebe (z. B. STO, SLS, SOS nach IEC 61800-5-2), sicherheitsgerichtet angesteuert über Safety-PLC.

• Kollisionsschutz zwischen Kränen bzw. Kran und Objekten mittels Radar/Lidar/UWB sowie Zonenüberwachung durch Laserscanner oder Sicherheitsmatten.

Die funktionale Sicherheit richtet sich nach IEC 61508/IEC 62061 und EN ISO 13849-1; der für die Sicherheitsfunktionen erreichte SIL bzw. Performance Level (PL) ist nach Risikobeurteilung festzulegen. Elektrische Ausrüstung von Hebezeugen folgt EN 60204-32, die anwendungsspezifische Ausgestaltung z. B. EN 15011 (Brücken-/Portalkrane). Für explosionsgefährdete Bereiche sind ATEX/IECEx-konforme Komponenten einzusetzen.

Die Automatisierung basiert auf einer SPS-Architektur mit separater Safety-SPS oder integrierter Sicherheitssteuerung. Feldbusse mit sicherem Protokoll (PROFIsafe, CIP Safety, FSoE) verknüpfen Antriebe, E/A-Module und Sicherheitsgeräte. Frequenzumrichter mit encoderbasierter Regelung ermöglichen lastabhängige Geschwindigkeitsprofile, Schwingungsdämpfung (Sway-Control) und feinfühlige Positionierung. Modellbasierte Regler kompensieren Pendelbewegungen in Echtzeit, während Anti-Rollback- und Anti-Snag-Funktionen Lastspitzen minimieren.

Fernsteuerung erfolgt per Funkhandbedienung oder stationsgebundenem Operator-Desk mit Videound Sensorfusion (Kameras, Lidar, Laserdistanz, RTK-GNSS/UWB für Yard-Lokalisierung). Funklösungen nutzen Frequenzsprungverfahren und verschlüsselte Protokolle; Not-Halt über Funk ist als sicherheitsgerichtete Funktion auszulegen (z. B. PL e). Für hochautomatisierte Anwendungen werden teilautonome Fahrprofile, Zielpunktpositionierung und virtuelle Schutzräume (Geofencing) implementiert. Eine dedizierte Betriebsartenwahl (LOTO-konform) verhindert Fehlbedienung und erlaubt gesicherte Service- und Teaching-Modi.

Hohe Verfügbarkeit wird durch Redundanzen, robuste Topologien und vorausschauende Wartung erreicht. Netzwerktechnisch haben sich ring- oder parallelredundante Verfahren (MRP, HSR/PRP) bewährt. Lokale Edge-Controller puffern Betriebsdaten bei Leitstellen- oder Netzwerkausfall. Kritische Sicherheitsfunktionen müssen deterministisch und unabhängig von überlagerten Netzwerken arbeiten (Fail-safe zum sicheren Halt).

Der Fernbetrieb und die IoT-Anbindung erhöhen die Angriffsfläche. Eine nach IEC 62443 zonierte Architektur trennt Safety-, Antriebs- und Betriebsnetz, definiert gesicherte Leitungen (Conduits) und implementiert Defense-in-Depth: Härtung der Endpunkte (Secure Boot, Code-Signing für SPS/Drives), zerlegte Verwaltungsrechte (RBAC), Multifaktor-Authentifizierung, Netzwerksegmentierung (VLAN, Firewall mit unidirektionalen Regeln) sowie Whitelisting und Applikationskontrolle auf HMIs. Remote-Wartung erfolgt über bastionierte Jump-Hosts, zeitlich begrenzte VPN-Tunnel und Protokollierung. Funkkanäle sind gegen Jamming/Replay zu schützen (Frequenzdiversität, LBT, kryptografische Nonces). Passive OT-IDS/Anomalieerkennung überwacht deterministische Feldbusprofile; Patching folgt einem risikobasierten Fenster unter Beachtung der Verfügbarkeitsanforderungen und Validierung auf Testsystemen. Backup- und Restore-Verfahren (inkl. Offline-Kopien), manipulationssichere Logs und Zeitsynchronisation (PTP mit Domänentrennung) sind essenziell für Resilienz und Forensik.

Die Balance zwischen Verfügbarkeit und Sicherheit wird über abgestufte Betriebsstrategien erreicht: Bei Sensorinkonsistenzen kann ein degradierter Betrieb mit reduzierter Geschwindigkeit und erweiterten Schutzräumen zulässig sein; bleibt die Diagnose unplausibel, erzwingen Sicherheitsfunktionen den sicheren Stillstand.

• Präventive Wartung: Zeit- bzw. nutzungsbasiert gemäß Hersteller- und Normvorgaben (z. B. Schmierung, Justage, Austausch intervallbasierter Verschleißteile, wiederkehrende Prüfungen nach BetrSichV/DGUV).

• Condition Monitoring: Online-Erfassung von Schwingungen an Lagern/Getrieben, Motorstromsignaturanalyse, Ölzustandsüberwachung (Partikel/Ferroanalyse, Wasser), thermografische Messungen, Seilüberwachung mit magnetinduktiver Prüfung und visueller KI-Assistenz, Bremsweg- und Bremsmomentmessungen. Lebensdauerberechnung von Komponenten erfolgt mit realen Lastkollektiven (Rainflow), ergänzt um Zyklenzähler und Ereignisprotokolle.

• Predictive Maintenance: ML-Modelle auf Edge/Cloud erkennen Muster, die Ausfälle vorhersagen (z. B. Bearing Fault Frequencies, Getriebeflankenverschleiß, Seilkerndefekte). Drift- und Datenqualitäts-Monitoring verhindern Fehlalarme; Modelle werden domänenseitig mit physikalischen Constraints (Hybridmodelle) stabilisiert.

• Rollierende Inspektionen: Risiko- und zustandsbasiert aufgeteilt über den Lebenszyklus, um Stillstände zu minimieren. Kritikalität (RCM/FMECA) steuert Inspektionsdichte und -tiefe; SIF-Proof-Tests werden auf verbindliche Intervalle gemäß Ziel-SIL geplant und dokumentiert.

Digitale Wartungsakten, eindeutige Asset-IDs (Nameplate/QR/RFID) und mobile Checklisten erhöhen Datenqualität und Nachvollziehbarkeit. Ersatzteilstrategien (Sicherheitsbestände für Single-Point-of-Failure, Vendor Managed Inventory) senken MTTR; modulare Bauweise und Steckverbinderkonzepte beschleunigen Tauschprozesse. Kalibrier- und Justierintervalle für Sensorik werden mit der Messunsicherheit und Prozesskritikalität abgestimmt.

• Physische Schutzeinrichtungen (Abdeckungen, Geländer, Verriegelungen) und Personenrückhaltesysteme (Lifelines) verhindern Stürze und Eingriffe in Gefahrenzonen.

• Raum- und Zonenüberwachung über Laserscanner/Lichtvorhänge mit Muting-Strategien; virtuelle Zäune und Geschwindigkeitsbegrenzungen in sensiblen Bereichen.

• Anti-Kollisionssysteme zwischen Kränen und mit Infrastruktur, inklusive Prioritäts- und Koordinationslogik zwischen benachbarten Anlagen.

• Umweltschutzfunktionen: Wind- und Sturmanker, automatische Kransicherung, Vereisungs- und Korrosionsmonitoring.

• LOTO-Prozesse mittels trennender Schaltgeräte und verriegelter Betriebsartenwahl; elektrische Trennung und Entladungskonzepte.

Prüfregime umfassen FAT/SAT, Inbetriebnahme mit Belastungsversuchen (Prüflast), NDT-Prüfungen von Schweißnähten, Isolations- und Schutzleiterprüfungen, sowie wiederkehrende Prüfungen durch befähigte Personen (z. B. nach DGUV Vorschrift 52/54, TRBS 1201). Sicherheitsfunktionen werden im Rahmen von Proof-Tests gezielt angeregt; Testabdeckung und abgeleitete Intervalloptimierung erfolgen nach dokumentierter Ausfallratenanalyse. Checklisten, Vier-Augen-Prinzip und digitale Beweisdokumentation (Fotos, Messkurven) sind verbindlich.

