8 banner

 

58. Sicherheitsanwendungen

Kapitel-Editoren: Kenneth Gerecke und Charles T. Pope


Inhaltsverzeichnis

Tabellen und Abbildungen

Systemanalyse
Manh Trung Ho  

Sicherheit von Hand- und tragbaren Elektrowerkzeugen
US-Arbeitsministerium – Arbeitsschutzbehörde; herausgegeben von Kenneth Gerecke

Bewegliche Teile von Maschinen
Tomas Backström und Marianne Döös

Maschinenschutz
US-Arbeitsministerium – Arbeitsschutzbehörde; herausgegeben von Kenneth Gerecke

Präsenzmelder
Paul Schreiber

Geräte zum Steuern, Trennen und Schalten von Energie
René Troxler

Sicherheitsrelevante Anwendungen
Dietmar Reinert und Karlheinz Meffert

Software und Computer: Hybride automatisierte Systeme
Waldemar Karwowski und Jozef Zurada

Grundsätze für die Gestaltung sicherer Steuerungssysteme
Georg Vondracek

Sicherheitsprinzipien für CNC-Werkzeugmaschinen
Toni Retsch, Guido Schmitter und Albert Marty

Sicherheitsprinzipien für Industrieroboter
Toni Retsch, Guido Schmitter und Albert Marty

Elektrische, elektronische und programmierbare elektronische sicherheitsbezogene Steuerungssysteme
Ron Glocke

Technische Anforderungen an sicherheitsbezogene Systeme basierend auf elektrischen, elektronischen und programmierbaren elektronischen Geräten
John Brazendale und Ron Bell

Roll
Bengt Springfeldt

Stürze von Erhebungen
Jean Artau

Enge Räume
Neil McManus

Grundsätze der Prävention: Materialhandhabung und interner Verkehr
Kari Häkkinen

Tische

Klicken Sie unten auf einen Link, um die Tabelle im Artikelkontext anzuzeigen.

1. Mögliche Fehlfunktionen eines Zwei-Tasten-Steuerkreises
2. Maschinenschutz
3. Geräte
4. Fütterungs- und Auswurfmethoden
5. Kombinationen von Schaltungsstrukturen in Maschinensteuerungen
6. Sicherheitsintegritätslevel für Schutzsysteme
7. Softwaredesign und -entwicklung
8. Sicherheitsintegritätslevel: Komponenten vom Typ B
9. Integritätsanforderungen: Elektronische Systemarchitekturen
10 Stürze von Erhebungen: Quebec 1982-1987
11Typische Absturzsicherungs- und Absturzsicherungssysteme
12 Unterschiede zwischen Sturzprävention und Sturzsicherung
13 Musterformular zur Beurteilung von Gefährdungsbedingungen
14 Eine Muster-Einreiseerlaubnis

Zahlen

Zeigen Sie auf eine Miniaturansicht, um die Bildunterschrift anzuzeigen, klicken Sie, um die Abbildung im Artikelkontext anzuzeigen.

SAF020F1SAF020F2SAF020F4SAF020F5MAC240F2MAC240F3

MAC080F1MAC080F2MAC080F3MAC080F4MAC080F5MAC080F6MAC080F7MAC080F8MAC080F9MAC80F10MAC80F11MAC80F12MAC80F13MAC80F14MAC80F15MAC80F16MAC80F17MAC80F18MAC80F19MAC80F20MAC80F21MAC80F23MAC80F24MAC80F25MAC80F26MAC80F27MAC80F28MAC80F29MAC80F30MAC80F31MAC80F32MAC80F33MAC80F34MAC80F35MAC80F36MAC80F37

  SAF064F1SAF064F2SAF064F3SAF064F4SAF064F5SAF064F6SAF064F7

   SAF062F1SAF062F2SAF062F3SAF062F4SAF062F5SAF062F6SAF062F7SAF062F8SAF062F9SAF62F10SAF62F11SAF62F14SAF62F13SAF62F15SAF62F16SAF62F17SAF62F18 SAF059F1SAF059F2SAF059F3SAF059F4SAF059F5SAF059F6SAF059F8SAF059F9SA059F10SAF060F1SAF060F2SAF060F3SAF060F4


Klicken Sie hier, um zum Seitenanfang zurückzukehren

Montag, April 04 2011 16: 56

Systemanalyse

A System kann als ein Satz voneinander abhängiger Komponenten definiert werden, die so kombiniert sind, dass sie unter bestimmten Bedingungen eine bestimmte Funktion erfüllen. Eine Maschine ist ein greifbares und besonders deutliches Beispiel für ein System in diesem Sinne, aber es gibt andere Systeme, die Männer und Frauen in einem Team oder in einer Werkstatt oder Fabrik einbeziehen, die weitaus komplexer und nicht so einfach zu definieren sind. Sicherheit suggeriert das Fehlen einer Gefahr oder eines Unfall- oder Schadensrisikos. Um Mehrdeutigkeiten zu vermeiden, wird das allgemeine Konzept von an ungewolltes Auftreten wird angestellt. Absolute Sicherheit im Sinne der Unmöglichkeit eines mehr oder weniger unglücklichen Zwischenfalls ist nicht erreichbar; realistischerweise muss man eher eine sehr geringe als eine Null-Wahrscheinlichkeit unerwünschter Ereignisse anstreben.

