Risikobeurteilung

Erklärtes Ziel ist es, Maschinen so zu konstruieren und zu betreiben, dass bei bestimmungsgemäßer Verwendung keine Verletzungen und Gesundheitsschädigungen verursacht werden. Unfallstatistiken zeigen, dass eine an einer Maschine vorhandene Gefährdung früher oder später zu einer Schädigung führt, falls keine Schutzmaßnahmen ergriffen werden. Schutzmaßnahmen sind eine Kombination der vom Konstrukteur und der vom Benutzer durchgeführten Maßnahmen. Dabei sind Maßnahmen, die bereits in der Konstruktionsphase getroffen werden können, den vom Benutzer durchgeführten Maßnahmen vorzuziehen und im Allgemeinen wirksamer als diese.

Die internationale Norm ISO 12100 "Sicherheit von Maschinen - Allgemeine Gestaltungsleitsätze - Risikobeurteilung und Risikominderung" gibt detaillierte Hilfestellung bei der Identifizierung von Gefährdungen, beschreibt die vom Konstrukteur zu betrachtenden Risiken, enthält Gestaltungsleitsätze und eine Methode zur sicheren Konstruktion und Risikominderung. ISO 12100 "Sicherheit von Maschinen –  Allgemeine Gestaltungsleitsätze – Risikobeurteilung und Risikominderung" beschreibt eine iterative Methode zur Risikoanalyse, Risikobeurteilung und Risikominderung zum Erreichen der erforderlichen Maschinensicherheit. Bestehende maschinenspezifische Normen, wie z. B. Typ C EN Normen, sind vorrangig zu beachten.

 

Risikobeurteilung und Risikominderung nach ISO12100

Iterativer Prozess zur Risikominderung nach ISO 12100 (Quelle ISO 12100, Bild 1)


Die ISO 12100 empfiehlt dem Maschinenkonstrukteur das folgende schrittweise Vorgehen zur Risikoreduzierung:

  1. Spezifizieren der Grenzen und der bestimmungsgemäßen Verwendung der Maschine
  2. Identifizieren möglicher Gefährdungen und gefährlicher Situationen in allen Lebensphasen der Maschine
  3. Einschätzen des Risikos einer jeden identifizierten Gefährdung und jeder gefährlichen Situation. Dabei auch vorhersehbares Fehlverhalten oder Fehlbedienung von Bedienpersonen betrachten.
  4. Beurteilen jedes einzelnen Risikos und entscheiden, ob eine Risikoreduzierung erforderlich ist oder nicht
  5. Versuchen, das Risiko durch konstruktive Maßnahmen (inhärent sicher konstruiert) zu beseitigen oder zu reduzieren. Wenn dies nicht gelingt, dann
  6. Reduzieren des Risikos durch den Einsatz von technischen Schutzeinrichtungen (Trennende Schutzeinrichtungen, wie z. B. Schutzzäune oder Verdeckungen oder durch berührungslos wirkenden Schutzeinrichtungen, wie z. B. Sicherheits-Lichtvorhänge)
  7. Informieren und warnen des Maschinenbedieners bezüglich des verbleibenden Restrisikos der Maschine, durch Warnhinweise an der Maschine und in der Betriebsanleitung

Die ersten vier Schritte beschreiben die Risikoanalyse und Risikobeurteilung. Wichtig ist, dass die Risikoanalyse und Risikobeurteilung methodisch durchgeführt und nachvollziehbar dokumentiert wird. Ergänzend zu diesen vom Maschinenkonstrukteur gewählten Schutzmaßnahmen können seitens des Maschinenbetreibers bzw. Maschinenbedieners weitere Schutzmaßnahmen zur Reduzierung des verbleibenden Restrisikos erforderlich sein. Dies sind z. B.:

  • Organisatorische Maßnahmen (z. B. sichere Arbeitsprozesse, regelmäßige Überprüfungen)
  • Persönliche Schutzeinrichtungen
  • Training und Unterweisung des Bedienpersonals

Risikoeinschätzung nach ISO 13849-1

(Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze)

Die ISO 13849-1 beschreibt mit einem wahrscheinlichkeitstechnischen Ansatz die Ermittlung der Ausfallwahrscheinlichkeit einer Sicherheitsfunktion SF aus den Kennwerten der verwendeten Komponenten.

