Die europäische Maschinenrichtlinie sowie deren nationale Umsetzungen (in Deutschland ProdSG und 9. ProdSV) fordern vom Hersteller von Maschinen als Teil des Konstruktionsprozesses die Durchführung einer Risikobeurteilung. Gegebenenfalls erst nach hinreichenden Maßnahmen zur Risikominderung dürfen nur sichere Maschinen in Europa in Verkehr gebracht werden. Dieser Beitrag zeigt bekannte Verfahren zur Risikobeurteilung auf und stellt diese dem neuen Verfahren HaRMONY gegenüber.
Dr. Volker Rohbeck
Safety Consultant
Leuze electronic GmbH + Co. KG
Betreiber von Maschinenanlagen werden durch die deutsche Betriebssicherheitsverordnung dazu verpflichtet, eine regelmäßig zu wiederholende Gefährdungsbeurteilung durchzuführen. Ziel ist es, gegebenenfalls durch Nachrüsten von Sicherheitstechnik, das Bedien- und Instandhaltungs-Personal von Produktionsanlagen nach dem jeweiligen Stand der Technik zu schützen.
Sowohl die Risikobeurteilung als auch die Gefährdungsbeurteilung beinhalten als wesentliche Schritte
- eine Gefährdungsanalyse: Auflistung aller relevanten Gefährdungen, also potenzieller Möglichkeiten der Schädigung von Personen in jeder Lebens- und Betriebsphase der Maschine(n) wie etwa Automatikbetrieb, Kalibrieren, Reinigen, Reparieren etc.
- eine Risikoeinschätzung: Abschätzen des Risikograds einzeln für jede Gefährdung. Das ist die Kombi-nation aus Schwere einer möglichen Personenschädigung und Wahrschein-lichkeit des Eintretens dieser Schädigung, die zum Beispiel als erforder-licher Safety Performance Level PLr oder erforderlicher Safety Integrity Level SILCL für steuerungstechnische Maßnahmen ausgedrückt werden kann.
Die Grundnorm ISO 12100:2010 beschreibt das iterative Vorgehen zur Minderung von Risiken. Sie schreibt auch die Reihenfolge der Maßnahmen zur Minimierung der Risiken folgendermaßen vor:
- Konstruktive Maßnahmen: Zunächst sind alle Möglichkeiten zur Änderung der Konstruktion einer Maschinen oder des Prozessablaufs auszuschöpfen, um Risiken gar nicht erst entstehen zu lassen.
- Technische Maßnahmen: Erst wenn alle Möglichkeiten der Veränderung der Konstruktion oder des Produktionsflusses ausgeschöpft sind, kommen technische Maßnahmen zum Einsatz. Neben konstruktiv-technischen Maßnahmen wie Schutzzäunen, Klappen, Hauben etc. können das auch steuerungstechnische Maßnahmen wie der Einsatz optischer Schutzeinrichtungen sein.
- Organisatorische Maßnahmen: Bleiben auch nach dem erschöpfenden Einsatz von Schutzeinrichtungen noch Restrisiken oder gibt es am Markt keine geeignete Sicherheitstechnik, müssen Warnhinweise und gegebenenfalls Markierungen an der Maschine angebracht werden. Hersteller müssen in ihren Unterlagen zur Maschine auf diese Risiken aufmerksam machen und können damit die Betreiber der Maschine zur Anwendung personengebundener Maßnahmen verpflichten.
- Personengebundene Maßnahmen: Sind durch Betreiber von Maschinen umzusetzen und umfassen zum Beispiel Gehörschutz, Schutzhelm, Schutzbrille, Handschuhe etc.
Für jede Gefährdung muss das Risiko jeweils vor und nach Maßnahmen eingeschätzt und dokumentiert werden, um die Wirksamkeit der gewählten Maßnahmen nachzuweisen. Dabei genügt es nicht, die Erfüllung der Anforderungen an die oben angeführten PLr beziehungsweise SILCL von steuerungstechnischen Maßnahmen mit geeigneten Tools (z.B. SISTEMA) nachzuweisen, denn konstruktivtechnische, organisatorische und personengebundene Maßnahmen haben keinen PL oder SIL.
