Gefährdungsbeurteilung von sicherheitsrelevanten Systemen und deren Einstufung in den Sicherheitsintegritätslevel (SIL) oder Performancelevel (PL) Zerifizierung Frank Hegerfeld, TÜV NORD CERT GmbH 2012 1
The Structure of TÜV NORD Group RWTÜV e.v. TÜV Thüringen e.v. TÜV Hannover/ Sachsen-Anhalt e.v. TÜV Nord e.v. RWTÜV AG TÜV NORD AG Business Unit Mobility TN Mobilität MPI Companies Business Unit Industry Services TN Cert TN Systems TN EnSys TN SysTec Companies Business Unit Training and Human Resources Academies Companies Nord-Kurs Business Unit Natural Resources DMT Companies Business Unit International TN International Companies Service Administration TN Service 2
Struktur der TÜV NORD CERT GmbH TÜV NORD CERT GmbH FB Technologie 2012 3
Fachbereich Technologie Energy & Netze TÜV NORD Cert Fachbereich Technologie SRS (Funktionale Sicherheit) Maschinen EMV Explosions- Schutz TÜV NORD CERT GmbH FB Technologie 2012 4
TN CERT - Technology is a competent partner who supports clients to design, test and certify safety-related products and systems to reduce the unknown risk 5
Gesetzliche Grundlagen Grundgesetz Artikel 2 (2): Recht auf Leben und körperliche Unversehrtheit MaschRl: Der Hersteller einer Maschine oder sein Bevollmächtigter hat dafür zu sorgen, dass eine Risikobeurteilung vorgenommen wird, um die für die Maschine geltenden Sicherheits- und Gesundheitsschutzanforderungen zu ermitteln. Die Maschine muss dann unter Berücksichtigung der Ergebnisse der Risikobeurteilung konstruiert und gebaut werden. Risikobeurteilung vor der Konstruktion 6
Gesetzliche Anforderungen Risikobeurteilung und Risikominderung ist ein iteratives Verfahren. die Grenzen der Maschine bestimmen und festlegen, bestimmungsgemäße Verwendung und jede vernünftigerweise vorhersehbare Fehlanwendung analysieren 7
Iterativer Prozess zur Risikominderung (EN 12100:2010) Risikoanalyse Festlegung der Grenzen der Maschine Identifizierung der Gefährdungen Risiko hinreichend vermindert? Risikoeinschätzung Risikobewertung Risikobeurteilung 8
Strukturiertes Vorgehen Forderungen und Begriffe Festlegung der Grenzen der Maschine 1. Verbale Beschreibung des Systems (z.b. Kopie aus der Systembeschreibung) 2. Sicherheitslebenszyklus (tabellarischer Form) 3. Betriebsmodi (tabellarischer Form) 4. Beschreibung der einzelnen Module/Elemente/Systeme und deren Funktion, beginnend bei der Energieeinspeisung (Tabelle) 5. Beschreibung aller Schnittstellen zu verbundenen Modulen/Elemente/Systemen (Tabelle) 9
Strukturiertes Vorgehen Forderungen und Begriffe Identifizierung der Gefährdungen Forderung: die Gefährdungen, die von der Maschine ausgehen können, und die damit verbundenen Gefährdungssituationen sind zu ermitteln; Gefährdung ist eine potenzielle Quelle von Verletzungen oder Gesundheitsschäden; (Anm.: ist entweder bei der bestimmungsgemäßen Verwendung dauerhaft vorhanden oder kann unerwartet auftreten) Gefahrenbereich Bereich einer Maschine und/oder in deren Umkreis, in dem die Sicherheit oder die Gesundheit einer Person gefährdet ist; gefährdete Person ist eine Person, die sich ganz oder teilweise in einem Gefahrenbereich befindet; 10
