Sicherheitssystem

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Die Artikel Risikomatrix und Sicherheitssystem überschneiden sich thematisch. Hilf mit, die Artikel besser voneinander abzugrenzen oder zusammenzuführen (→ Anleitung). Beteilige dich dazu an der betreffenden Redundanzdiskussion. Bitte entferne diesen Baustein erst nach vollständiger Abarbeitung der Redundanz und vergiss nicht, den betreffenden Eintrag auf der Redundanzdiskussionsseite mit {{Erledigt|1=~~~~}} zu markieren. Yotwen 14:11, 11. Jul. 2011 (CEST)
Hier besteht eine teilweise Redundanz, da hier ein Risikograph beschrieben wird , für den es unter dem Lemma Risikomatrix schon einen Artikel gibt. Yotwen 14:11, 11. Jul. 2011 (CEST)

Sicherheitssysteme sind aktive oder passive Anlagenkomponenten, die technische Anlagen für den Menschen sicher machen sollen.

Von Maschinen, Anlagen und allen anderen technischen Einrichtungen gehen Gefahren für den Menschen aus. Dabei sind oft nicht nur die Betreiber, sondern auch Wartungspersonal oder Unbeteiligte direkt oder indirekt gefährdet. Dabei hängt die Gefährdung sowohl von der Art und Funktionsweise der Maschine oder Anlage, als auch von dem Verhalten der Person ab. Zu den besonders gefährlichen Maschinen gehören beispielsweise Sägen oder Pressen, an denen sich eine Person schwerwiegend verletzen kann. Um den Menschen vor allen Gefahren zu schützen, dürfen derartige gefahrvolle Maschinen oder Einrichtungen nur mit geeigneten Schutzeinrichtungen betrieben oder gewartet werden. Oftmals schützt man Personen durch ein Schutzgitter, das jeglichen Zugang verwehrt. Derartige Gitter (oder Zäune) helfen nur während der Betriebsphase der Maschine. Doch während die Maschine mit Material versorgt wird, diese justiert oder gereinigt wird, kommt der Mensch mit gefährlichen Stellen in Berührung. Hier muss man sich stets darauf verlassen können, dass die Maschine u. a. nicht unerwartet anläuft und damit zu einer möglichen Verletzung der Person führt.

In der Regel werden Maschinen oder Anlagen mit elektrischen oder elektronischen Systemen gesteuert. Diese Systeme sind letztlich dafür verantwortlich, dass der Mensch keine Gefahr eingeht. An die Systeme werden daher gewisse Anforderungen gestellt, die sich aus dem Risiko ergeben, das für die involvierte Person besteht.

Um die Gefahren einer Maschine oder Anlage einstufen zu können, wird eine Gefahrenanalyse durchgeführt und zur Beurteilung des Risikos wird seit mehreren Jahrzehnten der Risikograph angewendet.

Gefahrenanalyse[Bearbeiten]

„Der Hersteller ist verpflichtet, eine Gefahrenanalyse vorzunehmen, um alle mit der Maschine verbundenen Gefahren zu ermitteln. Er muss die Maschine dann unter Berücksichtigung seiner Analyse entwerfen und bauen.“ (EG-Richtlinie 98/37/EG (Maschinenrichtlinie), Anhang I) „Risikobeurteilung ist eine Folge von logischen Schritten, welche die systematische Untersuchung von Gefährdungen erlauben, die von Maschinen ausgehen.“ (EN ISO 14121) Die EN ISO 14121 schreibt die in folgendem Bild dargestellte Vorgehensweise für eine Risikobeurteilung vor:

Flussdiagramm zur Risikobeurteilung

Der Prozess zur Reduzierung des Risikos ist so oft zu durchlaufen, bis das Schutzziel erreicht und das Gerät oder die Maschine sicher ist. Im Einzelnen sind die folgenden Einzelschritte zu durchlaufen:

Grundsätzlich gibt es zwei verschiedene Vorgehensweisen bei der Gefahrenanalyse:

Bei der deduktiven Analyse wird ein Schlussergebnis angenommen und die Ereignisse gesucht, die dieses Schlussereignis eintreten lassen. Bei der induktiven Analyse wird der Ausfall eines Elementes angenommen und das Schlussereignis ermittelt.