Die Leitstellenarchitektur bündelt Monitoring, Disposition und Eingriffe. SCADA/HMI-Systeme aggregieren Betriebs- und Zustandsdaten, Alarme und Ereignisse gemäß ISA-18.2/IEC 62682; ein Alarmrationalisierungsprozess vermeidet Alarmfluten. Datenintegration erfolgt über interoperable Protokolle (OPC UA, MQTT/Sparkplug B), wobei Edge-Gateways Vorverarbeitung, Filterung und Pseudonymisierung übernehmen. Ein Historian speichert Zeitreihen mit qualifizierten Zeitstempeln; OEE- und KPI-Dashboards unterstützen Entscheidungen.

IIoT-Sensorik erweitert die Beobachtbarkeit auch an vormals „stummen“ Komponenten. Edge-Analytics reduzieren Latenzen für Echtzeitfunktionen (z. B. Anomalieerkennung an Antrieben). KI-Modelle (z. B. Autoencoder, One-Class-SVM, zeitliche Graphmodelle) detektieren Abweichungen in Multisensor-Daten; für erklärbare Ergebnisse werden Residuen, Feature-Attributionswerte und Schwellen dynamisch ausgewiesen. Flottenweite Modelle profitieren von Föderiertem Lernen, wodurch proprietäre Daten den Standort nicht verlassen. Ein MLOps-Prozess (Versionierung, Validierung, Rollback, Modellüberwachung) stellt Robustheit sicher.

Cyberphysikalisch gilt: Safety-relevante Abschaltentscheidungen bleiben deterministischen, verifizierten Logiken vorbehalten; KI liefert Empfehlungen und Frühwarnungen, nicht den letzten Aktorimpuls. Daten-Governance, Rollen- und Rechtekonzepte sowie Audit-Trails sichern Compliance. Private 5G/Industrial-WLAN mit QoS und deterministischen Latenzen verbessern Fernsteuerbarkeit, während Network Slicing und AP-Isolation die Segmentierung unterstützen.

Wir beschreiben Systematik, Inhalte und Governance eines integrierten Risikoregisters für technische Anlagen und industrielle Betriebsprozesse mit Fokus auf Personensicherheit, Umweltschutz und Prozess-/Betriebsrisiken. Es umfasst die Risikokategorien, die Struktur des Registers (Datenfelder und Bewertungsskalen), exemplarische Risiken sowie die Anforderungen an Pflege, Verantwortlichkeiten, Monitoring und Maßnahmenverfolgung.

• Technik: Zustands- und Funktionsrisiken technischer Assets (z. B. Druckgeräte, Rotating Equipment, Automatisierungskomponenten).

• Betrieb: Bedienfehler, Schnittstellen, Arbeitsorganisation, Instandhaltung, Logistik und Betriebsverfahren.

• Umfeld: Standort- und Umweltbedingungen (Wetterextreme, Nachbarschaft, Infrastruktur, Versorgungsmedien).

• Regelwerk/Compliance: Normen, Gesetze, Genehmigungen, interne Standards, Prüfpflichten und deren Einhaltung.

• OT/Cyber: Risiken der industriellen Steuerungssysteme (SPS/PLC, SCADA, HMI), Cyberangriffe, Fehlkonfiguration, Fernwartung.

• Externer Einfluss: Lieferkette, Dienstleister, Sabotage/Vandalismus, Behördenverfügungen, Marktereignisse.

• Systematische Analysen: HAZOP/PAAG, FMEA, Bow-Tie, LOPA, What-if, Task- und Human-Factors-Analysen.

• Datengestützte Quellen: Störungs- und Beinaheereignis-Daten, Historien aus CMMS/EAM, Condition Monitoring, OT-SOC/IDS.

• Vor-Ort-Prüfungen: Sicherheitsbegehungen, EHS-Inspektionen, Explosionsschutzdokumente, Brandschutzbegehungen.

• Management of Change (MOC): Bewertung von Umbauten, Rezeptur- und Softwareänderungen, Medienwechsel.

• Externe Informationen: Hersteller-Hinweise, Rückrufe, Behördenverfügungen, Normenupdates, Wetter-/Gefahrenkarten.

• Lessons Learned: Unfalluntersuchungen (Root Cause), Audits (intern/extern), Revisions- und Versichererberichte.

• Risikokennung (ID): eindeutiger Code (z. B. RR-001), inkl. Version/Änderungsstand.

• Asset-Typ und Objektbezug: z. B. Druckbehälter, Krananlage, SPS; Standort/Linie/Anlagen-ID.

• Kategorie(n): Technik, Betrieb, Umfeld, Regelwerk/Compliance, OT/Cyber, externer Einfluss.

• Ursache–Ereignis–Auswirkung: komprimierte Bow-Tie-Notation (Auslöser → Top-Event → Konsequenz).

• Bestehende Kontrollen: präventive und mitigierende Barrieren (technisch, organisatorisch, verhaltensorientiert).

• Eintrittswahrscheinlichkeit (W): Skala 1–5 oder verbal (sehr gering/gering/mittel/hoch/sehr hoch).

• Auswirkungen je Dimension (Schadensschwere):

• PS: Personensicherheit (von leichte Verletzung bis SIF – schwer/ tödlich).

• UM: Umwelt (lokal, meldepflichtig, behördlich relevant).

• BV: Betriebsverfügbarkeit/Prozess (Stillstand, Qualitätsverlust, OEE).

• CO: Compliance (Genehmigungen, Bußgelder, Strafbarkeit).

• RE: Reputation (Medien, Stakeholder).

• Aggregiertes Rating: standardisiert (z. B. Matrix W × max[PS, UM, BV, CO, RE]), risikopolitisch kalibriert (Risikofreude/-appetit, SIF-Vorrang).

• Verantwortlichkeiten: Risk Owner (Fachbereich), Control Owner (Barrieren), Register-Owner (Methodik).

• Maßnahmenstatus: offene/geschlossene Maßnahmen, Fälligkeiten, Wirksamkeitsnachweis (Control Testing).

• Verknüpfungen: MOC-IDs, Vorfallnummern, Audit-Feststellungen, Dokumente, Zeichnungen.

• Bewertungsskalen sollten definiert, trainiert und konsistent angewendet werden (Kalibrierworkshops). Für SIF-Potenziale gilt Vorrang: Risiken mit potenziell schweren/tödlichen Verletzungen erhalten mindestens ein hohes aggregiertes Rating unabhängig von Betriebsfolgen.

W = Eintrittswahrscheinlichkeit; Auswirkungen: PS (Personensicherheit), UM (Umwelt), BV (Betrieb), CO (Compliance), RE (Reputation).

Ursache–Ereignis–Auswirkung: Korrosion → Leckage → Verbrühung/Explosion.

Kontrollen: Wanddickenmessung, SV-Prüfung, BetrSichV-Prüffristen.

W: gering | Auswirkungen: PS hoch, UM gering, BV mittel, CO mittel, RE mittel | Rating: hoch.

Überlast/Fehlbedienung → Lastabsturz → schwere Verletzung.

Kontrollen: Lastmomentbegrenzer, jährliche UVV-Prüfung, Schulung.

W: mittel | PS sehr hoch, UM gering, BV mittel, CO mittel, RE mittel | Rating: sehr hoch.

Sturm → Umstürzen von Regalen → Quetsch-/Schlagverletzung.

Kontrollen: Verankerung, Windlastnachweis, Sperrkonzept.

W: mittel | PS hoch, UM gering, BV mittel, CO gering, RE gering | Rating: hoch.

Prüfintervall überschritten → unerkannter Schaden → Gefahrensteigerung.

Kontrollen: Prüfmittelmanagement, Eskalationsworkflow.

W: gering | PS hoch, UM gering, BV mittel, CO hoch, RE mittel | Rating: hoch.

Unsichere Fernwartung → unautorisierte Parameteränderung → Überfüllung Tank.

Kontrollen: MFA, VPN, Whitelisting, Change-Lock.

W: mittel | PS hoch, UM hoch, BV hoch, CO hoch, RE hoch | Rating: sehr hoch.

Schutzhauben entfernt → Eingreifen in laufendes Band → Amputation.

Kontrollen: Verriegelte Hauben, Not-Halt, Lockout/Tagout (LOTO).

W: mittel | PS sehr hoch, UM gering, BV mittel, CO mittel, RE hoch | Rating: sehr hoch.

Verwechselung Medien → Reaktion/Exothermie → Verätzung, Freisetzung.

Kontrollen: Farb-/Formschlüssel, P&ID-Label, Doppel-Check.

W: gering | PS hoch, UM mittel, BV hoch, CO hoch, RE mittel | Rating: hoch.

