Fail-Safe-Philosophie von Aufzugsanlagen

Aus Sicht des Facility Managements lassen sich die Ziele der Fail-Safe-Philosophie in vier Kategorien von Schutzzielen einteilen.

Diese Schutzziele machen deutlich, dass Sicherheit stets vor Betriebsverfügbarkeit geht. Für das Facility Management ergibt sich daraus eine klare Priorität: Die Aufzugsanlage muss jederzeit den gesetzlichen und technischen Sicherheitsanforderungen genügen, selbst wenn dies gelegentliche Nutzungseinschränkungen bedeutet. Zudem muss der Betreiber nachweisen können, dass er alle notwendigen Maßnahmen ergreift, um die Sicherheitseinrichtungen funktionsfähig zu halten – das betrifft insbesondere Dokumentation, regelmäßige Prüfungen und die fristgerechte Behebung von Mängeln.

Antriebssystem und Bremse sind zentral für die sichere Bewegung der Kabine ausgelegt. Ein wesentliches Merkmal ist dabei die fehlersichere Bremse: In modernen Aufzügen wirken die Bremsen federkraftbetätigt (Federspeicher-Prinzip) und werden nur zum Fahren mittels Elektromagneten gelöst. Fällt die Ansteuerung weg – etwa durch Stromausfall, Steuerungsfehler oder Not-Halt – legt die Feder die Bremse automatisch an. Die Kabine wird dadurch zum Stillstand gebracht oder gehalten. Dieses Prinzip stellt sicher, dass auch bei einem Defekt (z. B. Drahtbruch in der Bremssteuerung oder Ausfall der Magnetspule) die Bremswirkung erhalten bleibt.

Für das Facility Management bedeutet das konkret: Jede Situation, in der der Antrieb nicht mehr sicher kontrolliert werden kann, führt zum kontrollierten Stoppen der Anlage. Bei Unregelmäßigkeiten wie z. B. zu großer Abweichung der Solldrehzahl oder einem Fehler im Antriebsregler unterbricht die Steuerung sofort die Fahrfreigabe. In der Praxis äußert sich das meist darin, dass der Aufzug stehen bleibt und eine Störungsmeldung anzeigt. Das FM muss diese Sicherheitsreaktion akzeptieren und entsprechend handeln – also den Aufzug außer Betrieb lassen, bis eine fachkundige Störungsbeseitigung erfolgt ist. Kurz gesagt: Treten am Antrieb oder der Bremse Zweifel an der sicheren Funktion auf, greift die Fail-Safe-Logik und verhindert weitere Fahrten, um Personen- und Sachschäden zu vermeiden.

Die Tragmittel eines Aufzugs (in der Regel Stahlseile oder flache Gurte) sowie die Fangvorrichtungen (Sicherheitsbremsen am Fahrkorb) sind ebenfalls nach dem Fail-Safe-Prinzip konzipiert. Die Tragmittel selbst werden mit hohen Sicherheitsreserven dimensioniert – sie können ein Vielfaches der Nennlast tragen (üblicherweise halten die Seile etwa das 12- bis 16-Fache des maximalen Kabinengewichts). Doch neben dieser passiven Sicherheit gibt es aktive Schutzeinrichtungen: Bei unzulässiger Geschwindigkeit oder bestimmten Fehlverhalten des Tragmittels greift die Fangvorrichtung ein.

Konkret überwacht ein Geschwindigkeitsbegrenzer kontinuierlich die Fahrgeschwindigkeit der Kabine. Wird ein definierter Grenzwert deutlich überschritten (z. B. durch einen abrupten Seilriss oder einen durchgehenden Antrieb), löst er mechanisch die Fangvorrichtung am Fahrkorb aus. Diese bringt den Fahrkorb mittels Klemmkeilen oder Bremsbacken innerhalb kürzester Distanz sicher zum Stillstand, indem sie ihn an den Führungsschienen festklemmt. Selbst wenn die Energieversorgung ausfällt oder die elektrische Steuerung versagt, funktioniert dieser Mechanismus rein mechanisch und daher zuverlässig. Aus Fail-Safe-Perspektive gilt: Erkennt das System eine unplausible Bewegung oder Überschreitung der zulässigen Geschwindigkeit, wird der Aufzug nicht einfach „weiterlaufen“, sondern sofort und automatisch über Fangvorrichtung und Bremse zum Stillstand gebracht.

Für das Facility Management bedeutet dies, entsprechende Prüfungen und Nachweise zu organisieren. Die Fangvorrichtung und der Geschwindigkeitsbegrenzer unterliegen regelmäßigen Prüfungen (z. B. im Rahmen der wiederkehrenden TÜV-Abnahmen wird eine Fangprüfung durchgeführt). FM muss sicherstellen, dass diese Sicherheitseinrichtungen stets intakt sind und alle Prüfnachweise dokumentiert werden. Wichtig: Sollten Hinweise auf Verschleiß an Tragmitteln (z. B. Drahtbrüche an Seilen) oder Störungen in der Geschwindigkeitsüberwachung auftreten, ist unverzüglich zu reagieren – notfalls durch sofortiges Stillsetzen der Anlage –, da hier die zentrale Absturzsicherung des Aufzugs betroffen ist.

