Beruflich Dokumente
Kultur Dokumente
Risikobeurteilung Im Maschinenbau: Th. Mössner
Risikobeurteilung Im Maschinenbau: Th. Mössner
Risikobeurteilung im Maschinenbau
!
" !
"
$
!
!
!
!#
!
Th. Mössner
Nomog en
lär
FMEA
e
lys r erk
Sc be
a
heinlich fga
am eit Gefahr
rsc
Ereignisablaufan
ha
Au
de
m
Eintrittswah
ns
k
au
sm
aß
PAAG
Konzipieren Risikoanalyse
HAZOP
Technische Schutzmaßnahmen
Forschung
Projekt F 2216
Th. Mössner
Risikobeurteilung im Maschinenbau
Dortmund/Berlin/Dresden 2012
Diese Veröffentlichung ist der Abschlussbericht zum Projekt „Risikobeurteilung von
Produkten – Empfehlungen zur Vorgehensweise, Beurteilungskriterien und Beispiele“ –
Projekt F 2216 – der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin.
Berlin:
Nöldnerstr. 40 – 42, 10317 Berlin
Telefon 030 51548-0
Fax 030 51548-4170
Dresden:
Fabricestr. 8, 01099 Dresden
Telefon 0351 5639-50
Fax 0351 5639-5210
ISBN 978-3-88261-145-8
Inhaltsverzeichnis
Seite
Kurzreferat 5
Abstract 6
1 Einleitung 7
2.1 Risikobeurteilung 10
2.1.1 Festlegung der Grenzen der Maschine 10
2.1.2 Identifizierung der Gefährdungen 11
2.1.3 Risikoeinschätzung 12
2.1.4 Risikobewertung 15
2.2 Risikominderung 19
2.2.1 Gesamtprozess 19
2.2.2 Risikominderung durch inhärent sichere Konstruktion 20
2.2.3 Risikominderung durch technische und ergänzende
Schutzmaßnahmen 21
2.2.4 Risikominderung durch Benutzerinformation 23
2.2.5 Risikominderung im Kontext der Benutzergruppen 23
6 Zusammenfassung 40
Literaturverzeichnis 41
Anhang 44
5
Risikobeurteilung im Maschinenbau
Kurzreferat
Dieser Bericht gibt einen Überblick über Methoden zur Risikobeurteilung von Ma-
schinen und soll Hersteller, insbesondere Konstrukteure, bei der Durchführung der
nach der europäischen Maschinenrichtlinie 2006/42/EG geforderten Risikobeurtei-
lung unterstützen. Ausgehend von der Darstellung des grundsätzlichen Vorgehens
bei einer Risikobeurteilung und der Erläuterung wesentlicher Begriffe werden mögli-
che Verfahren und Handlungshilfen bezogen auf die einzelnen Schritte der Risikobe-
urteilung vorgestellt.
In einem weiteren Abschnitt werden die einzelnen Phasen der Risikobeurteilung und
Risikominderung den Phasen des Konstruktionsprozesses gegenübergestellt. Dabei
werden Hinweise zur Einbindung in den Konstruktionsprozess gegeben.
Es werden ausgewählte Verfahren zur Risikobeurteilung, die aus Sicht des Autors für
den Maschinenbau von Interesse sind, vorgestellt. Es werden die Anwendungsberei-
che der Verfahren und deren Verbreitung in der Praxis sowie Vor- und Nachteile
dargestellt. Dies soll dem Konstrukteur ermöglichen, ein für ihn geeignetes Verfahren
auszuwählen.
Schlagwörter:
This report gives a survey about methods of risk assessment for machinery. The aim
is to help manufacturers, especially designers of machinery to comply with the re-
quirements of the risk assessment laid down in the European machinery directive
2006/42/EG. The basic principles of risk assessment are explained. Possible helping
media for the single steps of the process of risk assessment is suggested.
In a further part of this report the phases of risk assessment are set in relation to the
phases of the design process. Suggestions for incorporating risk assessment steps
into the design process are made.
Selected methods of risk assessment which the author deems relevant for mechani-
cal engineering are described, including scope of application, acceptance, advan-
tages and disadvantages. The aim is to help the designers choose a suitable method
for their work.
Key words:
risk assessment, risk analysis, hazard identification, risk estimation, risk evaluation,
risk reduction, methods, inherent safe design, safety measures, design process,
design phases
7
1 Einleitung
Dieser Bericht gibt einen Überblick über Methoden zur Risikobeurteilung von Ma-
schinen und soll Hersteller, insbesondere Konstrukteure bei der Durchführung der
nach der europäischen Maschinenrichtlinie 2006/42/EG geforderten Risikobeurtei-
lung unterstützen. Ausgehend von der Darstellung des grundsätzlichen Vorgehens
bei einer Risikobeurteilung und der Erläuterung wesentlicher Begriffe werden mögli-
che Verfahren und Handlungshilfen bezogen auf die einzelnen Schritte der Risikobe-
urteilung vorgestellt. Des Weiteren werden die Anwendungsbereiche der Verfahren
und deren Verbreitung in der Praxis sowie Vor- und Nachteile aus der Sicht des
Autors dargestellt. Dies soll dem Konstrukteur ermöglichen, das für ihn geeignete
Verfahren auszuwählen.
Wozu Risikobeurteilung?
Der Einsatz von Maschinen ist heute dadurch gekennzeichnet, dem Menschen Tä-
tigkeiten zu ermöglichen, die er allein mit seinen physischen oder geistigen Möglich-
keiten sonst nicht durchführen könnte. Dazu nutzt er das Potential nichtmenschlicher
Energiequellen oder Sensoren, wo er nicht über die entsprechenden Sinnesorgane
verfügt sowie Stoffe, die in seiner natürlichen Umwelt nicht vorkommen. All dies hat
der menschlichen Gesellschaft erst die Chancen, zu ihrem heutigen Stand zu kom-
men, eröffnet. Jede Chance birgt aber auch Risiken. Der Mensch kann die Kontrolle
über die von ihm genutzten Kraftquellen verlieren. Oder bei der Nutzung von gefähr-
lichen Stoffen, deren Gefahr auf Grund des Nichtvorhandenseins von Sinnesorganen
nicht erkennen. Goethes Zauberlehrling ist ein Beispiel dafür.
Deshalb muss jede Chance technischer Entwicklung auf mögliche Risiken hinterfragt
werden. Nun werden viele Konstrukteure mit Recht auf die vielen von ihnen bereits
entwickelten und gebauten Maschinen verweisen, die über Jahre ohne Unfälle im
Einsatz sind. Sind diese unsicher, weil sie nicht explizit einer Risikobeurteilung unter-
zogen wurden? Dem ist natürlich nicht so. Es ist gängige ingenieurmäßige Praxis,
sowohl das eigene Erfahrungswissen als auch den sogenannten allgemein aner-
kannten Stand der Technik für die Konstruktion sicherer Maschinen anzuwenden.
Kann man aber bei solcher Herangehensweise sicher sein, auch alle Gefährdungen
erfasst zu haben oder alle auftretenden Betriebszustände der Maschine berücksich-
tigt zu haben? Und was ist, wenn jemand aus begründetem Anlass nach Jahren
danach fragt, wo die entsprechenden Einschätzungen, die zu dieser oder jener Ent-
scheidung für die Konstruktion geführt haben, niedergelegt sind? Dann ist man gut
beraten, dieses Vorgehen mit einer Systematik belegen zu können.
Für das Inverkehrbringen von Maschinen in Europa sind die Anforderungen der eu-
ropäischen Maschinenrichtlinie 2006/42/EG zu erfüllen. Zu diesen Anforderungen
gehört die Durchführung einer konstruktionsprozessbegleitenden Risikobeurteilung:
„Der Hersteller einer Maschine (…) hat dafür zu sorgen, dass eine Risikobeurteilung
vorgenommen wird, um die für die Maschine geltenden Sicherheits- und Gesund-
heitsschutzanforderungen zu ermitteln. Die Maschine muss dann unter Berücksichti-
gung der Ergebnisse der Risikobeurteilung konstruiert und gebaut werden.“
8
Das EG-Recht ist von den einzelnen Mitgliedstaaten verbindlich in nationales Recht
umzusetzen. In Deutschland erfolgte die Umsetzung durch die 9. Vorordnung zum
Produktsicherheitsgesetz (ProdSG) – 9. ProdSV. Somit ist die Erstellung einer Risi-
kobeurteilung gesetzlich vorgeschrieben und keine freiwillige Leistung!
Dieser Bericht gibt Hinweise für ein systematisches aber gleichzeitig effizientes
Durchführen der Risikobeurteilung, dass dann auch in einer belastbaren Dokumenta-
tion mündet.
9
Start
Identifizierung der
Gefährdungen
Risikoeinschätzung
Risikoanalyse
Risikobewertung
Wurde das
Ja
Risiko
Ende
hinreichend
vermindert?
Nein
Risikobeurteilung
Risikominderung
Die Risikobeurteilung ist ein iterativer Prozess, deren Wiederholung erforderlich sein
kann, um Risiken hinreichend zu vermindern.
2.1 Risikobeurteilung
Der erste Schritt im Teilprozess der Risikoanalyse ist die Festlegung der Grenzen der
Maschine. Diese stecken den Betrachtungsrahmen für die weiteren Schritte ab. Fol-
gende Angaben sind dabei zu ermitteln:
Räumliche Grenzen
• Bewegungs-/Verfahrbereiche incl. Sicherheitsabstände
• Platzbedarf für Installation und Instandhaltung.
• Materialbereitstellung/-abfuhr
• Arbeitplätze/-flächen
Energetische Grenzen
• Energiearten
• Schnittstellen Zufuhr/Abfuhr
Stoffliche Grenzen
• Schnittstellen Zufuhr/Abfuhr
• Ausgangsstoffe, Hilfs-, Betriebsstoffe, Abprodukte
Zeitliche Grenzen
• Grenzen der Lebensdauer der Maschine oder von Bauteilen
• Empfohlene Prüffristen, Wartungs-, Instandsetzungsintervalle
Verwendungsgrenzen
• Einsatzbereich (Industrie, Gewerbe, privat, öffentlicher Bereich)
• Vorgesehene (bestimmungsgemäße) Verwendung
• Vorhersehbare Fehlanwendung
• Betriebsarten (Normalbetrieb, Montage/ Installation, Einstellen, Fehlerbeseiti-
gung, Reinigung, Wartung, Instandhaltung, …)
• umgebungsfaktorenbezogene Grenzen, z. B. Einschränkung der Anwendung
in bestimmten Temperaturbereichen
• Qualifikation und Erfahrungen der Benutzer (Bediener, Instandhaltungsperso-
nal)
• besonders schutzbedürftige Personengruppen (z. B. Auszubildende, Schwan-
gere, Leistungsgewandelte)
11
Information
• Schnittstellen
• Ein-/Ausgaben
• Übergeordnete Steuerkreise
Hilfreich für die Bestimmung der Grenzen der Maschine ist es, entsprechende
Checklisten auszuarbeiten. Diese können sinnvoller Weise gleich mit als Fragekata-
log für die Erarbeitung des Pflichten-/Lastenheftes mit dem Auftraggeber genutzt
werden. Je genauer und umfassender die Angaben sind, die man hier ermittelt, desto
zielgenauer kann die weitere Risikoanalyse und -beurteilung durchgeführt werden.
Die Ermittlung der an der Maschine auftretenden Gefährdungen ist sicherlich der
schwierigste Teil der Risikoanalyse. Die Schwierigkeit liegt darin, mit vertretbarem
Aufwand alle Gefährdungen zu ermitteln, das heißt keine zu übersehen.
Die Gefährdungen sind für die durchzuführenden Aufgaben in allen Lebensphasen
der Maschine, z. B. Montage/Installation, Bedienung, Wartung, Entsorgung und für
alle Betriebsarten zu ermitteln, um damit zusammenhängende Gefährdungssituatio-
nen und -ereignisse zu festzustellen.
Eine gute Hilfe sind hier auch die Gefährdungslisten aus Sicherheitsnormen ver-
gleichbarer Maschinentypen. Diese beziehen sich meist auf die o. g. Grundnorm
und listen auf, welche Gefährdungen an der speziellen Maschine durch Schutzmaß-
nahmen abzusichern sind.