Überflutung → Kurzschluss/Brand → Personengefährdung, Ausfall.

Kontrollen: Standortanalyse, Barrieren, erhöhte Schaltschränke.

W: gering–mittel (lageabhängig) | PS hoch, UM mittel, BV sehr hoch, CO mittel, RE hoch | Rating: sehr hoch.

Spannungsabfall → Pumpenstillstand → Überhitzung/Reaktionsstopp.

Kontrollen: USV, Redundanz, Lastabwurf.

W: mittel | PS mittel, UM gering, BV hoch, CO gering, RE gering | Rating: hoch.

Sicherheitsventil klemmt → Überdruck → Behälterversagen.

Kontrollen: Funktionsprüfung, Austauschintervalle, Kondensatableiter.

W: gering | PS sehr hoch, UM hoch, BV hoch, CO hoch, RE hoch | Rating: sehr hoch.

Funkenflug → Brand in EX-Zone → Rauchgas/Explosion.

Kontrollen: Heißarbeitsfreigabe, Gasfreimessung, Brandwache.

W: gering | PS hoch, UM mittel, BV hoch, CO hoch, RE hoch | Rating: sehr hoch.

Phishing → Session-Übernahme → Rezepturvertauschung.

Kontrollen: Phishing-Training, RBAC, Session-Timeout.

W: mittel | PS mittel, UM mittel, BV hoch, CO mittel, RE mittel | Rating: hoch.

Lückenhafte Zoneneinteilung → falsche Geräte → Zündquelle.

Kontrollen: Ex-Review, Gerätemarkierung, Audit.

W: gering | PS hoch, UM mittel, BV hoch, CO hoch, RE hoch | Rating: sehr hoch.

Ermüdungsriss → Dampfaustritt → Verbrühung.

Kontrollen: Isometrien, Halterungsinspektion, Thermografie.

W: mittel | PS hoch, UM gering, BV mittel, CO mittel, RE mittel | Rating: hoch.

Konflikt mit Fußgängern → Anfahren → Verletzung.

Kontrollen: Wegeführung, Geschwindigkeitsbegrenzung, Blue Spot, PSA.

W: mittel | PS hoch, UM gering, BV gering, CO gering, RE mittel | Rating: hoch.

Überhitzung Schaltraum → Komponenten-Ausfall → Anlagenstillstand.

Kontrollen: HVAC-Redundanz, Alarme, Wartung.

W: mittel | PS gering, UM gering, BV hoch, CO gering, RE gering | Rating: mittel–hoch.

Fehlcharge Katalysator → Nebenreaktion → Giftgas freigesetzt.

Kontrollen: Wareneingangsprüfung, CoA-Validierung, Quarantäne.

W: gering | PS sehr hoch, UM hoch, BV hoch, CO hoch, RE hoch | Rating: sehr hoch.

Dichtung versagt → Mediumsaustritt → Rutsch-/Verätzungsgefahr.

Kontrollen: Drehmomentvorgabe, Materialfreigabe, Flanschklassifizierung.

W: mittel | PS mittel–hoch, UM mittel, BV mittel, CO mittel, RE mittel | Rating: hoch.

Sauerstoffmangel → Ohnmacht → Erstickung.

Kontrollen: Freigabeschein, Gasdetektion, Rettungsausrüstung.

W: gering | PS sehr hoch, UM gering, BV mittel, CO hoch, RE hoch | Rating: sehr hoch.

Firmware-Bug → Fail-open Ventil → Überfüllung.

Kontrollen: Patchmanagement, Testumgebung, SIL-Bewertung.

W: gering–mittel | PS hoch, UM hoch, BV hoch, CO mittel, RE hoch | Rating: sehr hoch.

Unzureichende Sicherheitsunterweisung → Fehlbedienung → Verletzung.

Kontrollen: Pflichtmodule, Kompetenzmatrix, Wirksamkeitstest.

W: mittel | PS hoch, UM gering, BV mittel, CO mittel, RE mittel | Rating: hoch.

Staubemission bei Trockenwetter → Beschwerden → Auflagen.

Kontrollen: Befeuchtung, Einhausung, Filter.

W: mittel | PS gering, UM mittel, BV gering, CO mittel, RE mittel | Rating: mittel.

Wuchtverlust → Lagerbruch → Trümmer, Rückstände.

Kontrollen: Schwingungsmonitoring, Condition-Based Maintenance.

W: mittel | PS mittel, UM gering, BV hoch, CO gering, RE gering | Rating: hoch.

Unverriegelte Energie → unerwarteter Anlauf → Quetschung.

Kontrollen: LOTO-Standard, Kontrollen vor Ort, Supervisor-Freigabe.

W: gering–mittel | PS hoch, UM gering, BV mittel, CO hoch, RE mittel | Rating: hoch.

Flacher OT-Netzverbund → Malware-Lateralbewegung → Ausfall.

Kontrollen: Zonen/Conduits, IDS, Application Whitelisting.

W: mittel | PS mittel, UM gering, BV hoch, CO mittel, RE hoch | Rating: hoch.

Unqualifizierte Fremdfirma → falsche Montage → Absturz/Leckage.

Kontrollen: PQ/Qualifikation, Permit-to-Work, Begleitung.

W: mittel | PS hoch, UM mittel, BV mittel, CO hoch, RE mittel | Rating: hoch.

Nicht funktionsfähig → Eskalation Verätzungsschaden.

Kontrollen: Wochen-Tests, Wartung, Sichtprüfung.

W: mittel | PS hoch, UM gering, BV gering, CO mittel, RE mittel | Rating: hoch.

Vereisung Laufwege → Sturz → Verletzung.

Kontrollen: Räum-/Streupplan, Markierung, Schuhwerk.

W: hoch (saisonal) | PS mittel, UM gering, BV gering, CO gering, RE gering | Rating: mittel.

Lagermengen > Genehmigung → behördliche Stilllegung.

Kontrollen: Mengentracking, SAP-Sperren, Inventur.

W: gering | PS gering, UM mittel, BV hoch, CO sehr hoch, RE hoch | Rating: hoch.

Unsync-Zeitstempel → Alarm-/Ereignisfehldeutung → Verzögerte Notreaktion.

Kontrollen: NTP-Server-Redundanz, Monitoring.

W: mittel | PS mittel, UM gering, BV mittel, CO gering, RE gering | Rating: mittel.

Fehlkalibrierung → Gase unentdeckt → Explosion/Vergiftung.

Kontrollen: Kalibrierplan, Funktionsprüfung, SIL-Klassifizierung.

W: gering | PS sehr hoch, UM mittel, BV hoch, CO hoch, RE hoch | Rating: sehr hoch.

Spritzer/Einatmen → Verätzung/Intoxikation.

Kontrollen: geschlossene Probenahme, PSA, SOP.

W: mittel | PS mittel–hoch, UM gering, BV gering, CO mittel, RE gering | Rating: hoch.

Hygiene/Prozesswasser fehlt → Qualitäts-/Gesundheitsrisiken.

Kontrollen: Vorratstanks, Notversorgung, Freigabeprozess.

W: gering–mittel | PS gering–mittel, UM gering, BV mittel, CO mittel, RE gering | Rating: mittel.

Zaundurchbruch → Zugriff auf Gefahrstoffbereich → Personengefahr.

Kontrollen: Video, Zutrittskontrolle, Wachdienst.

W: gering | PS hoch, UM mittel, BV gering, CO mittel, RE mittel | Rating: hoch.

Bypass/Überbrückung → Schutzfunktion außer Kraft → Verletzung.

Kontrollen: Management of Override, zeitliche Begrenzung, Freigabe.

W: gering–mittel | PS sehr hoch, UM gering, BV mittel, CO hoch, RE hoch | Rating: sehr hoch.

Rutschgefahr nass → Sturz → Fraktur.

Kontrollen: Absperren, Warnschilder, rutschhemmende Beläge.

W: mittel | PS mittel, UM gering, BV gering, CO gering, RE gering | Rating: mittel.

Kein getestetes Restore → langwierige Wiederanlaufphase → Prozessabweichungen.

Kontrollen: 3-2-1-Backups, Restore-Tests, Offline-Kopien.

W: mittel | PS gering–mittel, UM gering, BV hoch, CO mittel, RE mittel | Rating: hoch.

Nicht konforme PSA → unzureichender Schutz → Verletzung.

Kontrollen: Beschaffungskatalog, Fit-Test, Tragepflichtkontrollen.