Die Türsteuerung und -verriegelung eines Aufzugs folgt konsequent der Fail-Safe-Logik. Nach den geltenden Sicherheitsnormen (z. B. DIN EN 81) darf ein Fahrbefehl nur freigegeben werden, wenn alle Türen sicher geschlossen und verriegelt sind. Jede Aufzugtür besitzt mechanische Verriegelungen und elektrische Sicherheitsschalter, die der Steuerung melden, ob die Tür ordnungsgemäß zu ist. Sind diese Kontakte nicht geschlossen, bleibt der Steuerkreis offen – und der Aufzug fährt nicht. Dieses Prinzip gewährleistet, dass keine Fahrt mit offener Tür oder ungesicherter Schachtöffnung stattfinden kann. Bei Türstörungen – etwa wenn ein Türkontakt wackelig ist, eine Tür nicht vollständig schließt oder die Verriegelung klemmt – reagiert die Aufzugssteuerung „lieber zu streng als zu locker“: Bereits bei mehrdeutigen Signalen oder geringsten Abweichungen versetzt sie die Anlage in Störung und verhindert weitere Fahrten. Aus Sicht der Sicherheit ist das logisch: Es ist allemal besser, der Aufzug verweigert den Betrieb, als dass er mit einer möglicherweise offenen oder nicht verriegelten Tür fährt. Für das Facility Management kann dies bedeuten, dass Türstörungen relativ häufig auftreten (z. B. durch Abnutzung der Kontaktschalter, Verschmutzungen in der Führung oder unachtsame Benutzung durch Nutzer). Diese Stillstände mögen im ersten Moment lästig sein, sind aber eine bewusste Schutzmaßnahme der Fail-Safe-Philosophie. FM sollte daher darauf achten, dass Türprobleme niemals durch Bastellösungen „umgangen“ werden (etwa durch manuelles Überbrücken von Türkontakten, was hochgefährlich und unzulässig wäre). Stattdessen sind Türstörungen umgehend von einer Fachfirma zu beheben und ggf. präventiv durch Justage, Reinigung oder Austausch verschlissener Komponenten zu vermeiden. Kurz: Die Türverriegelungen sorgen dafür, dass die Anlage „lieber nicht fährt“, als mit ungesicherten Türen zu arbeiten – und diese Priorität ist strikt einzuhalten.

Notrufsystem, Notbeleuchtung und Energieversorgung des Aufzugs sind ebenfalls nach Fail-Safe-Grundsätzen ausgelegt. Ihr Ziel ist es, bei einem allgemeinen Stromausfall oder Steuerungsfehler zumindest einen minimal sicheren Zustand für eingeschlossene Personen zu gewährleisten. Konkret verfügen Aufzüge über Notstromversorgungen – meist in Form von Batteriepuffern oder Akkumulatoren – die im Falle eines Netzausfalls bestimmte Kernfunktionen aufrechterhalten. So muss nach den geltenden Normen (z. B. EN 81-20 und EN 81-28) die Kabinenbeleuchtung mit Notstrom mindestens 1 Stunde weiterbetrieben werden können, und das Notrufsystem (die Zwei-Wege-Kommunikation zur Notrufzentrale) muss ebenfalls mindestens für diesen Zeitraum funktionstüchtig bleiben. Dies stellt sicher, dass Personen im steckengebliebenen Aufzug weder im Dunkeln stehen noch ohne Hilfekontakt sind.

• Fail-Safe bedeutet hier: Selbst wenn die Hauptenergieversorgung ausfällt, geht die Anlage in einen sicheren Zustand über: Die Kabine bleibt mit geschlossenen Türen stehen (ggf. greift eine Notabsenkung oder Notfahrt zur nächsten Etage, falls das System dafür ausgerüstet ist), die Innenbeleuchtung schaltet auf Notlicht und bleibt an, und der Notruf kann abgesetzt werden. Moderne Anlagen haben oft automatische Notabsenkungs-Einrichtungen, die die Kabine bei Stromausfall langsam zur nächsten Haltestelle fahren und die Türen öffnen. Falls nicht, verbleibt die Kabine einfach an Ort und Stelle – aber in jedem Fall sind Beleuchtung und Notkommunikation gewährleistet.

• Für das Facility Management folgt daraus: Regelmäßige Funktionsprüfungen der Notfallsysteme sind integraler Bestandteil des Sicherheitskonzepts. Insbesondere die Batterie und Notstromaggregate müssen gemäß Wartungsplan geprüft werden – z. B. regelmäßige Testanrufe des Notruftelefons (automatisch oder manuell) sowie Testabschaltungen der Netzspannung, um die Umschaltung auf Notbeleuchtung zu prüfen. Die Ergebnisse dieser Tests sollten dokumentiert werden. Zudem ist auf rechtzeitigen Batteriewechsel zu achten, da alternde Akkus an Kapazität verlieren. All dies dient dazu sicherzustellen, dass im Ernstfall (Stromausfall, Steuerungsdefekt) die lebenswichtigen Notfallsysteme funktionieren. Ein Versagen der Notrufeinrichtung oder Notbeleuchtung wäre nicht akzeptabel, da es der Fail-Safe-Philosophie zuwiderliefe, welche ja gerade garantiert, dass im Fehlerfall die Insassen geschützt und betreut sind.

Im Normalbetrieb arbeitet der Aufzug innerhalb aller vorgesehenen Parameter und ohne Unregelmäßigkeiten. Alle Türen, Antriebe, Sensoren und Sicherheitseinrichtungen liefern konsistente, erwartungsgemäße Signale. Die Sicherheitskreise sind geschlossen, und die Steuerung gibt Fahrbefehle frei. Für die Nutzer zeigt sich der Betrieb reibungslos: Fahrten finden zügig und ohne Zwischenfälle statt. Die Fail-Safe-Mechanismen bleiben im Hintergrund und treten im Normalfall nicht in Erscheinung – sie sind jedoch permanent aktiv und überwachen die Anlage unauffällig. Man kann sagen: Im Normalbetrieb merkt niemand, dass ein ganzes System von Sicherheitslogiken mitläuft, da keine Situation eintritt, die ein Eingreifen erfordert.

