- Risikograph
-
Sicherheitssysteme sind aktive oder passive Anlagenkomponenten, die technische Anlagen für den Menschen sicher machen sollen.
Von Maschinen, Anlagen und allen anderen technischen Einrichtungen gehen Gefahren für den Menschen aus. Dabei sind oft nicht nur die Betreiber, sondern auch Wartungspersonal oder Unbeteiligte direkt oder indirekt gefährdet. Dabei hängt die Gefährdung sowohl von der Art und Funktionsweise der Maschine oder Anlage, als auch von dem Verhalten der Person ab. Zu den besonders gefährlichen Maschinen gehören beispielsweise Sägen oder Pressen, an denen sich eine Person schwerwiegend verletzen kann. Um den Menschen vor allen Gefahren zu schützen, dürfen derartige gefahrvolle Maschinen oder Einrichtungen nur mit geeigneten Schutzeinrichtungen betrieben oder gewartet werden. Oftmals schützt man Personen durch ein Schutzgitter, das jeglichen Zugang verwehrt. Derartige Gitter (oder Zäune) helfen nur während der Betriebsphase der Maschine. Doch während die Maschine mit Material versorgt wird, diese justiert oder gereinigt wird, kommt der Mensch mit gefährlichen Stellen in Berührung. Hier muss man sich stets darauf verlassen können, dass die Maschine u. a. nicht unerwartet anläuft und damit zu einer möglichen Verletzung der Person führt.
In der Regel werden Maschinen oder Anlagen mit elektrischen oder elektronischen Systemen gesteuert. Diese Systeme sind letztlich dafür verantwortlich, dass der Mensch keine Gefahr eingeht. An die Systeme werden daher gewisse Anforderungen gestellt, die sich aus dem Risiko ergeben, das für die involvierte Person besteht.
Um die Gefahren einer Maschine oder Anlage einstufen zu können, wird eine Gefahrenanalyse durchgeführt und zur Beurteilung des Risikos wird seit mehreren Jahrzehnten der Risikograph angewendet.
Inhaltsverzeichnis
Gefahrenanalyse
„Der Hersteller ist verpflichtet, eine Gefahrenanalyse vorzunehmen, um alle mit der Maschine verbundenen Gefahren zu ermitteln. Er muss die Maschine dann unter Berücksichtigung seiner Analyse entwerfen und bauen.“ (EG-Richtlinie 98/37/EG, Anhang I) „Risikobeurteilung ist eine Folge von logischen Schritten, welche die systematische Untersuchung von Gefährdungen erlauben, die von Maschinen ausgehen.“ (EN ISO 14121) Die EN ISO 14121 schreibt die Vorgehensweise für eine Risikobeurteilung wie in folgende Bild dargestellt wird vor.
Der Prozess zur Reduzierung des Risikos ist so oft zu durchlaufen, bis das Schutzziel erreicht und das Gerät oder die Maschine sicher ist. Im Einzelnen sind die folgenden Einzelschritte zu durchlaufen:
- Bestimmung der Grenzen
- Identifizierung der Gefährdung
- Risikoabschätzung
- Risikobewertung
- Dokumentation
Grundsätzlich gibt es zwei verschiedene Vorgehensweisen bei der Gefahrenanalyse:
- Deduktives Verfahren
- Induktives Verfahren
Bei der deduktiven Analyse wird ein Schlussergebnis angenommen und die Ereignisse gesucht, die dieses Schlussereignis eintreten lassen. Bei der induktiven Analyse wird der Ausfall eines Elementes angenommen und das Schlussereignis ermittelt.
Risikographen
Bis zum Ende der 1970er Jahre des vorigen Jahrhunderts gab es für jede Maschine oder Anlage spezifische Sicherheitsmaßnahmen, die zur Erhöhung der Sicherheit empfohlen oder vorgeschrieben waren. Dabei gab es kaum einen Zusammenhang zwischen der verwendeten Technik, dem tatsächlichen Risiko und der möglichen Gefährdung. Erst zu Beginn der Achtziger Jahre etablierte sich eine einheitliche Sichtweise. Anhand des zu erwartenden Risikos einer Maschine oder Anlage erstellte man genaue technische oder organisatorische Forderungen, die eine einheitliche Reduzierung der Gefahr bewirkten.