W: mittel | PS hoch, UM gering, BV gering, CO mittel, RE mittel | Rating: hoch.

Blitzinduzierte Überspannung → Steuerungsausfall → ungeregelter Zustand.

Kontrollen: Blitzschutz, Überspannungsableiter, Erdung.

W: gering | PS mittel, UM gering, BV hoch, CO gering, RE mittel | Rating: mittel–hoch.

Sofortvollzug bei Verstoß → Teilstillstand → Produktionsausfall.

Kontrollen: Compliance-Checks, Self-Audits, Vorabkommunikation.

W: gering | PS gering, UM gering, BV hoch, CO sehr hoch, RE hoch | Rating: hoch.

• Rollen und Verantwortlichkeiten:

• Risk Owner: fachlicher Eigentümer des Risikos (i. d. R. Anlagen-/Prozessverantwortliche); definiert, priorisiert und finanziert Maßnahmen.

• Control Owner: Verantwortlich für Betrieb und Wirksamkeit spezifischer Barrieren (z. B. Prüfungen, Training, technische Schutzsysteme).

• Register-Owner (EHS/Risk Management): Methodik, Qualitätssicherung, Moderation, Schulung, Berichterstattung.

• Data Steward: Datenvollständigkeit, Stammdatenpflege (Asset-IDs, Standorte).

• Management: Festlegung Risikopolitik/-appetit, Entscheidung über Residualrisiken, Freigabe von Budgets.

• Regelmäßige Reviews mindestens quartalsweise; SIF-relevante Risiken monatlich.

• Anlassbezogen bei MOC, Vorfällen, Audits, Normenänderungen, Projekten/Stillständen.

• Verjährung vermeiden: automatisierte Erinnerungen, Eskalation bei Überfälligkeit.

• Bewertungsleitfaden, Beispiele, Kalibrierworkshops.

• Nutzung vorab definierter Taxonomien (Kategorien, Asset-Typen, Ursachenklassen).

• KPIs/KRIs: Anteil bewerteter Assets/Prozesse, Overdue-Rate von Maßnahmen, Control-Test-Abdeckung, Trend hoher Risiken, SIF-Potenzial-Index.

• Leading Indikatoren: Beinaheereignisse pro 200.000 h, MOC mit Risk-Assessment, Training-Compliance.

• Stichproben/Tests für kritische Barrieren (z. B. SV-Funktion, Gasdetektorkalibrierung).

• Drei-Linien-Modell: 1. Linie Betrieb, 2. Linie EHS/Risk, 3. Linie Internal Audit.

• Jede Maßnahme mit Owner, Fälligkeit, Budget, Priorität (SIF-Priorisierung), Wirksamkeitskriterium und Verifizierung (Vorher/Nachher-Risiko).

• Digitale Verfolgung in GRC-/EAM-/CMMS-Systemen; Verknüpfung mit Tickets, MOC und CAPEX.

• Abschluss nur bei belegter Wirksamkeit (z. B. Test, KPI-Verbesserung), nicht bei bloßer Umsetzung.

• Heatmaps und Top-10-Listen für Führungskräfte; Detaillisten für Fachbereiche.

• Eskalationspfade bei sehr hohen und überfälligen Risiken; Management-Entscheid zu Residualrisiko vs. zusätzliche Maßnahmen.

• Integration OT/Cyber: Kopplung an OT-SOC (Alerts → Risiken/Maßnahmen), Patch- und Vulnerability-Management, Notfallpläne (IR-Playbooks).

• Kontinuierliche Verbesserung: Lessons Learned in Standards und Schulungen überführen; Benchmarking; externe Reviews (Versicherer/Behörden).

• Mit dieser Struktur ermöglicht das Risikoregister eine konsistente, transparente und wirksame Steuerung von Personen-, Umwelt- und Prozessrisiken über den gesamten Asset-Lebenszyklus.

Dieses Kapitel beschreibt eine standardisierte, auditierbare und automatisierbare Methodik zur Bewertung, Aggregation und Steuerung von Risiken anhand einer 5×5-Risikomatrix. Ziel ist, Risiken mehrdimensional (Sicherheit, Verfügbarkeit/Prozess, Compliance, Umwelt) konsistent zu bewerten, in einem digitalen Risikoregister fortzuschreiben und durch Ampel-Kodierung sowie definierte Eskalations- und Toleranzlogiken handlungsfähig zu machen. Zentrale Grundsätze sind die Transparenz der Herleitung, Wiederholbarkeit der Einstufung, Nulltoleranz bei Risiken für Leib und Leben sowie eine risikoadäquate Behandlung nach den Kategorien vermeiden, mindern, transferieren, akzeptieren.

• 1 – sehr unwahrscheinlich: <1% p.a. oder seltener als einmal in 10 Jahren

• 2 – unwahrscheinlich: 1–5% p.a. oder etwa einmal in 5–10 Jahren

• 3 – möglich: 5–20% p.a. oder etwa einmal in 1–5 Jahren

• 4 – wahrscheinlich: 20–50% p.a. oder einmal pro Jahr bis alle zwei Jahre

• 5 – sehr wahrscheinlich: >50% p.a. oder mehrfach pro Jahr

Die Wahrscheinlichkeit bezieht sich auf das Eintreten eines Ereignisses, das den jeweils beschriebenen Impact in mindestens einer Dimension verursacht. Historische Vorfälle, Branchenbenchmarks und präventive Kontrolllandschaften sind systematisch zu berücksichtigen.

• Sicherheit (Arbeitssicherheit/Personenschaden)

• 1 – Beinaheunfall, keine Verletzung

• 2 – Erste-Hilfe-Verletzung, keine Ausfallzeit

• 3 – meldepflichtige Verletzung oder Ausfall <3 Tage

• 4 – schwere Verletzung, bleibender Schaden, Ausfall ≥3 Tage

• 5 – Todesfall(e) oder multiple schwere Verletzungen

• 1 – <30 Minuten Unterbrechung, kein SLA-Verstoß, keine Backlogs

• 2 – 30 Minuten–4 Stunden, geringe Beeinträchtigung, leichte Nacharbeit

• 3 – 4–24 Stunden, spürbare Serviceeinbußen, Kunden betroffen, Backlogs

• 4 – 1–3 Tage Stillstand kritischer Prozessschritte, substanzielle SLA-Verstöße, Umsatz-/Outputverlust

• 5 – >3 Tage Stillstand kritischer Prozesse, erheblicher Umsatz-/Outputverlust, Vertragsverfehlungen

• 1 – interne Richtlinienabweichung ohne externe Folgen

• 2 – geringes Audit-Finding/Abmahnung, keine Sanktion

• 3 – Bußgelder/Vertragsstrafen bis 50.000 EUR oder formale Abhilfemaßnahmen

• 4 – Bußgelder 50.000–1 Mio. EUR, aufsichtsrechtliche Maßnahmen, Lizenz-/Zertifizierungsrisiko, meldepflichtige Datenschutzverletzung

• 5 – straf- oder zivilrechtliche Verfahren, Lizenzentzug, Bußgelder >1 Mio. EUR, erhebliche Datenschutzverletzung mit vielen Betroffenen

• 1 – vernachlässigbar, innerhalb Grenzwerte, keine Meldung

• 2 – geringfügige, lokal begrenzte Leckage, sofort beherrscht, keine externe Meldung

• 3 – merklicher, kurzzeitiger Schaden, lokale Meldung an Behörden

• 4 – signifikanter Schaden an Gewässer/Boden/Luft, Sanktionen/Auflagen

• 5 – großflächiger, langfristiger Schaden, hohe Auflagen/Strafen, Reputationsschäden

Die Skalen sind domänenspezifisch zu kalibrieren (z. B. branchenspezifische Grenzwerte, SLA-Definitionen). Das Bewertungsschema ist als verbindlicher Katalog zu veröffentlichen.

• Schritt 1: Dimensionale Scores erfassen

• Für jedes Risiko: E in [1..5] und I pro Dimension in [1..5].

• R_dim = E × I_dim für jede Dimension.

• Zweck: gezielte Maßnahmenplanung je Dimension.

• I_max = max(I_Sicherheit, I_Verfügbarkeit, I_Compliance, I_Umwelt).

• R_gesamt = E × I_max. Begründung: Der dominante Schadenstreiber determiniert die Risikoposition.

