Am 9. Juni 2006 wurde im Amtsblatt der Europäischen Union unter der Nummer 2006/42/EG die neue Maschinenrichtlinie veröffentlicht. Die geänderten Rechtsvorschriften gelten ab dem 29. Dezember 2009 für Inverkehrbringer und Eigenhersteller von Maschinen. Neben zahlreichen Änderungen zur Erhöhung der Rechtssicherheit definiert die 2006/42/EG im Anhang I als eine Herstellerpflicht die Durchführung einer entwicklungsbegleitenden Risikobeurteilung über den gesamten Lebenszyklus (ISO 12100:2004). Damit soll die Erfüllung der bestehenden Sicherheits- und Gesundheitsschutzanforderungen für den sicheren Betrieb der Maschine gewährleistet werden. Das Ziel der CE-Konformitätserklärung: ein einheitlicher Sicherheitsstand für Maschinen, die in der Europäischen Union betrieben werden.
Die Konsequenzen für denjenigen, der Maschinen in Europa in Verkehr bringt oder herstellt sind weitreichend. Denn letztlich wird ein iterativer Prozess zwischen der Risikobeurteilung und der Entwicklung oder Weiterentwicklung definiert: Die Auslegung und Realisierung der Maschinen muss die Ergebnisse der Risikobeurteilung berücksichtigen und umgekehrt sind Änderungen in der Auslegung auch in der Risikobeurteilung für das Schutzziel Arbeitssicherheit zu bewerten. Für neue Maschinen ist demnach eine Post-Hoc-Risikobeurteilung nicht ausreichend, die Risikobeurteilung muss bereits bei der Entwicklung einer Maschine einsetzen. Nur dann kann die Konformitätserklärung und CE-Kennzeichnung erfolgen. Soweit die Theorie. In der Praxis wirft die Forderung aus 2006/42/EG neue Fragen auf. Wie ist eine Risikobeurteilung durchzuführen? Welche Schadensereignisse sind überhaupt zu berücksichtigen? Wie kann die risikoreduzierende Wirkung von technischen Maßnahmen abgebildet und dokumentiert werden? Kann die bestehende Gefährdungsanalyse für die alte Maschinenrichtlinie 98/37/EG zur geforderten Risikobeurteilung ausgebaut werden?
Die Risikobeurteilung
Für jede Maschine und unvollständige Maschine zählt die Risikobeurteilung zur erforderlichen technischen Dokumentation, die der Inverkehrbringer oder Eigenhersteller bereitzuhalten verpflichtet ist. Dabei geht der Maschinenbegriff der 2006/42/EG weit über das hinaus, was im üblichen Sprachgebrauch als Maschine verstanden wird. Die Maschinenrichtlinie gilt für vollständige Maschinen im Sinne von 2006/42/EG, auswechselbare Ausrüstungen, einzeln in den Verkehr gebrachte Sicherheitsbauteile für Maschinen, Lastaufnahmemittel, Ketten, Seile und Gurte, abnehmbare Gelenkwellen sowie unvollständige Maschinen im Sinne von 2006/42/EG. Die Anforderungen sind daher zu prüfen bei Entwicklung und Bau neuer Maschinen, Einkauf, Verkauf oder Inverkehrbringen neuer oder gebrauchter Maschinen, Planung und Aufbau von Anlagen, Modernisierung, Umbau und Erweiterung bestehender Anlagen, Betrieb bestehender Maschinen und Anlagen und Änderungen der gesetzlichen Vorgaben und Normen.
Grundsätzlich kann eine bereits bestehende Gefährdungsanalyse nach 98/37/EG als belastbare Grundlage für die erforderliche Risikobeurteilung nach 2006/42/EG dienen. Im Zuge der Gefährdungsanalyse wurde in der Regel eine qualitative Beurteilung des Gefährdungspotenzials vorgenommen. Gegenstand dieser Bewertung sind die relevanten Gefährdungen nach ISO 12100 und signifikanten Gefährdungen, die in den einschlägigen maschinenspezifischen Standards festgeschrieben werden, zum Beispiel für Erdbaumaschinen im Anhang A der EN 474-Reihe. Diese Standards geben abstrahiert den erforderlichen inhaltlichen Rahmen für die Risikoanalyse vor. Die Risikoanalyse ist der eigentlichen Risikobeurteilung vorangeschaltet. Sie dient der Ermittlung und Quantifizierung der Risikoelemente, Schadensausmaß und Eintrittshäufigkeit. Die Grundlagen für die Risikoanalyse werden in der EN 14121 vorgegeben. Für die Durchführung der Risikoanalyse gibt die Norm jedoch keine Hilfestellungen. Aus diesem Grund setzt TÜV Süd Industrie Service schon seit 2003 eine eigene Methodik ein, die im weitesten Sinne als „qualitativer“ Fehlerbaum bezeichnet werden kann. Der inzwischen bewährte Ansatz wurde als PC-basiertes Tool mit dem Namen HazardPro informationstechnisch umgesetzt. Der HazardPro-Ansatz eignet sich optimal für die die systematische und abdeckende Durchführung und Dokumentation der Risikobewertung im Rahmen der 2006/42/EG mit einem Minimum an Zeit- und Kostenaufwand.