Risikographen[Bearbeiten]

Bis zum Ende der 1970er Jahre gab es für jede Maschine oder Anlage spezifische Sicherheitsmaßnahmen, die zur Erhöhung der Sicherheit empfohlen oder vorgeschrieben waren. Dabei gab es kaum einen Zusammenhang zwischen der verwendeten Technik, dem tatsächlichen Risiko und der möglichen Gefährdung. Erst zu Beginn der Achtziger Jahre etablierte sich eine einheitliche Sichtweise. Anhand des zu erwartenden Risikos einer Maschine oder Anlage erstellte man genaue technische oder organisatorische Forderungen, die eine einheitliche Reduzierung der Gefahr bewirkten.

Das Risiko (R) ergibt sich dabei durch eine Wahrscheinlichkeitsaussage, die die zu erwartende Häufigkeit (H) des Eintritts eines Schadens und das zu erwartende Schadensausmaß (S) nach der folgenden Berechnung berücksichtigt:

R = H \cdot S

Eine der prinzipiellen Methoden, unabhängig vom Maschinentyp, eine geeignete Maßnahme zur Einhaltung der Sicherheit zu finden, besteht darin, das Risiko mittels des Risikographen zu beurteilen.

EN 954-1 Risikograph (zurückgezogen)[Bearbeiten]

Der im Bild dargestellte Risikograph stammt aus der zurückgezogenen Norm EN 954-1 und beurteilt das Risiko nach mehreren Kriterien:

  • S: Schwere der Verletzung
  • F (F: frequency): Häufigkeit des Aufenthalts
  • P (P: probability): Möglichkeit der Abwendbarkeit

Risikograph nach EN 954

Je nachdem, welche Verletzungen unterstellt werden können, wie oft der Mensch der Gefahr ausgesetzt ist und ob man der Gefahr eventuell entkommen kann, wird die Höhe des Risikos eingestuft. Zur Risikobeurteilung wird die Maschine ohne Schutzeinrichtungen betrachtet. Man beginnt dann am Startpunkt, danach wird festgestellt, welches Verletzungsrisiko vorliegt. Wenn die möglichen Verletzungen geringfügig sind, so wird der Weg S1 eingeschlagen (geringfügige Verletzungen sind reversible Verletzungen, wie beispielsweise kleine Schnittwunden oder Quetschungen). Wenn die Verletzungen dagegen schwerwiegend sind, so muss der Weg S2 gewählt werden (schwerwiegende Verletzungen sind irreversible Verletzungen, die bleibende Schäden hinterlassen; eingeschlossen ist hier auch der Todesfall). Im nächsten Schritt gilt es zu bewerten, wie oft der gefährliche Zustand auftritt, oder wie oft man diesem ausgesetzt ist. Im Falle von F1 kommt der Zustand eher selten vor (z. B. bei einer Wartung, die alle 3 Monate stattfindet). Im Falle, dass die Gefährdung oft oder regelmäßig auftritt, wird F2 gewählt (z. B. eine Person muss sich regelmäßig in die Gefahrenzone begeben). Zum Schluss ist noch die Möglichkeit zu bewerten, ob man die Gefahr erkennen und ihr damit eventuell entkommen kann. Wenn man der Gefahr entkommen kann, so wird P1 angenommen (z. B. eine Maschine läuft langsam an und anfangs sind kaum Gefährdungen möglich). Wenn aber ein Entkommen nahezu ausgeschlossen ist, so muss P2 gewählt werden (z. B. wenn eine Person ein Werkstück in eine Presse legt und diese sich plötzlich schließt).

Ein Beispiel soll die Risikobeurteilung darstellen: An einer Maschine muss eine Person ein Werkzeug wechseln. Wenn die Maschine anläuft, so kann sich die Person schwer verletzen. Nach dem Risikographen ergibt sich folgende Einstufung:

  • S2: Schwerwiegende Verletzung (z. B. Verlust eines Fingers)
  • F2: Der Werkzeugwechsel wird mehrmals in der Stunde durchgeführt
  • P1: Da die Maschine langsam anläuft, kann man der Gefahr entkommen

Nach dem Risikographen der Norm ergibt sich damit eine Einstufung nach Kategorie 3. Der dicke schwarze Punkt sagt aus, dass dieses die bevorzugte Einstufung darstellt. Man kann freilich auch eine Technik wählen, die der Kategorie 4 entspricht (dicker weißer Punkt). Es ist allerdings auch möglich, eine Technik der Kategorie 2 zu wählen, allerdings sind dann zusätzliche organisatorische Maßnahmen notwendig. Um die Maschine (ohne organisatorische Maßnahmen) richtig auszurüsten, ist nach der soeben dargestellten Beurteilung eine Technik zu verwenden, die der Kategorie 3 entspricht. Sie reduziert das Risiko soweit, dass alle Gefahren auf ein erträgliches Maß gebracht werden.