• Grün: R in [1–4]

• Gelb: R in [5–9]

• Orange: R in [10–14]

• Rot: R in [15–25]

• Wenn I_Sicherheit ≥4, wird R_gesamt mindestens auf 20 (rot) gesetzt, unabhängig von E. Entspricht Stop-Work-Prinzip und Nulltoleranz bei Personenschäden.

• Optional: weitere harte Grenzen, z. B. Compliance I ≥5 → rot.

• Heatmaps: R_dim und R_gesamt in 5×5-Matrix darstellen.

• Ampel-Felder: pro Dimension und Gesamtstatus.

• E = 3; I_Sich = 2; I_Verf = 4; I_Comp = 2; I_Umw = 1

• R_dim: 6, 12, 6, 3; I_max = 4; R_gesamt = 12 → orange; Eskalation an Bereichsleitung, Maßnahmenplan innerhalb 30 Tage.

• Parametrisierbare Schwellenwerte (z. B. Ampelgrenzen, Nulltoleranzregeln) in Konfiguration halten.

• Automatisierte Re-Scorings bei Incident-Daten oder Kontrollveränderungen.

• Audit-Trail: Speicherung von Bewertungsdatum, Evidenzen, Freigaben.

• Nulltoleranz

• Personenschaden: I_Sicherheit ≥4 ist inakzeptabel; sofortiger Arbeitsstopp, Meldung an Arbeitssicherheit, Geschäftsführung/Notfallausschuss; Akzeptanz ausgeschlossen.

• Optional harte Grenzen: Compliance I=5, Umwelt I=5 → keine Akzeptanz.

• Grün: akzeptierbar auf Ebene Risikoeigner; Review jährlich; keine Eskalation.

• Gelb: akzeptierbar durch Team-/Abteilungsleitung; Maßnahmenplan empfohlen; Review quartalsweise.

• Orange: nur akzeptierbar mit genehmigtem Maßnahmenplan und Befristung; Freigabe durch Bereichsleitung/BU-Leitung; Review monatlich; Abbauziel innerhalb 3–6 Monaten.

• Rot: nicht akzeptierbar; sofortige Eskalation an Geschäftsführung/Exekutivkomitee; Sofortmaßnahmen und Abbau auf ≤ orange binnen 30 Tagen; vollständiger Abbau auf ≤ gelb in 90 Tagen, sofern nicht Nulltoleranz greift (dann sofortige Gefahrenabwehr).

• Trend rot/orange über zwei Reviews → Pflicht zur Strategiefortschreibung (z. B. Redundanzen, Re-Engineering).

• Veränderung von E oder I um ≥2 Stufen → Ad-hoc-Review.

• Externe Ereignisse (Regulierung, Vorfälle in der Branche) → Re-Kalibrierung.

• Vermeiden

• Beispiel: Einstellung eines Hochrisiko-Prozesses, Ausphasung gefährlicher Stoffe, De-Scope unsicherer Features.

• Wirkung: eliminiert Risikoquelle; oft hoher Nutzen, aber potenziell strategische Einbußen.

• Wahrscheinlichkeit senken: präventive Kontrollen (Wartung, Schulung, Doppelkontrollen, Härtung von Systemen, Patch-Management).

• Impact senken: redundante Systeme, Notfallpläne, bauliche/technische Schutzmaßnahmen (z. B. Absaugung, Auffangwannen), Data Loss Minimization.

• ALARP-Prinzip: so weit wie vernünftigerweise praktikabel reduzieren.

• Versicherungen (Betriebshaftpflicht, Cyber, Umweltschaden), Garantien, Vertragsklauseln, Outsourcing mit SLAs und Haftungsregelungen.

• Hinweis: Transfer reduziert finanzielle Folgen, nicht notwendigerweise Sicherheits- oder Compliance-Impact.

• Begründete, befristete Rest-Risikohinnahme innerhalb Toleranz.

• Erfordert dokumentierte Risikobegründung, Annahmebefugnis und Reviewplan; nicht zulässig bei Nulltoleranzfällen.

Jede Maßnahme erhält eine Wirksamkeitsprognose (ΔE, ΔI je Dimension), einen Umsetzungstermin, Verantwortliche und Evidenzen. Nach Umsetzung erfolgt ein Re-Scoring des Restrisikos.

• Dienstklasse A – kritisch (lebens-/geschäftsentscheidend, sicherheitsrelevant)

• Max. Restrisiko: nur grün akzeptabel; gelb temporär (≤30 Tage) mit Maßnahmenplan.

• Sicherheit: Nulltoleranz für I ≥4; I=3 nur mit sofortigen Korrekturen und enger Frist.

• Verfügbarkeit: RTO ≤4 Stunden; I_Verf ≥4 inakzeptabel als Restrisiko.

• Compliance: I ≥4 inakzeptabel; Datenschutzverletzungen meldepflichtig → rot.

• Umwelt: I ≥4 inakzeptabel; präventive Technik- und Prozessbarrieren verpflichtend.

• Annahmebefugnis: Bereichsleitung für gelb temporär; rot ausgeschlossen.

• Max. Restrisiko: gelb akzeptabel; orange temporär (≤60 Tage) mit genehmigtem Plan.

• Verfügbarkeit: RTO 4–24 Stunden; I_Verf=5 inakzeptabel als Restrisiko.

• Compliance: I=4 nur temporär mit Abhilfemaßnahmen; I=5 inakzeptabel.

• Sicherheit: Nulltoleranz unverändert.

• Umwelt: I=4 nur temporär; I=5 inakzeptabel.

• Annahmebefugnis: BU-/Bereichsleitung für orange temporär; rot → Geschäftsführung.

• Max. Restrisiko: orange akzeptabel mit Begründung und Monitoring; rot temporär (≤30 Tage) nur wenn kein Sicherheits-/Compliance-Hard-Limit berührt ist.

• Verfügbarkeit: RTO 1–3 Tage; I_Verf=5 temporär nur mit Eskalation und Migrationsplan.

• Compliance: I ≥4 grundsätzlich zu reduzieren; I=5 ausgeschlossen.

• Sicherheit: Nulltoleranz unverändert.

• Umwelt: I=4 akzeptabel temporär; I=5 ausgeschlossen.

• Annahmebefugnis: Abteilungs-/Bereichsleitung; rot nur mit Geschäftsführungszustimmung.

• Max. Restrisiko: orange regulär akzeptabel; rot temporär mit klarer Sunset-Frist (≤60 Tage) und Risikotransparenz.

• Verfügbarkeit: RTO >3 Tage tolerierbar; dennoch SLA-Transparenz gefordert.

• Compliance und Sicherheit: Hard-Limits gelten unverändert (keine Ausnahme bei Nulltoleranz).

• Umwelt: I=5 ausgeschlossen; I=4 temporär mit Abhilfepfad.

• Annahmebefugnis: Abteilungsleitung; rot temporär nur mit Bereichsleitung und Reporting.

• Autorisierungsmatrix: Wer darf welche Risikostufe für welche Dienstklasse wie lange akzeptieren.

• Befristung: Jede akzeptierte Abweichung erhält eine maximale Laufzeit und Reviewzyklen (A: monatlich, B: monatlich/zweimonatlich, C: quartalsweise, D: quartalsweise).

• Kumulrisiken: Summierung gleichartiger Risiken (z. B. mehrere gelbe Verfügbarkeitsrisiken in Klasse A) kann eine Eskalation auslösen.

• Rollen: Risikoeigner (Bewertung, Maßnahmen), Second Line (Methodik, Challenge), Third Line (Audit).

• Daten: Evidenzbasierte Scorings, Versionierung, Pflichtfelder (E, I je Dimension, Begründung, Maßnahmen).

• Qualität: Kalibrierungs-Workshops, Interrater-Checks, Lessons Learned nach Vorfällen.

Die 5×5-Risikomatrix mit mehrdimensionalen Impacts, automatisierter Aggregation und klaren Toleranzen ermöglicht konsistente Entscheidungen, beschleunigt Eskalationen bei kritischen Lagen (insbesondere Personensicherheit) und fokussiert Ressourcen auf wirksamste Maßnahmen. Die Parametrisierung (Schwellen, Hard-Limits, Dienstklassen) sollte jährlich überprüft und anhand von Vorfallanalysen, regulatorischen Änderungen und strategischen Prioritäten fortgeschrieben werden.