Ein bestimmtes System kann nur im Hinblick auf die Leistung, die tatsächlich von ihm erwartet wird, als sicher oder unsicher angesehen werden. Vor diesem Hintergrund kann das Sicherheitsniveau eines Systems wie folgt definiert werden: „Für jede gegebene Menge unerwünschter Ereignisse wird das Sicherheitsniveau (oder die Unsicherheit) eines Systems durch die Wahrscheinlichkeit bestimmt, dass diese Ereignisse über einen bestimmten Zeitraum auftreten Zeitspanne". Beispiele für unerwünschte Ereignisse, die im vorliegenden Zusammenhang von Interesse wären, sind: mehrere Todesfälle, Tod einer oder mehrerer Personen, schwere Verletzungen, leichte Verletzungen, Umweltschäden, schädliche Einwirkungen auf Lebewesen, Zerstörung von Anlagen oder Gebäuden und größere oder begrenzte Material- oder Ausrüstungsschäden.

Zweck der Sicherheitssystemanalyse

Ziel einer Systemsicherheitsanalyse ist es, die Faktoren zu ermitteln, die die Wahrscheinlichkeit der unerwünschten Ereignisse beeinflussen, die Art und Weise zu untersuchen, in der diese Ereignisse stattfinden, und letztendlich präventive Maßnahmen zu entwickeln, um ihre Wahrscheinlichkeit zu verringern.

Die analytische Phase des Problems kann in zwei Hauptaspekte unterteilt werden:

  1. Identifizierung und Beschreibung der Typen von Funktionsstörungen oder Fehlanpassungen
  2. Identifizierung der Sequenzen von Funktionsstörungen, die miteinander (oder mit „normaleren“ Ereignissen) kombiniert werden, um letztendlich zu dem unerwünschten Ereignis selbst zu führen, und die Bewertung ihrer Wahrscheinlichkeit.

 

Nachdem die verschiedenen Störungen und ihre Folgen untersucht wurden, können die Systemsicherheitsanalysten ihre Aufmerksamkeit auf vorbeugende Maßnahmen richten. Die Forschung in diesem Bereich wird direkt auf früheren Erkenntnissen aufbauen. Diese Untersuchung präventiver Maßnahmen folgt den beiden Hauptaspekten der Systemsicherheitsanalyse.

Methoden der Analyse

Eine Systemsicherheitsanalyse kann vor oder nach dem Ereignis (a priori oder a posteriori) durchgeführt werden; in beiden Fällen kann das verwendete Verfahren entweder direkt oder umgekehrt sein. Vor dem unerwünschten Ereignis findet eine a priori Analyse statt. Der Analytiker nimmt eine bestimmte Anzahl solcher Ereignisse und macht sich daran, die verschiedenen Stadien zu entdecken, die zu ihnen führen können. Im Gegensatz dazu wird eine a posteriori-Analyse durchgeführt, nachdem das unerwünschte Ereignis stattgefunden hat. Sein Zweck besteht darin, eine Orientierungshilfe für die Zukunft zu geben und insbesondere Schlussfolgerungen zu ziehen, die für spätere a priori-Analysen nützlich sein können.

Obwohl es den Anschein haben mag, dass eine A-priori-Analyse sehr viel wertvoller wäre als eine A-posteriori-Analyse, da sie dem Vorfall vorausgeht, ergänzen sich beide tatsächlich. Welche Methode verwendet wird, hängt von der Komplexität des betreffenden Systems und dem, was bereits über das Thema bekannt ist, ab. Bei greifbaren Systemen wie Maschinen oder Industrieanlagen können Vorerfahrungen in der Regel dazu dienen, eine recht detaillierte a priori Analyse zu erstellen. Aber selbst dann ist die Analyse nicht unbedingt unfehlbar und wird sicherlich von einer nachfolgenden a posteriori-Analyse profitieren, die im Wesentlichen auf einer Untersuchung der Vorfälle basiert, die sich im Laufe des Betriebs ereignen. Bei komplexeren Systemen, an denen Personen beteiligt sind, wie beispielsweise Schichten, Werkstätten oder Fabriken, ist eine nachträgliche Analyse noch wichtiger. In solchen Fällen reichen Erfahrungen aus der Vergangenheit nicht immer aus, um eine detaillierte und verlässliche a priori-Analyse zu ermöglichen.

Eine A-posteriori-Analyse kann sich zu einer A-priori-Analyse entwickeln, wenn der Analytiker über den einzelnen Prozess hinausgeht, der zu dem fraglichen Vorfall geführt hat, und beginnt, die verschiedenen Vorkommnisse zu untersuchen, die vernünftigerweise zu einem solchen Vorfall oder ähnlichen Vorfällen führen könnten.

