Risikobeurteilung Die Risikobeurteilung als Schnittstelle verstehen

Autor / Redakteur: Benedikt Günzler* / Jan Vollmuth

Die Risikobeurteilung bietet mehr Potenzial als nur eine einfache Dokumentation von Schutzmaßnahmen. Warum die Betrachtung dieser als Schnittstelle im gesamten CE-Konformitätsbewertungsverfahren einen echten Mehrwert bringt und warum Schutzmaßnahmen und Sicherheitsfunktionen detailliert und ausführlich beschrieben werden sollten, lesen Sie hier.

Firmen zum Thema

Die Risikobeurteilung ist eine wichtige Schnittstelle im gesamten CE-Konformitätsbewertungsverfahren.
Die Risikobeurteilung ist eine wichtige Schnittstelle im gesamten CE-Konformitätsbewertungsverfahren.
(Bild: gemeinfrei / Pixabay )

Auch über zehn Jahre nach Einführung der „neuen“ Maschinenrichtlinie 2006/42/EG, kommt es bei der Umsetzung der geforderten Schutzmaßnahmen, insbesondere bei der konkreten Beschreibung von Anforderungen an einzelne Sicherheitsfunktionen, immer noch zu Problemen. Die Praxis zeigt, dass Schutzmaßnahmen und einzelne Sicherheitsfunktionen in der Risikobeurteilung oft nur rudimentär beschrieben werden. Zusätzlich fehlt es an zwingend erforderlichen Detailinformationen über die genauen Gefährdungssituationen, die möglichen Folgen, den Grad des Risikos oder die Vorgaben zur Zuverlässigkeit von Steuerungsfunktionen (PL/SIL). Das gilt ebenso für Informationen bezüglich Sicherheits- und Warnhinweisen, die in die Betriebsanleitung aufgenommen werden sollen.

Die Rolle der Risikobeurteilung

Wie sollten Schutzmaßnahmen und speziell Sicherheitsfunktionen definiert werden, damit diese später korrekt umgesetzt werden können? Gibt es konkrete Anforderungen diesbezüglich und warum spielt auch die korrekte Durchführung der Risikobeurteilung eine wichtige Rolle bei der Ausarbeitung von Schutzmaßnahmen?

Schon während der Planungsphase einer neuen Maschine ist die sogenannte Risikobeurteilung durchzuführen (vergl. 2006/42/EG Anhang I, Abs. 1). Die Risikobeurteilung dient dazu, die für die Maschine geltenden Sicherheits‐ und Gesundheitsschutzanforderungen zu ermitteln. Hintergrund dieses komplexen Verfahrens ist es, so weit möglich, alle vorhersehbaren Risiken zu ermitteln, die sich aus der Nutzung des Produktes ergeben können. Hilfestellungen dazu bieten die zugehörigen Gesetze sowie harmonisierte Normen, die mit Blick auf den Stand der Technik geeignete Lösungen zur Vermeidung dieser Risiken vorschlagen.

Es ist wichtig zu verstehen, dass es bei der Erstellung der Risikobeurteilung nicht lediglich darum geht, Schutzmaßnahmen zu dokumentieren, sondern zu untersuchen wie eine hinreichende Risikominderung erreicht werden kann, um so die Entscheidung über Schutzmaßnahmen zu ermöglichen.

Die Grenzen der Maschine bestimmen

Dazu sollte eine sogenannte aufgabenbezogene Risikobeurteilung durchgeführt werden (vergl. EN ISO 12100, Kapitel 5). Sie umfasst folgende Schritte:

  • Im ersten Schritt werden zunächst die Grenzen der Maschine bestimmt.
  • Im zweiten Schritt werden die Gefährdungen und Gefährdungssituationen ermittelt und nach Lebensphasen strukturiert. Um die Gefährdungen identifizieren zu können, muss festgestellt werden, welche Arbeitsgänge durch die Maschine ausgeführt werden und welche Tätigkeiten von Personen übernommen werden, die mit der Maschine arbeiten. Dabei sollte jedes Ereignis, das eine Gefährdung/Funktion auslöst, detailliert beschrieben werden.
  • Im dritten Schritt wird das Risiko eingeschätzt, das mit den festgestellten Gefährdungen und Gefährdungssituationen verbunden ist. Dazu bieten sowohl die EN ISO 13849-1 sowie die EN 62061 mögliche Systeme. Diese Ermittlung des sogenannten PLr oder SILcl stellt eine entscheidende Anforderung für die Umsetzung von Sicherheitsfunktionen (funktionale Sicherheit) und zur Entwicklung sicherheitsbezogener Steuerungen dar.
    Die Risikoeinschätzung soll außerdem die Tauglichkeit von Schutzmaßnahmen untersuchen sowie Informationen liefern, die als Hilfestellung bei der Auswahl geeigneter Schutzmaßnahmen dienen können (vergl. EN ISO 12100, Kapitel 5, Absatz 5.3.5).
    Die ausführliche und genaue Definition der Gefährdungen und Gefährdungssituationen sowie die korrekte Einschätzung der Risiken ist also für die Erarbeitung erforderlicher Schutzmaßnahmen von entscheidender Bedeutung!
  • Im vierten und fünften Schritt wird dann das Risiko bewertet, die Schutzmaßnahmen zur Minimierung der ermittelten und beschriebenen Gefährdungen und Risiken festgelegt und anschließend geprüft ob eine ausreichenden Risikominderung erreicht wurde.

Die Umsetzung der Schutzmaßnahmen

Für die Umsetzung der Schutzmaßnahmen sieht sowohl die Maschinenrichtlinie 2006/42/EG in der Vorbemerkung zum Anhang I, als auch die EN ISO 12100 in Kapitel 6, folgenden Ablauf vor:

  • 1. Minderung der Gefährdungen durch inhärent sichere Konstruktion wie beispielsweise Maschinengehäuse oder verdeckte Antriebe.
  • 2. Sollte die Umsetzung einer inhärent sicheren Konstruktion nicht möglich sein, muss das Risiko unter Berücksichtigung der bestimmungsgemäßen Verwendung und der vernünftigerweise vorhersehbaren Fehlanwendung gemindert werden. Dies geschieht durch technische Schutzmaßnahmen wie beispielsweise trennende und/oder nichttrennende Schutzeinrichtungen.
  • 3. Sollten trotz inhärent sicherer Konstruktion und technischer Schutzmaßnahmen Restrisiken verbleiben, muss die Benutzerinformation auf diese Restrisiken hinweisen, z.B. auf Warnschildern oder in der Betriebsanleitung.

Für die korrekte Auswahl und Ausführung dieser Schutzmaßnahmen bietet EN ISO 12100 in Kapitel 6 viele Beispiele und Hilfestellungen. Beispielsweise bietet Bild 4 in Kapitel 6.3.2 eine Anleitung für die Auswahl von Schutzeinrichtungen gegen Gefährdungen, die von sich bewegenden Teilen ausgehen.

Wichtig bei der Auswahl geeigneter Schutzmaßnahmen ist es auch, die jeweiligen Möglichkeiten zur Ausschaltung oder Umgehung der Schutzmaßnahme zu untersuchen. Dabei ist besonders darauf zu achten, dass getroffene Schutzmaßmaßnahmen die bestimmungsgemäße Verwendung der Maschine nicht beeinträchtigen, da der Anreiz einer Umgehung der Schutzmaßnahmen sonst erhöht wird.

Ausführliche und detaillierte Beschreibung

Die anhand der oben angestellten Überlegungen und Einschätzungen getroffenen Schutzmaßnahmen und Sicherheitsfunktionen müssen anschließend in der Risikobeurteilung detailliert und ausführlich beschrieben werden. Dabei reicht es nicht aus, eine Sicherheitsfunktion beispielsweise wie folgt zu beschreiben: „Lichtvorhang für den Bediener am Eingriffspunkt anbringen, rückseitig trennende Schutzeinrichtung, zusätzlich Warnhinweis in Anleitung aufnehmen“. Diese Art der „Beschreibung“ lässt viele Fragen für die nachfolgend am Entwicklungsprozess Beteiligten offen:

Dem Steuerungstechniker könnten beispielsweise Informationen darüber fehlen, was genau passieren soll, wenn der Lichtvorhang unterbrochen wird:

  • Welche Einheiten/Bewegungen sollen angehalten werden und in welchem Zeitraum?
  • Welche anderen Funktionen der Maschine sind zusätzlich betroffen?
  • Ist das in jeder Betriebsart so?
  • Wie oft tritt die Situation auf?

