Gefährdungsanalyse vs Risikominderung

Gefährdungs-Analyse vs. Risiko-Minderung

Ein Beitrag von Dr. Uwe-Klaus Jarosch, April 2026

Sowohl im Qualitätsmanagement als auch bei Entwicklern hält sich standhaft die falsche Überzeugung, dass eine FMEA eine Risikoanalyse für das Produkt oder seinen Herstellprozess ist.

Das genau ist eine FMEA nicht.
Aber was ist sie dann?
Und wo kann das Entwicklerteam etwas über Risiken des Produkts im Feld erfahren?

Diese Fragen zu beantworten, ist Ziel dieses Blog-Beitrags.

Die Frage ist bei weitem nicht neu.
Mein Kollege Martin Werdich hat dieses Thema vor 2 Jahren in einem Beitrag seines Magazins „FMEA-Konkret“ behandelt[1].

[1] FMEA Konkret 24-13   S5ff  „Die FMEA ist keine Risikoanalyse“

Da Engineering, QM und Management die FMEA immer wieder als Risiko-Analyse sehen, wurde dieses Thema im April 2026 im Rahmen des DGQ FMEA-Zirkel des Regionalkreis Ostwestfalen- Lippe nochmals aufbereitet und online vorgestellt[2].

[2] Für DGQ-Mitglieder ist ein Mitschnitt des Vortrags und der vollständige Foliensatz in der Mediathek der DGQ-Plus (www.DGQ.de) verfügbar.

Dieser Blog-Beitrag ist eine Zusammenfassung dieses Vortrags.

Zunächst möchte ich ein paar zentrale Begriffe erklären, die im betrachteten Zusammenhang von Bedeutung sind

Gefahr     

beschreibt das Potenzial einer Situation, eines Stoffes, eines Gerätes  (Gefahrenquelle) für den Betroffenen bei Gesundheit, Ausübung einer Tätigkeit, Werten etc. einen Schaden zu verursachen.

Gefährdung     

ist ein Zustand oder eine Situation, in der die Möglichkeit des Eintritts eines Schadens besteht.

Schaden          

ist ein unfreiwilliger Nachteil, ein Verlust oder eine Beeinträchtigung.

Risiko               

beschreibt die Kombination von Wahrscheinlichkeit eines Auftretens  zusammen mit der Schwere der Schadensfolgen für einen benannten potentiellen Schaden.

Risiko-Minderung       

beschreibt die gezielte Analyse von Ursachen und deren Vermeidung und/oder Entdeckung, sodass sich die unerwünschten Schäden mit geringerer Wahrscheinlichkeit, im Idealfall nicht einstellen.

Wenn ich etwas mindern kann, sollte ich wissen, was es ist und wie es bemessen werden kann.

Es gibt unterschiedliche Definitionen für „Risiko“.

In unserem technischen Umfeld sind die oben genannten Kriterien bestimmend.
Aber auch im technischen Umfeld können wir unterscheiden, wie sich Auswirkungen zwischen Technik und Gesellschaft bewerten lassen.
Professor Ortwin Renn [3] hat Ende der 1990er Jahre eine Analogie von Risiko-Typen zu Figuren der griechischen Mythologie aufgebaut und diese Risiko-Typen in das Diagramm der beiden Faktoren Eintrittswahrscheinlichkeit (vertikal)  über Schadensausmaß (horizontal) eingeordnet.

[3] Quelle: Wissenschaftlicher Beirat der Bundesregierung Globale Umweltveränderungen (WBGU)
Jahresgutachten 1998, Kap. C 1.5 S45
Welt im Wandel: Strategien zur Bewältigung globaler Umweltrisiken — Jahresgutachten 1998

In diesem Diagramm sind die Risiko-Typen vom gesellschaftlich akzeptierten Risiko (grün, Normalbereich) über den gelben Grenzbereich bis zum roten Bereich, der nicht akzeptabel ist und daher als Verbotsbereich gilt, eingetragen.

Je kleiner die Akzeptanz für Risiko, um so intensiver muss die Vorsorge durch Risiko-Minderung sein.

Die Begriffe Gefährdung und Risiko unterscheiden sich nur in Nuancen.
Damit wird es zur Erwartung, dass jede Methode, die sich mit Risiken befasst, auch eine Risikobewertung darstellt.
Sowohl in der Gefährdungs-Analyse als auch in der Risiko-Minderung sind Analysen und Maßnahmen relevant.
Das macht eine Verwechslung noch einfacher.

Zudem gibt es Erwartungen: Wenn das Unternehmen so viel Zeit und Aufwand in die FMEA investiert, dann besteht die (falsche) Erwartung, dass daraus eine Aussage zum Risiko für den Kunden abgeleitet werden kann.