In der Regel müssen verschiedene Verfahren zur Bewertung des Risikos von Gefährdungen und zur Ermittlung der erforderlichen steuerungstechnischen Kennwerte angewandt werden. Keines dieser Verfahren ist dabei durch die Maschinenrichtlinie, die Betriebssicherheitsverordnung oder durch eine Norm vorgeschrieben – sowohl bei der Auswahl des Verfahrens als auch bei der Einschätzung der jeweiligen Risikoparameter hat der Anwender die Qual der Wahl – und das macht es nicht einfacher.
Das Risiko einer Gefährdung kann aus folgenden Risikoparametern ermittelt werden, deren Kombination den Risikograd bestimmt:
- S (Severity):Schadensausmaß bei Eintritt einer Schädigung
- F (Frequency) oder E (Exposition): Häufigkeit und Dauer der Anwesenheit von Personen
- O (Occurrence): Wahrscheinlichkeit des Auftretens der Gefährdung
- P (Probablity) oder A (Avoidance):Möglichkeit der Vermeidung oder Minderung einer Schädigung
Mögliche Verfahren zur Risikoeinschätzung sind neben einfachen tabellarischen Verfahren wie etwa das Verfahren nach Nohl unter anderem
- das graphische Verfahren nach ISO 13849–1, Anhang A
- das rechnerische Verfahren nach IEC 62061, Anhang A
- und (weniger bekannt) das rechnerische Verfahren HRN (Hazard Rating Numbers)
die nachfolgend kurz vorgestellt werden.
Das Verfahren nach ISO 13849–1
Abbildung 1 zeigt den in ISO 13849–1:2015 Anhang A verwendeten Risikographen. Als Ergebnis wird jeweils pro Sicherheitsfunktion der erforderliche Safety Performance Level PLr für steuerungstechnische Maßnahmen ermittelt. Der Ansatz erscheint zunächst übersichtlich und einfach. In der Praxis zeigt sich jedoch, dass wenig geübte Personen mangels konkreter Wertebereichsvorgaben für die Risikoparameter Probleme mit der Auswahl zwischen zwei Werten haben und sicherheitshalber zu den höheren Werte x2 tendieren – das kann die Sicherheitstechnik teurer als nötig machen.
Die Bewertung anderer als steuerungstechnischer Maßnahmen ist hier nicht vorgesehen, ebenso wenig wie der Nachweis eines nach Maßnahmen hinreichend geminderten Risikos zur Beendigung des iterativen Verfahrens nach ISO 12100 – als Ergebnis kommt immer ein PLr heraus; das heißt es ist noch etwas zu tun.
Das Verfahren nach IEC 62061
Im Anhang A dieser Norm wird ein rechnerisches Verfahren empfohlen, deren Risikoparameter in Abbildung 2 aufgelistet sind. Statt aus nur zwei möglichen Werten auswählen zu müssen wie im graphischen Verfahren nach ISO 13849–1 stehen hier bis zu fünf Werte pro Parameter zur Verfügung. Vorteilhaft ist auch die Vorgabe konkreter Werte für den Parameter „Häufigkeit“.
Abb. 2: Risikoparameter nach IEC 62061, Anhang A
Aus der Addition der einzelnen Risiko-parameter ergibt sich zunächst die Risikoklasse K:
K = F + P + O
Zusammen mit der Schwere (S) der möglichen Schädigung wird, wie in Abbildung 3 gezeigt, der erforderliche SILCL einer Sicherheitsfunktion ermittelt. Auch mit diesem Verfahren kann der Prozess der Risikominderung rechnerisch nachweisbar nicht in jedem Fall beendet werden. Andere als steuerungstechnische Maßnahmen werden nicht betrachtet.
Hazard Rating Numbers (HRN)
Im rechnerischen HRN-Verfahren werden vergleichsweise viele Bewertungen pro Parameter vorgegeben. Zum Teil werden auch Wertebereiche für die einzelnen Parameter angegeben – der Wert kann also vom Anwender leicht variiert werden. Der Parameter P beziehungsweise A für die Möglichkeit der Schadensvermeidung ist nicht vorgesehen. Stattdessen können Auswirkungen auf mehr als eine Person über den Parameter N berücksichtigt werden. Das ist im Bereich Maschinensicherheit mit der stillschweigenden Annahme von einer oder maximal zwei geschädigten Personen meist nicht nötig, kann in der Prozess- oder Verkehrssicherheitstechnik aber wirksam verwendet werden kann. F bewertet nur die Häufigkeit, nicht aber die Dauer der Gefährdungs-Exposition (siehe Abb. 4).