Die Vorgängernorm EN 954-1 verfolgte einen qualitativen Ansatz mit einer rein strukturellen Beschreibung der Kategorie (1- oder 2-kanalig, ohne oder mit Diagnose) einer Sicherheitsfunktion. Dies wird in der ISO 13849-1 ergänzt durch eine quantitative Betrachtung einer Versagenswahrscheinlichkeit jedes Kanals der Sicherheitsfunktion. Die Versagens- oder Restfehler- Wahrscheinlichkeit einer Sicherheitsfunktion wird als PFHD (Probability of Dangerous Failures per Hour / durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde) angegeben und – eingeteilt in Wahrscheinlichkeitsbereiche – als Performance Level PL dargestellt:

Performance Level (PL)   Durchschnittliche Wahrscheinlichkeit
eines gefährlichen Ausfalls je Stunde (1/h)
a > 10-5 bis < 10-4
b > 3 x 10-6 bis < 10-5
c > 10-6 bis 3 x < 10-6
d > 10-7 bis < 10-6
e > 10-8 bis < 10-7


Performance Level (PL) gemäß ISO 13849-1

Aus der Höhe des Risikos der Gefährdung(en), die durch die Sicherheitsfunktion SF gemindert werden soll(en), wird der erforderliche (en: required) Performance Level PLr unter Zuhilfenahme des Risikographs für diese Sicherheitsfunktion ermittelt (siehe Bild 1). Nach Berechnung des mit den verwendeten Komponenten erreichten Performance Levels PL kann durch Vergleich ermittelt werden, ob der erreichte Wert ausreicht. Dabei gilt, dass der erreichte PL der Sicherheitsfunktion mindestens dem ermittelten PLr entsprechen muss.

Eine Sicherheitsfunktion ist dabei die Reaktion auf eine bestimmte sicherheitsrelevante Aktion. Zum Beispiel sollen beim Öffnen einer Schutztüre die gefährlichen Bewegungen dahinter zum Stillstand kommen und sicher abgeschaltet bleiben. Zur Sicherheitsfunktion gehören alle sensorischen Eingabe-Elemente (z. B. Sicherheits-Lichtvorhang), Informationsübertragungs- und -verarbeitungseinheiten (z. B. sichere Steuerung) und alle Stellteile zum Unterbrechen des Energieflusses (z. B. Schütze), jedoch keine Antriebe.

Für die einzelnen Komponenten werden sicherheitstechnische Kennwerte benötigt. Jedes dieser Teile ist Element der sicherheitstechnischen Kette und stellt ein eigenes Subsystem dar.
Folgende Kennwerte der Komponenten bzw. des sicherheitstechnischen Steuerungssystems spielen bei der Berechnung des PL eine Rolle:

Kenngrößen der ISO 13849-1

Bedeutung

Kategorie

Beschreibt die Struktur (1- oder 2-kanalig) und die Fähigkeit zur Diagnose (ohne, gering, mittel oder hoch).
Definiert sind die Kategorien B, 1, 2, 3 und 4.

MTTFD:

 

Mean Time To Dangerous Failure (mittlere Zeit bis zum gefahrbringenden Ausfall): beschreibt die sicherheitstechnische Zuverlässigkeit eines verschleißfreien sicherheitstechnischen Kanals eines Subsystems und wird in Jahren angegeben.
Nach MTTFD sind 63% der statistisch relevanten Menge dieser Komponenten gefährlich ausgefallen (Verteilung nach Exponential-Funktion).

B10D

Pendant zur MTTFD für verschleißbehaftete Komponenten wie elektrische Kontakte oder Ventile: gibt die Anzahl Schaltspiele an, nach denen 10% einer statistisch relevanten Menge dieser Komponenten gefährlich ausgefallen ist.