Dem Detailkonstrukteur könnten folgende Informationen fehlen:

  • Warum und wie oft muss an der Rückseite der Maschine eingegriffen werden?
  • Soll eine bewegliche oder feststehende trennende Schutzeinrichtung eingesetzt werden?
  • Sind unverlierbare Befestigungsmittel nötig?
  • Besteht ein Manipulationsanreiz und wenn ja welche Gegenmaßnahmen sind nötig?

Schließlich würden bei einer Beschreibung wie der obigen auch dem technischen Redakteur Informationen fehlen:

  • Wovor genau soll gewarnt werden?
  • Worin besteht die Abhilfe?
  • Wo soll die Warnung gegeben werden, am Produkt oder in der Betriebsanleitung?

Um sich die Wichtigkeit dieser Vorgehensweise vor Augen zu führen, muss man die Bedeutung des Begriffs Sicherheitsfunktion genau verstehen. Dieser wird in EN ISO 12100 sowie EN ISO 13849-1 wie folgt definiert: Bei einer Sicherheitsfunktion handelt es sich um eine sicherheitsgerichtete Funktion einer Maschine, die ein von der Maschine ausgehendes Risiko auf ein „akzeptables“ Maß reduziert. Wobei ein Ausfall dieser Funktion zur unmittelbaren Erhöhung des Risikos (der Risiken) führen kann.

Schutzmaßnahmen müssen verifiziert werden

Ein weiterer Grund, die Beschreibung von Schutzmaßnahmen ausreichend detailliert zu halten, besteht darin, dass die Maschinenrichtlinie in Anhang VIII verlangt, dass die Umsetzung und Effektivität von Schutzmaßnahmen verifiziert und gegebenenfalls auch getestet, das heißt validiert werden muss. Dafür ist eine detaillierte und ausführliche Definition jeder einzelnen Schutzmaßnahme unumgänglich; denn wie soll die Ausführung von Schutzeinrichtungen, Sicherheitsfunktionen und auch von Sicherheits- und Warnhinweisen systematisch überprüft werden, wenn die Anforderungen nicht detailliert festgelegt wurden? Was soll als Basis für einen Prüfplan dienen? Auch hier bildet die Risikobeurteilung folglich die entscheidende Schnittstelle.

Die Risikobeurteilung als Schnittstelle im CE-Konformitätsbewertungsverfahren.
Die Risikobeurteilung als Schnittstelle im CE-Konformitätsbewertungsverfahren.
(Bild: Benedikt Günzler)

Eine detaillierte und ausführliche Definition jeder einzelnen Schutzmaßnahme in der Risikobeurteilung ist daher von elementarer Bedeutung für die spätere Umsetzung mechanischer Schutzeinrichtungen und steuerungstechnischer Sicherheitsfunktionen sowie für die Gestaltung der Sicherheits- und Warnhinweise.

Wie Schutzmaßnahmen und Sicherheitsfunktionen korrekt definiert werden können, soll anhand des folgenden Beispiels gezeigt werden. Dabei ist zu beachten, dass immer eine Beschreibung der Folgen sowie ein Hinweis auf Abhilfemaßnahmen enthalten ist.

– Beispiel: Steuerungstechnische Lösung –

Lebensphase und Aufgabe:
Halbautomatik: Einpressen eines Rings

Gefährdung und Ursache:
Annäherung eines beweglichen Teiles an ein feststehendes: Quetschen, Scheren, Stoß

Gefährdungsereignis:
Einpressstempel fährt beim Auflegen des Ringes unerwartet herab und quetscht den Bediener. Der Bediener hat diese Bewegung durch Unaufmerksamkeit selbst ausgelöst.

Risikoeinschätzung (PLr oder SIL):
PLr = d (nach EN ISO 13849-1)

Schutzmaßnahme:
Hintergrundinformation und Vorüberlegungen:

Durch das prozessbedingte Auflegen eines Einpressteiles nach jedem Einpressvorgang durch den Bediener, ist das Anbringen einer beweglich trennenden Schutzeinrichtung mit Verriegelung nicht sinnvoll. Dadurch würde ein Anreiz auf Umgehung dieser Schutzmaßnahme entstehen. Dies würde durch die Akkordarbeit an diesem Arbeitsplatz sicher zusätzlich begünstigt. Die Umsetzung einer sensitiven Schutzmaßnahme in Form eines Lichtvorhanges ist durch die prozessbedingte Zerstäubung von Ölen ebenfalls nicht praktikabel. Die Ölpartikel würden zu einer ständigen Auslösung des Lichtvorhanges führen, sodass ein ordentlicher Arbeitsablauf nicht mehr möglich ist. Dies würde das Umgehen der Schutzeinrichtung begünstigen oder gar erfordern.