Fehlerbaumanalyse Ereignisablaufanalyse
Top- E0 initialisierendes Ereignis
Ereignis E0
E1…6 Folgeereignisse
Z1…8 Zustände
&
Prozessablauf
Z1 Z2 Z3
Prozessablauf
Gatter 1
1
Für die Analyse von Unfällen und Gefährdungen im Arbeitsschutz sind aus der Feh-
lerbaummethode die sogenannten Gefährdungsbäume (siehe Anh. 1) abgeleitet
worden. Diesen liegt ein Gefährdungsgrundmodell für die Entstehung eines Arbeits-
unfalls zu Grunde, welches auch nichtsicherheitsgerechtes Verhalten berücksichtigt.
Eine Ausprägung der Ereignisablaufanalyse stellt die sogenannte LOPA-Methode
(Layer of Protection Analysis, CCPS 2001) dar. Diese benutzt unabhängige Schutz-
ebenen. Das Verfahren findet vor allem Anwendung in der chemischen Industrie.
Das Ergebnis der Gefährdungsermittlung ist eine Matrix, die Gefährdungen und Le-
bensphasen der Maschine mit den Gefahrstellen kombiniert.
2.1.3 Risikoeinschätzung
Das Risiko stellt eine Kombination der Risikoelemente Schadensausmaß und Ein-
trittswahrscheinlichkeit dar (siehe Abb. 2.3).
Risiko
Das Schadensausmaß wird mittels der Schwere der Verletzungen oder der Ge-
sundheitsschäden bei Personen (Beispiel siehe Tab. 2.1) sowie der Anzahl der
betroffenen Personen beschrieben. Ferner sind die Auswirkungen auf die Umwelt
und die Höhe möglicher Sachschäden ein Maß für das Risikoelement Scha-
densausmaß.
Tab. 2.1 Verletzungen und Schweregrade nach RAPEX (siehe Anh. 10)
Schweregrad Beschreibung
Verletzung oder Folgeerscheinung, die nach der Durchführung von
Sofortmaßnahmen (Erste Hilfe, in der Regel nicht durch einen Arzt)
1 keine wesentliche Funktionsbeeinträchtigung bzw. keine großen
Schmerzen verursacht; in der Regel sind die Folgeerscheinungen
vollkommen reversibel.
Verletzung oder Folgeerscheinung, die eine ambulante, in der Regel
jedoch keine stationäre Behandlung erforderlich macht. Die Funktion
2 kann über einen begrenzten Zeitraum (maximal sechs Monate)
beeinträchtigt sein; eine nahezu vollständige Wiederherstellung ist
möglich.
Verletzung oder Folgeerscheinung, die in der Regel eine stationäre
Behandlung erfordert und zu einer Funktionsbeeinträchtigung
3
während mindestens sechs Monaten oder zu einem dauerhaften
Funktionsverlust führt.
Verletzung oder Folgeerscheinung, die zum Tod führt oder führen
könnte, einschließlich Hirntod; reproduktionstoxische Folgen; Verlust
4
von Gliedmaßen oder schwerwiegende Funktionsbeeinträchtigung,
der/die zu einer Behinderung von mehr als ca. 10 % führt.
An dieser Stelle zeigt es sich, wie hilfreich Daten aus der Produktbeobachtung, zu
der grundsätzlich jeder Hersteller verpflichtet ist, zum Beispiel zur Bauteilzuverlässig-
keit oder zum Unfallgeschehen sein können.
14
Auf die Möglichkeit einen Schaden zu vermeiden oder zu begrenzen haben Einfluss:
• die Qualifikation und das Erfahrungswissen der Benutzer,
• die Geschwindigkeit des Eintritts (plötzlich, rasch, langsam) und damit verbun-
den
• die Fähigkeit der Benutzer zur Schadensvermeidung (Reflexe, Beweglichkeit)
sowie
• die Erkennbarkeit des Ereignisses (unmittelbar oder mittelbar durch Warnein-
richtungen)
Bei der Risikoeinschätzung kommen sowohl qualitative als auch quantitative und
kombinierte Verfahren zum Einsatz. Da die quantitativen Verfahren wesentlich auf-
wändiger sind, werden diese vorrangig bei Maschinen bzw. Anlagen mit größerem
Risikopotential eingesetzt. Die quantitativen Verfahren setzen die Anwendung einer
analytischen Methode bei der Ermittlung der Gefährdungen voraus.
Weniger verbreitet sind Methoden der numerischen Klassierung. Hier ist der No-
mograph (RAAFAT, 1995 siehe Anh. 11, KINNEY, 1976 siehe Anh. 12) zu nennen.
Daten für Ereignisse nicht vorliegen. Beispiele dafür sind PAAG, HAZOP (siehe
Anh. 13) und FMEA (siehe Anh. 14).
2.1.4 Risikobewertung
Solange das Risiko größer als das akzeptable Grenzrisiko ist, muss eine Risikomin-
derung durchgeführt werden (siehe Abb. 2.4). Sobald das Grenzrisiko mit den Maß-
nahmen der Risikominderung unterschritten wird, ist man auf der sicheren Seite.
Eine weitere Risikominderung ist nicht erforderlich und auch vielfach gar nicht durch-
führbar. Es wird also ein Restrisiko verbleiben, das aber als vertretbar angesehen
werden kann.
Sicherheit Gefahr
Risiko
erforderliche Risikominderung
durchgeführte Risikominderung
Doch wo liegt die Grenze für das akzeptable Risiko, wovon ist sie abhängig
und wer legt sie fest?
Zur Festlegung eines Grenzrisikos bedarf es einer Abwägung zwischen den auftre-
tenden Risiken und dem eintretenden Nutzen. Dabei ist zu unterscheiden ob sich
jemand freiwillig einem individuellen Risiko aussetzt um einen Nutzen für sich zu
erzielen. Dann obliegt die Festlegung des Grenzrisikos auch seinen Vorstellungen
(Er wird dann möglicherweise für den Vorteil oder das Vergnügen, was er dabei
empfindet ein höheres Risiko eingehen.). Wenn jemand unfreiwillig einem Risiko
ausgesetzt ist z. B. bei der Arbeit mit einer Maschine oder Aufenthalt in der Nähe
einer größeren risikobehafteten technischen Anlage, dann unterliegt die Festlegung
eines Grenzrisikos den gültigen Wertvorstellungen der Gesellschaft (vgl. auch BAM,
2002). Es wird dann in Form sicherheitstechnischer Festlegungen zumeist im unter-
gesetzlichen Regelwerk wie Technischen Regeln, Unfallverhütungsvorschriften und
Normen festgelegt. Diese werden unter Beteiligung aller interessierten Kreise im
Konsens erarbeitet.
16
Das folgende Beispiel zum Absturzrisiko (siehe auch Abb. 2.5) soll diese Aspekte
verdeutlichen. Ein sogenannter Freeclimber wird für sein Vergnügen („No risk, no
fun“) aus eigenem Antrieb möglicherweise auf allgemein übliche Sicherungsmöglich-
keiten gegen Absturz verzichten. Bei einem Höhenarbeiter, der mittels Seilzugangs-
technik „Industriekletterer“ an Fassaden arbeiten muss, ist ein solches Risiko natür-
lich nicht akzeptabel. Hier erfolgt die Sicherung mittels persönlicher Sicherungsmaß-
nahmen, die eine spezielle Ausbildung und körperliche Eignung erfordern. Dieses
Risiko wiederum ist für den normalen Beschäftigten nicht vertretbar. Für diesen Per-
sonenkreis ist eine Umwehrung mit Fuß- und Knieleiste sowie Handlauf erforderlich.
Die dafür geltenden sicherheitstechnischen Festlegungen finden sich z. B. in den
Technischen Regeln zur Betriebssicherheit. Wenn mit Anwesenheit von Kindern zu
rechnen ist, muss das Grenzrisiko noch niedriger angesetzt werden. Es ist dann eine
sogenannte kindersichere Umwehrung mit senkrechten Gitterstäben erforderlich um
das Aufklettern zu erschweren, wie z. B. auch in Landesbauordnungen gefordert.
Grenzrisiko
Risiko
100 100
1 1
Wahrscheinlichkeit von mehr als N
0,0001 0,0001
1E-06 1E-06
1E-08 1E-08
1E-10 1E-10
1E-12 1E-12
0,01 0,1 1 10 100 1000 10000 1 10 100 1000
Todesopfer N Todesopfer N
Diese Werte sind jedoch nur für die größeren Schadensausmaße verfügbar. Für
andere Kombinationen der Parameterausprägungen insbesondere mit geringerem
Schadensausmaß sollten andere Wege der Ermittlung des Grenzrisikos gegangen
werden. Im Folgenden werden einige Möglichkeiten aufgezeigt.
18
Normen geben den allgemein anerkannten Stand der Technik wieder. Das heißt die
darin enthaltenen Werte sind von der Fachwelt anerkannt. Wenn man sich darauf
beziehen kann, ist man auf der sicheren Seite. Man sollte aber sehr genau den An-
wendungsbereich und eventuelle Einschränkungen der jeweiligen Norm durcharbei-
ten, um sicherzugehen.
Zur Ermittlung des zulässigen Grenzrisikos kann man sich auch zur geplanten oder
in Entwicklung befindlichen Maschine ähnliche Maschinen anschauen. An Hand der
an diesen Maschinen durchgeführten Maßnahmen der Risikominderung und des
noch vorhandenen Restrisikos lässt sich der aktuelle Stand der Technik und damit
das zulässige Grenzrisiko bestimmen. Allerdings besteht hierbei die Gefahr, Fehlin-
terpretationen zu übernehmen. In jedem Fall sollte man darauf achten, dass man
sich auf aktuelle Modelle bezieht, damit man auch wirklich den aktuellen Stand der
Technik zum Vergleich heranzieht.
Der Vergleich mit Risikokennzahlen ist ein aufwändiges Verfahren. Diese müssen
erst ermittelt werden, um sie vergleichen zu können. Beispiele für solche Verfahren
sind Risikomatrizen nach NOHL, 1988 (siehe Anh. 6), REUDENBACH, 2009 (siehe
Anh. 8) oder RAPEX (siehe Anh. 10). Ein weiteres Verfahren ist die numerische
Klassierung (Nomograph siehe Anh. 11, Anh. 12). Diese Verfahren sind mit Unschär-
fen sowohl bei der Festlegung der Eingangsgrößen als auch bei der Interpretation
der Ausgangsgrößen verbunden. Die Ermittlung von absoluten Werten für Ja/Nein-
Entscheidungen hinsichtlich der Zulässigkeit eines Risikos ist deshalb schwierig. Es
ist sinnvoll solche Verfahren dann anzuwenden, wenn z. B. für eine notwendige Risi-
kominderung mehrere Möglichkeiten existieren und für die Auswahl der am besten
geeigneten Variante eine vergleichende Betrachtung erforderlich ist. Dann können
nach gleichem Vorgehen ermittelte Risikokennzahlen eine Entscheidungshilfe bieten.
19
2.2 Risikominderung
2.2.1 Gesamtprozess
Start
Identifizierung der
Gefährdungen
Risikoeinschätzung
Risikoanalyse
Risikobewertung
Wurde das
Ja
Risiko
Ende Ja
hinreichend
vermindert?
Schritt 1
Kann die
Gefährdung Ja
beseitigt
werden?
Wurde die
Risikominderung durch Ja
Nein vorgesehene
inhärent sichere
Risikominderung
Konstruktion
erreicht?
Kann
das Risiko
durch inhärent sichere Ja
Nein
Konstruktion
vermindert
werden?
Nein
Schritt 2
Kann Risikominderung durch
das Risiko technische
Schutzmaßnahmen Wurde die
durch trennende und Ja vorgesehene Ja
andere Schutzeinrichtungen Risikominderung
vermindert Einbeziehnung
ergänzender erreicht?
werden?
Schutzmaßnahmen
Nein Nein
Schritt 3
Können die Wurde die
Ja Nein Risikominderung durch Ja
Grenzen erneut vorgesehene
festgelegt Benutzerinformation Risikominderung
werden? erreicht?
Nein
Risikominderung
Diese Schritte stellen eine Rangfolge dar, die entsprechend zu durchlaufen ist. Der
Einsatz von Schutzmaßnahmen kann erst erwogen werden, wenn eine inhärent
sichere Konstruktion nicht durchführbar ist. Genauso können Benutzerinformationen
technisch mögliche Schutzmaßnahmen nicht ersetzen (Hilfsmittel siehe Tab. 2.2).