Anders sieht es im Vorwarn- oder Störbetrieb aus: Sobald erste Auffälligkeiten oder Abweichungen von den Normalwerten auftreten, greift die Fail-Safe-Philosophie präventiv ein. Beispiele sind etwa Grenzwertunterschreitungen (z. B. eine Batterie meldet niedrige Spannung), instabile Signale (flatternde Türkontakte) oder sporadische Probleme (gelegentliches Überlastsignal, kurze Unterschreitungen der Sensorauswertung). In solchen Fällen kann die Aufzugssteuerung zunächst Warnungen ausgeben oder einzelne Fahrten einschränken. Häufig schaltet die Anlage auch direkt in einen begrenzten Störbetrieb: Das kann bedeuten, dass der Aufzug zu einer definierten Etage fährt und dort stehen bleibt oder die weitere Benutzung verweigert, bis ein Techniker die Anlage überprüft. Mitunter sind auch zeitweilige Selbstheilungsversuche zu beobachten (z. B. die Steuerung resettiert sich selbst oder versucht eine Kalibrierfahrt), doch wenn die Ursache unklar bleibt, wird letztlich eine Störung angezeigt.

Aus FM-Sicht ist dieser „konservative“ Umgang mit beginnenden Fehlern ausdrücklich gewollt. Das System zieht im Zweifel die sichere Variante – den Stillstand oder die Einschränkung – vor, anstatt einen möglichen Fehler zu ignorieren. Das kann bedeuten, dass ein Aufzug vielleicht einige Male grundlos stoppt, obwohl noch keine akute Gefahr besteht. Dennoch ist dies Teil der Fail-Safe-Strategie: Lieber einmal zu oft angehalten als einmal zu wenig. Das Facility Management muss dementsprechend vorbereitet sein, mit solchen Vorwarn- und Störsituationen umzugehen: Etwa indem es ein Störungsprotokoll führt, die Häufigkeit solcher Zwischenfälle beobachtet und frühzeitig den Wartungsdienst einbindet, bevor aus einer Warnung ein ernster Ausfall wird. Wichtig ist, den Nutzern gegenüber zu kommunizieren, dass solche Unterbrechungen aus Sicherheitsgründen erfolgen und letztlich ihrer eigenen Sicherheit dienen.

In besonderen Fällen kommt es zum Notbetrieb oder zu definierten Evakuierungszuständen. Das sind Situationen, in denen der Aufzug nicht mehr im normalen Automatikmodus für die Allgemeinheit betrieben wird, sondern spezielle Sicherheits- oder Notfallabläufe greifen. Beispiele sind ein Brand im Gebäude, ein längerer Stromausfall, eine schwerwiegende technische Störung oder ähnliche Gefahrenlagen.

Bei einem Brandfall etwa (erkannt durch Brandmeldeanlage oder Rauchmelder im Schacht) schaltet die Aufzugssteuerung gemäß den Brandschutzvorschriften in einen Notmodus: Häufig fährt der Aufzug automatisch zur nächsten vorgesehenen Evakuierungshaltestelle (meist Erdgeschoss oder eine sichere Etage), öffnet dort die Türen zur Entriegelung der Fahrgäste und bleibt außer Betrieb. Die Steuerung verhindert dann weitere Fahrten – angezeigt durch „Außer Betrieb“ oder ein spezielles Brandsymbol. Normativ ist dies z. B. in EN 81-73 („Verhalten von Aufzügen im Brandfall“) festgelegt. Keine normale Nutzung durch die Allgemeinheit ist jetzt mehr möglich. Stattdessen dürfen nur noch autorisierte Personen eingreifen: Bei Standardaufzügen gar niemand (sie bleiben stillgelegt), bei ausgewiesenen Feuerwehraufzügen hingegen kann die Feuerwehr mit einem Schlüssel die Steuerung übernehmen und den Aufzug gezielt im Brandfall nutzen. In jedem Fall sind klare Anzeigen und Anweisungen vorgesehen (z. B. „Im Brandfall Aufzug nicht benutzen“).

Auch andere Notbetriebs-Szenarien folgen dem Fail-Safe-Prinzip. Bei komplexen technischen Störungen kann es einen evakuierungsorientierten Betrieb geben: Beispielsweise schaltet ein Aufzug in den Handsteuerungsmodus, in dem ein Wartungstechniker die Kabine im Schleichgang bewegt, um eingeschlossene Personen zu befreien. Oder im Falle eines Netzausfalls schaltet eine Notstromversorgung ein und ermöglicht begrenzte Fahrten zur nächstgelegenen Etage (falls die Anlage über eine Notfahrsteuerung verfügt). In allen Fällen gilt: Die Nutzung durch ungeschulte Personen wird eingeschränkt oder blockiert, bis die Situation geklärt ist. Nur definierte Rollen – etwa Servicetechniker im Wartungs- oder Inspektionsbetrieb, oder Einsatzkräfte im Notfall – dürfen dann noch Fahrbefehle erteilen, und auch das nur innerhalb sicherer Grenzen.

Die Aufgaben des Facility Managements liegen hier vor allem in der Vorbereitung und Koordination. Das FM muss diese besonderen Szenarien kennen, in Gefährdungsbeurteilungen und Notfallplänen berücksichtigen und mit den zuständigen Stellen (Brandschutzbeauftragte, Feuerwehr, Wartungsfirma) im Voraus abstimmen. Im Ernstfall sorgt das FM dafür, dass niemand Unbefugtes versucht einzugreifen, und dass etwaige Evakuierungsanleitungen oder Notbedienungsanleitungen griffbereit und bekannt sind. Wichtig ist auch, nach einem solchen Ereignis die Anlage erst wieder freizugeben, wenn alle Sicherheitsfunktionen geprüft wurden und die normale Steuerung korrekt arbeitet – andernfalls läuft man Gefahr, die Fail-Safe-Logik durch voreiliges Zurückschalten zu unterlaufen.