Eine andere Art und Weise, wie eine A-posteriori-Analyse zu einer A-priori-Analyse werden kann, besteht darin, den Schwerpunkt nicht auf das Ereignis (dessen Verhinderung der Hauptzweck der aktuellen Analyse ist), sondern auf weniger schwerwiegende Vorfälle zu legen. Diese Vorfälle, wie technische Störungen, Sachschäden und mögliche oder kleinere Unfälle, die für sich genommen von relativ geringer Bedeutung sind, können als Warnsignale für schwerwiegendere Ereignisse identifiziert werden. In solchen Fällen wird die Analyse, obwohl sie nach dem Eintreten kleinerer Vorfälle durchgeführt wird, eine a priori-Analyse in Bezug auf schwerwiegendere Vorfälle sein, die noch nicht stattgefunden haben.

Es gibt zwei mögliche Methoden, um den Mechanismus oder die Logik hinter der Abfolge von zwei oder mehr Ereignissen zu untersuchen:

  1. Die direkt, oder auch induktivsetzt die Methode bei den Ursachen an, um deren Auswirkungen vorherzusagen.
  2. Die rückgängig machen, oder auch deduktiv, Methode betrachtet die Wirkungen und arbeitet rückwärts zu den Ursachen.

 

Abbildung 1 ist ein Diagramm einer Steuerschaltung, die zwei Tasten erfordert (B1 und B2) gleichzeitig gedrückt werden, um die Relaisspule (R) zu aktivieren und die Maschine zu starten. Dieses Beispiel kann verwendet werden, um dies in praktischer Hinsicht zu veranschaulichen direkt und rückgängig machen Methoden, die in der Systemsicherheitsanalyse verwendet werden.

Abbildung 1. Steuerschaltung mit zwei Tasten

SAF020F1

Direkte Methode

Im direkte Methodebeginnt der Analytiker damit, (1) Fehler, Funktionsstörungen und Fehlanpassungen aufzulisten, (2) ihre Auswirkungen zu untersuchen und (3) festzustellen, ob diese Auswirkungen eine Bedrohung für die Sicherheit darstellen oder nicht. Im Fall von Bild 1 können folgende Fehler auftreten:

  • ein Drahtbruch zwischen 2 und 2´
  • unbeabsichtigter Kontakt bei C1 (oder C2) infolge mechanischer Blockierung
  • versehentliches Schließen von B1 (oder b2)
  • Kurzschluss zwischen 1 und 1´.

Der Analytiker kann dann die Folgen dieser Fehler ableiten und die Ergebnisse tabellarisch darstellen (Tabelle 1).

Tabelle 1. Mögliche Funktionsstörungen einer Zwei-Knopf-Steuerschaltung und ihre Folgen

Fehler

Folgen

Drahtbruch zwischen 2 und 2'

Start der Maschine nicht möglich*

Versehentliches Schließen von B1 (oder b2 )

Keine unmittelbare Konsequenz

Kontakt bei C1 (oder C2 ) Als ein Resultat aus
mechanische Blockierung

Keine unmittelbare Folge, aber Möglichkeit der
Starten der Maschine einfach durch Druck auf 
Taste B2 (oder b1 ) **

Kurzschluss zwischen 1 und 1'

Aktivierung der Relaisspule R - versehentliches Starten von
Die Maschine***

* Auftreten mit direktem Einfluss auf die Zuverlässigkeit des Systems
** Ereignis, das für eine schwerwiegende Verringerung des Sicherheitsniveaus des Systems verantwortlich ist
*** Zu vermeidendes gefährliches Ereignis

Siehe Text und Bild 1.

In Tabelle 1 können Folgen, die gefährlich sind oder das Sicherheitsniveau des Systems ernsthaft verringern können, durch herkömmliche Zeichen wie *** gekennzeichnet werden.

Hinweis: In Tabelle 1 führt ein Drahtbruch zwischen 2 und 2´ (dargestellt in Abbildung 1) zu einem Ereignis, das nicht als gefährlich angesehen wird. Sie hat keinen direkten Einfluss auf die Sicherheit des Systems; Die Wahrscheinlichkeit, dass ein solcher Vorfall auftritt, hat jedoch einen direkten Einfluss auf die Zuverlässigkeit des Systems.

Die direkte Methode eignet sich besonders für die Simulation. Abbildung 2 zeigt einen analogen Simulator, der zur Untersuchung der Sicherheit von Pressensteuerkreisen entwickelt wurde. Die Nachbildung des Regelkreises ermöglicht den Nachweis, dass der Kreis im fehlerfreien Zustand tatsächlich in der Lage ist, die geforderte Funktion zu gewährleisten, ohne die Sicherheitskriterien zu verletzen. Darüber hinaus kann der Simulator dem Analytiker ermöglichen, Fehler in die verschiedenen Komponenten der Schaltung einzuführen, ihre Folgen zu beobachten und somit die Schaltungen, die richtig entworfen sind (mit wenigen oder keinen gefährlichen Fehlern), von denen zu unterscheiden, die schlecht entworfen sind. Diese Art der Sicherheitsanalyse kann auch mit einem Computer durchgeführt werden.

Abbildung 2. Simulator zur Untersuchung von Druckregelkreisen

SAF020F2

Umgekehrte Methode

Im umgekehrte Methode, arbeitet der Analytiker von dem unerwünschten Ereignis, Zwischenfall oder Unfall rückwärts zu den verschiedenen vorangegangenen Ereignissen, um festzustellen, welche möglicherweise zu den zu vermeidenden Ereignissen führen können. In Abbildung 1 wäre das letzte zu vermeidende Ereignis das unbeabsichtigte Anlaufen der Maschine.

  • Das Starten der Maschine kann durch eine unkontrollierte Aktivierung der Relaisspule (R) verursacht werden.
  • Die Aktivierung der Spule kann wiederum durch einen Kurzschluss zwischen 1 und 1´ oder durch ein unbeabsichtigtes und gleichzeitiges Schließen der Schalter C erfolgen1 und C2.
  • Unbeabsichtigtes Schließen von C1 kann die Folge einer mechanischen Blockierung von C sein1 oder des versehentlichen Drückens von B1. Ähnliche Überlegungen gelten für C2.

 

Die Ergebnisse dieser Analyse können in einem baumähnlichen Diagramm dargestellt werden (deshalb wird die umgekehrte Methode als „Fehlerbaumanalyse“ bezeichnet), wie in Abbildung 3 dargestellt.

Abbildung 3. Mögliche Ereigniskette

SAF020F4

Das Diagramm folgt logischen Operationen, von denen die wichtigsten die „ODER“- und „UND“-Verknüpfungen sind. Die „ODER“-Operation bedeutet, dass [X1] tritt auf, wenn entweder [A] oder [B] (oder beide) stattfinden. Die „UND“-Operation bedeutet, dass vor [X2] auftreten kann, müssen sowohl [C] als auch [D] stattgefunden haben (siehe Abbildung 4).

Abbildung 4. Darstellung zweier logischer Operationen

SAF020F5

Die umgekehrte Methode wird sehr häufig in der A-priori-Analyse von konkreten Systemen verwendet, insbesondere in der Chemie-, Luftfahrt-, Raumfahrt- und Nuklearindustrie. Es hat sich auch als äußerst nützliche Methode zur Untersuchung von Arbeitsunfällen erwiesen.

Obwohl sie sehr unterschiedlich sind, ergänzen sich die direkten und umgekehrten Methoden. Die direkte Methode basiert auf einer Reihe von Fehlern oder Dysfunktionen, und der Wert einer solchen Analyse hängt daher weitgehend von der Relevanz der verschiedenen Dysfunktionen ab, die zu Beginn berücksichtigt werden. So gesehen scheint die umgekehrte Methode systematischer zu sein. Wenn der Analytiker weiß, welche Arten von Unfällen oder Vorfällen passieren können, kann er diese Methode theoretisch anwenden, um auf alle Funktionsstörungen oder Kombinationen von Funktionsstörungen zurückzuarbeiten, die diese verursachen können. Da jedoch nicht unbedingt alle gefährlichen Verhaltensweisen eines Systems im Voraus bekannt sind, können sie durch die direkte Methode, beispielsweise durch Simulation, entdeckt werden. Sind diese entdeckt, können die Gefährdungen mit der umgekehrten Methode genauer analysiert werden.

Probleme der Systemsicherheitsanalyse

Die oben beschriebenen analytischen Verfahren sind nicht nur mechanische Verfahren, die nur automatisiert angewendet werden müssen, um zu sinnvollen Schlussfolgerungen zur Verbesserung der Systemsicherheit zu gelangen. Im Gegenteil, Analysten stoßen im Laufe ihrer Arbeit auf eine Reihe von Problemen, und der Nutzen ihrer Analysen hängt weitgehend davon ab, wie sie diese lösen. Einige der typischen Probleme, die auftreten können, werden im Folgenden beschrieben.

Verständnis des zu untersuchenden Systems und seiner Betriebsbedingungen

Die grundlegenden Probleme jeder Systemsicherheitsanalyse sind die Definition des zu untersuchenden Systems, seine Grenzen und die Bedingungen, unter denen es während seiner gesamten Existenz arbeiten soll.

Wenn der Analyst ein zu begrenztes Subsystem berücksichtigt, kann das Ergebnis eine Reihe willkürlicher Präventivmaßnahmen sein (eine Situation, in der alles darauf ausgerichtet ist, bestimmte besondere Arten von Ereignissen zu verhindern, während ebenso schwerwiegende Gefahren ignoriert oder unterschätzt werden ). Wenn andererseits das betrachtete System in Bezug auf ein bestimmtes Problem zu umfassend oder zu allgemein ist, kann dies zu einer übermäßigen Unschärfe des Konzepts und der Verantwortlichkeiten führen, und die Analyse führt möglicherweise nicht zur Annahme geeigneter Präventivmaßnahmen.

Ein typisches Beispiel, das die Problematik der Definition des zu untersuchenden Systems verdeutlicht, ist die Sicherheit industrieller Maschinen oder Anlagen. In einer solchen Situation könnte der Analytiker versucht sein, nur die eigentliche Ausrüstung zu betrachten und die Tatsache zu übersehen, dass sie von einer oder mehreren Personen bedient oder kontrolliert werden muss. Vereinfachung dieser Art ist manchmal gültig. Analysiert werden muss jedoch nicht nur das Subsystem Maschine, sondern das gesamte System Mensch plus Maschine in den verschiedenen Lebensphasen der Anlage (darunter beispielsweise Transport und Handhabung, Montage, Prüfung und Einstellung, Normalbetrieb). , Wartung, Demontage und gegebenenfalls Zerstörung). Auf jeder Stufe ist die Maschine Teil eines spezifischen Systems, dessen Zweck, Funktionsweise und Fehlfunktion sich vollständig von denen des Systems auf anderen Stufen unterscheiden. Es muss daher so konstruiert und hergestellt werden, dass die Erfüllung der geforderten Funktion unter guten Sicherheitsbedingungen in jeder der Phasen möglich ist.

Generell gibt es bei Sicherheitsstudien in Unternehmen mehrere Systemebenen: die Maschine, den Arbeitsplatz, die Schicht, die Abteilung, die Fabrik und das Unternehmen als Ganzes. Je nachdem, welche Systemebene betrachtet wird, sind die möglichen Arten von Funktionsstörungen – und die entsprechenden präventiven Maßnahmen – sehr unterschiedlich. Eine gute Präventionspolitik muss die auf verschiedenen Ebenen auftretenden Funktionsstörungen berücksichtigen.

Die Betriebsbedingungen des Systems können hinsichtlich der Art und Weise, wie das System funktionieren soll, und der Umgebungsbedingungen, denen es ausgesetzt sein kann, definiert werden. Diese Definition muss realistisch genug sein, um die tatsächlichen Bedingungen zu berücksichtigen, unter denen das System voraussichtlich betrieben wird. Ein System, das nur in einem sehr eingeschränkten Betriebsbereich sehr sicher ist, ist möglicherweise nicht so sicher, wenn der Benutzer den vorgeschriebenen theoretischen Betriebsbereich nicht einhalten kann. Ein sicheres System muss daher robust genug sein, um angemessenen Schwankungen der Bedingungen, unter denen es funktioniert, standzuhalten, und es muss bestimmte einfache, aber vorhersehbare Fehler seitens der Bediener tolerieren.

Systemmodellierung

Oft ist es notwendig, ein Modell zu entwickeln, um die Sicherheit eines Systems zu analysieren. Dies kann bestimmte Probleme aufwerfen, die es wert sind, untersucht zu werden.

Für ein prägnantes und relativ einfaches System wie eine herkömmliche Maschine ist das Modell fast direkt aus den Beschreibungen der materiellen Komponenten und ihrer Funktionen (Motoren, Getriebe usw.) und der Art und Weise, wie diese Komponenten miteinander in Beziehung stehen, ableitbar. Die Anzahl möglicher Komponentenausfallmodi ist ähnlich begrenzt.

Ein besonderes Problem stellen moderne Maschinen wie Computer und Roboter dar, die komplexe Komponenten wie Mikroprozessoren und elektronische Schaltungen mit sehr hoher Integration enthalten. Dieses Problem wurde weder im Hinblick auf die Modellierung noch auf die Vorhersage der unterschiedlichen möglichen Ausfallarten vollständig gelöst, weil es so viele Elementartransistoren in jedem Chip gibt und weil verschiedene Arten von Software verwendet werden.

Wenn das zu analysierende System eine menschliche Organisation ist, liegt ein interessantes Problem, das bei der Modellierung auftritt, in der Auswahl und Definition bestimmter nicht-materieller oder nicht vollständig materieller Komponenten. Eine bestimmte Arbeitsstation kann beispielsweise durch ein System dargestellt werden, das Arbeiter, Software, Aufgaben, Maschinen, Materialien und Umgebung umfasst. (Die Komponente „Aufgabe“ kann sich als schwierig zu definieren erweisen, da nicht die vorgeschriebene Aufgabe zählt, sondern die Aufgabe, wie sie tatsächlich ausgeführt wird).

Bei der Modellierung menschlicher Organisationen kann sich der Analyst dafür entscheiden, das betrachtete System in ein Informationssubsystem und ein oder mehrere Aktionssubsysteme zu zerlegen. Die Analyse von Fehlern in verschiedenen Phasen des Informationssubsystems (Informationserfassung, -übertragung, -verarbeitung und -nutzung) kann sehr aufschlussreich sein.

Probleme im Zusammenhang mit mehreren Analyseebenen

Probleme im Zusammenhang mit mehreren Analyseebenen entstehen oft, weil der Analyst ausgehend von einem unerwünschten Ereignis möglicherweise auf zeitlich immer weiter zurückliegende Vorfälle zurückarbeitet. Je nach betrachteter Analyseebene variiert die Art der auftretenden Funktionsstörungen; gleiches gilt für die vorbeugenden Maßnahmen. Es ist wichtig, entscheiden zu können, auf welcher Ebene die Analyse gestoppt und auf welcher Ebene vorbeugende Maßnahmen ergriffen werden sollen. Ein Beispiel ist der einfache Fall eines Unfalls, der aus einem mechanischen Versagen resultiert, das durch die wiederholte Verwendung einer Maschine unter anormalen Bedingungen verursacht wurde. Dies kann durch mangelnde Bedienerschulung oder schlechte Arbeitsorganisation verursacht worden sein. Abhängig von der betrachteten Analyseebene kann die erforderliche vorbeugende Maßnahme der Austausch der Maschine durch eine andere Maschine sein, die härteren Einsatzbedingungen standhält, die Verwendung der Maschine nur unter normalen Bedingungen, Änderungen in der Personalschulung oder eine Neuorganisation arbeiten.

Wirksamkeit und Umfang einer Präventionsmaßnahme hängen von der Ebene ab, auf der sie eingeführt wird. Vorbeugende Maßnahmen in unmittelbarer Nähe des unerwünschten Ereignisses haben eher eine direkte und schnelle Wirkung, aber ihre Auswirkungen können begrenzt sein; Andererseits sollte es möglich sein, durch ein vernünftiges Rückwärtsgehen bei der Analyse von Ereignissen Funktionsstörungen zu finden, die zahlreichen Unfällen gemeinsam sind. Alle auf dieser Ebene ergriffenen vorbeugenden Maßnahmen werden einen viel größeren Umfang haben, aber ihre Wirksamkeit kann weniger direkt sein.

Bedenkt man, dass es mehrere Analyseebenen gibt, kann es auch zahlreiche Muster präventiven Handelns geben, von denen jedes seinen eigenen Anteil an der Präventionsarbeit trägt. Dies ist ein äußerst wichtiger Punkt, und man braucht nur auf das Beispiel des gegenwärtig betrachteten Unfalls zurückzukommen, um die Tatsache zu würdigen. Der Vorschlag, die Maschine durch eine andere Maschine zu ersetzen, die härteren Einsatzbedingungen standhalten kann, legt die Verantwortung für die Vorbeugung auf die Maschine. Die Entscheidung, dass die Maschine nur unter normalen Bedingungen verwendet werden soll, bedeutet, dass die Verantwortung dem Benutzer auferlegt wird. Ebenso kann die Last auf die Personalschulung, die Arbeitsorganisation oder gleichzeitig auf die Maschine, den Benutzer, die Schulungsfunktion und die Organisationsfunktion gelegt werden.

Auf jeder Analyseebene scheint ein Unfall häufig die Folge der Kombination mehrerer Funktionsstörungen oder Fehlanpassungen zu sein. Je nachdem, ob gegen die eine oder andere Funktionsstörung oder gegen mehrere gleichzeitig vorgegangen wird, variiert das Muster der vorbeugenden Maßnahmen.

 

Zurück

Werkzeuge sind ein so alltäglicher Bestandteil unseres Lebens, dass es manchmal schwierig ist, sich daran zu erinnern, dass sie Gefahren darstellen können. Alle Werkzeuge werden unter Berücksichtigung der Sicherheit hergestellt, aber gelegentlich kann ein Unfall passieren, bevor werkzeugbezogene Gefahren erkannt werden. Die Arbeiter müssen lernen, die mit den verschiedenen Arten von Werkzeugen verbundenen Gefahren und die zur Vermeidung dieser Gefahren erforderlichen Sicherheitsvorkehrungen zu erkennen. Zum Schutz vor potenziellen Gefahren, die bei der Verwendung von tragbaren Elektrowerkzeugen und Handwerkzeugen auftreten können, sollte geeignete persönliche Schutzausrüstung wie Schutzbrillen oder Handschuhe getragen werden.

Handwerkzeuge

Handwerkzeuge sind nicht angetrieben und umfassen alles von Äxten bis zu Schraubenschlüsseln. Die größten Gefahren, die von Handwerkzeugen ausgehen, resultieren aus Missbrauch, Verwendung des falschen Werkzeugs für die Arbeit und unsachgemäßer Wartung. Einige der Gefahren im Zusammenhang mit der Verwendung von Handwerkzeugen umfassen, sind aber nicht beschränkt auf die folgenden:

  • Die Verwendung eines Schraubendrehers als Meißel kann dazu führen, dass die Spitze des Schraubendrehers abbricht und umherfliegt und den Benutzer oder andere Mitarbeiter trifft.
  • Wenn ein Holzgriff an einem Werkzeug wie einem Hammer oder einer Axt locker, abgesplittert oder gerissen ist, kann der Kopf des Werkzeugs wegfliegen und den Benutzer oder einen anderen Arbeiter treffen.
  • Ein Schraubenschlüssel mit gefederten Backen darf nicht verwendet werden, da er abrutschen könnte.
  • Schlagwerkzeuge wie Meißel, Keile oder Treibstifte sind unsicher, wenn sie pilzartige Köpfe haben, die beim Aufprall zerbrechen und scharfe Bruchstücke wegfliegen können.

 

Der Arbeitgeber ist für den sicheren Zustand der den Arbeitnehmern zur Verfügung gestellten Werkzeuge und Ausrüstungen verantwortlich, aber die Arbeitnehmer sind dafür verantwortlich, die Werkzeuge ordnungsgemäß zu verwenden und zu warten. Arbeiter sollten Sägeblätter, Messer oder andere Werkzeuge von Gangbereichen und anderen Mitarbeitern, die in unmittelbarer Nähe arbeiten, fernhalten. Messer und Scheren müssen scharf gehalten werden, da stumpfe Werkzeuge gefährlicher sein können als scharfe. (Siehe Abbildung 1.)

Abbildung 1. Ein Schraubendreher

MAC240F1

Sicherheit erfordert, dass Böden so sauber und trocken wie möglich gehalten werden, um versehentliches Ausrutschen beim Arbeiten mit oder in der Nähe von gefährlichen Handwerkzeugen zu vermeiden. Obwohl Funken, die von Handwerkzeugen aus Eisen und Stahl erzeugt werden, normalerweise nicht heiß genug sind, um Zündquellen zu sein, können beim Arbeiten mit oder in der Nähe von brennbaren Materialien funkenbeständige Werkzeuge aus Messing, Kunststoff, Aluminium oder Holz verwendet werden, um Funkenbildung zu verhindern.

Power Tools

Elektrowerkzeuge sind gefährlich, wenn sie unsachgemäß verwendet werden. Es gibt verschiedene Arten von Elektrowerkzeugen, die normalerweise nach der Stromquelle kategorisiert werden (elektrisch, pneumatisch, mit Flüssigbrennstoff, hydraulisch, mit Dampf und Sprengpulver betrieben). Mitarbeiter sollten in der Verwendung aller Elektrowerkzeuge, die bei ihrer Arbeit verwendet werden, qualifiziert oder geschult sein. Sie sollten die potenziellen Gefahren im Zusammenhang mit der Verwendung von Elektrowerkzeugen verstehen und die folgenden allgemeinen Sicherheitsvorkehrungen beachten, um das Auftreten dieser Gefahren zu vermeiden:

    • Tragen Sie niemals ein Werkzeug am Kabel oder Schlauch.
    • Ziehen Sie niemals am Kabel oder Schlauch, um ihn von der Steckdose zu trennen.
    • Kabel und Schläuche von Hitze, Öl und scharfen Kanten fernhalten.
    • Trennen Sie Werkzeuge, wenn sie nicht verwendet werden, vor der Wartung und beim Wechseln von Zubehör wie Klingen, Bits und Schneidwerkzeugen.
    • Alle Beobachter sollten einen Sicherheitsabstand zum Arbeitsbereich einhalten.
    • Sichern Sie die Arbeit mit Klemmen oder einem Schraubstock, sodass Sie beide Hände frei haben, um das Werkzeug zu bedienen.
    • Vermeiden Sie versehentliches Starten. Der Arbeiter sollte keinen Finger auf dem Schaltknopf halten, während er ein angeschlossenes Werkzeug trägt. Werkzeuge mit Lock-On-Steuerung sollten bei Stromunterbrechung ausgekuppelt werden, damit sie bei Wiederherstellung der Stromversorgung nicht automatisch anlaufen.
    • Werkzeuge sollten sorgfältig gepflegt und scharf und sauber gehalten werden, um die beste Leistung zu erzielen. Die Anweisungen in der Bedienungsanleitung sollten zum Schmieren und Wechseln von Zubehör befolgt werden.
    • Arbeiter sollten sicherstellen, dass sie bei der Verwendung von Elektrowerkzeugen einen guten Stand und Gleichgewicht haben. Es sollte angemessene Kleidung getragen werden, da lockere Kleidung, Krawatten oder Schmuck von beweglichen Teilen erfasst werden können.
    • Alle beschädigten tragbaren Elektrowerkzeuge müssen außer Betrieb genommen und mit „Nicht verwenden“ gekennzeichnet werden, um einen Stromschlag zu vermeiden.