Die inhärent sichere Konstruktion einer Maschine ist der wirkungsvollste und damit
auch der erste Schritt in der Risikominderung. Diese Maßnahmen verursachen kei-
nen zusätzlichen Aufwand bei der Benutzung der Maschine wie die technischen
Schutzeinrichtungen. Sie sind deshalb auch nicht anfällig für eine Manipulation. Des
Weiteren wirken sie im Gegensatz zu den Benutzerinformationen unabhängig vom
Willen des Benutzers.
Den größten Einfluss auf die inhärent sichere Konstruktion einer Maschine hat die
Wahl des Arbeitsverfahrens. Kann zum Beispiel im Produktionsprozess ein Arbeits-
verfahren eingesetzt werden, bei dem keine Gefahrstoffe verwendet werden oder
entstehen, müssen auch keine Schutzmaßnahmen dafür vorgesehen werden. Ein
anderes Bespiel, wie durch die Auswahl eines entsprechenden Arbeitsverfahrens
Gefährdungen durch Vibrationen vermieden werden, ist in Abschnitt 3 beschrieben.
Gleiches gilt z. B. für die Vermeidung von Lärmemissionen durch Verwendung eines
elektrischen statt eines pneumatischen Antriebsverfahrens.
Ein weiteres Mittel der inhärent sicheren Konstruktion ist die geometrische Gestal-
tung der Maschine z. B. durch Wahl der Abstände zwischen beweglichen Teilen so,
dass ein Quetschen verhindert ist sowie durch Gestaltung der Form und Oberfläche
mittels Abrundung so dass Scheren oder Schneiden nicht möglich ist.
21
Wenn möglich lassen sich Gefährdungen auch durch Begrenzung der Maschinenpa-
rameter wie Kraft, Masse, Geschwindigkeit, Energie auf ungefährliche Werte vermei-
den (Hilfsmittel siehe Tab. 2.3).
Ist eine Risikominderung durch inhärent sichere Konstruktion nicht möglich oder
ausreichend müssen Schutzmaßnahmen angewendet werden.
Zu den ergänzenden Schutzmaßnahmen zählt die Möglichkeit für das Stillsetzen der
Maschine im Notfall. Dies darf jedoch keine Ersatzlösung für nicht vorgesehene
technische Schutzmaßnahmen sein! Des Weiteren sind darunter Maßnahmen zur
Evakuierung eingeschlossener Personen sowie zum sicheren Trennen und Ableiten
von Energien und zum sicheren Zugang zu sehen, wie z. B. in Abschnitt 3.3 be-
schrieben (Hilfsmittel siehe Tab. 2.4).
22
Wie schon im Abschnitt zur Risikobewertung dargelegt wurde, hängt das Grenzrisiko
unter anderem von den Personengruppen ab, die die Maschine benutzen. Doch nicht
nur das Grenzrisiko sondern auch die Anteile der einzelnen Schritte der Risikominde-
rung sind davon abhängig.
durch die Schritte 1 und 2 der Risikominderung abzusichern. Hier muss dann also
die Risikominderung allein durch inhärent sichere Konstruktion und durch technische
Schutzmaßnahmen realisiert werden, da Benutzerinformationen von diesen Benut-
zergruppen z. B. Kindern nicht verarbeitet werden können.
Diese Beispiele zeigen, dass es erforderlich ist, sich schon im ersten Schritt in der
Risikoanalyse nämlich bei der Festlegung der Grenzen der Maschine mit den Anfor-
derungen der Benutzer auseinanderzusetzen, um dann in der Phase der Risikomin-
derung die geeigneten Maßnahmen festlegen zu können.
25
Risiko
inhärent
Grenzrisiko
sichere
Konstruktion
technische
und ergänzende
Schutzmaßnahmen
Benutzer-
information
Restrisiko Schritt 3 Schritt 2 Schritt 1
inhärent
Grenzrisiko
sichere
Konstruktion
technische
und ergänzende
Schutzmaßnahmen
Benutzer-
information
Restrisiko Schritt 3 Schritt 2 Schritt 1
inhärent
sichere
Konstruktion
technische
und ergänzende
Schutzmaßnahmen
Restrisiko Schritt 2 Schritt 1
Diese Norm gehört zur Grundausstattung eines jeden, der sich mit der Risikobeurtei-
lung von Maschinen befasst. Sie enthält neben einer übersichtlichen Darstellung der
Prozesse von Risikobeurteilung und Risikominderung sehr viele beispielhafte Auf-
zählungen zu Aspekten, die in den einzelnen Prozessphasen zu berücksichtigen
sind.
Für einen Konstrukteur, der sich mit diesen Problemen befasst, sind sie eine unver-
zichtbare Arbeitsgrundlage.
Typ C-Normen sind maschinenspezifische Normen. Sie behandelt in der Regel alle
sicherheitsspezifischen Aspekte eines Typs von Maschine. Hier wurde die Risikobe-
urteilung und die Identifizierung der notwendigen Maßnahmen der Risikominderung
für die betreffende Maschine bereits durch das zuständige Normungsgremium
durchgeführt. Bei ihrer Anwendung kann deshalb davon ausgegangen werden, dass
alle Anforderungen der Maschinenrichtlinie erfüllt sind.
Bei der Risikoanalyse sollte man deshalb prüfen, ob zu dem Typ Maschine, die ge-
plant ist, eine Typ C-Norm existiert. Lässt sich diese vollständig anwenden, kann
damit die Risikobeurteilung als erledigt betrachtet werden. Die in der Norm genann-
ten Sicherheitsmaßnahmen geben die nötige Risikominderung vor.
Lässt sich die Norm nicht vollständig anwenden z. B. auf Grund von Einschränkun-
gen im Anwendungsbereich, so kann man die Maschine zumindest bezüglich der
anwendbaren Teile danach entwerfen und bauen. Die Risikobeurteilung und die
Risikominderung erstrecken sich dann nur noch auf die von der Norm nicht abge-
deckten Bereiche.
Abb. 3.1 zeigt die Anwendung von Typ C-Normen im Prozess der Risikobeurteilung
und Risikominderung.
Start
Risikobeurteilung Risikominderung
Festlegung der Grenzen Risikoanalyse
der Maschine
Normenrecherche
Nein Nein
Nein
weiter für die nicht
berücksichtigten
Gefährdungen
Identifizierung der
Gefährdungen
Abb. 4.1 zeigt die möglichen Verbindungen zwischen den einzelnen Arbeitsschritten
der Phasen des Konstruktionsprozesses nach VDI 2221 und der Risikobeurteilung.
Die Anordnung der Risikobeurteilung an einer Schiene längs des Konstruktionspro-
zesses verdeutlicht dabei ihren, den Gesamtprozess begleitenden Charakter.
Die einzelnen Phasen der Risikobeurteilung bauen dabei entweder auf den in der
vorangegangenen Phase erreichten Ergebnissen auf oder aber verfeinern die ge-
machten Annahmen bzw. erreichten Ergebnisse im iterativen Ablauf in einer neuen
Phase des Konstruktionsprozesses. In den folgenden Abschnitten werden die Bezie-
hungen zwischen den einzelnen Phasen des Konstruktionsprozesses und der Risi-
kobeurteilung sowie Ein- und Ausgabeparameter vorgestellt.
29
Aufgabe
Start
Aufgabe
Klären
Risikoanalyse
Festlegung der Grenzen
der Maschine
Risikobeurteilung
Risikoeinschätzung
Suchen nach Lösungs-
3 prinzipien und deren
Strukturen
Risikobewertung
Gliedern in realisierbare
4
Module
Wurde das
Ja
Risiko
Ende
hinreichend
vermindert?
Entwerfen
Gestalten der
5
maßgebenden Module
Nein
Ausarbeiten der
7 Ausführungs- und
Nutzungsangaben
weitere Realisierung
Bei der Klärung der Aufgabe ist mit der Präzisierung des Produktes und der Erstel-
lung der Anforderungsliste der erste Einstieg in die Risikobeurteilung gegeben (siehe
Abb. 4.2). An dieser Stelle lassen sich die ersten Daten gewinnen, um z. B. die Gren-
zen des Betrachtungsrahmens für die Risikobeurteilung der Maschine festlegen zu
können. Mittels eines gut ausgearbeiteten Fragenkataloges können hier auch direkt
beim Auftraggeber benötigte Angaben nachgefragt werden.
Als Ausgabegrößen aus der Risikobeurteilung ergeben sich in dieser Phase die Ein-
gangsgrößen für den Arbeitsplan wie zum Beispiel:
• Zuordnung des Produktes zu den anzuwendenden Richtlinien
• Anwendungsmöglichkeit harmonisierter Normen
• Durchzuführendes Konformitätsbewertungsverfahren (Eigenzertifizierung,
Baumusterprüfung, umfassende Qualitätssicherung)
30
Aufgabe Start
Räumliche Grenzen
Energetische Grenzen
Aufgabe Klären
Information
Risikoanalyse
Zeitliche Grenzen
Verwendungsgrenzen Festlegung der Grenzen
Klären und präzisieren
1 der Maschine
der Aufgabenstellung
anzuwendende
Richtlinien
anwendbare Normen
Konformitäts-
bewertungsverfahren
Dies können Größen sein, die einen wesentlichen Einfluss auf den weiteren Verlauf
des Konstruktions- und Herstellungsprozesses haben. So macht es einen großen
Unterschied sowohl in zeitlicher als auch in finanzieller Hinsicht, ob eine Eigenzertifi-
zierung als Konformitätsbewertungsverfahren möglich ist oder evtl. eine Baumuster-
prüfung durchzuführen ist. Eine gründliche Klärung dieser Fragen ist deshalb wichtig,
damit der Zeit- und Kostenrahmen des Projektes später nicht gesprengt wird (Hilfs-
mittel siehe Tab. 4.1).
Die Konzeptphase gliedert sich in zwei Abschnitte, in die Ermittlung der Funktions-
struktur und in die Ableitung der Wirkstruktur (siehe Abb. 4.3).
Als erstes werden die notwendigen Funktionen, die die Maschine benötigt um ihren
vorgesehenen Verwendungszweck zu erfüllen ermittelt und deren Struktur aufge-
stellt. Da diesen Funktionen noch keine Ausprägungen in Form realer Strukturen
zugeordnet werden können, lassen sich auch noch keine Gefährdungen ableiten. Ein
Bezug zur Risikobeurteilung ist damit für diesen Abschnitt nicht gegeben.
Ermitteln von
2 Funktionen und deren
Strukturen
Konzipieren
Risikoanalyse
Identifizierung der
mit den betrachteten
Wirkprinzipien Identifizierung der
Risikobeurteilung
verbundenen Gefährdungen
Suchen nach Gefährdungen
3 Lösungsprinzipien und
deren Strukturen
Bewertung und Vergleich Risikoeinschätzung
der mit den Wirkprinzipien
verbundenen Risiken als
Einflussparameter für die Risikobewertung
Auswahl des Wirkprinzips
Die Phase des Entwerfens ist durch die umfangreichste Verknüpfung mit der Risiko-
beurteilung gekennzeichnet (siehe Abb. 4.4). In ihr wird die Wirkstruktur mit realen
Parametern ausgestattet. Das heißt, den einzelnen Wirkprinzipen werden Werte für
Abmessungen, Kräfte, Geschwindigkeiten usw. zugeordnet. Die bisher nur grob
durchgeführte Risikobeurteilung kann nun detailliert werden. An Hand der ermittelten
Parameter lässt sich entscheiden, ob Maßnahmen zur Risikominderung erforderlich
sind.
Risikoanalyse
Festlegung der Grenzen
Schnittstellen der Module der Maschine
Gliedern in
4 für Risikobeurteilung
realisierbare Module
Identifizierung der
Gefährdungen
Risikobeurteilung
Risikoeinschätzung
Risikobeurteilung und
Entwerfen
Wurde das
Ja
Risiko
Detaillierung der
Ende
hinreichend
Maßnahmen der vermindert?
