EU-Maschinenverordnung: Methoden zur Risikoeinschätzung Teil 2
Im ersten Teil des Beitrags „Methoden zur Risikoeinschätzung“ wurden die Änderungen der rechtlichen Grundlagen gemäß der neuen EU-Maschinenverordnung sowie die Parameter zur Risikoeinschätzung detailliert beleuchtet. Im zweiten Teil geht es nun um das generelle Vorgehen bei der Risikoanalyse sowie den verschiedenen Verfahren für die Risikoeinschätzung.
Dabei wird zunächst der Frage nachgegangen, wie sich das graphische vom tabellarischen und numerischen Verfahren zur Risikoeinschätzung unterscheidet? Im Anschluss geht es um mögliche technische Maßnahmen zur Risikoreduzierung bzw. um die Festlegung des nötigen Sicherheitslevels.
METHODEN ZUR RISIKOEINSCHÄTZUNG – Teil 1 hier lesen
Verfahren zur Risikoeinschätzung
Die Ziele der Risikoeinschätzung sind das Quantifizieren des Risikos mittels der oben angegebenen Parameter und das Darstellen des Risikos durch eine Risikokennzahl als Zahlenwert. Zur Einschätzung des Risikos gibt es keine normativen Vorgaben. Allerdings geben manche Normen ein Verfahren im informativen Anhang an. Weiterhin können Verfahren aus technischen Berichten von Normungsorganisationen oder anderen Veröffentlichungen stammen. Der Maschinenhersteller ist in der Wahl des Verfahrens frei. Generell sollte die Risikoeinschätzung im Team erfolgen, um eine möglichst objektive Bewertung zu erhalten.
Die Verfahren zur Risikoanalyse lassen sich in drei Klassen einteilen:
- graphische Verfahren
- tabellarische Verfahren
- numerische Verfahren
Graphische Verfahren bestimmen das Risiko durch einen Graphen. Jeder Knoten hat meist nur zwei Zweige, die zwei unterschiedliche Parameterwerte repräsentieren. Dabei sind die Auswahlmöglichkeiten textuell beschrieben. Das Risiko ist aufgrund der geringen Auswahlmöglichkeiten meist nur grob klassifiziert, aber leicht verständlich und einfach nachvollziehbar.
Als Beispiel für ein graphisches Verfahren soll der Risikograph nach der Norm ISO/TR 14121-2 vorgestellt werden. Er wird oft verwendet, um die Wirksamkeit von risikomindernden Maßnahmen darzustellen und besitzt die vier Parameter S, E, O, A. Der resultierende Risikoindex besitzt einen Zahlenwert zwischen 1 und 6. Die Werte 1 und 2 repräsentieren einen Zustand geringer Gefahr.
Tabellarische Verfahren besitzen meist mehr als zwei Werte je Parameter, die textuell beschrieben sind. Es gibt mehr Auswahlmöglichkeiten als bei graphischen Verfahren. Die Klassifizierung erfolgt dennoch relativ grob, da die Anzahl der Parameter beschränkt ist, um die Übersichtlichkeit zu erhalten.
Ein einfaches Beispiel für ein tabellarisches Verfahren ist in der Norm ISO 14798 beschrieben. Es besitzt nur die zwei Parameter ‚Schwere des Schadens‘ und ‚Wahrscheinlichkeit einer Gefährdung‘. Dadurch ist das Verfahren übersichtlich, die Klassifikation erfolgt allerdings wie beim graphischen Verfahren nur grob. Der resultierende Risikoindex ist durch eine Zahl und einen Buchstaben beschrieben, die eine geringe, mittlere oder große Gefährdung ausdrücken.
Numerische Verfahren bestimmen eine Risikokennzahl durch Addition oder Multiplikation der Parameterwerte. Dadurch sind viele Parameter mit vielen unterschiedlichen Werten möglich, und das Risiko wird feingranularer bestimmt. Dies kann zu einem falschen Eindruck von Genauigkeit führen, da die Parameterwerte immer subjektiv bestimmt werden und von den Fähigkeiten des Anwenders abhängen. Dennoch hilft die feinere Granularität, die Gefährdung unterschiedlicher Risiken miteinander zu vergleichen. Durch die vielen Parameter und Auswahlmöglichkeiten sind numerische Verfahren nicht so einfach und übersichtlich wie graphische oder tabellarische Verfahren.
Durch die feine Granularität ist es möglich, das Risiko verschiedener Gefährdungen miteinander zu vergleichen und die Gefährdung mit dem größten Risiko zu identifizieren. Dies kann wichtig sein, um die Schritte zur Überarbeitung einer Maschine zu priorisieren.
Ein Beispiel für ein numerisches Verfahren ist HRN (Hazard Rating Numbers). Die ursprüngliche Form besitzt die vier Parameter S, N, E, O. Der Parameter A für die Möglichkeit des Ausweichens wurde weggelassen. Das resultierende Risiko wird durch Multiplikation ermittelt: R = S · N · E · O
Durch die Multiplikation kann es ausreichen, wenn ein Parameter sehr klein ist oder durch eine Risikominderung sehr klein wird.
Risikoreduzierung durch technische Maßnahmen
Ergibt die Risikobewertung ein zu hohes Risiko, muss dieses durch passende Maßnahmen reduziert werden. Die Reihenfolge der Maßnahmen ist dabei festgelegt. Technische Maßnahmen können erst realisiert werden, wenn konstruktive nicht möglich sind.