• Netz- oder Stromausfall: Wie bereits erwähnt, führt ein plötzlicher Stromausfall dazu, dass die Aufzugskabine stehen bleibt – die Bremse greift durch Federkraft und hält die Kabine an der Stelle. Die Notbeleuchtung schaltet sich ein und das Notrufsystem bleibt aktiv. Viele moderne Anlagen verfügen über einen Auto-Notfahrbetrieb mittels Batterie, sodass die Kabine kontrolliert in den nächsten Stock fährt und die Türen öffnet. Falls nicht, verbleiben die Personen im Fahrkorb, bis die Energie zurückkehrt oder sie manuell befreit werden. Wichtig: In jedem Fall verhindert die Fail-Safe-Auslegung unkontrollierte Bewegungen (kein Absturz, kein unkontrolliertes Weitergleiten).

• Tür- und Verriegelungsstörungen: Wenn eine Schachttür oder Kabinentür nicht korrekt schließt oder ein Türkontakt defekt ist, wird typischerweise sofort die Fahrt unterbrochen bzw. gar nicht erst gestartet. Der Aufzug verweigert den Betrieb und zeigt eine Störung an (oft erkennbar an Meldungen wie „Türstörung“). Die Kabine bleibt meist an der letzten Haltestelle stehen oder fährt sie noch kontrolliert an, jedoch ohne weitere Befehle anzunehmen. Für das FM bedeutet dies, dass umgehend den Betrieb und zeigt eine Störung an (oft erkennbar an Meldungen wie „Türstörung“). Die Kabine bleibt meist an der letzten Haltestelle stehen oder fährt sie noch kontrolliert an, jedoch ohne weitere Befehle anzunehmen. Für das FM bedeutet dies, dass umgehend der Wartungsdienst informiert werden muss, während man die Nutzer beruhigt und alternative Wege im Gebäude aufzeigt. Keine Fahrt darf erfolgen, solange die Türsicherheit nicht wiederhergestellt ist.

• Fehler in der Positions- oder Geschwindigkeitsüberwachung: Sollte die Sensorik, die den Standort der Kabine und ihre Geschwindigkeit erfasst (z. B. Magnetschalter am Schacht, Encoder am Antrieb oder Lichtschranken), widersprüchliche oder ungültige Werte liefern, reagiert die Steuerung mit einem Stopp. Die Software erkennt, dass sie der Zustand – oft mit einer spezifischen Fehlernummer. Die Kabine wird angehalten, bevor es zu einer Fehlfahrt (z. B. Überfahren einer Haltestelle) kommt. Hier zeigt sich die Fail-Safe-Logik deutlich: Lieber bleibt der Aufzug stehen, als dass er unkontrolliert fährt, wenn „nicht mehr klar ist, wo er ist“. Das FM sollte solche Fehlercodes dokumentieren und an den Service weitergeben. Bis zur Prüfung bleibt der Aufzug außer Betrieb.

• Steuerungsanomalien und sonstige technische Defekte: Darunter fallen z. B. Überhitzung der Antriebssteuerung, Kommunikationsfehler zwischen Steuerung und Antrieb, fehlerhafte Logikmodule oder auch Überlastmeldungen. In all diesen Fällen ist gemeinsam, dass die Anlage sich in einen Störungszustand versetzt: Der Hauptantrieb wird abgeschaltet, die Kabine – falls möglich – kontrolliert angehalten, und die Störung wird angezeigt. Ein Notruf kann weiterhin abgesetzt werden, falls Personen eingeschlossen sind. Anstatt also trotz eines Steuerungsfehlers weiterzufahren und Schlimmeres zu riskieren, setzt das System sich selbst außer Betrieb. Für das FM bedeutet dies routinemäßig: die Fachfirma (Aufzugswartung) informieren, ggf. einen Notdienst rufen wenn Personen eingeschlossen sind, und die Umgebung informieren (z. B. dies routinemäßig: Hinweisschild „Außer Betrieb“ anbringen). Außerdem sollte intern festgehalten werden, welcher Defekt vorlag und wie er behoben wurde, um bei wiederholtem Auftreten entsprechend reagieren zu können.

Zusammenfassend ist allen diesen Ausfallszenarien gemein, dass der Aufzug bei Problemen immer in den sicheren Stillstand oder Notbetrieb wechselt. Es gibt keinen „Mut zur Lücke“ – im Zweifel wird gestoppt. Das Facility Management muss darauf vorbereitet sein und die entsprechenden Prozesse (Notbefreiung, Information der Nutzer, Reparaturbeauftragung) klar definieren. Lieber steht ein Aufzug für einige Stunden still, als dass ein unentdeckter Fehler zu einem Unfall führt.

Herzstück der Aufzugssicherheit ist der Sicherheitskreis – ein geschlossener Stromkreis, in den alle sicherheitsrelevanten Schalter und Sensoren eingebunden sind. Hierzu gehören beispielsweise die Türkontakte, die Fangvorrichtungsauslösung, Endschalter am oberen und unteren Schachtende, Not-Halt-Schalter, Überlastsensoren und ähnliche Einrichtungen. All diese sind in Reihe (hintereinander) geschaltet, meist in Form von Öffner-Kontakten (NC, normally closed), die im Normalzustand geschlossen sind. Fällt nun einer dieser Kontakte aus oder öffnet aufgrund eines Fehlers/Events, wird der gesamte Sicherheitskreis unterbrochen. In der Aufzugssteuerung führt das sofort dazu, dass die Fahrfreigabe entzogen wird: Die Hauptschütze fallen ab, der Antrieb bekommt keinen Strom mehr, und der Aufzug bleibt stehen. Dieses Prinzip bezeichnet man auch als Zwangslogik oder Zwangssteuerung: Der Aufzug darf nur fahren, wenn alle Sicherheitsbedingungen erfüllt sind – sobald auch nur eine Bedingung nicht erfüllt ist, wird der Betrieb zwangsweise gestoppt.