DC

Diagnostic Coverage (Diagnosedeckungsgrad): beschreibt den geschätzten Anteil erkannter Fehler an der Gesamtmenge möglicher Fehler in einem Subsystem (siehe ISO 13849-1, Anhang E)

CCF

Common Cause Failures (Ausfall aufgrund gemeinsamer Ursache): beschreibt die Unabhängigkeit der Kanäle und damit die Wiederstandfähigkeit gegen systematische Entwurfsfehler (siehe ISO 13849-1, Anhang F)

TM

Mission Time. Die maximale Gebrauchsdauer von elektronischen Sicherheitsbauteilen beträgt 20 Jahre, da in diesem Zeitraum ein definiertes Ausfallverhalten vorliegt. Es sind die tatsächlichen Herstellerangaben zu beachten.


Neben den wahrscheinlichkeitstechnischen Betrachtungen müssen auch sogenannte grundlegende und bewährte Sicherheitsprinzipien eingehalten werden. Sollte das nicht der Fall sein, kann nicht davon ausgegangen werden, dass die eingesetzten Maßnahmen (z.B. Sensoren und Aktuatoren) überhaupt sinnvoll sind und eine Minderung des Risikos bewirken. Denn dann nützt auch die Bewertung der Restfehlerwahrscheinlichkeit der Hardware – also des PL – nichts. Zu den grundlegenden und bewährten Sicherheitsprinzipien gehören zum Beispiel:

  • Ruhestromprinzip
  • Verwendung bewährter Komponenten
  • Anlauf-/Wiederanlaufsperren
  • Fehlerverriegelung
  • Einhaltung der Mindestabstände
  • Hinreichende Diagnose

 

Ermittlung des erforderlichen Performance Level PLr

Um den erforderlichen Performance Level PLr für jede Sicherheitsfunktion des sicherheitsrelevanten Steuerungssystems zu definieren, ist grundsätzlich eine Risikobeurteilung durchzuführen und zu dokumentieren. Der informative Anhang A der Norm ISO 13849-1 stellt ein qualitatives Verfahren zur Abschätzung des Risikos und zur Ermittlung des PLr vor.

Bild 1: Risikograph zur Bestimmung des PLr entsprechend ISO 13849-1, Anhang A.

 

Ermittlung des erreichten Performance Level PL

Für die Ermittlung des Performance Levels PL einer Sicherheitsfunktion sind die oben beschriebenen sicherheitstechnischen Kenngrößen notwendig. Der PFHD-Wert jedes der beteiligten Subsysteme wird separat ermittelt. Die Addition der PFHD-Werte der einzelnen Subsysteme liefert den PFHD-Wert der Sicherheitsfunktion, aus dem sich der PL der Sicherheitsfunktion ergibt.

Hinweis: Zur Berechnung des PFHD-Wertes der Sicherheitsfunktion kann die Software SISTEMA verwendet werden. SISTEMA wurde vom Instituts für Arbeitsschutz (IFA) entwickelt und dient zur Berechnung und Bewertung der funktionalen Sicherheit von Steuerungssystemen gemäß ISO 13849-1. Sie steht  als Freeware kostenlos unter https://www.dguv.de/ifa/praxishilfen/praxishilfen-maschinenschutz/software-sistema/index.jsp zur Verfügung. Viele Hersteller von Komponenten stellen Bauteil-Bibliotheken zur Verfügung, die wiederum in SISTEMA mit eingebunden werden können. Die Bauteil-Bibliothek von Leuze steht Ihnen hier <<link: https://www.leuze.com/de/DE/kontakt-support/downloads/software/>> kostenfrei zum Download zur Verfügung.

Im Rahmen unseres Dienstleistungsangebots zur Maschinensicherheit bieten wir auch die Berechnung des Performance Levels mit SISTEMA an.