Risikominderung ent-
Gestalten des gesamten
6 sprechend der Rangfolge
Produktes
Überprüfung ob Risiko- Nein
minderung ausreichend
Risikominderung
Dies alles wird zunächst für die Hauptbetriebsarten der Maschine erfolgen. Jedoch
ist bereits an dieser Stelle an weitere Betriebsarten zu denken. Denn eine Maschine
muss natürlich, damit sie produzieren kann, auch gerüstet, gereinigt, gewartet und
instandgehalten werden. Alle diese Prozesse müssen sicher erfolgen können! Das
heißt, es sind Zugangsmöglichkeiten, sichere Standplätze, Montagehilfsmittel aber
unter Umständen auch Fluchtmöglichkeiten zu berücksichtigen, wenn zum Beispiel
die Gefahr des eingeschlossen Werdens bei Reinigungsarbeiten in der Maschine
droht. Dafür ist unter Umständen zusätzlicher Platzbedarf erforderlich, der eingeplant
werden muss. Nicht zu vergessen ist dabei auch die Integration dieser Betriebsarten
34
in die Steuerung der Maschine. So stellt sich die Frage, welche vor- oder nachgela-
gerten Maschinenmodule bei Abschaltung eines Moduls für solche Nebenprozesse
evtl. mit abgeschaltet werden müssen und welche Anforderungen die Maschinen-
steuerung erfüllen muss, damit die Abschaltung auch sicher erfolgt.
Es empfiehlt sich, diese Aspekte in die Abnahme durch den Auftraggeber mit einzu-
beziehen, bevor die Phase der Ausarbeitung startet. Der zukünftige Betreiber kennt
die Anforderungen, die sich aus seinen internen Prozessen ergeben und die z. B.
sein Wartungspersonal stellt, am besten. So können Unklarheiten an dieser Stelle
noch beseitigt werden (Hilfsmittel siehe Tab. 4.3).
35
In der Phase des Ausarbeitens fließen die Ergebnisse der Risikobeurteilung in die
Dokumentation ein (siehe Abb. 4.5). Aus Gründen der Rechtssicherheit ist zu emp-
fehlen, die Risikobeurteilung in die Dokumentation mit aufzunehmen. Die Hinweise
über Restgefahren an der Maschine, die sich aus der Risikobeurteilung ergeben
haben und für die der Benutzer Schutzmaßnahmen ergreifen muss, sind in die Be-
triebsanleitung sowie die Hinweise für Wartung und Instandhaltung zu übernehmen
und mit entsprechender Deutlichkeit zu beschreiben. Die Kennzeichen für solchen
Gefahren sind vorzugsweise in Piktogrammform an der Maschine vorzusehen. Die
verwendeten Normen und anderen technischen Spezifikationen können an dieser
Stelle zusammengestellt und in die auszustellende Konformitätserklärung aufge-
nommen werden (Hilfsmittel siehe Tab. 4.4).
Start
Risikoanalyse
Festlegung der Grenzen
der Maschine
Identifizierung der
Gefährdungen
Einarbeiten der
Risikobeurteilung
Risikobeurteilung in die Risikoeinschätzung
Technische Dokumenttion
Ausarbeiten
Nein
weitere Realisierung
Risikominderung
Es werden jeweils der Anwendungsbereich sowie der Status und die historische
Entwicklung, wenn bekannt, dargestellt. Des Weiteren erfolgt eine Kurzbeschreibung.
Den Hauptteil der Darstellung nimmt die ausführliche Vorstellung des jeweiligen
Verfahrens ein.
Bei einigen Verfahren sind neben der gängigen Darstellungsform auch andere For-
men der Darstellung angegeben. Dies betrifft z. B. die Risikographen, die auch als
Risikomatrizen dargestellt werden können. Damit soll gezeigt werden, dass die ein-
zelnen Verfahren jeweils nur unterschiedliche Formen für die Kombination der Ein-
gangsparameter Schadensschwere und Eintrittswahrscheinlichkeit darstellen.
Tabelle 5.1 gibt eine Übersicht über die Verfahren zur Risikoeinschätzung und deren
Anwendungsbereiche. Die Anwendungsbereiche wurden aus den bisher bekannten
Anwendungsbeispielen der einzelnen Verfahren abgeleitet. An Hand dieser Tabelle
kann somit eine Vorauswahl hinsichtlich der geplanten Anwendung erfolgen. Das
heißt natürlich nicht, dass nicht auch andere Anwendungen für ein Verfahren möglich
sind. Entscheidend ist die Passfähigkeit der einzelnen Parameter für den geplanten
Anwendungszweck.
6 Zusammenfassung
Der vorliegende Bericht enthält neben der Darstellung der Grundlagen der Risikobe-
urteilung und Risikominderung auch einen Abschnitt zur Verknüpfung der einzelnen
Phasen dieser beiden Prozesse mit dem Konstruktionsprozess. In den Anhängen
werden ausgewählte Verfahren zur Risikoeinschätzung ausführlich erläutert und ihre
Einsatzbereiche dargestellt.
Bei der Darstellung und Erläuterung der Prozesse der Risikobeurteilung und Risiko-
minderung betrachtet der Bericht solche Aspekte wie die Berücksichtigung unter-
schiedlicher Benutzergruppen, das Finden von Werten für das Grenzrisiko sowie die
Anwendung von Normen. Die dabei gegebenen Einschätzungen beruhen unter an-
derem auf den Erfahrungen des Autors, die bei Risikobeurteilungen im Rahmen von
Anfragen an die BAuA nach § 12 GPSG (heute ProdSG) hinsichtlich der Sicherheit
von Produkten gesammelt wurden.
Die im Bericht enthaltenen Hinweise zur Einbindung der Risikobeurteilung und Risi-
kominderung in den Konstruktionsprozess entstammen vorrangig den durchgeführ-
ten Analysen des Konstruktionsprozesses in Unternehmen des Sondermaschine-
baus. Diese dienten der Entwicklung von Software zur Gestaltung sicherer Maschi-
nen und zur Durchführung der damit verbundenen Risikobeurteilung. Entstanden ist
daraus die Software Gesima (GESIMA 2012), auf die an dieser Stelle verwiesen sei.
Zu den in den einzelnen Abschnitten des Berichtes behandelten Themen sind Ver-
weise auf weiterführende Wissensquellen eingefügt.
Wichtig ist die Einbindung der Risikobeurteilung über alle Phasen des Konstruktions-
prozesses. Nur so kann sichergestellt werden, dass die jeweils relevanten Eingangs-
daten für die Risikobeurteilung vorhanden sind und die Ergebnisse der Risikobeurtei-
lung auch wieder in die Konstruktion umgesetzt werden können.
Für die Durchführung der Risikobeurteilung und Risikominderung zeigt der Bericht
Wege auf, durch Rückgriff auf Normen die Arbeit zu erleichtern. Das beginnt bei der
Ermittlung der Gefährdungen zum Beispiel mit Hilfe der Liste nach
DIN EN ISO 12100. Das gleiche gilt beim Finden von Werten für das zulässige
Grenzrisiko. Auch hier ist die Anwendung des in den Normen beschriebenen Stan-
des der Technik eine Hilfestellung. Die Anwendung der in diesem Bericht beschrie-
benen Verfahren der Risikoeinschätzung zur Ermittlung von Risikokennzahlen ist
demgegenüber wesentlich aufwändiger und führt auf Grund der unscharfen Klassifi-
kation bei den Eingangsgrößen zu unscharfen und damit interpretierungsbedürftigen
Ergebnissen. Sinnvoll ist eine Anwendung solcher Verfahren dagegen in verglei-
chenden Betrachtungen bei der Auswahl möglicher Schutzmaßnahmen zur Risiko-
minderung sowie bei der Ermittlung der Kategorien für sicherheitsbezogene Teile von
Steuerungen.
Literaturverzeichnis
9. ProdSV: Maschinenverordnung v. 12. Mai 1993 (BGBl. I S. 704), zuletzt geändert
durch Artikel 19 des Gesetzes über die Neuordnung des Geräte- und Produktsicher-
heitsrechts (v. 8. 11. 2011. BGBl I S. 2178)
CCPS, Center for Chemical Process Safety: Layer of protection analysis. simplified
process risk assessment. New York: 2001
DIN EN ISO 14798: Aufzüge, Fahrtreppen und Fahrsteige. Verfahren zur Risikobeur-
teilung und -minderung. Entwurf, Mai 2005
Hauptmanns, U.; Knetsch, T.; Marx, M.: Gefährdungsbäume zur Analyse von Un-
fällen und Gefährdungen. Bundesanstalt für Arbeitsschutz und, Bremerhaven: Wirt-
schaftsverlag NW Verlag für neue Wissenschaft GmbH 2004, Schriftenreihe der
Bundesanstalt für Arbeitsschutz und Arbeitsmedizin: Forschungsbericht, Fb 1028)
Kinney, G. F. et al: Practical Risk Analysis for Safety Management. Naval Weapons
Center 1976. NTIS report number NWC-TP-5865
MIL-STD-882D: Standard Practice for System Safety, February 2000, United States
of America, Department of Defence
Nohl, J: Entwurf eines Verfahrens für die Durchführung von Sicherheitsanalysen; in:
Moderne Unfallverhütung, Heft 32, Jahrgang 1988
ProdSG: Gesetz über die Bereitstellung von Produkten auf dem Markt (Produktsi-
cherheitsgesetz – ProdSG) v. 8. 11. 2011. BGBl I S. 2178
Proske, D.: Katalog der Risiken – Risiken und ihre Darstellung. 1. Auflage. Dresden:
Eigenverlag 2004
Raafat, H.: Machinery safety: The risk based approach Practical guidelines on risk
assessment, standards and legislation. Hitchin: Technical Communications 1995
43
VDA: Sicherung der Qualität vor Serieneinsatz. Sicherung der Qualität während der
Produktrealisierung. Methoden und Verfahren. 1. Auflage: 2003
44
Anhang
Anhang 1 Gefährdungsbaumanalyse
Anhang 14 FMEA
45
Anhang 1
Gefährdungsbaumanalyse
Anwendung
Betrieblicher AS, Bewertung von Arbeitsplätzen, Untersuchung von Unfällen
Status
Gefährdungsanalyseprogramm GAP 1.0
Beschreibung
Die Gefährdungsbaumanalyse ist eine Anwendung der Fehlerbaummethode auf dem
Gebiet des Arbeitsschutzes. Damit lassen sich insbesondere Unfälle mit komplizier-
tem Ursachengefüge analysieren. Des Weiteren können Arbeitsplätze und Tätigkei-
ten hinsichtlich der Wirksamkeit von Schutzmaßnahmen verglichen werden. Die
Analyse ist in der Software Gefährdungsanalyseprogramm GAP umgesetzt.
Verfahren
Wie beim Fehlerbaum werden auch bei der Gefährdungsbaumanalyse Ereignisse
durch logische Gatter miteinander verknüpft. Das unerwünschte Ereignis (Ausgangs-
, Top-Ereignis) ist in diesem Fall der Arbeitsunfall. Zu diesem werden die Eingangs-
ereignisse (Ursachen) in Beziehung gebracht. Das geschieht über Boolesche Opera-
toren (siehe Tabelle Anh.1, Tab. 1).
Bedeutung Symbol
A
A
UND-Gatter: A ist nur erfüllt, wenn E1 und E2 gleichzeitig zutreffen
&
(logischer Durchschnitt).
E1 E2
A
ODER-Gatter: A ist erfüllt, wenn entweder E1 oder E2 oder beide
zutreffen (logische Vereinigung); dies ist das überwiegend 1
vorkommende ODER-Gatter.
E1 E2
A
Exklusives ODER-Gatter: A ist nur erfüllt, wenn entweder E1 oder E2
=1
zutrifft.
E1 E2
Der entwickelte Gefährdungsbaum (siehe Anh. 1, Abb. 1) beruht auf der Tatsache,
dass Unfallgefährdungen und Unfälle auf eine sich wiederholende Grundstruktur
zurückgeführt werden können (BAU, 1995 und HAUPTMANNS, 2004). Das Gefähr-
dungsgrundmodell erfasst systematisch die Zusammenhänge, die zum Auftreten
eines Arbeitsunfalls führen können. Es handelt sich dabei um ein generisches Mo-
dell. Dieses ist an spezielle Fälle anzupassen.
Das nicht sicherheitsgerechte Verhalten stellt des weiteren einen Eingang für die
Anwesenheit des Menschen im Wirkungsbereich des Gefährdungsfaktors dar. Es
kann in einem Teilbaum bezogen auf die einzelnen Anknüpfungspunkte 1…5 weiter
detailliert untersucht werden.
Da für die meisten Eingangsereignisse das Eintreten nur mit einer gewissen Wahr-
scheinlichkeit eingeschätzt werden kann, wurden dafür Qualifikatoren entwickelt
(siehe Anh. 1, Tab. 2) und entsprechende Wahrscheinlichkeitsbänder zugeordnet.