Dieses Szenarienkatalog- und Playbook-Set basiert auf unternehmensweiten BCM-Zielgrößen, die für operative Steuerungs- und Produktionsprozesse in cyber-physischen Systemen (OT/IT-gekoppelte Anlagen) gelten.

• Mindestbetrieb (Mindestbetriebsfähigkeit)

• Definition: Aufrechterhaltbare Leistungsfähigkeit während der Störung, um vertragliche, regulatorische und sicherheitsrelevante Anforderungen zu erfüllen.

• Default: 30–50 % Kapazität über manuelle/halbautomatische Verfahren, priorisierte Auftragsabwicklung (kritische Kunden/Produkte, Sicherheitsbestände).

• Definition: Zielzeit bis zur Wiederherstellung des erforderlichen Dienstniveaus.

• Default: Kernprozesse/OT-Steuerung 4 Stunden; unterstützende IT 24 Stunden.

• Definition: Maximal tolerierbarer Datenverlust.

• Default: OT/Leit- und Anlagenmanagement 15 Minuten; Geschäfts-IT 4 Stunden.

• Definition: Ziel-Leistungsniveau, das innerhalb der RTO stabil erreicht werden muss.

• Default: 50 % der normalen Ausbringung, Stabilisierung auf 70 % binnen 48 Stunden.

Für Anlagen mit Sicherheitsfunktionen (SIL/PL) haben Sicherheitsziele Vorrang vor Verfügbarkeitszielen. Die Auslösung des Krisenmanagements erfolgt, wenn MBCO binnen RTO nicht erreichbar ist oder Sicherheitsgrenzen verletzt werden.

• Sicherheitsprinzipien: Safety first, Schutz von Mensch/Umwelt, dann Sachwerte, dann Verfügbarkeit.

• Architekturprinzipien: Segmentierung IT/OT, N+1-Redundanz für kritische Komponenten, „fail-safe“ Default, definierte Degradationsmodi.

• Aktivierung: Playbooks werden durch Incident Commander OT oder BCM-Leitung nach definierten Triggern gestartet.

• Rollen (quer über alle Szenarien)

• Incident Commander (IC) OT

• Technischer Einsatzleiter (TEL) Anlagenbetrieb

• IT/OT-Lead (Netze, Server, Applikationen)

• HSE/Brandschutz

• Facility/Haustechnik

• Kommunikation/PR und Recht/Compliance

• Lieferanten/Servicepartner

• Krisenstab (bei Eskalation)

• Annahmen: Externe Einspeisung fällt ganz/teilweise aus; Dauer unklar (30 Minuten bis >8 Stunden).

• Interne Niederspannungsverteilung intakt; USV/Genset vorhanden.

• Lastmanagement und selektive Abschaltpläne; regelmäßige USV-/Generator-Tests unter Last.

• Wartung der Schaltanlagen; Ersatzteilbevorratung (Leistungsschalter, Steuerungen).

• USV für Leit- und Anlagenmanagement (LAM), Netzwerk, Steuerungen (≥30 Minuten).

• Diesel-/Gasgeneratoren N+1 mit Kraftstoffvorrat ≥24 Stunden; duale Einspeisepfade.

• Degradierter Betrieb: manuelle Bedienung sicherer Teilprozesse; priorisierte Verbraucherlisten.

• Verlagerung kritischer Aufträge an redundante Standorte/Partner.

• IC OT aktiviert Notstromplan; Facility koordiniert Umschaltung.

• Kommunikationskanäle: Betriebsfunk, Notfallmessenger, Satphone als tertiärer Kanal.

• Sequenzielle Zuschaltung nach „Black-Start“-Liste (Netzwerk, LAM, Steuerungen, Feldgeräte).

• Integritätschecks (Spannung, Frequenz, Erdung), Datenbankkonsistenz-Check LAM.

• Halbjährliche Lastabwürfe und Generator-Startübungen im Schichtbetrieb.

• Tabletop-Übung „Long Outage“ (8h) inkl. Kraftstofflogistik.

RTO 2–4 h (LAM/OT-Kern); RPO 15 min; Mindestbetrieb 30 % binnen 60 min via Notstrom; MBCO 50 % binnen 4 h.

• Annahmen

• Ausfall von Server/PLC/Switch/Sensor mit Single-Point-of-Failure-Charakter.

• Härtung kritischer Komponenten, vorausschauende Wartung (Condition Monitoring).

• Konfigurationsmanagement und Images („Golden Images“), Ersatzteilpakete vor Ort.

• Hochverfügbare Cluster (LAM-Datenbank, Applikationsserver), Dual-Homing der Netzpfade.

• Warm-Standby-PLC, redundante Sensorik bei Abschaltsystemen.

• Umschaltung auf Standby-Komponente; manuelle Steuerung über lokale Bedienebene.

• Temporäre Deaktivierung nicht-kritischer Funktionen, um Kernpfade zu stützen.

• IT/OT-Lead führt Root-Cause-Analyse; TEL priorisiert Anlagenteile.

• Meldung an BCM-Leitung bei MBCO-Risiko; Lieferantensupport eskalieren.

• Wiederanlauf: Restore aus Backup/Image; Konfigurationsvergleich, Funktionstests im Simulationsmodus.

• Übungsplanung: Quartalsweise Restore-Drills und PLC-Failover-Tests; „Spare Swap“-Trockenübungen.

• Zielgrößen: RTO 1–2 h (bei HA), 4–8 h (ohne HA); RPO ≤15 min; Mindestbetrieb 70 %; MBCO 80 % binnen 8 h.

• Annahmen: Degradierung/Ausfall von industriellem WLAN/LTE/5G oder Feldbus; Störquelle intern/extern.

• Präventive Maßnahmen: Frequenzplanung, Spektrummonitoring, „Radio Hygiene“, EMV-Härtung.

• QoS-Policies, getrennte SSIDs für kritische Dienste, Funkabdeckungstests.

• Redundanzen: Duale Funktechnologien (WLAN+LTE), kabelgebundene Fallback-Pfade an Hotspots.

• Lokale Autonomie von Edge-Controllern (Pufferung, Store-and-Forward).

• Fallback-Optionen: Wechsel auf Zweitnetz; manuelle Leitwegführung für bewegte Assets (AGVs/FFZ).

• Papierbasierte Auftragslaufkarten; lokale Datenerfassung mit späterem Sync.

• Rollen/Kommunikation: OT-Netzwerkteam mit Funk-SME; HSE prüft Auswirkungen auf sichere Bewegungen.

• Interne Lageupdates alle 30–60 Minuten, externe Kommunikation bei Lieferverzug.

• Wiederanlauf: Störquellenelimination, Kanal-/Power-Rebalancing; Netzstabilitätstest.

• Wiederaufnahme Datenverkehr prioritätsgesteuert (kritische Flüsse zuerst).

• Übungsplanung: Funk-Ausfall-Drills in Peak-Zeiten; Walk-Tests; AGV-Degradationsmodus-Übungen.

• Zielgrößen: RTO 1–4 h; RPO 15–60 min (Edge-Puffer); Mindestbetrieb 50 %; MBCO 60 % binnen 4 h.

• Annahmen: Physische Blockade/Kollision von bewegten Assets (Fahrzeuge, Krane, Fördertechnik).

• Mögliche Personengefährdung und Anlagenschäden, Ermittlungen durch HSE.

• Präventive Maßnahmen: Zonenüberwachung (Lidar, Kameras), Geschwindigkeitslimits, Kollisionsvermeidungssysteme.

• Verkehrs- und Wegekonzepte, Trennung Mensch/Maschine, Schulungen.

• Redundanzen: Redundante Routen/Bypässe, parallelisierte Förderwege, Ersatzfahrzeuge.

• Fallback-Optionen: Umleitung, manuelle Umladung, Notfreigabe von Weichen/Sperren nach 4-Augen-Prinzip.

• Temporäre Auftragspriorisierung, um Engpass zu entlasten.

• Rollen/Kommunikation: TEL übernimmt Unfallstelle; HSE/Brandschutz führt Freigabe durch.

• Kommunikation an Belegschaft zur Zonenräumung; externe Stellen bei Personenschaden.

• Wiederanlauf: Technische Abnahme der Strecke/Ausrüstung; Kalibrierung von Sensorik; schrittweises Hochfahren.

• Übungsplanung: Jährliche Evakuierungs- und Blockade-Beseitigungsübungen; Notfreigabe-Drills.