 

Vereinfachte Methode

Eine vereinfachte Methode zur Ermittlung des erreichten PL zeigt die folgende Abbildung. Es handelt sich dabei um eine graphische Methode zur Abschätzung des PL anhand der genannten sicherheitstechnischen Kenngrößen der Komponenten. Dabei wird folgendermaßen vorgegangen: Zuerst wird die passende Spalte gewählt. Diese ergibt sich aus der Kombination von Kategorie und DCavg (Mittelwert aus den DC-Werten bei mehreren Komponenten). Dann wird abhängig vom MTTFD-Wert eines jeden Kanals der zugehörige Farbbereich des Balkens in der Spalte bestimmt. Der sich ergebende PL kann nun links an der vertikalen Achse abgelesen werden. 

               

Beziehung zwischen Kategorie, DCavg, MTTFD jedes Kanals und des daraus resultierenden                       Wertebereiche von DCavg und MTTFD für die Zuordnung in der Abbildung
Performance Levels (Quelle: ISO 13849-1)

 

 

 

Risikoeinschätzung nach IEC 62061

(Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer und elektronischer und programmierbarer elektronischer Steuerungssysteme)

Diese Norm enthält Anforderungen und Empfehlungen für den Entwurf, die Integration und die Validierung von sicherheitsbezogenen elektrischen, elektronischen und programmierbaren elektronischen Steuerungssysteme (SRECS) für Maschinen. Im Gegensatz zur ISO 13849-1 legt sie keine Anforderungen für die Leistungsfähigkeit von nicht-elektrischen (z. B. hydraulischen, pneumatischen, elektromechanischen) sicherheitsbezogenen Steuerungselementen für Maschinen fest. Im Gesamtrahmen der ISO 12100 dient sie alternativ zur ISO 13849-1 zur Spezifikation der zur Risikoreduzierung erforderlichen sicherheitstechnischen Leistungsfähigkeit von sicherheitsbezogenen elektrischen Steuerungssystemen. Als sektorspezifische Norm unterhalb der IEC 61508 betrachtet die IEC 62061 für den Anwendungsbereich Maschinen den gesamten SRECS-Lebenszyklus von der Konzeptphase bis zur Außerbetriebnahme. Die sicherheitstechnische Leistungsfähigkeit wird durch sogenannte Safety Integrity Level (SIL) beschrieben.

 

Risikoabschätzung und Festlegung des SIL

Im informativen Anhang A der IEC 62061 ist beispielhaft ein Verfahren zur qualitativen Risikoabschätzung und Festlegung des SIL dargestellt. Dieses Verfahren ist für jede Gefährdung durchzuführen, für die mit Hilfe eines SRECS eine entsprechende Risikominderung erzielt werden soll. Es basiert auf der in der ISO 12100 vorgestellten Methode und verwendet zur Beurteilung die Risikoparameter.

Für jede Gefährdung werden dazu die folgenden Risikoparameter betrachtet:

  • S (Severity): Schadensmaß - Schwere der möglichen Verletzung
  • F (Frequency): Häufigkeit und Dauer der Exposition
  • W (Wahrscheinlichkeit): Wahrscheinlichkeit des Auftretens der Gefährdung
  • P (Probability): Wahrscheinlichkeit der Vermeidung oder Begrenzung des Schadens

Jedem der Parameter wird entsprechend den Kriterien der folgenden Tabelle ein Zahl zugeordnet:

 


Aus der Addition der Zahlen für die Häufigkeit der Exposition F, der Wahrscheinlichkeit des Auftretens W und der Möglichkeit der Vermeidung P ergibt sich die  Klasse der Wahrscheinlichkeit des Schadens K (K = F + W + P). Mit den beiden Parametern S und K ergibt sich dann anhand der folgenden Tabelle der zugehörige SIL-Sollwert oder die Art des Handlungsbedarfs:

Matrix zur Festlegung des SIL (Quelle: IEC 62061, Anhang A):

SIL 1 - 3: SIL-Sollwert für die sicherheitsgerichtete Sterungsfunktion
(AM): Empfehlung der Anwendung anderer Maßnahmen
-: Kein Handlungsbedarf

 