Nicht der Fehlerfall muss aktiv erkannt und gemeldet werden, sondern der Normalfall muss permanent positiv bestätigt werden (durch geschlossene Stromkreise). Sobald diese Bestätigung ausbleibt, geht die Anlage in den Stopp-Zustand. Dieses bewährte Konzept stellt sicher, dass auch Verkettungen von Fehlern oder ungewöhnliche Störungen zuverlässig zu einem sicheren Halt führen. Beispielsweise würde ein Kabelbruch an einem Türkontakt vom System genauso behandelt wie eine tatsächlich offene Tür – in beiden Fällen öffnet sich der Stromkreis, und der Aufzug wird angehalten, bevor er zur Gefahr werden kann.

Für die Betreiberorganisation (FM) ist es wichtig zu wissen, welche Komponenten alle an diesem Sicherheitskreis hängen. Denn wenn eine Meldung „Sicherheitskreis geöffnet“ erscheint, muss systematisch überprüft werden, welcher Kontakt ausgelöst hat. Bei wiederholten Störungen ohne klaren Befund sollte man alle betreffenden Sicherheitsfunktionen inspizieren lassen. Außerdem sollte das FM niemals eigenmächtig Brückenstecker einsetzen oder den Sicherheitskreis manipulieren, um eine Fahrt zu erzwingen – das wäre ein grober Verstoß gegen die Sicherheitsphilosophie und gesetzlich unzulässig. Die Zwangslogik ist der Garant dafür, dass „Aufzug fährt nur, wenn alles sicher“ – und diese Regel darf nicht umgangen werden.

Moderne Aufzugssteuerungen verfügen über umfangreiche Selbstüberwachungs- und Diagnosefunktionen. Das heißt, die Software prüft kontinuierlich den Zustand vieler Komponenten und Sensoren auf Plausibilität. Treten Abweichungen auf, werden Fehlercodes oder Störmeldungen generiert, die meist auf einem Display im Schaltschrank oder sogar fernübertragbar angezeigt werden. Aus Fail-Safe-Sicht ist wesentlich, dass die Steuerung im Zweifel eine sicherheitsorientierte Reaktion einleitet: Sie lässt den Aufzug eher anhalten und gibt einen Fehlercode aus, als die Anlage „weiterprobieren“ zu lassen. Zum Beispiel überwacht die Steuerung die Dauer von Türschließvorgängen – braucht die Tür länger als normal zum Schließen (etwa wegen eines Hindernisses oder Sensors, der nicht rückmeldet), bricht sie den Fahrbefehl ab und meldet eine Störung, statt einfach loszufahren. Ebenso werden die Positionserfassungssysteme oft doppelt geprüft (Redundanz oder Quervergleich); stimmt etwas nicht überein, wird sofort gestoppt.

Für das Facility Management ist eine strukturierte Erfassung und Auswertung dieser Meldungen zentral. Jede Störungs- oder Fehlermeldung, die die Anlage ausgibt, sollte nicht nur quittiert, sondern auch dokumentiert und beurteilt werden. Viele Anlagen senden wichtige Alarmmeldungen heute direkt an eine Leitstelle oder in die Gebäudeleittechnik – das FM muss sicherstellen, dass diese Informationen nicht verloren gehen. Insbesondere Wiederholungen von Fehlern sind ein Alarmzeichen: Wenn beispielsweise innerhalb eines Monats mehrfach „Türzone nicht gefunden“ oder „Überdrehzahlschutz ausgelöst“ gemeldet wurde, ist das ein Hinweis auf ein tieferliegendes Problem. Ein einmaliger Fehlercode mag ein Ausrutscher sein, aber Muster müssen erkannt werden. Daher sollte das FM entweder Zugang zu den Diagnoseprotokollen der Steuerung haben oder vom Wartungsdienst regelmäßig Berichte erhalten.

Im Sinne von Fail-Safe bedeutet all dies, dass die Technik sich selbst kritisch überwacht und lieber früh und deutlich einen Fehler deklariert, als leise mit einem latenten Problem weiterzulaufen. Diese Philosophie muss auch in der FM-Organisation gelebt werden: Lieber eine Störungsmeldung mehr ernst nehmen und analysieren, als eine zu ignorieren, die später zu einem Unfall führen könnte.

Die Schnittstellen zur Gebäudeleittechnik (GLT), zu einer Leitstelle und zum Notrufsystem sind so gestaltet, dass sie die Fail-Safe-Philosophie unterstützen. Alle sicherheitsrelevanten Ereignisse werden klar und möglichst unübersehbar gemeldet. In der GLT oder auf dem zentralen Leitstand des Objekts sollten z. B. unterschiedliche Alarme erkennbar sein: „Aufzugsstörung“, „Person eingeschlossen“, „Brandfallsteuerung aktiv“ etc., damit jeweils die richtigen Maßnahmen eingeleitet werden. Ein einfacher Sammelalarm wäre unzureichend – die Informationen müssen differenziert ankommen. Insbesondere Notruf-Ereignisse (wenn also ein Fahrgast den Notruf betätigt oder ein automatischer Alarm im Eingeschlossenen-Fall ausgelöst wird) haben oberste Priorität: Sie müssen unverzüglich an eine ständig besetzte Stelle gemeldet werden, typischerweise eine externe Notrufzentrale, die rund um die Uhr reagieren kann. Das Zusammenspiel zwischen Aufzugssteuerung und diesen Schnittstellen ist daher oft mehrfach redundant: Ein Notruf geht z. B. per Telefonleitung nach draußen, gleichzeitig kann ein Alarm in der Gebäudeleittechnik erscheinen, und ggf. wird eine SMS/E-Mail an den zuständigen Techniker geschickt.