Technische Maßnahmen werden oft mit sicheren Steuerungen realisiert, die Teil einer Sicherheitsfunktion sind. Eine Sicherheitsfunktion besteht aus sicheren Komponenten, d. h. sicheren Sensoren, einer sicheren Steuerung und sicheren Aktoren. Die Komponenten müssen eine bestimmte Zuverlässigkeit erfüllen, die die Wahrscheinlichkeit eines gefährlichen Ausfalls der Komponente definiert. Sie muss umso höher sein, je größer das Risiko ist, das sie absichern. Die Zuverlässigkeit der Komponente wird auch als Sicherheitslevel bezeichnet. Zu seiner Bestimmung muss deshalb eine Risikoeinschätzung durchgeführt werden. Das Ergebnis ist in diesem Fall keine Risikozahl, die das Risiko definiert, sondern ein mindestens notwendiger Sicherheitslevel der Komponenten der Sicherheitsfunktion.
Normen zu sicherheitsbezogenen Steuerungssystemen definieren eigene Verfahren zur Risikoeinschätzung, mit denen man den erforderlichen Sicherheitslevel ermitteln kann. In der Automatisierungstechnik wird meist die Norm ISO 13849-1 für die Definition des Sicherheitssystems einer Maschine verwendet. Sie kann für elektronische, mechanische, hydraulische und pneumatische Systeme angewandt werden. Anhang A der Norm beschreibt einen Risikograph zur Bestimmung des notwendigen Performance Levels PLr der Sicherheitsfunktion. Der Risikograph enthält drei Parameter: das Schadensausmaß (S), die Aufenthaltsdauer im gefährlichen Bereich (E) und die Möglichkeit der Vermeidung (A). Wie auch andere graphische Verfahren ist es einfach und übersichtlich und arbeitet mit einer groben Klassifikation. Wählen Anwender bei Unsicherheit den höheren Wert, sind die resultierenden Anforderungen zu hoch und die Sicherheitstechnik wird unnötig teuer.
Eine Alternative für elektrische und elektronische Steuerungssysteme ist die Norm IEC 62061. Anhang A der Norm beschreibt eine Kombination aus tabellarischem und numerischem Verfahren zum Ermitteln des erforderlichen Sicherheitslevels SILCL der Sicherheitsfunktion. Das Verfahren ist komplexer als der Risikograph der 13849-1. Allerdings ist eine detailliertere Klassifikation möglich, da für die 4 Parameter mehr unterschiedliche Werte zur Auswahl stehen.
Risikoeinschätzung nach HARMONY
Bei den beschriebenen Abläufen führt der Anwender die Risikoeinschätzung zwei Mal mit unterschiedlichen Verfahren und unterschiedlichen Zielen durch: zuerst mit Verfahren 1 für die Einschätzung des initialen und finalen Risikos einer Gefährdung und nachfolgend mit Verfahren 2 zur Bestimmung des Sicherheitslevels der Sicherheitsfunktion.
Dieses Vorgehen erscheint unnötig kompliziert und aufwändig. Eine deutliche Vereinfachung ist möglich, wenn das Verfahren zur Risikoeinschätzung neben der Risikokennzahl automatisch auch ein Sicherheitslevel für technische Maßnahmen definiert.
Aus diesem Grund hat Leuze in seinem Verfahren HARMONY diese Anforderung erfüllt. Der Begriff HARMONY steht für die Kurzform von HAzard Rating for Machinery and prOcess iNdustrY. Das Verfahren ist in der Automatisierungstechnik und der Prozesstechnik einsetzbar.
HARMONY ist eine Anpassung des numerischen Verfahrens HRN und ermittelt eine Risikokennzahl durch Multiplikation der Parameter Schadensausmaß (S), Zeitdauer der Gefährdung (E), Häufigkeit des gefährlichen Ereignisses (O) und die Möglichkeit der Vermeidung (A):
R=S*E*O*A
Die Wertebereiche der Risikokennzahl R sind so definiert, dass man ihnen einen Performance Level PLr nach ISO 13849-1 oder einen Safety Integrity Level SILCL nach IEC 62061 zuordnen kann.
Fazit
Nach der Maschinenrichtlinie und der sie ablösenden Maschinenverordnung muss für jede Maschine vor dem Inverkehrbringen eine Risikoanalyse durchgeführt werden, da von ihr zu keinem Zeitpunkt eine Gefahr ausgehen darf. Bei der Risikoanalyse ist ein systematisches und sorgfältiges Vorgehen wichtig, um alle Gefährdungen zu identifizieren. Nur wenn die Gefährdung identifiziert ist, kann durch eine entsprechende Maßnahme die Risikoreduzierung erfolgen. Dies ist aufwändig und zeitintensiv. Zur Risikoeinschätzung stehen unterschiedliche Verfahren zur Verfügung, es gibt jedoch keine normativen Vorgaben. Jede Organisation muss selbst die passende Vorgehensweise finden. Kriterien für die Auswahl können die Komplexität der Aufgabe oder das Fachwissen bzw. Vorlieben der Mitarbeiter sein. Das von Leuze definierte Verfahren HARMONY hilft, das Vorgehen für die Risikoeinschätzung zu vereinfachen und den Aufwand zu reduzieren.