47
Wahrscheinlichkeit/
Sprachlicher Qualifikator
Wahrscheinlichkeitsband
untere Grenze obere Grenze
a b
Unmöglich / nie 0 0
Ziel bei der Auswertung des Gefährdungsbaumes ist es, alle möglichen Kombinatio-
nen von Eingangsereignissen (Schnitte) zu finden, die zum Arbeitsunfall führen kön-
nen. Innerhalb dieser Gesamtmenge an Kombinationen von Eingangsereignissen,
gibt es Kombinationen, die keine anderen Kombinationen mehr enthalten, die soge-
nannten Minimalschnitte. Nach dieser qualitativen Auswertung kann mittels der
durchgeführten Wahrscheinlichkeitsbewertung der Eingangsereignisse eine quantita-
tive Auswertung erfolgen. Ziel ist es hier die Minimalschnitte und damit die Kombina-
tionen mit den größten Eintrittswahrscheinlichkeiten herauszufinden. Diese liefern
damit als Ergebnis die wirksamsten Ansatzpunkte für Maßnahmen zur Verbesserung
des Systems und damit zur Senkung der Eintrittswahrscheinlichkeit des möglichen
Ausgangsereignisses.
Da ein Gefährdungsbaum immer nur eine Gefährdung analysiert und deren Scha-
densschwere unberücksichtigt bleibt lässt sich damit keine Risikobeurteilung zur
Notwendigkeit der Ableitung von Maßnahmen zur Risikominderung durchführen.
Jedoch lassen sich verschiedene Maßnahmen im Vergleich ihres Beitrages zur Sen-
kung der Eintrittswahrscheinlichkeit bewerten.
48
Arbeitsunfall
&
& 1
5
gefährdungsrelevanter Mängel bei sekundären technisch organisatorisch
Faktor vorhanden Schutzmaßnahmen unzureichend fehlend 4
=1 1
&
=1 1
1-5
48
& =1
1 1 &
1 1
Anhang 2
Anwendung
Ermittlung der Anforderungsklassen für MSR-Schutzeinrichtungen im Prozess der
Risikominderung
Status
Nicht mehr angewendet
Ersetzt durch DIN EN 954-1
Beschreibung
Der Risikograph nach DIN V 19250 wurde angewendet, um die Anforderungen und
damit die notwendige Anforderungsklasse für MSR-Schutzeinrichtungen zu ermitteln.
Das Verfahren kam dann zur Anwendung, wenn technische Schutzeinrichtungen zur
Risikominderung eingesetzt wurden und diese steuerungstechnisch mit der gefährli-
chen Maschinenfunktion verknüpft waren. Die auszuwählende Anforderungsklasse
für die MSR-Schutzeinrichtung korreliert mit dem Beitrag, den diese zur Risikominde-
rung zu leisten hat.
Verfahren
Die Auswahl der Anforderungsklasse der MSR-Schutzeinrichtung erfolgt durch Ein-
schätzung der Risikoparameter Schadensausmaß und Häufigkeit des Eintritts.
Der Parameter Häufigkeit wird in zwei Untergruppen untergliedert. Eine Gruppe ist
die Häufigkeit/Dauer der Gefährdungsexposition (Parameter F). Die andere Gruppe
ist die Möglichkeit der Vermeidung der Gefährdung (Parameter P).
F1 ist wählbar bei seltener oder kurzer Dauer der Gefährdungsexposition. F2 sollte
angewendet werden, bei häufiger oder dauernder Gefährdungsexposition. So sind
zum Beispiel regelmäßige Eingriffe im zyklischen Betrieb F2 zuzuordnen.
Der Parameter P steht für die Erkennbarkeit und Vermeidbarkeit einer Gefährdung.
Wichtige Merkmale für die Einschätzung sind:
50
Anh. 2, Abb. 1 zeigt schematisch den Verfahrensablauf. Die Darstellung b) ist eine
Überführung in das Schema einer Risikomatrix. Dies zeigt, dass sich das Verfahren
des Risikographen auch als Risikomatrix darstellen lässt, wie auch umgekehrt.
51
S1 Leichte Verletzung
Möglich unter bestimmten
G1
Bedingungen
A1 Selten bis öfter
Schwere irreversible
G2 Kaum möglich
Verletzung einer oder
S2
mehrerer Personen Möglich unter bestimmten
G1
oder Tod einer Person Bedingungen
A2 Häufig bis dauernd
G2 Kaum möglich
Anforderungsklassen
1
2
3
4
5
6
7
8
Anhang 3
Anwendung
Ermittlung der Kategorien für sicherheitsbezogene Teile von Steuerungen im Pro-
zess der Risikominderung
Status
Entstanden aus DIN V 19250
Ersetzt durch DIN EN ISO 13849-1
Beschreibung
Der Risikograph nach DIN EN 954 wird angewendet, um die Anforderungen und
damit die notwendige Kategorie für eine Steuerung und deren Teile zu ermitteln, die
eine Sicherheitsfunktion zu erfüllen hat.
Das Verfahren kann dann zur Anwendung kommen, wenn technische Schutzeinrich-
tungen zur Risikominderung eingesetzt werden und diese steuerungstechnisch mit
der gefährlichen Maschinenfunktion verknüpft sind. Die auszuwählende Kategorie für
die Steuerung korreliert mit dem Beitrag, den diese zur Risikominderung zu leisten
hat.
Verfahren
Die Auswahl der Kategorie der Steuerung erfolgt durch Einschätzung der Risikopa-
rameter Schadensausmaß und Häufigkeit des Eintritts.
Der Parameter Häufigkeit wird in zwei Untergruppen untergliedert. Eine Gruppe ist
die Häufigkeit / Dauer der Gefährdungsexposition (Parameter F). Die andere Gruppe
ist die Möglichkeit der Vermeidung der Gefährdung (Parameter P).
F1 ist wählbar bei seltener oder kurzer Dauer der Gefährdungsexposition. F2 sollte
angewendet werden, bei häufiger oder dauernder Gefährdungsexposition. So sind
zum Beispiel regelmäßige Eingriffe im zyklischen Betrieb F2 zuzuordnen.
Der Parameter P steht für die Erkennbarkeit und Vermeidbarkeit einer Gefährdung.
53
Anh. 3, Abb. 1 zeigt schematisch den Verfahrensablauf. Die Darstellung b) ist eine
Überführung in das Schema einer Risikomatrix. Dies zeigt, dass sich das Verfahren
des Risikographen auch als Risikomatrix darstellen lässt, wie auch umgekehrt.
P1
F1
S2 P2
P1
F2
P2
Anh. 3, Tab 1 stellt die wesentlichen Merkmale der Steuerungskategorien nach DIN
EN 954-1 dar.
54
Prinzipien zum
Kategorie Kurzfassung der Anforderungen Systemverhalten2) Erreichen der
1)
Sicherheit
Die Anforderungen von B und die Ver- - Das Auftreten eines Fehlers kann
wendung bewährter Sicherheitsprinzipien zum Verlust der Sicherheitsfunkti-
2 müssen erfüllt sein. on zwischen den Prüfabständen
führen.
Die Sicherheitsfunktion muss in geeigne- - Der Verlust der Sicherheitsfunkti-
ten Zeitabständen durch die Maschinen- on wird durch die Prüfung erkannt.
steuerung geprüft werden.
Die Anforderungen von B und die Ver- - Wenn der einzelne Fehler auftritt,
wendung bewährter Sicherheitsprinzipien bleibt die Sicherheitsfunktion
müssen erfüllt sein. immer erhalten.
3
Sicherheitsbezogene Teile müssen so - Einige, aber nicht alle Fehler
gestaltet sein, dass: werden erkannt.
überwiegend
- ein einzelner Fehler in jedem dieser Teile - Eine Anhäufung unerkannter durch die
nicht zum Verlust der Sicherheitsfunktion Fehler kann zum Verlust der Struktur
führt, und Sicherheitsfunktion führen. charakterisiert
- wann immer in angemessener Weise
durchführbar, der einzelne Fehler erkannt
wird.
Die Anforderungen von B und die Ver- - Wenn Fehler auftreten, bleibt
wendung bewährter Sicherheitsprinzipien die Sicherheitsfunktion immer
müssen erfüllt sein. erhalten.
Sicherheitsbezogene Teile müssen so - Die Fehler werden rechtzeitig
4
gestaltet sein, dass: erkannt, um einen Verlust der
Sicherheitsfunktion zu verhindern.
- ein einzelner Fehler in jedem dieser Teile
nicht zum Verlust der Sicherheitsfunktion
führt und
- der einzelne Fehler bei oder vor der
nächsten Anforderung an die Sicherheits-
funktion erkannt wird, oder, wenn dies
nicht möglich ist, darf eine Anhäufung von
Fehlern dann nicht zum Verlust der
Sicherheitsfunktion führen.
1)
Die Kategorien sind nicht dazu bestimmt, in irgendeiner gegebenen Reihenfolge oder hierarchischen
Anordnung in Bezug auf die sicherheitstechnischen Anforderungen angewendet zu werden.
2)
Aus der Risikobeurteilung wird sich ergeben, ob der gesamte oder teilweise Verlust der Sicherheitsfunktion(en)
aufgrund von Fehlern akzeptabel ist.
55
Anhang 4
Anwendung
Ermittlung der Kategorien für sicherheitsbezogene Teile von Steuerungen im Pro-
zess der Risikominderung
Status
Entstanden aus DIN EN 954-1
Beschreibung
Der Risikograph nach DIN EN ISO 13849-1 wird angewendet, um die Anforderungen
und damit Performancelevel plr für eine Steuerung und deren Teile zu ermitteln, die
eine Sicherheitsfunktion zu erfüllen hat.
Das Verfahren kann dann zur Anwendung kommen, wenn technische Schutzeinrich-
tungen zur Risikominderung eingesetzt werden und diese steuerungstechnisch mit
der gefährlichen Maschinenfunktion verknüpft sind. Der zu erreichende Performance-
level für die Steuerung korreliert mit dem Beitrag, den diese zur Risikominderung zu
leisten hat.
DIN EN ISO 13849-1 findet Anwendung auf elektrische und nicht elektrische z. B.
mechanische, hydraulische oder pneumatische sowie auf einfache programmierbare
elektronische Systeme. Für andere siehe DIN EN 62061.
Verfahren
Die Auswahl des erforderlichen Performancelevels der Steuerung erfolgt durch Ein-
schätzung der Risikoparameter Schadensausmaß und Häufigkeit des Eintritts.
Der Parameter Häufigkeit wird in zwei Untergruppen untergliedert. Eine Gruppe ist
die Häufigkeit / Dauer der Gefährdungsexposition (Parameter F). Die andere Gruppe
ist die Möglichkeit der Vermeidung der Gefährdung (Parameter P).
F1 ist wählbar bei seltener oder kurzer Dauer der Gefährdungsexposition. F2 sollte
angewendet werden, bei häufiger oder dauernder Gefährdungsexposition. So sind
zum Beispiel regelmäßige Eingriffe im zyklischen Betrieb F2 zuzuordnen.
56
Der Parameter P steht für die Erkennbarkeit und Vermeidbarkeit einer Gefährdung.
Wichtige Merkmale für die Einschätzung sind:
• Unmittelbare oder nur mittelbare (Messinstrumente) Wahrnehmung der Ge-
fährdung
• Beaufsichtigter oder unbeaufsichtigter Betrieb
• Schnelles oder langsames Auftreten der Gefährdung
• Möglichkeit sich der Gefährdung zu entziehen
• Praktische Erfahrungen mit der Sicherheit in Bezug auf den Prozessverlauf
Anh. 4, Abb. 1 zeigt schematisch den Verfahrensablauf. Die Darstellung b) ist eine
Überführung in das Schema einer Risikomatrix. Dies zeigt, dass sich das Verfahren
des Risikographen auch als Risikomatrix darstellen lässt, wie auch umgekehrt.