Unklare Zustände – also Meldungen, die auf mögliche Sicherheitsprobleme hinweisen, aber nicht eindeutig sind – führen zu gezielten Maßnahmen durch die FM-Organisation. Beispielsweise könnte die GLT einen Alarm „Sicherheitskreis öfter offen“ verzeichnen oder „Notruf Batterie schwach“. In solchen Fällen sollte das FM proaktiv handeln: Den Aufzug vorsorglich sperren, bis zur Überprüfung kein Publikumsverkehr zulassen, oder zumindest einen Techniker für eine Kontrolle entsenden, bevor die Anlage wieder normal läuft. Die Leitstelle (sei es ein interner Sicherheitsdienst oder ein externer Notrufdienst) muss in klaren Prozessen eingebunden sein: Wer alarmiert wen, wer hat wann Berechtigung, den Aufzug abzuschalten oder wieder in Betrieb zu nehmen, wie wird dokumentiert, dass Maßnahmen ergriffen wurden etc.

Für das FM bedeutet dies organisatorisch: Es ist vorab festzulegen, welche Rolle auf welche Meldung wie reagiert. Beispielsweise: Erhält der Wachdienst nachts einen „Aufzug Störung“-Alarm, informiert er den Bereitschaftstechniker; bei „Person eingeschlossen“ alarmiert er zusätzlich sofort den Notdienst der Wartungsfirma und ggf. die Feuerwehr, falls vertraglich vorgesehen. Bei Brandfallalarm wiederum greift ein vordefinierter Evakuierungsplan. All diese Schnittstellenprozesse sind so abzustimmen, dass die Fail-Safe-Logik nicht ausgehöhlt wird – d. h., es darf keinen Ablauf geben, der aus Komfortgründen eine Sicherheitsmeldung ignoriert. Stattdessen müssen alle externen Reaktionen den Sicherheitsprioritäten folgen: Störungen prüfen bevor Inbetriebnahme, Notrufe sofort retten, und im Zweifel Menschen vor Anlagenverfügbarkeit stellen.

Eine technische Sicherheitseinrichtung ist nur so wirksam wie die Organisation, die dahintersteht. Deshalb übersetzt das Facility Management die technische Fail-Safe-Philosophie in klare betriebliche Abläufe, Rollen und Verantwortlichkeiten. Zunächst muss der Betreiber – im Kontext Aufzüge oft der Eigentümer oder die verwaltende Organisation – dafür sorgen, dass für den Aufzug verantwortliche Personen benannt sind. In der Praxis wird häufig ein Aufzugswärter oder eine „beauftragte Person“ bestimmt, die vor Ort die Anlage im Auge behält und als Ansprechpartner dient. Außerdem gibt es vertraglich das Wartungsunternehmen, das für die regelmäßige Instandhaltung und Störungsbeseitigung zuständig ist, sowie die Notruf-Leitstelle, die 24/7 Notrufe entgegennimmt und Befreiungsmaßnahmen einleitet.

Die Fail-Safe-Philosophie verlangt von der Organisation nun, dass Sicherheit immer Vorrang hat. Das spiegelt sich in Entscheidungswegen wider: So sollte z. B. festgelegt sein, dass jedes sicherheitskritische Problem (z. B. wiederholtes Auslösen des Sicherheitskreises oder ein Prüfmangel vom TÜV mit dem Vermerk „gefährlicher Mangel“) umgehend an höherer Stelle eskaliert wird und nötigenfalls zur sofortigen Außerbetriebnahme führt, bis das Problem gelöst ist. Es darf keine Grauzone geben, in der jemand aus Zeitdruck sagt „Lass den Aufzug trotzdem noch laufen“. Hierfür müssen Zuständigkeiten klar verteilt sein: Wer darf den Aufzug sperren? Wer darf ihn nach einer Störung wieder freigeben (und unter welchen Voraussetzungen, z. B. nach erfolgter Reparatur oder Prüfung)? Wer informiert die Nutzer oder Mieter über Sicherheitsmaßnahmen? Im Idealfall erstellt das FM ein Betriebskonzept oder eine Betriebsanweisung für die Aufzugsanlage, in der all diese organisatorischen Punkte geregelt sind.

Ein wichtiger Aspekt ist auch die Erreichbarkeit und Reaktionszeit: Fail-Safe bedeutet zwar, dass die Anlage sicher stehen bleibt – aber eingeschlossene Personen müssen trotzdem möglichst schnell befreit werden. Daher organisiert das FM einen Notdienst (entweder intern oder über die Wartungsfirma), der im Notfall kurzfristig vor Ort sein kann. Die Verantwortlichkeiten nach BetrSichV verlangen z. B., dass innerhalb von 30 Minuten mit der Befreiung begonnen wird. Die Betreiberorganisation muss dies sicherstellen. Das kann bedeuten: einen 24/7-Bereitschaftsvertrag mit dem Serviceanbieter, Schulung von eigenem Personal für einfache Befreiungen, und klare Kommunikationswege über die Notrufzentrale. Insgesamt sorgt das FM mit seiner Organisationsstruktur also dafür, dass die Fail-Safe-Philosophie nicht nur technisch vorhanden ist, sondern im Betriebsalltag durch menschliches Handeln ergänzt wird – stets im Sinne der Sicherheit der Benutzer.

Die Fail-Safe-Funktionalität eines Aufzugs ist nur so zuverlässig wie ihr Pflegezustand. Daher stellt das Facility Management sicher, dass Wartungen, Prüfungen und Tests konsequent und fachgerecht durchgeführt werden.

• Regelmäßige Wartung der Anlage durch qualifizierte Fachfirmen nach Herstellervorgaben und Norm (DIN EN 13015). Üblich sind monatliche bis vierteljährliche Wartungsintervalle je nach Aufzugsart und Nutzung. Dabei werden sicherheitsrelevante Bauteile gereinigt, justiert und bei Bedarf ausgetauscht, bevor sie versagen.