Das Risiko (R) ergibt sich dabei durch eine Wahrscheinlichkeitsaussage, die die zu erwartende Häufigkeit (H) des Eintritts eines Schadens und das zu erwartende Schadensausmaß (S) nach der folgenden Berechnung berücksichtigt:
Eine der prinzipiellen Methoden, unabhängig vom Maschinentyp, eine geeignete Maßnahme zur Einhaltung der Sicherheit zu finden, besteht darin, das Risiko mittels des Risikographen zu beurteilen.
EN 954-1 Risikograph
Der im Bild dargestellte Risikograph stammt aus der Norm EN 954-1 und beurteilt das Risiko nach mehreren Kriterien:
- S: Schwere der Verletzung
- F (F: frequency): Häufigkeit des Aufenthalts
- P (P: probability): Möglichkeit der Abwendbarkeit
Je nachdem, welche Verletzungen unterstellt werden können, wie oft der Mensch der Gefahr ausgesetzt ist und ob man der Gefahr eventuell entkommen kann, wird die Höhe des Risikos eingestuft. Zur Risikobeurteilung wird die Maschine ohne Schutzeinrichtungen betrachtet. Man beginnt dann am Startpunkt, danach wird festgestellt, welches Verletzungsrisiko vorliegt. Wenn die möglichen Verletzungen geringfügig sind, so wird der Weg S1 eingeschlagen (geringfügige Verletzungen sind reversible Verletzungen, wie beispielsweise kleine Schnittwunden oder Quetschungen). Wenn die Verletzungen dagegen schwerwiegend sind, so muss der Weg S2 gewählt werden (schwerwiegende Verletzungen sind irreversible Verletzungen, die bleibende Schäden hinterlassen; eingeschlossen ist hier auch der Todesfall). Im nächsten Schritt gilt es zu bewerten, wie oft der gefährliche Zustand auftritt, oder wie oft man diesem ausgesetzt ist. Im Falle von F1 kommt der Zustand eher selten vor (z. B. bei einer Wartung, die alle 3 Monate stattfindet). Im Falle, dass die Gefährdung oft oder regelmäßig auftritt, wird F2 gewählt (z. B. eine Person muss sich regelmäßig in die Gefahrenzone begeben). Zum Schluss ist noch die Möglichkeit zu bewerten, ob man die Gefahr erkennen und ihr damit eventuell entkommen kann. Wenn man der Gefahr entkommen kann, so wird P1 angenommen (z. B. eine Maschine läuft langsam an und anfangs sind kaum Gefährdungen möglich). Wenn aber ein Entkommen nahezu ausgeschlossen ist, so muss P2 gewählt werden (z. B. wenn eine Person ein Werkstück in eine Presse legt und diese sich plötzlich schließt).
Ein Beispiel soll die Risikobeurteilung darstellen: An einer Maschine muss eine Person ein Werkzeug wechseln. Wenn die Maschine anläuft, so kann sich die Person schwer verletzen. Nach dem Risikographen ergibt sich folgende Einstufung:
- S2: Schwerwiegende Verletzung (z. B. Verlust eines Fingers)
- F2: Der Werkzeugwechsel wird mehrmals in der Stunde durchgeführt
- P1: Da die Maschine langsam anläuft, kann man der Gefahr entkommen
Nach dem Risikographen der Norm ergibt sich damit eine Einstufung nach Kategorie 3. Der dicke schwarze Punkt sagt aus, dass dieses die bevorzugte Einstufung darstellt. Man kann freilich auch eine Technik wählen, die der Kategorie 4 entspricht (dicker weißer Punkt). Es ist allerdings auch möglich, eine Technik der Kategorie 2 zu wählen, allerdings sind dann zusätzliche organisatorische Maßnahmen notwendig. Um die Maschine (ohne organisatorische Maßnahmen) richtig auszurüsten, ist nach der soeben dargestellten Beurteilung eine Technik zu verwenden, die der Kategorie 3 entspricht. Sie reduziert das Risiko soweit, dass alle Gefahren auf ein erträgliches Maß gebracht werden.