Abb. 3: Risikograd als SILCL aus Risikoklasse K und Schadensausmaß S nach IEC
Abb. 4: Risikoparameter des HRN-Verfahrens
Der Risikograd R einer Gefährdung wird nun durch Multiplikation der Risikopara-meter ermittelt und anschließend bewertet (siehe Abb. 5):
R = S x N x F x O
Ein großer Vorteil der Multiplikation ist, dass der Risikograd auch dann klein wird, wenn nur einer der unabhängigen Risikoparameter sehr klein wird. Das ist v.a. für die Risikoeinschätzung nach Maßnahme(n) nützlich, wenn durch die Maßnahme(n) nur einer der Parameter, zum Beispiel die Wahrscheinlichkeit des Eintritts einer Gefährdung, stark reduziert wird. Für die Bewertung steuerungstechnischer Maßnahmen fehlt im HRN-Verfahren allerdings die Ableitung eines PLr beziehungsweise SILCL aus dem Risikograd. Darüber hinaus kann nicht jeder Risikoparameter als vernachlässigbar und damit mit quasi Null bewertet werden, um das Restrisiko nach Maßnahmen als hinreichend klein bewerten zu können. Genau das war Anlass für die Weiterentwicklung dieses Verfahrens zu HaRMONY.
Abb. 5: Risikoeinschätzung nach HRN
Das Verfahren HaRMONY
Die zuvor beschriebenen Verfahren zur Risikoeinschätzung im Rahmen der Risikobeurteilung von Maschinenherstellern beziehungsweise der Gefährdungsbeurteilung von Maschinenbetreibern sind für ihren jeweiligen Zweck, der Ermittlung der erforderlichen sicherheitstechnischen Kenngrößen PLr beziehungsweise SILCL für steuerungstechnische Maßnahmen, gut geeignet, zeigen aber Schwächen bei der Anwendung für den gesamten Prozess der Risikominderung nach ISO 12100. Das HRN-Verfahren (Hazard Rating Numbers) erscheint für diesen übergeordneten Prozess geeigneter, liefert aber nicht diese wichtigen steuerungstechnischen Kenngrößen. Darüber hinaus ist HRN nicht hinreichend für die Beschreibung der Wirkung aller sicherheitstechnischen Maßnahmen. Genau das ist der Anspruch des Verfahrens HaRMONY (Hazard Rating for Machinery and prOcess iNdustrY).
Es basiert auf dem rechnerischen Ansatz des HRN-Verfahrens, enthält aber folgende Ergänzungen:
- Einbeziehen des Risikoparameters A (Avoidance)
- Bewertung von Häufigkeit und Dauer der Gefährdungs-Exposition
- Ergänzen eines Wertes (0,01) für die Bewertung von Parametern nach Maßnahme(n)
- Definieren von Anforderungen an steuerungstechnische Sicherheitsfunktionen: PLr und SILCL
- Anpassung der Risikobewertung und der Wertebereiche der Risikoparameter an die Parameter der Normen ISO 13849–1 und IEC 62061
HaRMONY verwendet die folgenden Risikoparameter:
- S (Severity) – Schadensausmaß, Schwere der möglichen Verletzung (siehe Abb. 6)
- Die Bewertung 0,01 kann zur Beendigung des Risikominderungsprozesses nach ISO 12100 verwendet werden, beispielweise wenn durch geeignete Maßnahmen eine gefährliche Bewegung rechtzeitig zum Stillstand kommt und deshalb keine Schädigung mehr auftreten kann.
- E (Exposition) – Häufigkeit und Dauer der Gefährdungs-Exposition (siehe Abb. 7)
Abb. 6: S (Severity) – Schadensausmaß, Schwere der möglichen Verletzung; Quelle: Leuze electronic
Abb. 7: E (Exposition) – Häufigkeit und Dauer der Gefährdungs-Exposition; Quelle: Leuze electronic
Parameter E erfasst neben der Häufigkeit des Aufenthalts von Personen im Gefahrbereich auch deren Aufenthaltsdauer. Die in der rechten Tabelle von Abbildung 7 angegebenen 3 Grenzwerte unterteilen die Dauer in der zugehörigen Zeile in 4 Bereiche – sie repräsentieren die Schrägstriche in der Spalte „Bewertung“. So wird etwa für den stündlich wiederkehrenden Aufenthalt zwischen 3 und 15 Minuten der Wert 8 benutzt, für eine deutlich längere Dauer der Wert 12. Es steht dem Benutzer prinzipiell frei, von den Bewertungen im Rahmen des Zeitbereichs etwas abzuweichen. So könnte ein stündlich wiederkehrender Aufenthalt von 20 Minuten Dauer auch mit 9 bewertet werden.