• Fristgerechte Durchführung wiederkehrender Prüfungen durch eine zugelassene Überwachungsstelle (z. B. TÜV oder DEKRA). In Deutschland verlangt die Betriebssicherheitsverordnung in der Regel alle 2 Jahre eine Hauptprüfung und dazwischen Zwischenprüfungen. Das FM koordiniert diese Termine und sorgt dafür, dass der Aufzug zur Prüfung vorbereitet ist (inklusive Bereitstellung DEKRA). In Deutschland verlangt die Betriebssicherheitsverordnung in der Regel alle 2 Jahre eine Hauptprüfung und dazwischen Zwischenprüfungen. Das FM koordiniert diese Termine und sorgt dafür, dass der Aufzug zur Prüfung vorbereitet ist (inklusive Bereitstellung von Prüflasten, Schaltplänen, Prüfbuch etc.). Prüfpunkte wie die Fangvorrichtung, Notruf, Notbeleuchtung und sämtliche Sicherheitsschalter werden hier intensiv getestet.

• Gezielte Tests von Notruf, Notbeleuchtung und Sicherheitsfunktionen auch zwischen den Wartungen. Beispielsweise sollte der zweijährliche TÜV-Termin nicht der einzige Moment sein, an dem die Fangbremse betrachtet wird. Das FM kann etwa vierteljährliche Notruftestfahrten ansetzen oder den Aufzugswärter anweisen, monatlich die Notbeleuchtung probeweise einschalten zu lassen. In manchen Gebäuden wird auch einmal jährlich ein kontrollierter „Notfalltest“ durchgeführt, bei dem ein Simulationsszenario (z. B. Stromausfall) durchgespielt wird, um zu prüfen, ob alle Notfallsysteme wie vorgesehen reagieren.

• Konsequente Abarbeitung von Mängeln, insbesondere wenn sie Sicherheitskreise betreffen. Jede Wartung oder Prüfung bringt eventuell Mängel ans Licht – seien es kleine (z. B. Leichtgängigkeit einer Tür nachstellen) oder große (z. B. Riss in einem Seil, defekte Puffer im Schachtgrund). Das FM muss sicherstellen, dass festgestellte Mängel zeitnah behoben werden. Kritische Mängel, die die Sicherheit beeinträchtigen, haben dabei absolute Priorität und führen ggf. zur sofortigen Stilllegung, bis behoben. Weniger kritische werden in einem Terminplan nachverfolgt. Wichtig ist die Dokumentation: was wurde bis wann erledigt und von wem freigegeben.

Durch diese Maßnahmen hält das Facility Management die Fail-Safe-Einrichtungen wirksam. Denn es gilt: Nur ein gut gewarteter Aufzug ist ein sicherer Aufzug. Viele Fail-Safe-Mechanismen greifen im Notfall nur dann zuverlässig, wenn sie zuvor ordentlich instand gehalten wurden (Beispiel: Eine verklemmte Fangvorrichtung durch fehlende Schmierung könnte im Ernstfall nicht auslösen – daher Wartung!). Ebenso fordert die Compliance, all diese Tätigkeiten nachweisbar durchzuführen – was wiederum in Audits oder bei Haftungsfragen entscheidend sein kann.

Im Facility Management wird jede Störung nicht nur als einmaliges Ereignis gesehen, das es zu beseitigen gilt, sondern auch als Informationsquelle. Ein professionelles Störungsmanagement geht daher über die akute Reparatur hinaus: Es beinhaltet die Analyse und Auswertung der Fehler, um daraus zu lernen und Verbesserungen abzuleiten – das Prinzip „Lessons Learned“.

Konkret bedeutet das: Das FM führt eine Historie oder Datenbank, in der alle Aufzugsstörungen mit Datum, Art der Störung, Ursache und ergriffenen Maßnahmen festgehalten werden. Wenn sich über die Zeit Muster zeigen, wird reagiert.

• Häufige Türstörungen: Tritt z. B. zehnmal im Jahr eine Lichtschranken- oder Türkontaktauslösung auf, deutet das vielleicht auf Fehlbedienung der Nutzer (z. B. Gegenstände klemmen regelmäßig Türen auf) oder einen justierbedürftigen Türschließer hin. Das FM könnte daraus ableiten, die Nutzer durch Hinweise um vorsichtige Benutzung zu bitten, oder veranlasst eine technische Nachrüstung (z. B. robustere Türsensorik, sanftere Schließkurven).

• Wiederkehrende Überlastmeldungen: Wenn oft „Überlast“ gemeldet wird, obwohl der Aufzug nicht voll beladen scheint, könnte das auf eine Fehlkalibrierung des Lastmesssystems hindeuten oder auf ein Nutzungsproblem (vielleicht drücken Mitarbeiter schwere Wagen mit Gewalt hinein). Hier würde man prüfen lassen, ob die Lastmesseinrichtung korrekt eingestellt ist, und parallel eventuell die betreffenden Nutzergruppen sensibilisieren (Schulung zum richtigen Beladen).

• Gleicher Sicherheitskontakt fällt wiederholt aus: Sollte beispielsweise dreimal hintereinander ein bestimmter Endschalter am Schachtkopf auslösen, könnte ein Verschleiß oder Wackelkontakt vorliegen. Das FM würde mit der Wartungsfirma besprechen, ob dieser Schalter ausgetauscht oder die Ursache (z. B. Vibrationen) behoben werden muss, bevor ein gefährlicher Ausfall passiert.