• Zielgrößen: RTO 2–6 h (ohne Personenschaden), >24 h bei Ermittlungen; RPO n. a.; Mindestbetrieb 40–60 %; MBCO 50 % binnen 6 h.

• Annahmen: Zentrale Leit-/SCADA-/MES-Komponente nicht verfügbar; Feldgeräte teilweise autonom.

• Präventive Maßnahmen: HA-Architektur, geografisch getrennte Knoten, Patch- und Change-Disziplin.

• Applikations-Monitoring, Synthetic Transactions, Lizenz-/Zertifikatsmanagement.

• Redundanzen: Aktive/passive Cluster, Warm-Standby im Sekundärrechenzentrum; Export von Auftragslisten an Edge.

• Fallback-Optionen: Lokale Bedienung über HMI/Panel; Papier-/CSV-basierte Aufträge; Batch-Betrieb.

• Deaktivierung nicht-kritischer Analytik/Dashboards zur Entlastung.

• Rollen/Kommunikation: IT/OT-Lead koordiniert Failover; Applikationseigentümer priorisieren Funktionen.

• BCM-Leitung bewertet Produktionsplanung und Lieferzusagen.

• Wiederanlauf: Failover oder Restore; Datenreconciliation (Aufträge/Bestände), Konsistenzabgleich mit ERP.

• Übungsplanung: Halbjährliche LAM-Failover-Tests; Wiederanlauf mit Datenabgleichsprotokollen.

• Zielgrößen: RTO 2–4 h; RPO 15–30 min; Mindestbetrieb 50 % lokal; MBCO 60 % binnen 4 h.

• Annahmen: Sturm, Eis, Starkregen, Hitze beeinträchtigen Außenanlagen, Logistik, Personalverfügbarkeit.

• Präventive Maßnahmen: Wetterfrühwarnsysteme, Sicherung/Auflastung, Drainagen, Hitzeschutzkonzepte.

• Dienstplan-Reserven, Lieferantendiversifikation, Notquartiere.

• Redundanzen: Alternative Zufahrten/Spediteure; wetterresiliente Infrastruktur (IP66, Heizelemente).

• Fallback-Optionen: Anpassung Takt/Schichten, Remote-Bedienung, Verschiebung nicht-kritischer Arbeiten.

• Umlenkung Transporte, Nutzung Pufferlager.

• Rollen/Kommunikation: HSE/Facility führt Wetterschutzmaßnahmen; HR/Schichtleitung koordiniert Personal.

• Externe Stakeholder-Information bei Lieferverzug/Annahmefensteränderung.

• Wiederanlauf: Sicht-/Sicherheitsprüfung, Reinigung/Enteisung, Kalibrierung betroffener Sensorik.

• Übungsplanung: Saisonale Tabletop-Übungen (Winter-/Sommerbetrieb), Probealarme Frühwarnung.

• Zielgrößen: RTO 4–12 h (je nach Schwere); RPO n. a.; Mindestbetrieb 60 %; MBCO 70 % binnen 12 h.

• Annahmen: Festgestellte Abweichung mit Betriebsrelevanz (z. B. sicherheitsrelevante Normen, Cybercompliance, Produktqualität).

• Präventive Maßnahmen: Interne Audits, Gemba-Walks, automatisierte Compliance-Checks, Schwachstellenmanagement.

• Redundanzen: Duale Prüfpfade, Zweitfreigabeprinzip, unabhängige Kontrollinstanzen.

• Fallback-Optionen: Quarantäne- und Sperrprozesse; Umstellung auf konforme Verfahren/Materialien.

• Isolierter Betrieb betroffener Segmente; temporäre Produktionsdrosselung.

• Rollen/Kommunikation: Compliance/QA führt Bewertung; IC OT setzt Sperren um; Recht/PR für externe Meldungen.

• Meldeschwelle an Aufsichten/Partner gemäß Rechtsrahmen.

• Wiederanlauf: Ursachenanalyse, Korrekturmaßnahmen, Wirksamkeitsprüfung, dokumentierte Freigabe.

• Übungsplanung: Mock-Recall/Mock-Notification, Security-„Purple Team“-Drills, Abweichungsmanagement-Übungen.

• Zielgrößen: RTO abhängig vom Risiko: 4–24 h; RPO n. a./letztvalide Prüfstände; Mindestbetrieb 70 % (außer bei Safety-Risiko 0 %); MBCO nach Freigabeplan.

• Annahmen: Brandereignis oder Rauchausbreitung in definierten Abschnitten; automatische Löschung/Entrauchung aktiv.

• Präventive Maßnahmen: Detektion (EN 54), Brandlastminimierung, Wartung RWA/Sprinkler, heiße Arbeiten nur mit Permit.

• Schulungen Evakuierung/Erstlöschung, klare Fluchtwege.

• Redundanzen: Räumliche Trennung kritischer Assets, Firewalls (baulich), zweite Leitungswege durch andere Abschnitte.

• Fallback-Optionen: Voll-/Teilevakuierung, Verlagerung Betrieb in sichere Abschnitte/Standorte.

• Umschalten auf Notbedienplätze außerhalb des betroffenen Abschnitts.

• Rollen/Kommunikation: Einsatzleitung Feuerwehr/HSE hat Hoheit; IC OT unterstellt; Security koordiniert Sperrung.

• Krisenkommunikation extern/intern nach Freigabe der Einsatzleitung.

• Wiederanlauf: Freigabe nach Brandursachenanalyse; Wiederherstellung Strom/Netz; Reinigung (Korrosion durch Brandgase), Qualifizierung/Validierung betroffener Anlagen.

• Übungsplanung: Jährliche Evakuierungsübungen je Abschnitt, Schnittstellenübungen mit Feuerwehr, Black-Building-Drills.

• Zielgrößen: RTO variiert: sichere Abschnitte 2–8 h, betroffener Abschnitt >72 h; RPO n. a.; Mindestbetrieb 30–60 %; MBCO 50 % standortübergreifend.

Redundanz in Hebe- und Förderprozessen dient der Absicherung gegen funktionale Ausfälle und prozessbedingte Spitzenlasten. Das N+1-Prinzip definiert hierfür den Standard: Für jede funktional notwendige Einheit (N) wird mindestens eine zusätzliche, in der Funktion gleichwertige Reserveeinheit (+1) vorgesehen, die im Ausfall- oder Spitzenlastfall den Betrieb aufrechterhält. Auf Krananlagen übertragen bedeutet dies, dass in ausgewählten Zonen entweder ein zweiter, parallel nutzbarer Kran mit ausreichender Trag- und Durchsatzleistung installiert oder ein belastbarer Fallback (interner Reservekran aus benachbarten Achsen oder externer Miet-/Mobilkran) mit abgesichertem Reaktionsfenster verfügbar ist. Die Aktivierung der Reserve muss organisatorisch, technisch und sicherheitlich vorgeplant sein (Schnittstellen, Stromversorgung, Laufwege, Funkkanäle, Freigabeprozesse).

Das N+1-Prinzip ist nicht flächendeckend wirtschaftlich; es wird zielgerichtet auf kritische Anlagenabschnitte angewendet, in denen Ausfälle unverhältnismäßige Auswirkungen auf Sicherheit, Qualität oder Liefertreue haben und kurzfristig nicht durch Prozesspuffer kompensiert werden können.

• Hohe sicherheitstechnische Relevanz: Lasten über Personenbereichen, Arbeiten in Ex-/ATEX-Zonen, Gefahrstoffumschlag, enge Sicherheitsabstände.

• Fehlende oder sehr geringe Prozesspuffer: Just-in-time-Materialflüsse, kontinuierliche Anlagen (Schmelzen, Aushärtungen), Taktlinien ohne Zwischenlager.

• Single-Point-of-Failure: Nur ein verfügbares Hebezeug für notwendige Prozessschritte (z. B. Werkzeugwechsel, Coilhantierung).

• Hoher Ausfallschaden: Downtime-Kosten pro Stunde überschreiten definierte Schwellenwerte; Vertragsstrafen oder Lieferausfälle drohen.

• Externe Abhängigkeiten: Enges Reaktionsfenster, geringe Verfügbarkeit externer Krane, aufwendige Genehmigungswege.

• Räumliche Restriktionen: Geringe Hallenhöhe, limitierte Verkehrswege, tragfähigkeitskritische Böden, die alternative Hubkonzepte einschränken.

• Regulatorische Zwänge: Vorgaben, die einen kontinuierlichen Betrieb erfordern (z. B. Temperierprozesse, sterile Bereiche).