Da der gesamte Gefahrenbereich (orange im Bild) vom Bediener einsehbar ist und der Zugang zum Gefahrenbereich (a*b) so eingeschränkt werden kann, dass nur maximal ein Arm hindurchpasst und keine Teile herausgeschleudert werden können, ist die Schutzmaßnahme in Form einer Zwei-Handschaltung Typ IIIC (EN ISO 13851) wie folgt umzusetzen:

  • Zwei Taster (blau) müssen gleichzeitig oder synchron (0,5 s) gedrückt werden
  • Sicherheitsfunktion nach EN ISO 13849-1 somit Erstellung der Nachweisrechnung über den tatsächlich erreichten Performance Level (Geforderter PLr siehe auch Risikoeinschätzung)
  • Taster müssen gehalten werden, bis die Gefahr vorüber ist. Das bedeutet, dass der Einpressstempel wieder zurückgefahren in Startposition steht.
  • Zu erreichender sicherer Zustand: Stillsetzen der gefahrbringenden Bewegung. Bedeutet sobald einer der beiden Taster losgelassen wird, muss das Ausgangssignal zurückgesetzt werden und der Antrieb des Stempels innerhalb von 0,4 s angehalten und anschließend sofort in die obere Endlage zurückfahren und stillstehen. Verhinderung des ungewollten Anlaufs aus der Endlage.
  • Hinweis: Anschließend muss durch einen Reset (Button am Steuerpult) die Fehlfunktion zurückgesetzt werden.
  • Die Anbringung der Zwei-Handschaltung am Maschinengehäuse muss so erfolgen, dass
    – der Abstand (c) zur Gefahrenstelle größer 890 mm (S = (1600×0,4) + 250) beträgt, so dass auch nach dem Loslassen keine sich bewegenden Teile mehr erreicht werden können
    – Trennung der Stellteile durch einen Abstand (d) gleich oder größer als 550 mm gegeben ist (Verhindern des Umgehens) zusätzliche Anbringung von Blechen (e)
  • Betriebsart: Halbautomatik „Einpressen“
  • Zykluszeiten: Bei 240 Arbeitstagen, 16 Arbeitsstunden und 15 Sekunden Zykluszeit ist nop=921.600 Zyklen/Jahr

Skizzenhafte Darstellung der Schutzmaßnahme.
Skizzenhafte Darstellung der Schutzmaßnahme.
(Bild: Benedikt Günzler)

Hinweis in der Bedienungsanleitung:

  • „Die Zweihandschaltung dient zum sicheren Einpressen von Ventilringen. Um den Einpressvorgang zu starten, müssen beide Taster gleichzeitig gedrückt und solange gehalten werden, bis der Einpressvorgang beendet und der Einpresskopf zurück in die obere Grundstellung gefahren ist.“

Hinweis im Sicherheitskapitel:

  • „Die Schutzmaßnahme der Zweihandschaltung dient ausschließlich dem Schutz der betätigenden Person. Weitere Personen dürfen sich während des Einpressvorganges nicht im Gefahrenbereich der Maschine aufhalten. Der Bediener muss dafür Sorge tragen.“
  • Der Betreiber muss einen zusätzlichen Hinweis in Form einer Kennzeichnung des Gefahrenbereiches am Boden vor der Maschine oder ähnlichem anbringen.
  • „Vor jeder Inbetriebnahme der Maschine muss die Funktion der Zwei-Handsteuerung geprüft werden.“ Um den Einpressvorgang zu starten, müssen beide Taster gleichzeitig gedrückt und solange gehalten werden, bis der Einpressvorgang beendet und der Einpresskopf zurück in die obere Grundstellung gefahren ist.“ Um die korrekte Funktion der Zweihandsteuerung zu überprüfen, sollte ein Taster 5 s nach dem Drücken beider Taster losgelassen werden. Der Einpressstempel sollte danach sofort anhalten und anschließend in die obere Endlage zurückfahren und stillstehen. Ist die Funktion so nicht gegeben, liegt eine Fehlfunktion vor, die umgehend dem Hersteller oder einer zur Wartung befugten Person gemeldet werden sollte.“

Normative Verweise:

  • EN ISO 12100, Kapitel 6.2.11.8; 6.2.11.9
  • EN ISO 13851, Kapitel 4.2; 5.2; 7.3; 8.8; 9.5; 11.3
  • EN ISO 13855, Kapitel 8
  • EN ISO 13849-1, Kapitel 4.3; 5.2;

– Ende des Beispiels –

Bei der Umsetzung des Beispiels wurde die nachfolgende Checkliste als Orientierungshilfe verwendet. Die Informationen zu den einzelnen Punkten sind soweit zutreffend beschrieben.

Checkliste für die Beschreibung von Schutzmaßnahmen

Detailkonstruktion Steuerungstechnik Technische Redaktion
Beschreibung der Gefährdung und des Risikos im Zusammenhang mit der Lebensphase und Aufgabe (Ablauf/Tätigkeit einer Person)
Beschreibung des Ereignisses, welches die Gefährdung/Funktion auslöst
Beschreibung der technischen Schutzmaßnahmen inklusive genauer Definition der Sicherheitsfunktion und/oder der Sicherheits- und Warnhinweise
Zu erreichender sicherer Zustand (nach Reaktion)
Betriebsarten, in denen die Funktion aktiv sein soll
Geforderter Performance Level/Safety Integrity Level
Details zu Häufigkeiten/Zykluszeiten (für die Berechnung der Zuverlässigkeit auf Basis der Anforderungsrate)
Risikoniveau (hoch, mittel, niedrig – Auswahl des Signalwortes)
Beschreibung aller technischen Schutzmaßnahmen
Funktion, Zweck, Verwendung (z. B. Einstellen)
Betriebsarten und ihnen zugeordnete Sicherheitsfunktionen
Instandhaltung (Test, vorbeugender Austausch von Teilen)

Das Wichtigste in Kürze

  • 1. Die Risikobeurteilung ist das zentrale Element zur Erarbeitung von Schutzmaßnahmen und Sicherheitsfunktionen. Sie dient dazu, sichere Produkte zu entwickeln. Bei der Erstellung der Risikobeurteilung geht es darum, technisch zu untersuchen, wie hinreichende Risikominderung erreicht werden kann. Es sollte immer die Form der aufgabenbezogenen Risikobeurteilung gewählt werden.
  • 2. Eine ausführliche und genaue Definition der Gefährdungen und Gefährdungssituationen sowie die richtige Einschätzung der Risiken ist für die Erarbeitung der Schutzmaßnahmen und Sicherheitsfunktionen von enormer Wichtigkeit.
  • 3. Die Risikobeurteilung sollten mechanische und elektrische/steuerungstechnische Konstrukteure sowie technische Redakteure möglichst gemeinsam erarbeiten und die Schutzmaßnahmen festlegen.
    Ist dies unmöglich, sollten alle Gefährdungssituationen sowie die Risikoeinschätzungen gemeinsam durchgesprochen werden. Anschließend sollten die erforderlichen Schutzmaßnahmen gemeinsam ausgearbeitet, bewertet und abgeglichen werden (Stichwort Risikobewertung).
  • 4. Eine detaillierte und ausführliche Definition jeder einzelnen Schutzmaßnahme wie die Sicherheitsfunktionen oder Sicherheits- und Warnhinweise ist in der Risikobeurteilung von elementarer Bedeutung (siehe auch Checkliste). Diese Informationen müssen konkret auf einzelne Situationen und Ereignisse in bestimmten Lebensphasen bezogen sein.
  • 5. Schnittstellen bestehen vor allem zur Entwicklung der sicherheitsbezogenen Teile der Steuerung, der Entwicklung der sicherheitsbezogenen Informationen in Anleitungen sowie der Prüfung und Validierung. Fragen Sie sich stets: Welche Informationen benötigen die nachgeschalteten Abteilungen und Personen?

* Benedikt Günzler ist Fachreferent Sicherheitstechnik im Maschinenbau

(ID:47008434)