Die hier dargestellte Einstufung führt zu 4 Kategorien. Hinter jeder dieser Kategorien befindet sich eine technische oder organisatorische Maßnahme, die für die Maschine adäquat ist. Damit erhält man eine genaue Vorgabe von Lösungen, die zu einer anzunehmenden Gefährdung passen. Der Risikograph hat sich in ähnlichen Strukturen in allen internationalen Normen etabliert. Beispielsweise stufen die Normen EN 954-1, IEC 61508 oder ISO 13849 das Risiko genau nach derselben Vorgehensweise ein. Allerdings sind innerhalb der genannten Normen die Einstufungen recht unterschiedlich (Kategorien nach EN 954-1, SIL nach IEC 61508, DAL nach DO-178B und PL nach ISO 13849, SIL steht für Safety Integrity Level, DAL für Design Assurance Level und PL für Performance Level, aus dem Englischen „Leistungsgrad“).

Die Risikobeurteilung nach EN 954-1 führt zu einer Einstufung nach 5 Kategorien. Zur Reduzierung des Risikos einer Maschine oder Anlage sind Techniken einzusetzen, die der geforderten Kategorie entsprechen:

  • B: Basismaßnahmen sind zu berücksichtigen (z. B. Einhaltung von Qualitätskriterien)
  • 1: Bewährte Bauelemente und bewährte Komponenten sind einzusetzen
  • 2: Ein regelmäßiger Test der Sicherheitsfunktion muss durchgeführt werden
  • 3: Die Technik muss fehlertolerant ausgelegt sein (ein Einzelfehler darf nicht zum Versagen führen und muss erkannt werden, d. h. das Wiedereinschalten ist dann nicht möglich)
  • 4: Auch wenn mehrere Fehler in der Technik auftreten, darf die Sicherheitsfunktion nicht versagen

Hinweis: Die Basismaßnahmen sind auch bei den Kategorien 1–4 einzuplanen.

Aus der Einstufung nach EN 954-1 ergeben sich gewisse Sicherheitsstrukturen für die elektrische oder elektronische Steuerung oder Regelung der Maschine oder Anlage.

Die Norm EN 954-1 wurde im September 2009 zurückgezogen. Die zunächst geltende Übergangszeit wurde am letzten Tag, Ende 2009, um zwei Jahre verlängert.[1] Bis Ende 2011 kann also ein Hersteller noch nach dieser Norm die Annahme der Konformitätsvermutung beantragen; ab 2012 allein nach EN ISO 13849-1.

ISO 13849 Risikograph[Bearbeiten]

Die Norm EN ISO 13849 ersetzt die Norm EN 954-1. Auch hier gibt es einen Risikographen, der zur Einstufung des Risikos führt:

Risikograph nach ISO 13849

Bei der Beurteilung wird wie bei der bereits bekannten Norm EN 954-1 vorgegangen. Allerdings führt die Auswertung nicht mehr zu einer Kategorie (wie in der EN 954-1), sondern zu einem PL-Wert (Performance Level). Die Einstufung des PL-Werts geht von a (niedriger Beitrag zur Risikoreduzierung) bis zu e (hoher Beitrag zur Risikoreduzierung). Im Unterschied zu den technischen Anforderungen aus der Norm EN 954-1 lässt die Norm ISO 13849 mehrere Wege zu, einen geforderten PL-Wert zu erreichen. Der Anwender kann daher geeignete Maßnahmen kombinieren, die seinen Vorstellungen am nächsten kommen. Hier können technische Randbedingungen oder Kostengesichtspunkte eine Rolle spielen. Nach wie vor sind festgelegte Sicherheitsstrukturen zu verwenden.