Die hier dargestellte Einstufung führt zu 4 Kategorien. Hinter jeder dieser Kategorien befindet sich eine technische oder organisatorische Maßnahme, die für die Maschine adäquat ist. Damit erhält man eine genaue Vorgabe von Lösungen, die zu einer anzunehmenden Gefährdung passen. Der Risikograph hat sich in ähnlichen Strukturen in allen internationalen Normen etabliert. Beispielsweise stufen die Normen EN 954-1, IEC 61508 oder ISO 13849 das Risiko genau nach derselben Vorgehensweise ein. Allerdings sind innerhalb der genannten Normen die Einstufungen recht unterschiedlich (Kategorien nach EN 954-1, SIL nach IEC 61508 und PL nach ISO 13849, SIL steht für Safety Integrity Level und PL steht für Performance Level, aus dem Englischen „Leistungsgrad“).
Die Risikobeurteilung nach EN 954-1 führt zu einer Einstufung nach 5 Kategorien. Zur Reduzierung des Risikos einer Maschine oder Anlage sind Techniken einzusetzen, die der geforderten Kategorie entsprechen:
- B: Basismaßnahmen sind zu berücksichtigen (z. B. Einhaltung von Qualitätskriterien)
- 1: Bewährte Bauelemente und bewährte Komponenten sind einzusetzen
- 2: Ein regelmäßiger Test der Sicherheitsfunktion muss durchgeführt werden
- 3: Die Technik muss fehlertolerant ausgelegt sein (ein Einzelfehler darf nicht zum Versagen führen und muss erkannt werden, d. h. das Wiedereinschalten ist dann nicht möglich)
- 4: Auch wenn mehrere Fehler in der Technik auftreten, darf die Sicherheitsfunktion nicht versagen
Hinweis: Die Basismaßnahmen sind auch bei den Kategorien 1–4 einzuplanen.
Aus der Einstufung nach EN 954-1 ergeben sich gewisse Sicherheitsstrukturen für die elektrische oder elektronische Steuerung oder Regelung der Maschine oder Anlage.
Die Norm EN 954-1 ist zurück gezogen, hat aber noch eine Übergangszeit im Amtsblatt der EU bis zum 29. Dezember 2009. Bis zu diesem Datum kann ein Hersteller gemäß Maschinenrichtlinie die Konformitätsvermutung mit beiden Normen (d.h. EN 954-1 oder EN ISO 13849-1) nachweisen; ab diesem Datum gilt dann allein die EN ISO 13849-1 zur Konformitätsvermutung.
ISO 13849 Risikograph
Die Norm ISO 13849 ersetzt die Norm EN 954-1. Auch hier gibt es einen Risikographen, der zur Einstufung des Risikos führt:
Bei der Beurteilung wird wie bei der bereits bekannten Norm EN 954-1 vorgegangen. Allerdings führt die Auswertung nicht mehr zu einer Kategorie (wie in der EN 954-1), sondern zu einem PL-Wert (Performance Level). Die Einstufung des PL-Werts geht von a (niedriger Beitrag zur Risikoreduzierung) bis zu e (hoher Beitrag zur Risikoreduzierung). Im Unterschied zu den technischen Anforderungen aus der Norm EN 954-1 lässt die Norm ISO 13849 mehrere Wege zu, einen geforderten PL-Wert zu erreichen. Der Anwender kann daher geeignete Maßnahmen kombinieren, die seinen Vorstellungen am nächsten kommen. Hier können technische Randbedingungen oder Kostengesichtspunkte eine Rolle spielen. Nach wie vor sind festgelegte Sicherheitsstrukturen zu verwenden.