Methodische Grundlagen
Bei der Entwicklung der Methodik stand das Modell einer klassischen Risikoanalyse im Vordergrund. Dazu wird das Risiko bestimmt, entsprechend der versicherungsmathematischen Definition: Risiko = Eintrittshäufigkeit ×Schadensausmaß. Für die grafische Darstellung des Risikos wird häufig das doppelt-logarithmische Risikodiagramm gewählt. Die Ereignisse erscheinen dort als Zahlenpaare (Häufigkeit; Schadensausmaß), die entweder in den nicht akzeptablen (roten) Bereich oder in den akzeptablen (grünen) Bereich fallen. Theoretisch gehen die Bereiche kontinuierlich ineinander über, praktisch wird die Darstellung in einer Risikomatrix mit scharf abgegrenztem akzeptablen (I) und inakzeptablen (III) Bereich und mit einem dazwischen liegenden Übergangsbereich (II) verwendet.
Der Vorteil der Methodik besteht darin, dass sich die Lage der einzelnen Schadensereignisse in der Risikomatrix aus den Ursache-Wirkungs-Beziehungen und der Maßnahmenplanung ergibt. Dadurch wird der Übergang von einer subjektiven Risikobewertung, bei der ein Ergebnis erwartet und unbewusst produziert wird, zu einer objektivierten Bewertung, bei der sich das Ergebnis auf der Grundlage der vorliegenden Randbedingungen ergibt, sichergestellt.
Analysemodell und Bewertungsschema
Um diese Anforderung zu erfüllen, wird ein geeignetes Strukturschema angewendet. Dieses Schema bildet die in der Risikoanalyse zu berücksichtigende Ursache-Wirkungs-Beziehung ab und ordnet die zugehörigen sicherheitsrelevanten Maßnahmen zu. Der verwendete Ansatz besteht aus zwei Schritten: Zunächst wird eine dreistufige Cause-Consequence-Analyse durchgeführt, in einem zweiten Schritt werden jeder Stufe der Analyse die realisierten oder intendierten sicherheitsrelevanten Maßnahmen zugeordnet. Ausgangspunkt der Cause-Consequence-Analyse sind Schadensereignisse. Das sind alle Ereignisse, denen ein Schadensausmaß im Sinne der definierten Schutzziele zugeordnet werden kann, ohne zunächst ihre Eintrittshäufigkeit zu kennen. Beispiele dafür sind alle Ereignisse, bei denen Personenschäden vorkommen können, wie Quetschungen oder Scherungen nach ISO 12100.
Ein Schadensereignis kann nur dann entstehen, wenn die zu Grunde liegenden Gefährdungen nicht rechtzeitig erkannt und beseitigt werden können. Ein Beispiel dafür ist zum Beispiel der Austritt von heißem Hydrauliköl mit hohem Druck. Aus dieser Gefährdung entsteht nur dann ein Schadensereignis, wenn das austretende Hydrauliköl eine Person trifft.
Gefährdungen entstehen nicht aus dem Nichts heraus, ihnen liegen immer Basisursachen zugrunde. Im vorliegenden Beispiel ist die Ursache zum Beispiel eine Leckage oder ein Bruch einer Leitung, sodass sich die Gefährdung ergeben kann. In vielen Projekten hat sich als Best-Practice herauskristallisiert, die Cause-Consequence-Analyse in enger Zusammenarbeit mit den Experten der Maschinenhersteller durchzuführen. In Workshops erarbeiten die Risikoexperten des TÜV Süd Industrie Service und des Kunden die Inhalte. Im Anschluss wird eine Felduntersuchung der Maschine im Betrieb vorgenommen, um die theoretischen Resultate zu ergänzen und die Betrachtung komplettieren.
Sind Basisursachen, Gefährdungen und Schadensereignisse identifiziert, werden ihnen die geplanten Maßnahmen zugeordnet, die Schadensausmaß oder Eintrittshäufigkeit minimieren. Präventive Maßnahmen dienen dazu, Basisursachen rechtzeitig zu erkennen und dafür zu sorgen, dass sich daraus keine Gefährdungen entwickeln. Im genannten Beispiel wären das Inspektionen oder Wartungsarbeiten. Wurde eine Basisursache nicht rechtzeitig erkannt oder beseitigt und haben sich Gefährdungen ergeben, dienen sicherheitsgerichtete Funktionen dazu, das Schadensereignis zu vermeiden. Wieder auf das Beispiel bezogen bestünden solche sicherheitsgerichteten Funktionen zum Beispiel in der Drucküberwachung, die eine Leckage zuverlässig detektiert. Haben sich sowohl präventive Maßnahmen als auch sicherheitsgerichtete Funktionen als unzureichend erwiesen und das Schadensereignis tritt ein, so dienen Barrieren dazu, die Folgen und das Schadensausmaß zu begrenzen. Das können etwa auslegungstechnische Maßnahmen sein, die durch das Verlegen der Hydraulikleitung außerhalb des Fahrerarbeitsplatzes das Getroffenwerden durch das Hydrauliköl verhindern. Der HazardPro-Ansatz fordert, dass den Kategorien der Risikomatrix sowohl eine qualitative Umschreibung, als auch quantitative Entsprechungen zugeordnet werden. Dabei werden die diskreten Kategorien 1 bis 5 für die Eintrittshäufigkeit und A bis E für das Schadensausmaß verwendet. Der Maßnahmenplanung liegt das so genannte Defence-in-Depth-Konzept zu Grunde. Hier sind mehrere voneinander unabhängige Schutzebenen vorhanden. Beim Versagen einer Schutzebene wird eine tiefer gelegene Schutzebene wirksam. Das heißt, die zur Abwendung einer Gefährdung und zur Begrenzung ihrer Folgen geplanten Maßnahmen werden logisch hintereinander geschaltet. Die vier Handlungsfelder (Lochscheiben in nebenstehender Abbildung) stehen beispielhaft für mögliche im Gesamtsystem realisierte Sicherheitsmaßnahmen. Die Löcher symbolisieren Fehler oder die Unwirksamkeit der Maßnahmen (z.B. nicht erkannte Korrosion oder Rissbildung im Hydraulikschlauch). Der rote Strahl ist ein Ereignisstrahl. Zu einer unerwünschten Konsequenz kommt es erst dann, wenn die Defekt-Löcher in einer deckungsgleichen Kombination auftreten und der Ereignisstrahl durch sämtliche Barrieren (Fehler in Hardware, Fehler in Software, Human Errors und organisatorische Fehler) hindurch gelangt. Der Effekt der risikoreduzierenden Maßnahmen auf die Bewertungsmatrix ist unmittelbar ersichtlich. Dadurch wird einerseits der geforderten Dokumentationspflicht Genüge geleistet, andererseits kann der Hersteller unterschiedliche Varianten sicherheitsgerichteter Maßnahmen vergleichen. Damit wurde das Risikoportfolio analysiert. Auf dieser Basis wird die Risikobeurteilung gemäß 2006/42/EG vorgenommen. Mit einem Blick kann jetzt ermittelt werden, welche Schadensereignisse unakzeptabel und welche sicherheitsgerichteten Maßnahmen zur Gewährleistung der Arbeitssicherheit gefordert sind. Zudem kann auch die risikoreduzierende Wirkung der möglichen Maßnahmen beurteilt werden. Die Konstrukteure haben so die Möglichkeit, unterschiedliche technische Varianten durchzuspielen und zu beurteilen. Nebenstehende Abbildung zeigt beispielhaft die risikoreduzierende Wirkung. Die Risikomatrix für die ursprüngliche Maschinenauslegung (links) beinhaltet noch sieben Schadensereignisse, die im rotem Bereich des nicht-akzeptablen Risikos liegen (die Zahlen in den Kreisen der Matrix steht für die Anzahl der Schadensereignisse, die einer Zelle der Risikomatrix zugeordnet sind). Nach Berücksichtigung weiterer sicherheitsgerichteter Maßnahmen resultiert die untere Risikomatrix. Hier liegt keines der Schadensereignisse im Bereich des unakzeptablen Risikos. Die Risiken der Maschine oder der Komponente werden durch den Hersteller beherrscht. Dieses Ergebnis kann in die technische Dokumentation der Konformitätserklärung nach 2006/42/EG übernommen werden.
Mögliche Dienstleistungen
TÜV Süd Industrie Service bietet verschiedene Dienstleistungen: Durchführung der erforderlichen Risikobewertung im Sinne der DIN EN ISO 14121 inklusive Beratung zu den gesetzlichen Anforderungen und Normen. Bei Bedarf werden die Risikobewertungen begleitend über den gesamten Lebenszyklus von der Entwicklung bis zur Entsorgung Ihres Produktes ausgeweitet. Systematische und transparente Maßnahmenplanung zur Risikobeherrschung, gemäß dem in der Arbeitssicherheit angewandten TOP-Prinzip (Technische, organisatorische und personenbezogene Maßnahme). Schnelle und verlässliche Ermittlung der Sicherheitsanforderungen (z.B. Safety Integrity Level – SIL ) für sicherheitsrelevante Funktionen und Bauteile auf der Grundlage der Risikoanalyse. Überprüfen des Dokumentationsstandes. Bei Bedarf Vervollständigung und Zusammenstellung der Dokumente. Beratung und Bewertung bezüglich der erforderlichen technischen Dokumentation, insbesondere der Betriebs- und Wartungsanleitung nach Maßgabe der DIN EN 62079 (Erstellen von Anleitungen Gliederung, Inhalt und Darstellung). TÜV SÜD Industrie Service stellt die Konsistenz zwischen den Ergebnissen der Risikobeurteilung und den Warnhinweisen und Instruktionen in der Betriebs- und Wartungsanleitung sicher. Beratung und Prüfung zur technischen Ausführung von Maschinen und Anlagen auf Übereinstimmung mit sicherheitstechnischen Anforderungen.
• more@click-Code: SI119200