Die Werte auf der linken Seite (0,02…0,5) sind ausschließlich für leicht vermeidbare Gefährdungen an Bestandsanlagen in Verbindung mit sub-optimalen Schutzeinrichtungen vorgesehen, in deren Nähe sich normalerweise kein Arbeitsplatz befindet. So könnte zum Beispiel das Quetschen und Scheren der oberen Gliedmaßen an Rollenbahnen durch eine nachträglich installierte optische Schutzeinrichtung als Zugangssicherung weitgehend verhindert werden, auch wenn aufgrund der baulichen Gegebenheiten der normativ vorgeschriebene Mindestabstand nicht eingehalten werden kann. Denn die Expositionsdauer verkürzt sich ja durch diese Maßnahme von „permanent“ auf „wenige (Milli-)Sekunden“. Diese Werte dürfen bei nicht vermeidbaren Gefährdungen, etwa durch Bewegungen an Pressen oder Robotern, nicht verwendet werden.
Die Bewertung 0,01 kann den Risikominderungsprozess nach ISO 12100 beenden, wenn das Erreichen einer Gefahrstelle wirksam verhindert wird – beispielweise durch einen Schutzzaun, der eine Gefährdungs-Exposition nicht mehr zulässt.
Abb. 8: O (Occurrence) – Wahrscheinlichkeit des Auftretens der Gefährdung; Quelle: Leuze electronic
O (Occurrence) – Wahrscheinlichkeit des Auftretens der Gefährdung (siehe Abb. 8)
Die Abschätzung der Eintrittswahrscheinlichkeit von Gefährdungen nach textueller Beschreibung ist manchmal schwierig. Deshalb werden ergänzende Prozentwerte angegeben, die sich zum Beispiel auf den Zeitanteil beziehen können, in dem mit der Gefährdung gerechnet werden muss. Im Bereich Maschinensicherheit kann bei mechani-schen und elektrischen Gefährdungen oft von den Extremwerten ausgegangen werden – also tritt „sicher“ oder „sehr wahrscheinlich“ auf oder „normalerweise unmöglich“ nach Maßnahmen. Die Bewertung 0,01 kann zum Beispiel dann vergeben werden, wenn die betrachtete Gefährdung durch konstruktive Maßnah-men oder Änderungen im Prozessablauf nicht mehr entsteht.
Abb. 9: A (Avoidance) – Möglichkeit der Gefährdung auszuweichen oder deren Wirkung zu begrenzen; Quelle: Leuze electronic
A (Avoidance) – Möglichkeit der Gefährdung auszuweichen oder deren Wirkung zu begrenzen (siehe Abb. 9)
Die Bewertung 1 kann zum Beispiel dann verwendet werden, wenn eine Bewegung mit sicher reduzierter Geschwindigkeit oder im Schrittbetrieb mit Zustimmschalter gesteuert werden kann. Die Rate 0,1 ermöglicht es, den Einfluss organisatorischer Maßnahmen zu bewerten. Da eine organisatorische und damit willensabhängige Maßnahme nicht gleichwertig mit einer unabhängig vom Willen wirksamen Schutzeinrichtung ist, wird hier nur eine Bewertung von 0,1 statt 0,01 wie unter S, E und O verwendet. Zu beachten ist, dass organisatorische Maßnahmen erst nach erschöpfender Anwendung von konstruktiven und technischen Schutzmaßnahmen eingesetzt und mit 0,1 bewertet werden dürfen. „Die Mitarbeiter wurden belehrt und deshalb ist keine Sicherheitstechnik nötig“ entspricht nicht der Herangehensweise der ISO 12100!
Abb. 10: N (Number) – Anzahl gleichzeitig betroffener Personen; Quelle: Leuze electronic
N (Number) – Anzahl gleichzeitig betroffener Personen (siehe Abb. 10)
N ist in der Maschinensicherheit meist 1. In der Prozesssicherheit und der Verkehrssicherheit können auch mehrere bis viele Menschen von einer Gefährdung betroffen sein – zum Beispiel bei Explosionsgefahr oder einem Zugunglück. Dementsprechend höher ist das Risiko und dementsprechend hochwertiger müssen sicherheitstechnische Maßnahmen ausgelegt werden. Die Bewertung 0 kann beispielsweise dann vergeben werden, wenn durch Änderungen des Produk-tionsprozesses (Maßnahme) keine Bedienperson mehr benötigt wird und damit niemand mehr von der betrachte-ten Gefährdung geschädigt werden kann. Das drückt sich aber gleichzeitig in den Parametern S und E aus.