Andere Varianten
Im folgenden ist ein einfacher Risikograph gezeigt, wie er u.a. in der EN 60601 (mit Modifikationen in der Bewertung) verwendet wird:
→Siehe auch: ALARP
Sicherheitsstrukturen
Damit Steuerungen von Maschinen oder Anlagen sicher arbeiten, müssen sie gewissen Anforderungen entsprechen. Hierbei stehen 4 Kenngrößen im Vordergrund, die eine besonders wichtige Rolle bei Bewertung von elektrischen oder elektronischen Sicherheitssystemen spielen:
- Architektur und Struktur des Systems
- Sicherheitssysteme können einkanalig, zweikanalig oder mehrkanalig aufgebaut sein. Während einkanalige Systeme in der Regel auf Fehler mit einem Versagen reagieren, so können zwei- oder mehrkanalige Systeme sich gegenseitig prüfen und eventuelle Fehler erkennen. Die Messgröße für die Architektur ist der HFT-Wert (aus dem Englischen: Hardware Failure Tolerance). Wenn der HFT-Wert 0 ist, so liegt keine Hardwarefehlertoleranz vor und ein beliebiger Fehler kann zum Versagen führen. Eine Zweikanaligkeit (wie die Verwendung von zwei Spannungsprüfern) ist besser als eine Einkanaligkeit
- Diagnosedeckungsgrad
- Sowohl einkanalige als auch zweikanalige (oder gar mehrkanalige) Strukturen können versagen. Wenn man die Funktion der Struktur allerdings regelmäßig testet, so kann man ein Versagen oder einen Defekt erkennen. Freilich muss man schon einen sinnvollen Test durchführen, der auch die Fehler erkennt. Der Diagnosedeckungsgrad (DC: aus dem Englischen Diagnostic Coverage) gibt an, mit welcher Wahrscheinlichkeit die Fehler durch einen Test offenbart werden. Sicherheitssysteme müssen getestet werden, damit man weiß, ob sie noch funktionieren. Dabei hängt der Diagnosedeckungsgrad von der Güte des Test ab. Schlechte Tests decken nur wenige, gute Tests viele oder sogar alle Fehler auf.
- Ausfallrate
- Wenn die Ausfallrate klein ist, braucht man Defekte kaum zu befürchten. Wenn beispielsweise die Ausfallrate für den Spannungsprüfer gleich 0 ist, fällt dieser nie aus (das gibt es zwar nicht, aber man kann das theoretisch einmal annehmen) und er zeigt auch immer die richtige Spannung an. Man braucht kein zweites Gerät und braucht ihn auch nie zu testen. Da das nicht der Praxis entspricht, ist man doch auf ein weitere Gerät oder einen Test angewiesen.
Je niedriger die Ausfallrate von Sicherheitseinheiten ist, desto weniger muss man befürchten, dass ein Ausfall zum Versagen der Sicherheitsfunktion führt. Die Ausfallrate gibt die Anzahl der Ausfälle pro Zeiteinheit an. In der Regel wird ein Maßstab von 1 Ausfall in 109 Stunden gewählt (das ist eine extrem kleine Einheit, da ja nur ein Ausfall in ca. 100.000 Jahren diesem entspricht, dieser Wert wird auch als 1 fit, failure in time bezeichnet).
- Fehler gemeinsamer Ursache
- Hier sind Einflussgrößen gemeint, die sich auf mehrere Systeme gleichzeitig auswirken. Beispielsweise könnte die Spannung in dem Kabel so hoch sein, dass beide Spannungsprüfer überfordert sind und überhaupt nichts mehr anzeigen. Damit hat eine einzige Ursache eine fatale Wirkung auf alle Geräte. Es wäre nun extrem gefährlich, daraus den Schluss zu ziehen, dass das Kabel spannungslos sei. Auch wenn Systeme über zwei oder gar mehrere Kanäle verfügen, diese sogar getestet werden und zudem auch noch selten ausfallen, kann ein einziger bösartiger Einfluss doch alle Systeme beeinflussen oder sogar ausschalten. Bekannt sind in der Elektronik hierbei beispielsweise extreme Spannungspegel (wie Blitzeinschlag), die gleich mehrere Einheiten schlagartig unbrauchbar machen können. Diese Fehler gemeinsamer Ursache (CCF: aus dem Englischen Common Cause Failure) sind stets zu vermeiden.