Gefährdungs-Analyse

Die Aufgabe, das Risiko des Produkts zum Kunden zu bewerten, kommt der Gefährdungs-Analyse zu:
Was kann mit dem Produkt oder der Dienstleistung beim Kunden passieren?

Methoden wie die Hazard AND Risk Analysis – HARA oder die Ermittlung von SIL-Kategorien [4] für Aufgaben des Produkts beim Kunden sind dafür gestaltet worden. Sie können die Fehlerfolgen beim Kunden einordnen und erlauben, Nebenbedingungen des Auftretens mit zu bewerten.
Die Maßnahmen sind eher methodische Anweisungen denn konkrete Aktionen. Die Gefährdungsanalyse leitet davon auch die nötige Intensität der Maßnahmen ab.

[4] SIL = Sicherheits- Integritäts-Level. Die Bewertung ist auf Funktionale Sicherheit bezogen und bewertet, wie stark Funktionen beim Kunden Gefahr für Leib und Leben betreffen. Im Automobilbereich wird von ASIL für Automotive Safety Integrity Level gesprochen.

In der Gefährdungsanalyse nach  ISO 26262 zur funktionalen Sicherheit wird nicht nur der potentielle Schaden S1 – S3 betrachtet, sondern auch der Umfang von Exposition und Beherrschbarkeit der Situation, die das Schadensausmaß mit bestimmen.

Ähnlich werden mehrere Faktoren berücksichtigt, wenn Gefährdungen im militärischen Bereich nach MIL Std 882E bewertet werden.

Aufgaben der Risiko-Minderung

Um diese Gefährdung, also die Kombination aus potentiellem Schaden und seinem Auftreten gering zu halten, gibt es nach technisch-wissenschaftlicher Erkenntnis am ehesten den Weg, die Ursachen zu ergründen und dann diese Ursachen systematisch in ihrem Risiko im Detail zu mindern.

Diese Risiko-Minderung ist, was wir im Rahmen der FMEA machen.

Im AIAG-VDA FMEA Handbuch von 2019 werden 4 unterschiedliche Risiken erwähnt, die im Rahmen der Projektarbeit auftreten. Nach diesem Handbuch wird die risiko-mindernde Wirkung der D- und P-FMEA nur auf technische Risiken begrenzt.

Das halte ich – mit Verlaub – für viel zu kurz gesprungen. Schon eine konsequente Maßnahmenverfolgung und Bewertungen mit Bezug auf die rechtzeitige Umsetzung – wie gefordert- nehmen neben den technischen auch zeitliche Risiken mit. Und die Bewertung, ob ein Design auch problemlos herstellbar ist, wird wesentlich die Rentabilität der Fertigung beeinflussen.

Lediglich die Bewertung, ob das Produkt im Markt wie gewünscht angenommen wird und für das Unternehmen gesamthaft rentabel ist, kann die FMEA nicht leisten.
Dazu liegen strategische Überlegungen zugrunde, die in Designziele übersetzt dann technisch realisiert werden müssen. Auch hier wirkt die FMEA über die Betrachtung der Umsetzungsdetails risikomindernd.

Schlussendlich wird bei gewinnorientierten Unternehmen ein Risiko nur indirekt über Kundenzufriedenheit und Sicherheit definiert, sondern über den möglichen Verlust von Gewinn = Geld.

Welche Risiken bewertet die FMEA ?

Das Vorgehen bei der Analyse von Struktur, Funktionen und Fehlern ist stufenweise organisiert.

Eine System-FMEA wird die Funktionen des Gesamtprodukts auf Untersysteme und Baugruppen aufteilen und die Konstruktionsaufgabe in der Detailierungsebene mit der Bewertung von Fehlerfolgen vorgeben.

Die Design-FMEA ist dann für die konstruktive Gestaltung zuständig. Als Ergebnis werden Produktmerkmale z.B. auf einer Fertigungszeichnung erwartet, mit der die Ergebnisse bei der Herstellung der Komponente eindeutig vorgegeben sind.

Die Prozess-FMEA nimmt ein vorgegebenes Konzept von Fertigungsfolge, Anlagen und Werkzeugen und analysiert die Prozesslenkung, um sicher zum vorgegebenen Produkt zu kommen. Als Einflüsse sind dann der Zustand von Anlagen und Werkzeugen, die Einflüsse der Menschen im Prozess, die verwendeten Materialien und die Umgebungsbedingungen mit Einfluss auf das Produkt zu betrachten [5]. Diese Prozessparameter müssen im vorgegebenen Zustand gehalten werden.