57
P1 L
a
F1
S1 P2
P1 b
1 F2
P2
P1 c
F1
S2 P2
P1 d
F2
P2
e
H
Häufigkeit und/oder
Möglichkeit der
Schwere der Dauer der
S F P Vermeidung der PLr
Verletzung Gefährdungs-
Gefährdung
exposition
Selten bis weniger P1 Möglich unter bestimmten L
a
häufig und/oder die Bedingungen
F1
Zeit der Gefährdungs-
Leichte (üblicherweise exposition ist kurz P2 Kaum möglich
S1 b
reversible) Verletzung Häufig bis dauernd P1 Möglich unter bestimmten
und/oder die Zeit der Bedingungen
F2
Gefährdungs-
exposition ist lang P2 Kaum möglich
c
Selten bis weniger P1 Möglich unter bestimmten
häufig und/oder die Bedingungen
F1
Zeit der Gefährdungs-
Schwere (üblicherweise exposition ist kurz P2 Kaum möglich
S2 irreversible Verletzung d
einschließlich Tod) Häufig bis dauernd P1 Möglich unter bestimmten
und/oder die Zeit der Bedingungen
F2
Gefährdungs- H
exposition ist lang P2 Kaum möglich e
Anhang 5
Anwendung
Ermittlung der Kategorien für sicherheitsbezogene Teile von Steuerungen im Pro-
zess der Risikominderung
Status
Abgeleitet aus IEC 61508 zur Anwendung für die Sicherheit von Maschinen
Beschreibung
Die Risikomatrix nach DIN EN 62061 wird angewendet, um die Anforderungen und
damit die Sicherheits-Integritätslevel (SIL) für eine Steuerung und deren Teile zu
ermitteln, die eine Sicherheitsfunktion zu erfüllen hat.
Das Verfahren kann dann zur Anwendung kommen, wenn technische Schutzeinrich-
tungen zur Risikominderung eingesetzt werden und diese steuerungstechnisch mit
der gefährlichen Maschinenfunktion verknüpft sind. Der zu erreichende Sicherheits-
Integritätslevel für die Steuerung korreliert mit dem Beitrag, den diese zur Risikomin-
derung zu leisten hat.
Verfahren
Die Auswahl des erforderlichen Sicherheits-Integritätslevel der Steuerung erfolgt
durch Einschätzung der Risikoparameter Schadensausmaß und Wahrscheinlichkeit
des Eintritts.
Der Parameter für die Häufigkeit und Dauer der Exposition (F) ist in fünf Klassen
eingeteilt. Es wird die Häufigkeit der Exposition bei einer Expositionsdauer von über
10 Minuten eingeschätzt. Liegt die Expositionsdauer unter 10 Minuten kann der Pa-
rameter mit Ausnahme der Expositionshäufigkeit ≥ 1 pro Stunde um eine Klasse
herabgestuft werden. Bei der Expositionshäufigkeit ≥ 1 pro Stunde ist eine Herabstu-
fung bei einer Dauer von unter 10 Minuten nicht möglich. Anh. 5, Tab. 2 zeigt die
Einteilung.
Der Parameter für die Wahrscheinlichkeit des Auftretens des gefährdenden Ereignis-
ses ist in 5 Klassen von „sehr hoch“ bis „vernachlässigbar“ eingeteilt. Zu Berücksich-
tigen ist hier das Verhalten von Bauteilen der Maschine wie z. B. deren Ausfallwahr-
scheinlichkeit und das menschliche Verhalten bei Interaktion mit der Maschine, die
zum Auftreten des gefährdenden Ereignisses führen können. Anh. 5, Tab. 3 zeigt die
Einteilung.
Der Parameter der Möglichkeit zur Vermeidung oder Begrenzung des Schadens (P)
ist in drei Klassen eingeteilt. Bei der Festlegung ist zu berücksichtigen die Geschwin-
digkeit des Eintritts des Ereignisses, die räumlichen Möglichkeiten sich der Gefähr-
dung zu entziehen sowie die Erkennbarkeit der Gefährdung. Anh. 5, Tab. 4 zeigt die
Einteilung.
Anh. 5, Tab. 4 Möglichkeit der Vermeidung oder Begrenzung des Schadens (P)
Die Wahrscheinlichkeit des Schadens (K) ergibt sich aus der Summe der Einzelpa-
rameter Häufigkeit und Dauer der Exposition (F), Wahrscheinlichkeit des Auftretens
des gefährdenden Ereignisses (W) und Möglichkeit der Vermeidung oder Begren-
zung des Schadens (P):
K=F+W+P
Aus der Kombination der ermittelten Schadensschwere (S) und der Wahrscheinlich-
keit für den Eintritt des Schadens (K) lässt sich der erforderliche Sicherheits-
Integritätslevel (SIL) für die Sicherheitsfunktion an Hand der in Anh. 5, Abb. 1 darge-
stellten Risikomatrix ermitteln.
61
Wahrscheinlichkeit (K)
1 (AM) SIL 1
Anh. 5, Abb. 1 Risikomatrix zur Festlegung des SIL nach DIN EN 62061:2011
62
Anhang 6
Anwendung
Einschätzung des Handlungsbedarfes zur Risikominderung
Status
Gängiges Verfahren des betrieblichen Arbeitsschutzes
Beschreibung
Die Risikomatrix nach Nohl kommt aus dem Bereich des betrieblichen Arbeitsschut-
zes. Sie wird im Rahmen der Gefährdungsbeurteilung nach Arbeitsschutzgesetz
angewendet. Einsatzfelder sind die Beurteilung von Arbeitsstätten, Arbeitsplätzen
und Arbeitsmitteln. Das Verfahren zeigt Handlungsbedarf für eine Risikominderung
auf. Es stellt das klassische Verfahren der Risikomatrix dar.
Verfahren
Die Ableitung des Handlungsbedarfes zur Risikominderung erfolgt durch Einschät-
zung der Risikoparameter Schadensschwere und Wahrscheinlichkeit des Wirksam-
werdens der Gefährdung.
Für die Einschätzung der Schadensschwere wird die Verletzungsschwere bei Unfall-
folgen oder Schwere der Erkrankung bei langfristigen Folgen herangezogen. Die
Einteilung erfolgt in vier Gruppen leichte, mittelschwere schwere Verletzungen, Er-
krankungen sowie Tod, Katastrophe.
Die Risikoeinschätzung erfolgt in drei Gruppen gering, signifikant und hoch. Ab einer
Einstufung für ein signifikantes Risiko sind Maßnahmen zur Risikominderung erfor-
derlich. Kein Handlungsbedarf ist erforderlich nur bis zur Parameterkombination sehr
geringe Eintrittswahrscheinlichkeit/mittelschwere Verletzung bzw. geringe Eintritts-
wahrscheinlichkeit/leichte Verletzung.
sehr gering 1 2 3 4
gering 2 3 4 5
mittel 3 4 5 6
hoch 4 5 6 7
Anhang 7
Anwendung
Risikomanagement von Unglücksrisiken im Bereich Umwelt, Sicherheit und Gesund-
heit
Status
Das Verfahren wurde 1969 entwickelt für die das US-amerikanische Verteidigungs-
ministerium. Es ist Bestandteil der Beschaffungsprozeduren für neue Systeme und
Ausrüstungen. Es wurde kontinuierlich weiterentwickelt. Zur Zeit gilt MIL-STD 882D
2000.
Dokument Status
MIL-STD-882 1969 Ersetzt
MIL-STD-882A 1977 Ersetzt
MIL-STD-882B 1984 Ersetzt
MIL-STD-882B, Notice 1 1987 Ersetzt
MIL-STD-882C 1993 Ersetzt
MIL-STD-882C, Notice 1 1996 Ersetzt
MIL-STD-882D 2000 In Kraft
MIL-STD 882E 2005 Entwurf
Beschreibung
Das Verfahren wurde entwickelt, um die Systemsicherheit bei der Beschaffung neuer
Systeme und Ausrüstungen beurteilen zu können. Die Beurteilung erstreckt sich
dabei auf den gesamten Lebenszyklus von der Entwicklung über Erprobung, Herstel-
lung, Nutzung bis zur Entsorgung. Das Verfahren dient sowohl der Beurteilung von
Personen- als auch Sach- und Umweltschäden. Es handelt sich bei diesem Standard
um ein umfassendes Verfahren, das sowohl die Risikobeurteilung als auch die Risi-
kominderung beschreibt.
Verfahren
Die Ermittlung des Unglücksrisikos erfolgt durch Einschätzung der Risikoparameter
potentielles Unglücksschwere und Wahrscheinlichkeit für den Eintritt des Unglücks.
Die definierten Kategorien für die Unglücksschwere sollen eine qualitative Einschät-
zung für das größte vernünftigerweise anzunehmende Unglück ermöglichen. Es
werden Gesundheits- und Umweltschäden sowie finanzielle Verluste berücksichtigt.
Die Einteilung erfolgt in vier Gruppen (siehe Anh. 7, Tab. 1). Diese Kategorien wer-
den auch von der U.S. Federal Aviation Administration (FAA), NASA und ESA ange-
wendet.
65
Die Eintrittswahrscheinlichkeit wird mit sechs Gruppen bewertet. Die Spanne reicht
dabei „unwahrscheinlich“ bis „häufig“ (siehe Anh. 7, Tab. 2).
66
Ausrüstungspark
Level Beschreibung Einzelne Ausrüstung
oder Inventar
Wird oft während der Lebensdauer
Frequent eintreten Eintrittswahrscheinlichkeit
A Ständig beobachtet
Häufig größer als 10-1 während der
Lebensdauer
Wird mehrmals während der
Lebensdauer eintreten
Probable
B Eintrittswahrscheinlichkeit häufig
Wahrscheinlich
geringer als 10-1 aber größer als 10-2
während der Lebensdauer
Wird manchmal während der Lebens-
dauer eintreten
Occasional
C Eintrittswahrscheinlichkeit Einige Male
Gelegentlich
geringer als 10-2 aber größer als 10-3
während der Lebensdauer
Unwahrscheinlich, tritt aber möglicher-
Unwahrscheinlich
weise während der Lebensdauer ein
Remote aber kann vernünfti-
D Eintrittswahrscheinlichkeit
Selten gerweise erwartet
geringer als 10-3 aber größer als 10-6
werden
während der Lebensdauer
So unwahrscheinlich, das es noch nicht
Improbable
beobachtet wurde Unwahrscheinlich
E Unwahrschein-
Eintrittswahrscheinlichkeit geringer als aber kann eintreten
lich
10-6 während der Lebensdauer
Der Risikograd lässt sich nach der in Anh. 7, Abb. 1 vorgegebenen Risikomatrix
ermitteln.
Schwere
Katastrophal Kritisch Geringfügig Vernachlässigbar
Wahr-
scheinlichkeit
Häufig 1 3 7 13
Wahrscheinlich 2 5 9 16
Gelegentlich 4 6 11 18
Selten 8 10 14 19
Unwahrscheinlich 12 12 17 20
Anhang 8
Anwendung
Risikoeinschätzung
Status
Entwickelt für das Inverkehrbringen von Maschinen
Beschreibung
Die Risikozahlen entstammen einem Buch von Reudenbach, das sich mit der Durch-
führung der nach Maschinenrichtlinie geforderten Risikobeurteilung beschäftigt. Er
gibt darin praktische Hilfen, wie Checklisten und Formblätter zur einfacheren Abar-
beitung an. Da sowohl auf der Eingangsseite für das Schadensausmaß und die Ein-
trittswahrscheinlichkeit als auch auf der Ausgangsseite für die Risikozahl unscharfe
Klassen existieren ist eine Interpretation dieser Werte für Entscheidungen erforder-
lich. Das Verfahren eignet sich somit eher beim Vergleich verschiedener Varianten
von Lösungen.
Verfahren
Die Ermittlung der Risikozahl erfolgt durch Einschätzung der Risikoparameter Scha-
densausmaß und Wahrscheinlichkeit für den Eintritt des Schadens.
Der Parameter der Wahrscheinlichkeit für den Eintritt des Schadens ist unterteilt in
drei Subparameter.
Die Häufigkeit oder Dauer der Gefährdungsexposition wird in die zwei Gruppen sel-
ten und häufig eingeteilt. Häufig ist dabei zu wählen, wenn diese mehr als einmal pro
Schicht ist.
Die Eintrittswahrscheinlichkeit wird mit den Gruppen gering, mittel, groß bewertet.
Die Spanne reicht dabei von kaum möglich für gering bis sehr wahrscheinlich für
groß.
Für die Möglichkeit zur Vermeidung oder Begrenzung des Schadens durch die ge-
fährdete Person sind die Einteilungen möglich, möglich unter bestimmten Bedingun-
gen und unmöglich vorgesehen.
Die Risikozahl lässt sich entweder mittels des Risikographen oder nach folgender
Formel ermitteln:
69
R S W
R S 1,2,3,4,5 W 1,2 W 3,4,5 W 6,7,8
mit
R Risikozahl
S 1,2,3,4,5 Wichtungszahl Schadensausmaß
W 1,2 Wichtungszahl Häufigkeit und Dauer der Gefährdungs exp osition
W 3,4,5 Wichtungszahl E int rittswahrscheinlichkeit des Gefährdungsereignisses
W 6,7,8 Wichtungszahl Möglichkeit zur Vermeidung oder Begrenzung des Schadens
durch die gefähr det e Person
Die Risikoeinschätzung erfolgt in den drei Gruppen geringes, mittleres und hohes
Risiko in Abhängigkeit von der ermittelten Risikozahl.
W3
W4
W5
W6
W7
W8
W6
W7
W8
W6
W7
W8
W1
S1 3 4 5 5 6 7 7 8 9
W2
4 5 6 6 7 8 8 9 10
W1
S2 9 12 15 15 18 21 21 24 27
W2
12 15 18 18 21 24 24 27 30
W1
S3 18 24 30 30 36 42 42 48 54
W2
24 30 36 36 42 48 48 54 60
W1
S4 24 32 40 40 48 56 56 64 72
W2
32 40 48 48 56 64 64 72 80
W1
S5 30 40 50 50 60 70 70 80 90
W2
40 50 60 60 70 80 80 90 100
Eintrittswahrscheinlichkei
b) Darstellung als Risikomatrix
groß/ sehrwahrscheinlich
mittel/ durchaus möglich
gering/ kaum möglich
W7 = 2 bedingt möglich W3 = 1
W7 = 2 bedingt möglich W4 = 3
W7 = 2 bedingt möglich W5 = 5
W
Vermeidung
W8 = 3 unmöglich
W8 = 3 unmöglich
W8 = 3 unmöglich
W6 = 1 möglich
W6 = 1 möglich
W6 = 1 möglich
W
R Risikozahl Berechnung
0 - 24 geringes Risiko
25 - 42 mittleres Risiko R= S x W
42 - 100 hohes Risiko
R = S(1,2,3,4,5) x ( W(1,2) + W(3,4,5) + W(6,7,8) )
Anhang 9
Anwendung
Risikobeurteilung für die Produktentwicklung
Status
Das Verfahren wurde entwickelt für die Produktentwicklung im Bereich Aufzüge,
Fahrtreppen und Fahrsteige.
Beschreibung
Das Verfahren wurde vom Technischen Komitee ISO/TC 178 Lifts erarbeitet. Der
dabei entwickelte Normentwurf DIN EN ISO 14798 soll die Methodik und das Verfah-
ren der Risikobeurteilung für Aufzüge, Fahrtreppen und Fahrsteige vereinheitlichen.
Das Verfahren kann aber auch für andere Produkte angewendet werden.
Verfahren
Die Ermittlung der Risikozahl erfolgt durch Einschätzung der Risikoparameter Scha-
densausmaß und Wahrscheinlichkeit für den Eintritt des Schadens.
Die Eintrittswahrscheinlichkeit wird mit sechs Gruppen bewertet. Die Spanne reicht
dabei „sehr unwahrscheinlich“ bis „sehr wahrscheinlich“ (siehe Anh. 9, Tab. 2).
72
Der Risikograd lässt sich nach der in Anh. 9, Abb. 1 vorgegebenen Risikomatrix
ermitteln.
A — Sehr wahrscheinlich 1A 2A 3A 4A
B — Wahrscheinlich 1B 2B 3B 4B
C — Gelegentlich 1C 2C 3C 4C
D — Selten 1D 2D 3D 4D
E — Unwahrscheinlich 1E 2E 3E 4E
F — Sehr unwahrscheinlich 1F 2F 3F 4F
Risiko-
Höhe des Risikos Zu ergreifende Maßnahmen
gruppe
1A,
2A,
1B, 3A,
I 2B, Schutzmaßnahmen zur Minderung des Risikos erforderlich
1C, 3B
2C
1D
4C,
3E, 4D,
III 1F 2F Keine Maßnahmen erforderlich
3F 4E,
4F
a
Die Gesellschaft wird einige spezifische Risiken nicht tolerieren. Weitere Maßnahmen können die
Nutzung, Wartung usw. des Aufzugs unpraktisch oder unmöglich werden lassen.
74
Anhang 10
Anwendung
Risikoeinschätzung
Status
Entwickelt für die Marktüberwachungsbehörden
Beschreibung
Dieses Risikoeinschätzungsverfahren wurde für die Marktüberwachungsbehörden
entwickelt. Es dient dem Community Rapid Information System, RAPEX, das den
schnellen Austausch von Informationen über Maßnahmen und Aktionen in Bezug auf
Verbraucherprodukte, die ein ernstes Risiko für die Gesundheit und Sicherheit der
Verbraucher darstellen, zwischen den Mitgliedstaaten und der Kommission gewähr-
leisten soll. Ziel ist eine, dem Risiko angemessene Reaktion der Marktüberwa-
chungsbehörden, ableiten zu können.
Verfahren
Neben den üblichen Risikoelementen Schadensschwere und Eintrittswahrscheinlich-
keit gehen in dieses Verfahren noch weitere Elemente ein, wie z. B. Personengrup-
pen, die der Gefährdung ausgesetzt sind.
Schritt 1
Für die Ermittlung eines Verletzungsszenarios wird die Verbrauchergruppe, die das
Produkt verwendet und deren Verhalten zu Grunde gelegt.
Das Verfahren enthält dazu eine Tabelle (siehe Anh. 10, Tab. 1) typischer Verbrau-
chergruppen.
75
Verbraucher Beschreibung
Stark Kleinstkinder: Kinder zwischen 0 und 36 Monaten
gefährdete Sonstige: Personen mit schweren Behinderungen oder
Verbraucher Mehrfachbehinderung
Gefährdete Kleinkinder: Kinder über 36 Monaten und unter 8 Jahren
Verbraucher Kinder: Kinder zwischen 8 und 14 Jahren
Sonstige: Personen mit eingeschränkten körperlichen, sensorischen
oder geistigen Fähigkeiten (z. B. teilbehinderte Menschen,
ältere Menschen über 65 Jahre, Menschen mit gewissen
körperlichen und geistigen Einschränkungen) oder
Personen mit mangelnder Erfahrung und mangelnden
Kenntnissen
Sonstige Verbraucher, die nicht der Gruppe der stark gefährdeten oder
Verbraucher der gefährdeten Verbraucher zuzurechnen sind
Es werden unterschiedliche Arten von Gefahren unterschieden, die von dem Produkt
ausgehen:
• mechanische Gefahr, z. B. durch scharfe Kanten, an denen sich der Verbrau-
cher in die Finger schneiden, oder enge Öffnungen, in denen er die Finger
einklemmen kann;
• Erstickungsgefahr, z. B. durch Kleinteile, die sich von einem Spielzeug lösen
und dann von einem Kind verschluckt werden und zu dessen Ersticken führen
können;
• Erstickungsgefahr, z. B. durch die Kordeln einer Anorakkapuze, die zur Stran-
gulation führen können;
• Gefahr durch Elektrizität, z. B. durch Strom führende Teile, die einen Strom-
schlag verursachen können;
• Gefahr durch Hitze oder Feuer, z. B. durch einen Heizlüfter, der bei Überhit-
zung in Brand gerät und Verbrennungen verursacht;
• thermische Gefahr, z. B. die heiße Außenfläche eines Ofens, die zu Verbren-
nungen führen kann;
• chemische Gefahr, z. B. toxische Stoffe, die unmittelbar nach dem Verschlu-
cken zum Tod führen können, oder karzinogene Stoffe, die langfristig Krebs
verursachen können. Manche chemische Stoffe haben unter Umständen erst
nach wiederholter Exposition eine gesundheitsschädigende Wirkung;
• mikrobiologische Gefahr, z. B. eine bakteriologische Kontaminierung von
Kosmetika, die zu einer Hautentzündung führen kann;
• Lärmgefahr, z. B. viel zu laute Klingeltöne eines Spielzeughandys, die das
Hörvermögen eines Kindes schädigen können;
• sonstige Gefahren, z. B. durch Explosion, Implosion, Schall- und Ultraschall-
druck, Flüssigkeitsdruck oder von Laserquellen ausgehende Strahlung.
76
Zu den Gefahrengruppen und der produkteigenen Gefahr sind dann die Verletzungs-
szenarien zugeordnet. Anh. 10, Tab. 2 zeigt dies beispielhaft für die Gefahrengruppe
Größe, Form und Oberfläche.
77
Aus dem so ermittelten Verletzungsszenario kann dann an Hand Anh. 10, Tab. 3 der
Schweregrad der Verletzung bestimmt werden.
Schweregrad Beschreibung
Verletzung oder Folgeerscheinung, die nach der Durchführung von
Sofortmaßnahmen (Erste Hilfe, in der Regel nicht durch einen Arzt)
1 keine wesentliche Funktionsbeeinträchtigung bzw. keine großen
Schmerzen verursacht; in der Regel sind die Folgeerscheinungen
vollkommen reversibel.
Verletzung oder Folgeerscheinung, die eine ambulante, in der Regel
jedoch keine stationäre Behandlung erforderlich macht. Die Funktion
2 kann über einen begrenzten Zeitraum (maximal sechs Monate)
beeinträchtigt sein; eine nahezu vollständige Wiederherstellung ist
möglich.
Verletzung oder Folgeerscheinung, die in der Regel eine stationäre
Behandlung erfordert und zu einer Funktionsbeeinträchtigung
3
während mindestens sechs Monaten oder zu einem dauerhaften
Funktionsverlust führt.
Verletzung oder Folgeerscheinung, die zum Tod führt oder führen
könnte, einschließlich Hirntod; reproduktionstoxische Folgen; Verlust
4
von Gliedmaßen oder schwerwiegende Funktionsbeeinträchtigung,
der/die zu einer Behinderung von mehr als ca. 10 % führt.
Daraus wird die dem Produkt eigene Gefahr abgeleitet und ein dazu passendes
typisches Verletzungsszenario beispielhaft genannt.
Schritt 2
In Schritt 2 erfolgt die Ermittlung der Wahrscheinlichkeit des Schadenseintritts. Dazu
werden die Wahrscheinlichkeiten der Einzelschritte des Verletzungsszenarios mul-
tiplikativ zu einer Gesamtwahrscheinlichkeit verknüpft (z. B. Wahrscheinlichkeit des
79
Das Verfahren unterteilt acht Wahrscheinlichkeitsgrade (siehe Anh. 10, Tab. 5).
Schritt 3
In Schritt 3 wird dann der Risikograd aus der Kombination des Schweregrades der
Verletzung und der Wahrscheinlichkeit des Eintritts bestimmt. Dies erfolgt nach
Anh. 10, Abb. 1.
Der Risikograd wird in vier Stufen unterteilt (siehe Anh. 10, Tab. 6).
Risikograd
E – Ernstes Risiko
H – Hohes Risiko
M – Mittleres Risiko
N – Niedriges Risiko
Wird ein ernstes Risiko für ein Verbraucherprodukt ermittelt leiten die Marküberwa-
chungsbehörden die Übermittlung einer RAPEX-Meldung ein.
Wird ein Risikograd ermittelt, der unterhalb eines ernsten Risikos liegt können ande-
re Maßnahmen, ausreichend sein (z. B. Rücknahme des Verbraucherproduktes vom
Markt).
81
Anhang 11
Anwendung
Risikoeinschätzung
Status
Entwickelt in GB, dort und in Australien in verschiedenen Ausprägungen angewendet
Beschreibung
Dieses Risikoeinschätzungsverfahren wurde von Hani Raafat an der Aston University
entwickelt. Es ist ein graphisches Rechenverfahren nach dem Muster der Leitertabel-
len. Es wird sowohl im Bereich des betrieblichen Arbeitsschutzes als auch in der
Produktsicherheit angewendet. Dabei variiert die Anzahl der Berechnungsparameter
je nach Anwendungszweck.
Verfahren
Als Risikoelemente werden in diesem Verfahren die Eintrittswahrscheinlichkeit ver-
knüpft mit Häufigkeit und Dauer der Gefährdungsexposition sowie die Schadensfol-
gen/Schwere der Verletzung verwendet.
Die Schwere der Verletzung reicht von mehrere Tote über tödlich, schwer, bedeu-
tend, gering bis vernachlässigbar.
Der Risikograd ist in vier Bereiche unterteilt (siehe Anh. 11, Tab. 1). Er reicht von
geringem über mäßiges, erhebliches bis hohes Risiko.
Diese Skalierung ist so gewählt, das es den HSE-ALARP-Kriterien (HSE - Health and
Safety Executive in GB; ALARP - As Low As Reasonably Practicable) entspricht.
Das Kriterium bezieht sich dabei auf Todesfälle im gewerblichen Bereich. Ein Risiko
von 1 zu 1 Million pro Jahr pro Person wird dabei als akzeptabel angesehen auch für
den nicht gewerblichen Bereich. Dieses Kriterium bildet die untere Grenze des
ALARP-Bereiches. Im Nomogramm (siehe Anh. 11, Abb. 1) ist dies die Grenze zwi-
schen geringem (D) und mäßigem (C) Risiko. Als obere Grenze des ALARP Berei-
ches, das heißt die Grenze zum unakzeptablen Risiko, wird das Todesfallrisiko von 1
zu 1 000 pro Jahr und Person im gewerblichen Bereich angesehen (nach der neue-
ren Veröffentlichung HSE, 2001: 1 zu 10 000). Dies bildet im Nomogramm die Gren-
ze zwischen den Risikograden erheblich (B) und hoch (A). Für den nicht gewerbli-
chen Bereich liegt dieser Wert bei 1 zu 10 000.
Häufigkeit und
Risikograd
Dauer der Schadensfolgen
Eintritts- Gefährdungs- Schw ere der
w ahrscheinlichk exposition Verletzung
Sehr
A Hoch
1 in 10 Häufig <1% selten Mehrere Tote VI
1 in 100
Wahr-
1% V
B Erheblich
scheinlich Tödlich
1 in 1000 Gelegentlich 25% Schw er IV
C Mäßig
Entfernt
1 in 10000 möglich 50% Bedeutend III
1 in 100000 Unw ahr-
75% Gering II
D Gering
scheinlich
1 in 1 Million Äußerst 100% Dauernd Vernach- I
entfernt lässigbar
möglich
Verbindungslinie
Anhang 12
Anwendung
Risikomanagement
Status
Das Verfahren wurde entwickelt für das Risikomanagement. Es wurde in abge-
wandelter Form z. B. von einer Arbeitsgruppe bei der Erarbeitung einer europäischen
Maschinensicherheitsnorm angewendet, um den Einfluss verschiedener Schutzein-
richtungen auf die Sicherheit des Produktes einzuschätzen.
Beschreibung
Das Verfahren wurde von William T. Fine entwickelt und 1971 im Artikel „Mathema-
tical Evaluations for Controlling Hazards“ veröffentlicht. 1976 wurde es von Kinney
und Wiruth als nomographisches Verfahren weiterentwickelt und in „Practical Risk
Analysis for Safety Management“ beschrieben
Verfahren
Die Ermittlung der Risikozahl erfolgt durch Einschätzung der Risikoparameter Scha-
densausmaß, Wahrscheinlichkeit für den Eintritt des Schadens und Häufigkeit / Dau-
er der Gefährdungsexposition.
Schadensausmaß C
Notierbar medizinische Versorgung erforderlich 1
Bedeutend temporäre Behinderung 3
Ernst permanente Behinderung 7
Sehr ernst tödlich 15
Disaster einige Tote 45
Katastrophe viele Tote 100
Die Eintrittswahrscheinlichkeit F1 wird mit den sieben Gruppen gering, mittel, groß
bewertet. Die Spanne reicht dabei „von so gut wie unmöglich“ bis „zu erwarten“ (sie-
he Anh. 12, Tab. 2).
84
Eintrittswahrscheinlichkeit F1
so gut wie unmöglich 0,1
praktisch unmöglich 0,2
vorstellbar aber sehr unwahrscheinlich 0,5
nur entfernt möglich 1
ungewöhnlich aber möglich 3
gut möglich 6
zu erwarten 10
Die Häufigkeit oder Dauer der Gefährdungsexposition F2 wird in die sechs Gruppen
eingeteilt (siehe Anh. 12, Tab. 3).
Aussetzungsfaktor F2
sehr selten/jährlich 0,5
selten/einige pro Jahr 1
unüblich/monatlich 2
gelegentlich/wöchentlich 3
häufig/täglich 6
ständig 10
Die Risikozahl lässt sich entweder nomographisch oder nach folgender Formel ermit-
teln:
R F1 F 2 C
mit
R Risikozahl
F1 Eintrittswahrscheinlichkeit des Gefährdungsereignisses
F2 Häufigkeit und Dauer der Gefährdungsexposition
C Schadensausmaß
Anh. 12, Abb. 1 zeigt das Verfahren dargestellt als Nomogramm, Anh. 12, Abb. 2
zeigt das Verfahren in dreidimensionaler Darstellung.
hohes unmittelbare
Risiko Korrektur
zu erw arten
erforderlich
praktisch
Verbindungslinie
unmöglich
Anhang 13
PAAG / HAZOP
Anwendung
Sicherheitsmanagement (vor allem chemische Industrie)
Status
IEC 61882:2001
Hazard and operability studies (HAZOP studies) - Application guide
(Gefährdungs- und Betreibbarkeitsuntersuchung)
Beschreibung
Das
Prognose von Störungen
Auffinden der Ursachen
Abschätzen der Auswirkungen
Gegenmaßnahmen
Verfahren ist eine Methode zum Auffinden nicht offensichtlicher Störungs- und Ge-
fahrenquellen in Systemen. Gleichzeitig hilft es dabei eine gute Betreibbarkeit zu
gewährleisten.
Das Verfahren wurde in den siebziger Jahren unter dem Namen HAZOP in der che-
mischen Industrie entwickelt. Im deutschsprachigen Raum wurde es unter dem Na-
men PAAG bekannt.
Leitwort Interpretation
Nein/nicht Verneinung der gesamten Sollfunktion: Die Sollfunktion wird nicht erfüllt
Mehr
Quantitative Größen der Sollfunktion nehmen zu bzw. ab, z. B. Menge
(mehr bzw. weniger), Mengenstrom (größer bzw. kleiner), Temperatur,
Druck (höher bzw. niedriger), Geschwindigkeit (schneller bzw. langsamer)
Weniger
Anhang 14
FMEA
Anwendung
Qualitätssicherung und Sicherheitsmanagement
Status
DIN 25448
Ausfalleffektanalyse (Fehler-Möglichkeits- und -Einfluss-Analyse)
(ersetzt durch DIN EN 60812)
DIN EN 60812
Analysetechniken für die Funktionsfähigkeit von Systemen – Verfahren für die Fehl-
zustandsart- und -auswirkungsanalyse (FMEA) (IEC 60812:2006); Deutsche Fas-
sung EN 60812:2006
DGQ-Band 13-11
Qualitätsplanung/Qualitätslenkung – FMEA – Fehlermöglichkeits- und Einflussanaly-
se
Sicherung der Qualität vor Serieneinsatz – Sicherung der Qualität während der Pro-
duktrealisierung – Methoden und Verfahren > VDA 4 / 1. Auflage 2003
ISO/TS 16949
Beschreibung
Die FMEA (Failure Mode and Effects Analysis oder Fehlermöglichkeits- und Ein-
flussanalyse) ist ein formalisiertes Verfahren zur Fehlervermeidung und Erhöhung
der Zuverlässigkeit. Sie gehört zu den qualitativen Verfahren und arbeitet mit der
sogenannten Risikoprioritätszahl (RPZ). Als Ergebnis liefert die FMEA eine Priorisie-
rung der verschiedenen vorhandenen Risiken. Durchgeführt wird die FMEA im Team.
Das Verfahren wurde Ende der vierziger Jahre in den USA im Rahmen der Raketen-
entwicklung entworfen. In den siebziger Jahren fand es dann Eingang in die Auto-
mobilentwicklung (Ford) um Qualitätsprobleme beherrschen zu können. Heute wird
es in vielen Industriebereichen angewendet. In Deutschland wurde das Verfahren
1980 in der DIN 25448 als Ausfalleffektanalyse genormt. Diese Norm ist heute durch
DIN EN 60812 ersetzt.
Verfahren
Die FMEA gliedert sich in die Schritte:
1. Festlegung der Grenzen des Systems
2. Ermittlung der Systemstruktur und der Funktionen der Systemelemente
3. Ermittlung der Fehlerarten, Fehlerursachen und Fehlerfolgen
4. Risikoeinschätzung
5. Risikobewertung
6. Risikominderung
Die FMEA stellt somit eine spezielle Form des Prozesses der Risikobeurteilung und
Risikominderung dar. Anh. 14, Abb. 1 stellt den Prozess dar. Es muss betont wer-
den, dass auch die FMEA ein iteratives Verfahren ist, welches so lange zu durchlau-
fen ist, bis die Risikobewertung ergibt, dass die Risikominderung ausreichend ist.
Risikobeurteilung
Risikoanalyse
Z1 Z2 Z3
Prozessablauf
Gatter 1
1
5. Risikobewertung
6. Risikominderung
Fehlerfolgen
Maschine Mensch
Ursache 1 Ursache 1
Für den Schritt 2 der FMEA bietet es sich auf Grund der Frage der Funktionserfül-
lung bzw. Nichterfüllung bei Auftreten von Fehlern sowie der strukturellen Verknüp-
fung der Komponenten des Gesamtsystems an, ein analytisches Verfahren wie z. B.
die Ereignisablaufanalyse oder die Fehlerbaummethode anzuwenden (siehe auch
Abschnitt 2.2).
Die Schritte 3 bis 6 werden dann formalisiert mittels FMEA Formblatt (siehe Anh. 14,
Tab. 5) abgearbeitet.
Bei Schritt 3, der Ermittlung der Fehlerarten, Fehlerursachen und Folgen wird häufig
das Ursache – Wirkungs – Diagramm nach Ishikawa (siehe Anh. 14, Abb. 2) ange-
wendet.
Maschine Mensch
Ursache 1 Ursache 1
1 Kunde bemerkt Fehler Bis 0,6 ppm 1,67 Nahezu sichere 99,99%
Auswirkungen unwahrscheinlich, Entdeckung
nicht ähnliche
Konstruktionen
bisher ohne Fehler.
Legende p: Wahrscheinlichkeit cpk: Prozessfähigkeit ppm: parts per million
94
Hoch 1/2 10
Es ist nahezu sicher, dass Fehler in größerem Umfang
auftreten werden 1 / 10 9
Mäßig 1 / 20 8
Konstruktion entspricht generell Entwürfen, die in der
Vergangenheit immer wieder Schwierigkeiten
verursachten 1 / 100 7
1 / 100 6
Gering
Konstruktion entspricht generell früheren Entwürfen, bei 1 / 1000 5
denen gelegentlich Fehler auftraten
1 / 2000 4
Sehr gering 1 / 5000 3
Konstruktion entspricht generell früheren Entwürfen, für
die verhältnismäßig geringe Fehlerraten gemeldet
wurden 1 / 10000 2
Unwahrscheinlich
0 1
Es ist unwahrscheinlich, dass ein Fehler auftritt
10
Es tritt ein äußerst schwerwiegender Fehler auf, der darüber hinaus die
Sicherheit und/oder die Einhaltung gesetzlicher Vorschriften beeinträchtigt.
9
Es tritt ein schwerer Fehler auf, der eine Verärgerung beim Kunden auslöst 8
(z. B. nicht fahrbereites Auto, Fehlfunktionen). Sicherheitsaspekte oder das
nicht einhalten gesetzlicher Vorschriften werden hierdurch nicht berührt
bzw. treffen nicht zu. 7
Der Fehler ist unbedeutend und der Kunde wird nur geringfügig belästigt. 3
Der Kunde wird wahrscheinlich nur geringe Beeinträchtigungen am
Untersuchungsgegenstand bemerken. 2
Sehr gering
Nicht leicht zu erkennendes Fehlermerkmal. Erkennung >90% 9
durch visuelle oder manuelle 100% Prüfung möglich.
Gering
Leicht zu erkennendes, messbares Fehlermerkmal.
>98% 6-8
Erkennung durch eine 100% Prüfung (automatisch)
möglich.
Mäßig
Es handelt sich um ein augenscheinliches
>99,7% 2-5
Fehlermerkmal. Erkennung durch eine 100% Prüfung
(automatisch) möglich.
Hoch
Funktioneller Fehler, der bei den nachfolgenden >99,99% 1
Arbeitsschritten bemerkt wird.
RPZ = A x B x E
An Hand der Höhe der ermittelten Risikoprioritätszahlen lassen sich die entspre-
chenden Maßnahmen der Risikominderung in Schritt 6 festlegen.
96