DIN EN 62061[Bearbeiten]

Definition von "Schwere der Verletzung":

  • 4 Irreversibel: Tod, Verlust eines Auges oder Arms
  • 3 Irreversibel: gebrochene Gliedmaßen, Verlust (eines) mehrerer Finger(s)
  • 2 Reversibel: Behandlung durch einen Mediziner erforderlich
  • 1 Reversibel: erste Hilfe erforderlich

Andere Varianten[Bearbeiten]

Im Folgenden ist ein einfacher Risikograph gezeigt, wie er u. a. in der EN 60601 (mit Modifikationen in der Bewertung) verwendet wird: Risikograph nach EN 60601

Siehe auch: ALARP

Sicherheitsstrukturen[Bearbeiten]

Damit Steuerungen von Maschinen oder Anlagen sicher arbeiten, müssen sie gewissen Anforderungen entsprechen. Hierbei stehen 4 Kenngrößen im Vordergrund, die eine besonders wichtige Rolle bei Bewertung von elektrischen oder elektronischen Sicherheitssystemen spielen:

Architektur und Struktur des Systems
Sicherheitssysteme können einkanalig, zweikanalig oder mehrkanalig aufgebaut sein. Während einkanalige Systeme in der Regel auf Fehler mit einem Versagen reagieren, so können zwei- oder mehrkanalige Systeme sich gegenseitig prüfen und eventuelle Fehler erkennen. Die Messgröße für die Architektur ist der HFT-Wert (aus dem Englischen: Hardware Fault Tolerance). Wenn der HFT-Wert 0 ist, so liegt keine Hardwarefehlertoleranz vor und ein beliebiger Fehler kann zum Versagen führen. Eine Zweikanaligkeit (wie die Verwendung von zwei Spannungsprüfern) ist besser als eine Einkanaligkeit
Diagnosedeckungsgrad
Sowohl einkanalige als auch zweikanalige (oder gar mehrkanalige) Strukturen können versagen. Wenn man die Funktion der Struktur allerdings regelmäßig testet, so kann man ein Versagen oder einen Defekt erkennen. Freilich muss man schon einen sinnvollen Test durchführen, der auch die Fehler erkennt. Der Diagnosedeckungsgrad (DC: aus dem Englischen Diagnostic Coverage) gibt an, mit welcher Wahrscheinlichkeit die Fehler durch einen Test offenbart werden. Sicherheitssysteme müssen getestet werden, damit man weiß, ob sie noch funktionieren. Dabei hängt der Diagnosedeckungsgrad von der Güte des Test ab. Schlechte Tests decken nur wenige, gute Tests viele oder sogar alle Fehler auf.
Ausfallrate
Wenn die Ausfallrate klein ist, braucht man Defekte kaum zu befürchten. Wenn beispielsweise die Ausfallrate für den Spannungsprüfer gleich 0 ist, fällt dieser nie aus (das gibt es zwar nicht, aber man kann das theoretisch einmal annehmen) und er zeigt auch immer die richtige Spannung an. Man braucht kein zweites Gerät und braucht ihn auch nie zu testen. Da das nicht der Praxis entspricht, ist man doch auf ein weiteres Gerät oder einen Test angewiesen.

Je niedriger die Ausfallrate von Sicherheitseinheiten ist, desto weniger muss man befürchten, dass ein Ausfall zum Versagen der Sicherheitsfunktion führt. Die Ausfallrate gibt die Anzahl der Ausfälle pro Zeiteinheit an. In der Regel wird ein Maßstab von 1 Ausfall in 109 Stunden gewählt (das ist eine extrem kleine Einheit, da ja nur ein Ausfall in ca. 100.000 Jahren diesem entspricht, dieser Wert wird auch als 1 fit, failure in time bezeichnet).

Fehler gemeinsamer Ursache
Hier sind Einflussgrößen gemeint, die sich auf mehrere Systeme gleichzeitig auswirken. Beispielsweise könnte die Spannung in dem Kabel so hoch sein, dass beide Spannungsprüfer überfordert sind und überhaupt nichts mehr anzeigen. Damit hat eine einzige Ursache eine fatale Wirkung auf alle Geräte. Es wäre nun extrem gefährlich, daraus den Schluss zu ziehen, dass das Kabel spannungslos sei. Auch wenn Systeme über zwei oder gar mehrere Kanäle verfügen, diese sogar getestet werden und zudem auch noch selten ausfallen, kann ein einziger bösartiger Einfluss doch alle Systeme beeinflussen oder sogar ausschalten. Bekannt sind in der Elektronik hierbei beispielsweise extreme Spannungspegel (wie Blitzeinschlag), die gleich mehrere Einheiten schlagartig unbrauchbar machen können. Diese Fehler gemeinsamer Ursache (CCF: aus dem Englischen Common Cause Failure) sind stets zu vermeiden.