[5] Typische 4M- Ursachen-Kategorien Mensch – Maschine- Material – Mitwelt

Um die Risiken für das Produkt zum Kunden klein zu halten, werden in allen Schritten die nötigen Entscheidungen bei der Vorbereitung hinterfragt. Alle Entscheidungen müssen dazu berücksichtigt werden, um gesamthaft nach oben die negativen Auswirkungen klein und unter Kontrolle zu halten. Ich spreche gern von einer „Brute-Force“ Methode, da nur die Vollständigkeit der Betrachtung auch eine sichere Risiko-Minderung erzeugt.

Erst die Zellen ganz rechts unten im Bild bringen die Risiko-Minderung.

Eine Risiko-Analyse des Gesamtprodukts kann daraus aber nicht abgeleitet werden, da weder die Vollständigkeit erwiesen, noch Unterscheidungen in der Aufwärtswirkung unterschiedlicher Ursachen durch die Methode gegeben sind. Auch eine Quantifizierung, wie man sie z.B. in der FTA[6] für einzelne Fehler analysiert, sind in der FMEA nicht möglich.

[6] Failure Tree Analysis – die logischen Verknüpfungen werden mit diskreten Werten des Auftretens verknüpft und ergeben daraus numerische Werte für das Auftreten

Wie können Gefährdungs-Analyse und Risiko-Minderung verbunden werden?

Falls eine Gefährdungsanalyse durchgeführt wurde, kann sie zur Kategorisierung von Fehlerfolgen mit genutzt werden. Dies unterstützt dabei Fehlerfolgen sinnvoll einzuordnen. Allerdings ist es in der „traditionellen“ FMEA-Methodik nicht vorgesehen, solche Kategorien detailliert zu berücksichtigen.

In jedem Fall einer gemeinsamen Nutzung muss die Gefährdungsanalyse zuerst durchgeführt werden. Andernfalls sind die Konsequenzen  – die Bewertungen der Bedeutung – in der Minderungsanalyse der FMEA nicht richtig angenommen.

Ich verweise gerne auf den Methodenvorschlag von Prof. Alexander Schloske, die ASIL-Kriterien oder HARA-Einstufung in der Liste der finalen Fehlerfolgen mit aufzugliedern.

Im Bild ist links oben die SIL / ASIL-Bewertung, darunter eine vergleichbare HARA im Militär-Bereich gezeigt. Die Ergebnisse der Gefährdungsanalyse betreffen vorrangig das, was in der FMEA zusammenfassend als B=10: Gefahr für Leib und Leben behandelt wird. Der geklemmte Finger, der schnell wieder heilt, ist aus meiner Sicht anders zu behandeln als ein potentiell tödlicher Unfall. Und es sollte andere Reaktionen in die Entwicklung von Produkt und Prozess auslösen.

Daraus ergibt sich der Vorschlag, die Skala der Bedeutung B entweder in den Stufen 1-10 neu zu verteilen und für untere und mittlere Bedeutungen stärker zusammenzufassen oder die Skala zu erweitern und das heutige B=10  in 5 Stufen aufzuspalten.

Angepasste Bewertungssysteme

Unabhängig von diesem Vorschlag, die Ergebnisse der Gefährdungsanalyse für Gefahr für Leib und Leben stärker zu splitten, besteht die Notwendigkeit, dass jedes Unternehmen den Bewertungskatalog für Bedeutung, Auftreten und Entdecken so gestaltet, wie es für die Entwicklungsabläufe angemessen erscheint.

Ebenso sollte auch das Bewertungssystem unternehmensspezifisch angepasst werden. Wenn B=6 etwas spezifisches bedeutet, A=3 und E = 7 ebenfalls, so sollte auch eindeutig geklärt sein, welche Konsequenzen in der Risiko-Minderung nötig sind.

Wann ist ein Risiko auf Ursachen-Ebene akzeptabel für das Team, für das Unternehmen, wann nicht?

Fazits: 

  • Gefährdungsanalyse und FMEA ergänzen sich.
    • Gefährdungsanalyse schaut auf die Schnittstelle zum Nutzer
    • FMEA fokussiert auf die Erfassung von Ursachen und deren Beherrschung
  • Eine Gefährdungsanalyse / HARA ermittelt, welche Gefahren von dem Produkt / der Situation ausgehen können.
    Und es werden Maßnahmen zur Gefährdungsminderung definiert und verfolgt.
  • Solche Maßnahmen können antizipierende FMEAs für System, Produkt, Prozess während der Entwicklung, vor dem Einsatz sein.
  • FMEAs schauen auf die Details, die Ursachen und sollen Risiken an der Wurzel vermeiden / entdecken.
  • FMEAs messen nicht das verbleibende Risiko für das Produkt oder den Prozess zum Endkunden.

Bleiben sie neugierig

Uwe Jarosch

Kleine Ergänzung:

Hier noch der Link zum Vortrags-Mitschnitt in deutscher Sprache.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Verschlagwortet , , , , , , , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert