Safety

EU-Maschinenverordnung: Methoden zur Risikoeinschätzung Teil 1

27.03.2024 - Die Europäische Maschinenrichtlinie verlangt, dass für jede Maschine vor dem Inverkehrbringen eine Risikoanalyse durchgeführt werden muss. Durch das Zusammenwachsen von IT und OT sowie die rasante technologische Entwicklung war es notwendig, die bestehende Maschinenrichtlinie 2006/42/EG zu überarbeiten. Daraus entstand die neue EU Maschinenverordnung (MVO): Sie wird die Maschinenrichtlinie als rechtliche Grundlage ablösen. Sie enthält zusätzliche Anforderungen an die Risikoanalyse. Welche das im Einzelnen sind und welche Parameter dabei betrachtet werden, beleuchtet der erste Teil des Beitrags „Methoden zur Risikoeinschätzung“.

Rechtliche Grundlagen

Nach der EU-Maschinenrichtlinie 2006/42/EG darf ein Hersteller von Maschinen keine Maschinen in Verkehr bringen, von denen eine Gefahr ausgeht. Zum Nachweis führt er eine CE-Konformitätsbewertung durch, die das Erstellen einer Risikoanalyse beinhaltet. Maschinen dürfen nur dann ein CE-Zeichen tragen, wenn der Bewertungsprozess komplett durchlaufen wurde und die Risikoanalyse zeigt, dass die Maschine sicher ist.

Die Maschinenrichtlinie beschreibt den Prozess der Risikoanalyse sehr allgemein, selbst wenn sie in einem Anhang mögliche Gefahren auflistet, die bei der Analyse betrachtet werden müssen. Eine genauere Beschreibung des Prozesses der Risikoanalyse findet man in der Norm ISO 12100 – Risikobeurteilung und Risikominderung. Sie definiert ein iteratives Verfahren, bei dem man zuerst die Gefährdungen identifiziert, einschätzt und bewertet. Falls die Bewertung zeigt, dass unzumutbare Gefährdungen vorhanden sind, müssen diese vermindert werden. Das Vorgehen zur Verminderung der Gefährdungen ist in drei Stufen unterteilt, deren Reihenfolge zwingend einzuhalten ist. (Abb. 1)

Leuze-Risikobewertung

Abb. 1: Iteratives Verfahren zur Risikobewertung nach der Norm ISO 12100.
© Leuze electronic


Die erste Stufe sind konstruktive Maßnahmen. Dies bedeutet, dass die Maschine so gestaltet werden muss, dass sie sicher ist. Sollte das nicht möglich sein, kann der Hersteller technische Maßnahmen einsetzen. Dazu zählen beispielsweise trennende Schutzeinrichtungen wie z. B. Zäune oder nicht-trennende Schutzeinrichtungen wie beispielsweise Sicherheits-Lichtvorhänge. Beide sorgen dafür, dass Bediener die Gefährdungen nicht mehr erreichen können. Falls weder technische noch konstruktive Maßnahmen möglich sind, dürfen organisatorische Maßnahmen eingesetzt werden. Eine solche wäre unter anderem die Unterweisung der Mitarbeiterinnen und Mitarbeiter.

Sind die definierten Maßnahmen zur Risikoreduzierung umgesetzt, startet der iterative Prozess erneut. Dadurch identifiziert man eventuelle weitere Gefährdungen, die durch die Maßnahmen nicht vollständig beseitigt wurden oder die durch die Maßnahmen neu entstanden sind. Der iterative Prozess endet erst, wenn alle Gefährdungen genügend vermindert sind.

Die neue EU-Maschinenverordnung EU 2023/1230 löst die Maschinenrichtlinie am 20.01.2027 ab. Eine Übergangsregelung ist nicht vorgesehen. Eine Überarbeitung der Maschinenrichtlinie war durch den technischen Fortschritt notwendig. Die Maschinenverordnung stellt nun Anforderungen an die Sicherheit von Maschinen, die in drei verschiedenen Bereichen entstehen:

  • Vernetzung von Maschinen
  • Digitalisierung und komplexere Steuerungstechnik
  • neue Technologien wie z. B. KI oder kollaborierende Roboter

Im Anhang III – Sicherheitsanforderungen für Konstruktion und Bau von Maschinen – geht die Maschinenverordnung auf Gefährdungen ein, die in der Maschinenrichtlinie nicht explizit aufgeführt sind. Bei der Vernetzung von Maschinen ist dies der Schutz vor Korrumpierung. Die Anbindung von Hardware bzw. Software darf nicht zu einer Beschädigung führen. Zusätzlich muss ein unbefugter Zugriff auf die Maschine und die Möglichkeit zur Manipulation von Daten verhindert werden. Auch der Ausfall oder das Wiederherstellen einer Kommunikationsverbindung darf zu keiner gefährlichen Situation führen.

Die Steuerungen von Maschinen müssen zudem gegen eine Beeinflussung von außen geschützt sein, so dass es zu keiner absichtlichen oder unbeabsichtigten Veränderung der Software oder der Konfiguration kommen kann. Ein Zugriffsprotokoll über Veränderungen der Hardware und/oder Software ist für fünf Jahre zu speichern. Sowohl die Software als auch die Konfiguration müssen eine Identifikation (ID) besitzen.

Weiterhin regelt die MVO das Thema Künstliche Intelligenz von selbst lernenden Systemen. Maschinen dürfen keine Handlungen ausführen, die über ihre festgelegten Aufgaben und Bewegungsbereich hinausgehen. Daten, die zu sicherheitsrelevanten Entscheidungen führen, müssen ein Jahr lang archiviert werden. Weiterhin muss es jederzeit möglich sein, die Maschine zu korrigieren, um die Sicherheit zu wahren. Auch für autonomen, mobilen Maschinen definiert die MVO zusätzliche Anforderungen. So müssen sie Hindernisse oder Personen erkennen, und bei Kollisionen dürfen Batterien keine Gefährdung verursachen.
 

Parameter der Risikoeinschätzung

Generell gibt es keine Maßeinheit für ein Risiko. Gebräuchlich ist die Beschreibung des Risikos mit niedrig / hoch, durch eine Risiko-Kennzahl oder durch eine Ausfallwahrscheinlichkeit. Eine textuelle Beschreibung des Risikos ist oft leichter zu verstehen als die Definition mit Kennzahlen. Soll das tatsächliche Risiko anhand einer Kennzahl eingeschätzt werden, so muss deren Wertebereich bekannt sein.

Die Maschinenrichtlinie definiert, dass zur Bestimmung des Risikos einer betrachteten Gefahr zwei Parameter berücksichtigt werden müssen: das Schadensausmaß und die Wahrscheinlichkeit einer Schädigung. Diese beiden Parameter können – abhängig vom dem zur Risikoeinschätzung verwendeten Verfahren – in weitere Parameter unterteilt sein:

  • Schwere der Schädigung (S, Severity)
  • Anzahl der geschädigten Personen (N, Number)

In der Automatisierungstechnik ist von einem Ereignis normalerweise nur eine Person betroffen, so dass der Parameter N dort keine Bedeutung hat. In der Prozesstechnik, wo bei einem Ereignis viele Personen geschädigt werden könnten, ist der Parameter N wichtig zur Beurteilung des Risikos. Um die Wahrscheinlichkeit einer Schädigung genauer zu definieren, wird diese oft in drei Unterparameter unterteilt:

  • Zeitdauer der Gefahraussetzung (E, Exposure)
  • Häufigkeit des gefährlichen Ereignisses (O, Occurence)
  • Möglichkeit zur Vermeidung des gefährlichen Ereignisses (A, Avoidance)

Nicht jedes gefährliche Ereignis führt automatisch zu einem Schaden. Ein Schaden tritt nur ein, wenn sich gleichzeitig zum gefährlichen Ereignis eine Person im gefährdeten Bereich aufhält und nicht in der Lage ist, der Gefahr auszuweichen. In der Praxis minimiert man entweder die Zeitdauer der Gefährdung, E, mit einem Schutzzaun oder die Häufigkeit der Gefährdung, O, durch einen Maschinenstopp mit sicherer Sensorik, um ein sicheres System zu erhalten. Zusammenfassend kann man das Risiko wie folgt darstellen: S = f(S,N) x f(E,O,A)
 

Leuze-Parameter
Abb. 2: Parameter der Risikoeinschätzung. © Leuze electronic

 

Ausblick

Im kommenden Teil dieses Beitrags wird es aufbauend auf die rechtlichen Grundlagen der neuen Maschinenverordnung und den Parametern zur Risikoeinschätzung um das generelle Vorgehen bei der Risikoanalyse sowie um die verschiedenen Verfahren für die Risikoeinschätzung gehen. Darüber hinaus werden die möglichen technischen Maßnahmen zur Risikoreduzierung erläutert bzw. zur Festlegung des nötigen Sicherheitslevels.

Kontakt

*Leuze electronic GmbH & Co. KG

In der Braike 1
73277 Owen
Deutschland

+49 7021 573-0