Entwurf und Integration eines SRECS gemäß IEC 62061

Ausgehend von der Risikoanalyse und Risikobeurteilung nach ISO 12100 ergibt sich die Notwendigkeit von Sicherheitsfunktionen als Maßnahme zur Risikominderung. Sicherheitsfunktionen, die mit SRECS realisiert werden, werden zum Entwurf der Systemarchitektur in Teilsicherheitsfunktionen aufgeteilt. Diesen virtuellen Teilsicherheitsfunktionen werden dann reale Teilsystemelemente zugeordnet.
Dies sind entweder bereits fertig entwickelte Geräte, wie z. B. Sensoren, Steuerungen und Aktoren, oder komplexe, gemäß der vorliegenden Spezifikation gemäß IEC 61508 neu zu entwerfende Komponenten, die aus Hardware mit Embedded-Software oder Anwendungs-Software bestehen. Nach dem Systementwurf wird das erreichte Sicherheits-Integritäts-Level (SILCL) ermittelt und  verifiziert, ob das Soll-SIL erreicht ist. Der erreichte SIL der gesamten Sicherheitsfunktion ist immer geringer oder gleich dem geringsten Wert der SILCLs eines der Teilsysteme.


SRECS-Architektur, bestehend aus Teilsystemen und Teilsystemelementen (Quelle: ZVEI „Sicherheit von Maschinen“)

 

Folgende Kenngrößen von Teilsystemen und deren Teilsystemelementen spielen eine Rolle bei der Berechnung des SIL einer SRECS-Architektur:

 

 

Risikoeinschätzung nach HaRMONY

Für die Einschätzung des Risikos an Gefahrstellen wird häufig der Risikograph der ISO 13849-1 verwendet. Dieser ist einfach anzuwenden, hat jedoch die Einschränkung, dass immer nur zwei Pfade zur Auswahl stehen. Zudem kann er nur für steuerungstechnische Maßnahmen angewendet werden und nicht z. B. für organisatorische Maßnahmen. Zudem gibt es keine abschließende Bewertungsmöglichkeit, nachdem eine Maßnahme angewendet wurde. Ähnliches gilt auch für die SIL-Einstufung nach IEC 62061.

Dies waren die wesentlichen Gründe, warum bei Leuze ein alternatives Verfahren mit dem Namen HaRMONY (Hazard Rating for Machinery and prOcess iNdustrY) entwickelt wurde und seit einigen Jahren zum Einsatz kommt. Es basiert auf dem einfachen, rechnerischen Ansatz des HRN-Verfahrens, enthält aber Ergänzungen um das Verfahren für alle Bereiche der Maschinensicherheit vor und nach Maßnahmen einsetzten zu können. Zudem erfolgte eine Anpassung der Risikobewertung und der Wertebereiche der Risikoparameter an die Normen ISO 13849-1 und IEC 62061, wodurch eine separate Bewertung entsprechend dieser Normen überflüssig ist.

Es werden die gleichen Risiko-Parameter aus den normativ bekannten Verfahren verwendet:

  • S (Severity): Schadensmaß - Schwere der möglichen Verletzung
  • E (Exposition): Anwesenheit und Dauer der Anwesenheit von Personen
  • O (Occurence): Wahrscheinlichkeit des Auftretens der Gefährdung
  • A (Avoidance): Möglichkeit des Ausweichens vor der Gefährdung oder Begrenzung des Schadens

Jedem dieser Parameter ist ein Zahlenwert in vier bis acht Stufen zugeordnet.  Zur Ermittlung des Risikos werden dies einfach miteinander multiplizert:

R (Risk): Bewertung des Risikos R = S x E x O x A

Durch die Verwendung von HaRMONY vor und nach den Maßnahmen kann sehr einfach der Nachweis geführt werden, dass die Maßnahmen eine hinreichende Risikominderung ermöglichen.

 

Im Nachfolgenden sind die Parameter mit den jeweiligen Unterteilungen aufgeführt:

 

 

Die Wertebereiche der Risikoparameter wurden an die Parameter der Normen ISO 13849-1 und IEC 62061 angepasst. Dadurch können aus dem Ergebnis der Risikoeinschätzung nach HaRMONY die Anforderungen an steuerungstechnische Sicherheitsfunktionen auch als PL und SIL dargestellt werden.

Downloads

Risk assessment