Eine risikobasierte Bewertung (z. B. qualitative Risikomatrix mit Ausfallwahrscheinlichkeit × Auswirkung) dient der Priorisierung und der Entscheidung, wo N+1 technisch und wirtschaftlich umzusetzen ist.

• Tragfähigkeit (Nenntraglast) für die schwersten sicher zu bewegenden Lastfälle.

• Prozessleistung (Durchsatz in t/h oder Lastspiele/h), um den geforderten Materialfluss während Ausfall- oder Spitzenlastszenarien zu gewährleisten.

• Q_last,max: maximale zu bewegende Nennlast.

• ψ_dyn: dynamischer Zuschlag (typisch 1,1–1,3 je nach Hubgeschwindigkeit/Anfahrverhalten).

• α_anschlag: Zuschläge für Anschlagmittel/Lastaufnahmemittel, Schwerpunktlagen, Lasthöhe (typisch 1,05–1,15).

• α_umgebung: Umgebungsfaktoren (Temperatur, Staub, Wind bei Außenbereichen) mit Einfluss auf zulässige Last (typisch 1,0–1,1).

• Q_prozessspezifisch: normative/qualitative Anforderungen (z. B. Lastreserve für Notablassen, definierte Sicherheitsreserven).

Ergebnis ist die Nenntraglast der Reserveeinheit, die mindestens der so berechneten Größe entsprechen muss.

• Bestimme den erforderlichen Prozessdurchsatz R_req (t/h oder Zyklen/h).

• Definiere das maximal tolerierte Ausfallzeitfenster T_out,max ohne Beeinträchtigung der Liefer- oder Prozessqualität.

• Bestimme die zulässige Erholzeit T_rec für die Abarbeitung des während des Ausfalls entstandenen Rückstands.

• Berechne den Rückstand B = R_req × T_out,max.

• Dimensioniere die Reserveleistung: Wenn die Reserve während des Ausfalls allein arbeitet: P_res ≥ R_req.

• Wenn die Reserve nach Wiederanlauf zusätzlich zum Hauptkran den Rückstand abbauen muss: P_res,peak ≥ R_req + B / T_rec.

Ergänzend sind Hub- und Fahrgeschwindigkeiten, Greif-/Wechselzeiten und Layoutrestriktionen (Wegstrecken) in die Zykluszeit einzurechnen. Wo Lastspiele statt Masseflüsse relevant sind, ist ein äquivalenter Kennwert in Spiele/h anzusetzen; Spitzenlastfaktoren (z. B. Tagesganglinien) werden als Korrekturfaktoren berücksichtigt.

• Q_last,max = 18 t; ψ_dyn = 1,2; α_anschlag = 1,1; α_umgebung = 1,0 → Q_min_reserve ≥ 18 × 1,2 × 1,1 = 23,76 t → Auswahlklasse ≥ 25 t.

• R_req = 60 t/h; T_out,max = 1 h → B = 60 t.

• T_rec = 2 h; Hauptkran nach Ausfall wieder verfügbar → P_res,peak ≥ 60 + 60/2 = 90 t/h.

• Ist Reserve der alleinige Fallback während des Ausfalls, muss P_res ≥ 60 t/h kontinuierlich leistbar sein.

• Auswahllogik (sequenziell zu prüfen): Kritikalität und Reaktionszeit: Erfordert der Prozess Reaktionszeiten < Mobilisierungszeit eines externen Krans? Ja → interner Reservekran präferiert. Nein → externe Option prüfen.

• Technische Eignung intern: Existiert ein Kran im Einflussbereich mit Q ≥ Q_min_reserve und P ≥ P_min_reserve? Ja → interne Reserve mit Fahrwegen/Koppelung möglich? Falls ja, interner Reservebetrieb; falls nur mit Umbauten, Kosten/Nutzen abwägen.

• Räumliche/Konstruktive Randbedingungen: Verbindungsfahrwege, Schienenkompatibilität, Kranbahn- und Hallentragfähigkeit, Kollisionsmanagement gegeben? Wenn nein, externe Option favorisieren.

• Externe Verfügbarkeit: Miet-/Mobilkran mit Q und Auslegergeometrie verfügbar, Mobilisierung < T_out,max oder akzeptiertes T_out? SLA vorhanden? Genehmigungen beherrschbar? Wenn ja, externer Fallback möglich.

• Wirtschaftlichkeit über Lebenszyklus: TCO-Vergleich: CapEx/OpEx interner Reserve vs. SLA-/Einsatztarife externer Krane, einschließlich Trainings-, Prüf- und Stillstandskosten.

• Sicherheits- und Compliance-Fragen: Erfüllt gewählte Option alle Sicherheits- und Freigabeanforderungen im Zielbereich? Nur konforme Optionen zulässig.

• Ergebnisdokumentation: Entscheidung, Szenarien (Ausfall, Spitzenlast), Aktivierungsablauf, Verantwortlichkeiten, Kommunikationswege.

• Hallenhöhe und Einbaugometrie: Hakenwege, Katz- und Kranfahrbereich, Auslegerkinematik (bei Mobilkranen), Mindestabstände zu Einbauten.

• Tragfähigkeit: Kranbahn, Stützen, Dach, Hallenboden (Bodenpressung von Mobilkranen, Lastverteilung/Unterbauplatten).

• Verkehrswege: Zufahrten, Wenderadien, Rampen, Deckenlasten, Sperrungen, interne Logistikflüsse.

• Genehmigungen: interne Hebeerlaubnisse, Brandschutzfreigaben, ATEX-Freigaben, behördliche Genehmigungen für mobile Krane (Straßen-/Flächensperrungen, Nachtarbeit), Umweltauflagen.

• Sicherheitsfreigaben: Sperrbereiche/Personenräumung, Funkkanal- und Not-Aus-Konzepte, Anschlagmittel-Freigabe, Lastwegplanung, Wetterlimits (Außen).

• Betriebliches Zusammenspiel: Verfügbarkeit qualifizierter Kranführer und Anschläger, Schichtabdeckung, Wartungsfenster, Ersatzteilhaltung, Notfallübungen.

• Kritikalitätsanalyse der Anlagenabschnitte und Festlegung der N+1-Zonen.

• Definition Q_min_reserve und P_min_reserve auf Basis Lastkollektiv, Prozessbedarf, T_out,max und T_rec.

• Layout- und Kollisionsstudie; Nachweis Tragsicherheit (Kranbahn, Hallenstruktur, Boden).

• Auswahlstrategie: interner Reservekran vs. externer Fallback; TCO- und SLA-Bewertung.

• Genehmigungs- und Sicherheitskonzept: Sperr- und Freigabeverfahren, ATEX/Brandschutz, Rettungswege.

• Technische Vorbereitung: Energieversorgung, Funk-/Bedienkonzept, Lastaufnahmemittel, Anschlagmittel, Unterbauplatten.

• Operative Vorbereitung: Rollen/Verantwortlichkeiten, Schulung, Einsatz- und Kommunikationspläne, Eskalationspfade.

• Dokumentation: Hebepläne, Risikoanalysen, Prüf- und Wartungspläne, Kontaktlisten (Vermieter, Behörden, Sicherheitsbeauftragte).

• Revalidierung von Q_min_reserve und P_min_reserve anhand aktualisierter Last- und Durchsatzdaten.

• Funktionsproben/Drills des Reservebetriebs inkl. Freigabe- und Kommunikationskette.

• Audit von Genehmigungen und Sicherheitsfreigaben; Aktualität der SLA und Kontaktlisten.

• Sicht- und Funktionsprüfungen der Reserveausrüstung (Krane, Anschlagmittel, Unterbauten).

• Überprüfung Verkehrswege/Zufahrten auf Veränderungen; Bodentragfähigkeitsnachweise erneuern.

• Lessons Learned aus Störungen/Beinaheereignissen einarbeiten; Maßnahmenplan fortschreiben.

• Schulungsstand der beteiligten Personen; Nachschulungen dokumentieren.

• KPIs monitoren: Verfügbarkeit, Reaktionszeiten, Rückstandsabbau, Beinaheunfälle.

Mit dieser strukturierten Redundanz- und Reservekapazitätsstrategie wird das Ausfallrisiko in kritischen Anlagenabschnitten beherrschbar, die Prozessstabilität erhöht und die Einhaltung von Sicherheits- und Compliance-Anforderungen gewährleistet.