Ein anschauliches Beispiel soll die Denkweise der Sicherheitstechnik verdeutlichen: Wenn man sich zu Hause an seiner Stromleitung zu schaffen macht, so sollte man sich zuerst darüber im Klaren sein, dass der Strom abgeschaltet ist, sonst besteht das Risiko eines elektrischen Schlags. Man benutzt daher einen Spannungsprüfer, der eine vorhandene Spannung anzeigt. Wenn dieser keine Spannung signalisiert, so kann man sich an die Arbeit begeben. Allerdings – so denkt man in der Sicherheitstechnik – könnte ja auch der Spannungsprüfer defekt sein und sich doch Spannung in der Stromleitung befinden. Also ist es sinnvoll, einen anderen Spannungsprüfer zu holen und mit diesem ebenfalls die Spannung zu prüfen. Wenn dieser ebenfalls keine Spannung signalisiert, so ist sehr wahrscheinlich wirklich keine Spannung im Kabel. Es sei denn, beide Prüfer sind defekt. Eine endgültige Gewissheit kann man daher nur erhalten, wenn man nun beide Prüfer an eine bekannte Spannung (z. B. eine Batterie) anlegt und damit nachweist, dass sie noch in Ordnung sind. Die hier vorgestellte Vorgehensweise lässt sich in die Sicherheitsstrukturen für sichere Steuerungen und Regelung übersetzen:

Die Sicherheitsstrukturen von Steuerungen und Regelungen verhalten sich ganz ähnlich zu dem vorgestellten Beispiel:

Sie können entweder einkanalig oder zweikanalig ausgeführt sein. Sie werden laufend getestet. Sie enthalten Bauteile oder Komponenten mit niedriger Ausfallrate und es werden besondere Maßnahmen ergriffen Fehler mit gemeinsamer Ursache zu vermeiden.

Normen[Bearbeiten]

  • EN ISO 13849-1, Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1: Allgemeine Gestaltungsleitsätze (ISO 13849-1)
  • EN ISO 13849-2, Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 2: Validierung (ISO 13849-2)
  • EN 62061, VDE 0113-50, Sicherheit von Maschinen - Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme
  • IEC 61508, VDE 0803: Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme, Version November 2002, DIN (Kapitel 1–7)
  • EN 954-1: Sicherheitsbezogene Teile von Steuerungen (wurde ersetzt durch EN 13849-1)

Einzelnachweise[Bearbeiten]

  1. Mitteilung 2009/C 321/09 im Amtsblatt der Europäischen Union

Literatur[Bearbeiten]

  •  BGIA: BGIA-Report 2/2008, Funktionale Sicherheit von Maschinensteuerungen – Anwendung der DIN EN ISO 13849 –. Deutsche Gesetzliche Unfallversicherung (DGUV), Sankt Augustin 2008, ISBN 978-3-88383-771-0, Download: [1].
  •  Patrick Gehlen: Funktionale Sicherheit von Maschinen und Anlagen- Umsetzung der Europäischen Maschinenrichtlinie in der Praxis. Publicis Corporate Publishing, ISBN 978-3-89578-281-7.
  •  Josef Börcsök: Elektronische Sicherheitssysteme. Hüthig GmbH & Co. KG, Heidelberg 2004, ISBN 3-7785-2939-0.
  •  Josef Börcsök: Funktionale Sicherheit Grundzüge sicherheitstechnischer Systeme. Hüthig GmbH & Co. KG, Heidelberg 2006, ISBN 3-7785-2985-4.
  •  Winfried Gräf: Maschinensicherheit. Vogel-Verlag, Würzburg 2004, ISBN 3-7785-2941-2.
  •  Peter Wratil, Michael Kieviet: Sicherheitstechnik für Komponenten und Systeme. Hüthig GmbH & Co. KG, Heidelberg 2007, ISBN 3-7785-2984-6.
  •  Peter Wratil: Speicherprogrammierbare Steuerungen in der Automatisierungstechnik. Vogel-Verlag, Würzburg 1989, ISBN 3-8023-0235-4.
  •  SICK AG: Leitfaden "Sichere Maschinen". 2008.