Der Risikograd R errechnet sich schließlich durch Multiplikation der Risikoparameter:
Einfacher zu merken ist vielleicht die Reihenfolge
R = E x A x S x O x N
weil sich das Wort „reason“ (engl. für Grund, Begründung, Ursache) ergibt.
Abb. 11: Berechnung des Risikograds; Quelle: Leuze electronic
Wie der Risikograd bewertet wird, zeigt Abbildung 11.
Anforderungen an steuerungstechnische Maßnahmen sind ebenso enthalten wie der numerische Risikograd zur Bewertung von nicht-steuerungstechnischen Maßnahmen. Safety Performance Level PL a nach ISO 13849–1 hat keine Entsprechung als SIL und wird von HaRMONY nicht verwendet.
SIL 4 wird nicht durch IEC 62061, aber durch die Grundnorm IEC 61508 definiert.
HaRMONY unterstützt somit die Risikoeinschätzung während des gesamten iterativen Prozesses der Risikominderung nach ISO 12100, sowohl vor als auch nach Maßnahmen. Dies soll an einem Beispiel im Folgenden demonstriert werden:
An einer Gesenkbiegepresse (umgangsprachlich Abkantpresse) besteht bei ungeschütztem Arbeiten die Gefahr des Abtrennens mehrerer Finger beim Aufsetzen des Oberwerkzeugs auf das Werkstück. Ohne beziehungsweise vor Schutzmaßnahmen kann sich dadurch folgende Einschätzung des Risikos mit HaRMONY ergeben:
- S = 15; Severity: Verlust von 2 oder mehr Gliedmaßen
- E = 20; Exposition: Permanent, da der Bediener ständig an der Presse arbeitet
- O = 15; Occurence: Gefährdung tritt sicher bei jeder Abwärtsbewegung auf
- A = 5; Avoidance: Ausweichen vor der Gefährdung ist unmöglich
- N = 1; Number: Einer, max. zwei Bediener arbeiten an der Presse
Daraus ergibt sich ein Risikograd vor Maßnahmen von
R = 15 x 20 x 15 x 5 x 1 = 22.500
- PLr = PL e, SILCL = SIL3
Mögliche Schutzmaßnahmen sind:
- Lichtvorhang mit Ausblendung oder reduzierter Auflösung, falls größere Bleche gebogen werden
- Spezielle Schutzsysteme für Gesenkbiegepressen wie z.B. AKAS von Fa. Fiessler oder Schutzeinrichtungen von Fa. LazerSafe, die bei korrekter Anwendung die gefährliche Bewegung bei Unterbrechung des Schutzfelds rechtzeitig stoppen.
Nach Anwendung einer dieser Maßnahmen ergeben sich folgende Risikoparameter:
- S = 0,01; Severity: Normalerweise keine Schädigung, Bewegung gestoppt
- E = 20; Exposition: Permanent, da der Bediener ständig an der Presse arbeitet
- O = 0,01; Occurence: Keine Gefährdung mehr – Bewegung gestoppt
- A = 5; Avoidance: Vermeiden der potenziellen Gefährdung bleibt unmöglich
- N = 1; Number: Einer, max. zwei Bediener arbeiten an der Presse
Nach dieser wirksamen Maßnahme ergibt sich deshalb ein Risikograd von
R = 0,01 x 20 x 0,01 x 5 x 1 = 0,01
(Risiko hinreichend gemindert)
Fazit
Mit HaRMONY ist es möglich, den gesamten Prozess der Risikominderung nach ISO 12100 feinteilig zu quantifizieren. Vorteilhaft an diesem multiplikativen Verfahren ist, dass der Prozess über jeden der verwendeten Risikoparameter beendet werden kann.
Unsere Webinar-Empfehlung
Es gibt viele Fälle, in denen die Fallhöhe für eine herkömmliche Absturzsicherung nicht ausreicht. Beispiele für Arbeiten in geringer Höhe sind z.B. der Auf- und Abbau von Gerüsten, die Wartung von Industrieanlagen und Arbeiten in Verladehallen sowie Anwendungen in der Bahn und…
Sicherheitsingenieur 09|2016