Strukturiertes Vorgehen Forderungen und Begriffe Risikoeinschätzung Forderung: die Risiken abschätzen unter Berücksichtigung der Schwere möglicher Verletzungen oder Gesundheitsschäden und der Wahrscheinlichkeit ihres Eintretens; die Gefährdungen auszuschalten oder durch Anwendung von Schutzmaßnahmen die mit diesen Gefährdungen verbundenen Risiken in der in einer festgelegten Rangfolge zu mindern. Risiko ist die Kombination aus der Wahrscheinlichkeit und der Schwere einer Verletzung oder eines Gesundheitsschadens, die in einer Gefährdungssituation eintreten können; (Anm: bei bestimmungsgemäßer Verwendung oder vernünftigerweise vorhersehbarer Fehlanwendung) 11
Strukturiertes Vorgehen Forderungen und Begriffe Risikobewertung Forderung: die Risiken bewerten, um zu ermitteln, ob eine Risikominderung gemäß dem Ziel dieser Richtlinie erforderlich ist; Grundsätze für die Integration der Sicherheit Die Maschine ist so zu konstruieren und zu bauen, dass sie ihrer Funktion gerecht wird und unter den vorgesehenen Bedingungen aber auch unter Berücksichtigung einer vernünftigerweise vorhersehbaren Fehlanwendung der Maschine Betrieb, Einrichten und Wartung erfolgen kann, ohne dass Personen einer Gefährdung ausgesetzt sind. Die getroffenen Maßnahmen müssen darauf abzielen, Risiken während der voraussichtlichen Lebensdauer der Maschine zu beseitigen, einschließlich der Zeit, in der die Maschine transportiert, montiert, demontiert, außer Betrieb gesetzt und entsorgt wird. 12
Risikobegriff (Qualitativ Quantitativ) Restrisiko Tolerierbares Risiko Risiko ohne Schutzmaßnahme Risiko Notwendige Risikominderung Aktuelle Risikominderung Risiko: Kombination aus der Wahrscheinlichkeit, mit der ein Schaden auftritt, und dem Ausmaß dieses Schadens. Restrisiko: das trotz Schutzmaßnahmen verbleibende Risiko Schutzziel ist das tolerierbare Restrisiko 13
Strukturiertes Vorgehen (Beispiel) Lebenszyklus Betriebsmodi Lebenszyklus Gef.Nr. Betriebsmodus Gef.Nr.: Fertigung Einrichten Transport Normalbetrieb Aufstellung/Zusa mmenbau Inbetriebsetzung Wartungsbetrieb Lernbetrieb Betrieb.. Wartung/Instandh altung Retrofit Rückbau Entsorgung 14
Strukturiertes Vorgehen (Beispiel) Gef.- Nr. Gefährdung (potenzielle Schadensquelle) Ursache / Fehlfunktion Risikoparameter/ Ergebnis (ohne jede Maßnahme) Maßnahmen zur Risikoreduzierung (Schutzmaßnahme) Risikoparameter/ Ergebnis (nach Maßnahme) Maßnahme ausreichend (Ja/Nein): Datum/ Unterschrift C1 C2 F1 P1 P2 F2 P1 C3 F1 R F2 C4 P2 C, F, P, W Gewichtung des Risikos W3 vor jeder W2 W1 Maßnahme! a b c d e f g h a b c d e f g a b c d e f Konstruktiv/ Qualitätssichernd Schutzmaßnahme/ Sicherheitsfunktionen (Definition SIL/PL) Restrisiken Pers. Schutzausrüstung C, F, P, W Gewichtung des Risikos nach der Maßnahme um deren Wirksamkeit zu beurteilen SIL nach EN 61508 oder EN 62061 PL nach EN ISO 13849. TÜV NORD CERT GmbH FB Technologie 2012 15
Risiko Reduktion Beispiel Roboter Roboter zur Palettierung Berücksichtigte Funktionen Ablage von Gütern auf die Palette Externe Zuführung der Güter Zuführung der Paletten über einen hydr. Lift Physikalische Bedingungen Abgesperrte Umgebungen Spannungsversorgung 400V AC Nicht explosionsgefährdete Umgebung Zeitliche Parameter Lebensdauer 20 Jahre Rollenförderer (Prüfung alle 500 Stunden) Bremssystem Roboter (Prüfung alle 2 Monate) Reinigung der beweglichen Teile einmal pro Schicht SRS Safety Related Services 2012 16
Gefährdungsanalyse Identifizierung aller vom EUC ausgehenden Gefährdungen Mechanische Gefährdung: Quetschen Scheren Einziehen Abnutzung Elektrische Gefährdungen: Elektrischer Schlag Feuer Weitere Gefährdungen - Krach - Vibration - Abstrahlung - Material - Unerwarteter Anlauf - Gleiten, ablösen und fallen - Spannungsversorgung - Eine Gesamtübersicht der zu berücksichtigen Gefähdungen ist in der ISO 12100 dargestellt. SRS Safety Related Services 2012 17
Identifikation der Gefährdungen Beispiel Roboter Mechanische Gefährdung: Kontakt mit dem Roboterarm Einziehen in das Förderband Elektrische Gefährdung: Elektrischer Schlag Unerwartetes Ereignis: Unerwartete Bewegung des Roboterarms Fallende Teile: Herabstürzende Paletten SRS Safety Related Services 2012 18
Identifikation der Gefährdungen (2) Beispiel Roboter Welche Maßnahmen werden welchen Gefährdungen zugewiesen? Mechanische Gefährdung Kontakt mit dem Roboterarm Einziehen in das Förderband Elektrische Gefährdung Elektrischer Schlag Unerwartetes Ereignis Unerwartete Bewegung des Robotorarms Fallende Teile Herabstürzende Paletten Stationäres Schutzgitter / Lichtvorhang Öffnungen < 4 mm Konstruktion gemäß EN 60204-1 Design der Steuerungseinheit gemäß DIN EN ISO 13849 (PL x) Sicherheitshinweise im Bedienerhandbuch SRS Safety Related Services 2012 19
Strukturiertes Vorgehen Qualitative Risikobeurteilung (Bsp. EN 61508-5) R C1 C2 C3 C4 F1 F2 F1 F2 P1 P2 P1 P2 W3 W2 W1 a b c d e f g h a b c d e f g a b c d e f Auswirkung C1 geringe Verletzung C2 schwere irreversible Verletzung oder Tod einer Person C3 Tod mehrerer Personen C4 Tod sehr vieler Personen Häufigkeit u. Aufenthaltsdauer F1 selten bis öfter F2 häufig bis dauernd Gefahrenabwendung P1 möglich unter bestimmten Bedingungen P2 beinahe unmöglich Allgemeines Ergebnis auf der Skala von a bis h: notwendige Risiko- Reduzierung. Muss in jedem Fall angepasst (kalibriert) werden. Eintrittswahrscheinlichkeit unerwünschtes Ereignis W1 sehr gering W2 gering W3 relativ hoch Vgl. EN 61508-5, Tab. D1 20
Qualitative Methode Beispiel Roboter Mechanische Gefährdung: Kontakt mit dem Roboterarm Sicherheitsfunktion: Sicheres Abschalten der Roboterarmbewegung bei Unterbrechung des Lichtgitters Reaktion: Start C1 C2 F1 F2 P1 P2 P1 a 1 2 a 1 a Safety Stop (STO) des Roboterarms bei Anforderung C3 F1 F2 P2 P1 3 2 1 Sicherer Zustand: C4 F1 P2 4 3 2 Roboterarm stoppt in definerter Zeit Auswirkung Häufigkeit u. Aufenthaltsdauer F2 P1 P2 b 4 3 C = F = P = W = SIL = 2 2 2 2 2 Gefahrenabwendung Eintrittswahrscheinlichkeit W3 W2 W1 SRS Safety Related Services 2012 21
Bsp. Bestimmung PL r Qualitative Risikobeurteilung (Anhang A, ISO 13849-1) Für jede identifizierte Sicherheitsfunktion, die von einem SRP/CS ausgeführt wird, ist gemäß EN 13849 ein erforderlicher Performance Level (PL r ) festzulegen P1 PL r a L Schwere der Verletzung: S1 leichte (üblicherweise reversible Verletzung) S2 ernste (üblicherweise irreversible Verletzung einschließlich Tod) 1 Schwere der Verletzung S1 S2 Häufigkeit und/ oder Dauer der Gefährdungsexposition F1 F2 F1 F2 Möglichkeit zur Vermeidung der Gefährdung oder Begrenzung des Schadens P2 P1 P2 P1 P2 P1 P2 b c d e H Häufigkeit und/ oder Dauer der Gefährdungsexposition: F1 selten bis weniger häufig und/oder die Zeit der Gefährdungsexpositon ist kurz F2 häufig bis dauernd und/oder die Zeit der Gefährdungsexpositon ist lang Möglichkeit zur Vermeidung der Gefährdung oder Begrenzung des Schadens: P1 möglich unter bestimmten Bedingungen P2 kaum möglich Ref Beschreibung 1 Startpunkt zur Bewertung des Beitrags der Risikominderung L H PL r Niedriger Beitrag zur Risikoreduzierung Hoher Beitrag zur Risikominderung Erforderlicher Performance Level 22
Strukturiertes Vorgehen Hierarchie zur Risikominderung Anwendung von Grundsätzen in der angegebenen Reihenfolge: Beseitigung oder Minimierung der Risiken so weit wie möglich (Integration der Sicherheit in Konstruktion und Bau der Maschine); Ergreifen der notwendigen Schutzmaßnahmen gegen Risiken, die sich nicht beseitigen lassen; Unterrichtung der Benutzer über die Restrisiken aufgrund der nicht vollständigen Wirksamkeit der getroffenen Schutzmaßnahmen; Hinweis auf eine eventuell erforderliche spezielle Ausbildung oder Einarbeitung und persönliche Schutzausrüstung. TÜV NORD CERT GmbH FB Technologie 2012 23
Regeln für die Behandlung der Schnittstellen Schnittstellengespräche führen Klare Festlegung der Übergabe- und Übernahmeparameter mit den Modulverantwortlichen an den Schnittstellen treffen und dokumentieren, gilt auch für Unterlieferanten Grundsätzlich nur Maßnahmen für Gefährdungen im eigenen Modul/System beschreiben Auf mögliche Auswirkungen in andere Module/Systeme hinein hinweisen TÜV NORD CERT GmbH FB Technologie 2012 24
Zusammenfassung (1) Für die Maschine/Anlage und die zugehörigen Betriebsmittel muss eine Gefährdungs- und Risikobeurteilung durchgeführt werden, die zu folgenden Ergebnissen führt: Beschreibung jedes gefahrbringenden Zustands und der Komponenten, die dazu beitragen (einschl. menschlichen Fehlverhaltens) Beschreibung der Folgewirkung (Schadensausmaß) und deren Eintrittswahrscheinlichkeit Berücksichtigung der Betriebsbedingungen wie z.b. Anfahren, Normalbetrieb, Abfahren, Instandhaltung, Anlagenausfall und Notabschaltung 25
Zusammenfassung (2) Für die Maschine/Anlage und die zugehörigen Betriebsmittel muss eine Gefährdungs- und Risikobeurteilung durchgeführt werden, die zu folgenden Ergebnissen führt: Beschreibung der Maßnahmen zur Risikominderung Genaue Beschreibung der getroffenen Annahmen Zuordnung von Sicherheitsfunktionen 26
Zusammenfassung (3) Risikobeurteilung im interdisziplinären Team durchführen Unterstützung eines Mitarbeiters, der als Moderator fungiert Schnittstellengespräche führen Personal schulen und Nachweise dokumentieren Partner / Zulieferer verantwortlich beteiligen Nachvollziehbare, rückführbare Dokumentation Risikobeurteilungen werden immer unterschrieben (klare Zuordnung der Verantwortung) Interne Prozesse zur CE-konformen Entwicklung und Fertigung im QM-System implementieren Besprechungen grundsätzlich protokollieren Wie und wann wurde warum entschieden? TÜV NORD CERT GmbH FB Technologie 2012 27
Grundsätzliches zur Risikobeurteilung Erinnerung: Die im Anhang I der MaschRL aufgeführten grundlegenden Sicherheits- und Gesundheitsschutzanforderungen sind bindend. TÜV NORD CERT GmbH FB Technologie 2012 28
Neulich, in einem Unternehmen Was der Verkauf konzipierte Wie die Konstruktion es verstand Was die Montage aufbaute Wie die Inbetriebnahme das Problem löste 29
Neulich, in einem Unternehmen Was der Sicherheitsbeauftragte akzeptieren wollte Was das Handbuch beschrieb Was das Ganze schließlich kostete und was der Kunde eigentlich brauchte. ENDE Vielen Dank für Ihre Aufmerksamkeit 30