Ein anschauliches Beispiel soll die Denkweise der Sicherheitstechnik verdeutlichen: Wenn man sich zu Hause an seiner Stromleitung zu Schaffen macht, so sollte man sich zuerst darüber im Klaren sein, dass der Strom abgeschaltet ist, sonst besteht das Risiko eines elektrischen Schlags. Man benutzt daher einen Spannungsprüfer, der eine vorhandene Spannung anzeigt. Wenn dieser keine Spannung signalisiert, so kann man sich an die Arbeit begeben. Allerdings – so denkt man in der Sicherheitstechnik – könnte ja auch der Spannungsprüfer defekt sein und sich doch Spannung in der Stromleitung befinden. Also ist es sinnvoll, einen anderen Spannungsprüfer zu holen und mit diesem ebenfalls die Spannung zu prüfen. Wenn dieser ebenfalls keine Spannung signalisiert, so ist sehr wahrscheinlich wirklich keine Spannung im Kabel. Es sei denn, beide Prüfer sind defekt. Eine endgültige Gewissheit kann man daher nur erhalten, wenn man nun beide Prüfer an eine bekannte Spannung (z. B. eine Batterie) anlegt und damit nachweist, dass sie noch in Ordnung sind. Die hier vorgestellte Vorgehensweise lässt sich in die Sicherheitsstrukturen für sichere Steuerungen und Regelung übersetzen:
Die Sicherheitsstrukturen von Steuerungen und Regelungen verhalten sich ganz ähnlich zu dem vorgestellten Beispiel:
Sie können entweder einkanalig oder zweikanalig ausgeführt sein. Sie werden laufend getestet. Sie enthalten Bauteile oder Komponenten mit niedriger Ausfallrate und es werden besondere Maßnahmen ergriffen Fehler mit gemeinsamer Ursache zu vermeiden.
Normen
- EN ISO 13849-1, Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1: Allgemeine Gestaltungsleitsätze (ISO 13849-1)
- EN ISO 13849-2, Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 2: Validierung (ISO 13849-2)
- EN 62061, VDE 0113-50, Sicherheit von Maschinen - Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme
- IEC 61508, VDE 0803: Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme, Version November 2002, DIN (Kapitel 1–7)
- EN 954-1: Sicherheitsbezogene Teile von Steuerungen (wurde ersetzt durch EN 13849-1)
Literatur
- BGIA: BGIA-Report 2/2008, Funktionale Sicherheit von Maschinensteuerungen – Anwendung der DIN EN ISO 13849 –. Deutsche Gesetzliche Unfallversicherung (DGUV), Sankt Augustin 2008, ISBN 978-3-88383-771-0, Download: [1].
- Josef Börcsök: Elektronische Sicherheitssysteme. Hüthig GmbH & Co. KG, Heidelberg 2004, ISBN 3-7785-2939-0.
- Josef Börcsök: Funktionale Sicherheit Grundzüge sicherheitstechnischer Systeme. Hüthig GmbH & Co. KG, Heidelberg 2006, ISBN 3-7785-2985-4.
- Winfried Gräf: Maschinensicherheit. Vogel-Verlag, Würzburg 2004, ISBN 3-7785-2941-2.
- Peter Wratil, Michael Kieviet: Sicherheitstechnik für Komponenten und Systeme. Hüthig GmbH & Co. KG, Heidelberg 2007, ISBN 3-7785-2984-6.
- Peter Wratil: Speicherprogrammierbare Steuerungen in der Automatisierungstechnik. Vogel-Verlag, Würzburg 1989, ISBN 3-8023-0235-4.
- SICK AG: Leitfaden "Sichere Maschinen". 2008.
Wikimedia Foundation.