• Störungen zu bestimmten Zeiten oder Umständen: Etwa immer bei Gewitter kommt es zu Ausfällen (Hinweis auf Überspannung) oder im Sommer bei hoher Temperatur häufen sich Antriebsausfälle (Hinweis auf unzureichende Kühlung im Maschinenraum). Solche Zusammenhänge zu erkennen, ermöglicht proaktive Maßnahmen (Blitzschutz verbessern, Lüftung im Maschinenraum optimieren etc.).

Das Lessons-Learned-Prinzip im FM stellt somit sicher, dass aus jedem fast-Vorfall Schlüsse gezogen werden, um die Anlage zuverlässiger zu machen. Dieser kontinuierliche Verbesserungsprozess ergänzt die Fail-Safe-Philosophie ideal: Während das Fail-Safe-System akute Gefahren abwehrt, sorgt die Auswertung der Störungen dafür, dass die Ursachen der Gefahren möglichst reduziert werden. In vielen Organisationen gibt es hierfür regelmäßige Meetings oder Berichte (z. B. Quartalsauswertung der Aufzugsperformance), in denen auch sicherheitsrelevante Vorkommnisse besprochen werden. Ziel: aus Fehlern lernen, bevor größere Probleme entstehen – ganz im Sinne eines vorausschauenden, sicherheitsorientierten Facility Managements.

Um die Fail-Safe-Philosophie im täglichen Betrieb praktisch umzusetzen, sind Dokumentation und Schulung unverzichtbar.

Das FM hält alle relevanten Unterlagen der Aufzugsanlage auf aktuellem Stand. Dazu gehören u. a. Anlagendatenblätter, Schaltpläne, die Betriebsanleitung des Herstellers und ggf. besondere Sicherheitshinweise (z. B. Rettungsanleitungen). Ebenso werden ein Wartungsbuch bzw. Prüfbuch geführt, in dem alle Wartungen, Prüfungen, Änderungen und Störungen nachvollziehbar eingetragen sind. Diese lückenlose Dokumentation dient mehreren Zwecken: Sie beweist gegenüber Aufsichtsbehörden und Versicherungen die regelkonforme Instandhaltung (wichtig für Compliance und Haftung, siehe Schutzziel „Haftung und Compliance“), und sie bietet dem technischen Personal jederzeit Einblick in den Anlagenzustand. Im Störungsfall kann ein Techniker anhand der Unterlagen z. B. sofort sehen, welche Komponenten zuletzt Probleme bereiteten oder wann welcher Teil ausgetauscht wurde. Auch Änderungen an der Fail-Safe-Konfiguration – z. B. eine geänderte Schaltung im Sicherheitskreis nach Modernisierung – müssen dokumentiert sein, damit niemand im Unklaren über die aktuelle Logik ist.

Neben den Unterlagen ist auch die Schulung von Personal und Nutzern wesentlich. Alle internen und externen Beteiligten, die mit dem Aufzug zu tun haben, sollten die Grundzüge der Fail-Safe-Philosophie kennen und sie nicht aus Bequemlichkeit unterlaufen.

• Facility-Management-Team und Haustechniker: Diese Personen müssen detailliert wissen, wie die Sicherheitsfunktionen des Aufzugs arbeiten. Sie lernen z. B., was die häufigsten Störungsmeldungen bedeuten, wie man im Notfall die Anlage stromlos schaltet, welche Arbeiten sie selbst durchführen dürfen (z. B. Türschachtbeleuchtung wechseln) und wofür zwingend die Fachfirma kommen muss. Besonders betont wird, dass sie niemals Sicherungen überbrücken oder Manipulationen an Sicherheitskontakten vornehmen dürfen – auch dann nicht, wenn etwa ein VIP-Gast im Aufzug festsitzt. Sicherheit geht vor. Sicherheit geht vor.

• Sicherheitsdienst oder Empfangspersonal: In Gebäuden mit Sicherheitsleitstellen oder Concierge müssen auch diese Mitarbeiter geschult sein. Sie sollten die Anzeigen verstehen können (z. B. was tun bei „Notruf aktiv“?), die richtigen Ansprechpartner kennen und vor allem wissen, dass die Aufzugsanlage ihren eigenen Sicherheitsregeln folgt. Beispielsweise darf ein Sicherheitsmitarbeiter nicht eigenmächtig entscheiden, einen Aufzug nach einer Störung wieder einzuschalten, ohne Freigabe durch den Techniker.

• Relevante Nutzergruppen: In bestimmten Einrichtungen (Krankenhäuser, Hotels, Einkaufszentren) gibt es spezielle Anforderungen. Krankenhauspersonal könnte z. B. geschult werden, wie man mit Bettenaufzügen im Notfall verfährt oder was im Brandfall mit den Aufzügen passiert. Hotelpersonal sollte wissen, wie es Gäste beruhigt, falls diese in einer Kabine steckenbleiben, und dass sie nie versuchen dürfen, selbst die Türen aufzubrechen – sondern immer die Notrufkette nutzen. Diese Schulungen schaffen Akzeptanz dafür, dass Aufzüge „sich manchmal verweigern“ – nämlich aus guten Gründen.

Niemand sollte versuchen, die Fail-Safe-Logik „auszutricksen“. Eine häufige Herausforderung in der Praxis ist, dass aus Zeitdruck oder Unverständnis Sicherheitsvorkehrungen übergangen werden – sei es der Hausmeister, der den Aufzugsschacht betritt, ohne die Anlage ordnungsgemäß stillzusetzen, oder der Nutzer, der die Tür aufdrückt, obwohl der Aufzug gleich anfährt. Durch kontinuierliche Aufklärung und klare Betriebsanweisungen stellt das Facility Management sicher, dass alle Beteiligten die Fail-Safe-Philosophie als bewusstes Sicherheitskonzept verstehen und unterstützen. So wird der Aufzug nicht nur technisch, sondern auch organisatorisch „ausfallsicher“ betrieben – im Sinne von maximaler Sicherheit für alle.