                     

                    Schutzvorrichtungen

                    Gefährliche bewegliche Teile von Elektrowerkzeugen müssen geschützt werden. Beispielsweise müssen Riemen, Zahnräder, Wellen, Riemenscheiben, Kettenräder, Spindeln, Trommeln, Schwungräder, Ketten oder andere sich hin- und herbewegende, rotierende oder bewegliche Teile von Geräten geschützt werden, wenn diese Teile Kontakt durch Arbeiter ausgesetzt sind. Falls erforderlich, sollten Schutzvorrichtungen vorgesehen werden, um den Bediener und andere Personen vor Gefahren zu schützen, die mit Folgendem verbunden sind:

                      • der Betriebspunkt
                      • einlaufende Nip-Punkte
                      • rotierende und hin- und hergehende Teile
                      • umherfliegende Späne und Funken sowie Nebel oder Spritzer von Metallbearbeitungsflüssigkeiten.

                             

                            Schutzvorrichtungen dürfen niemals entfernt werden, wenn ein Werkzeug verwendet wird. Beispielsweise müssen Handkreissägen mit Schutzvorrichtungen ausgestattet sein. Ein oberer Schutz muss das gesamte Sägeblatt abdecken. Eine einziehbare untere Schutzhaube muss die Zähne der Säge abdecken, außer wenn sie mit dem Arbeitsmaterial in Kontakt kommt. Der untere Schutz muss automatisch in die Abdeckposition zurückkehren, wenn das Werkzeug aus dem Werkstück herausgezogen wird. Beachten Sie die Blattschutzvorrichtungen in der Abbildung einer Motorsäge (Abbildung 2).

                            Abbildung 2. Eine Kreissäge mit Schutzvorrichtung

                            MAC240F2

                            Sicherheitsschalter und -steuerungen

                            Im Folgenden finden Sie Beispiele für handgeführte Elektrowerkzeuge, die mit einem Tastschalter „Ein-Aus“ ausgestattet sein müssen:

                              • Bohrer, Gewindeschneider und Schraubendreher
                              • Horizontal-, Vertikal- und Winkelschleifer mit Scheiben mit einem Durchmesser von mehr als 2 cm (5.1 Zoll).
                              • Teller- und Bandschleifer
                              • Säbel- und Säbelsägen.

                                     

                                    Diese Werkzeuge können auch mit einer Einschaltsperre ausgestattet sein, vorausgesetzt, dass das Ausschalten durch eine einzige Bewegung desselben Fingers oder derselben Finger, die sie einschalten, erreicht werden kann.

                                    Die folgenden handgeführten Elektrowerkzeuge dürfen nur mit einem positiven „Ein-Aus“-Steuerschalter ausgestattet sein:

                                      • Plattenschleifer
                                      • Tellerschleifer mit Scheiben mit einem Durchmesser von 2 Zoll (5.1 cm) oder weniger
                                      • Mühlen mit Rädern mit einem Durchmesser von 2 Zoll (5.1 cm) oder weniger
                                      • Oberfräsen und Hobel
                                      • Laminatschneider, Nibbler und Scheren
                                      • Dekupiersägen und Stichsägen mit Blattschäften von ¼ Zoll (0.64 cm) Breite oder weniger.

                                                 

                                                Andere handgeführte Elektrowerkzeuge, die mit einem Konstantdruckschalter ausgestattet sein müssen, der die Stromversorgung abschaltet, wenn der Druck nachlässt, sind:

                                                  • Kreissägen mit einem Blattdurchmesser von mehr als 2 Zoll (5.1 cm)
                                                  • Kettensägen
                                                  • Schlagwerkzeuge ohne formschlüssige Zubehörhaltemittel.

                                                       

                                                      Elektrische Werkzeuge

                                                      Arbeiter, die Elektrowerkzeuge verwenden, müssen sich mehrerer Gefahren bewusst sein. Am schwerwiegendsten ist die Möglichkeit eines Stromschlags, gefolgt von Verbrennungen und leichten Stromschlägen. Unter bestimmten Bedingungen kann sogar eine kleine Stromstärke zu Herzflimmern führen, was zum Tod führen kann. Ein Stoß kann auch dazu führen, dass ein Arbeiter von einer Leiter oder anderen erhöhten Arbeitsflächen fällt.

                                                      Um das Verletzungsrisiko von Arbeitern durch Stromschlag zu verringern, müssen Werkzeuge durch mindestens eine der folgenden Maßnahmen geschützt werden:

                                                        • Grounded über ein dreiadriges Kabel (mit Erdungskabel). Dreiadrige Kabel enthalten zwei stromführende Leiter und einen Erdungsleiter. Ein Ende des Erdungsleiters wird mit dem Metallgehäuse des Werkzeugs verbunden. Das andere Ende wird über einen Stift am Stecker geerdet. Jedes Mal, wenn ein Adapter verwendet wird, um eine Steckdose mit zwei Löchern aufzunehmen, muss das Adapterkabel an einer bekannten Erdung befestigt werden. Der dritte Stift sollte niemals vom Stecker entfernt werden. (Siehe Abbildung 3.)
                                                        • Doppelt isoliert. Der Arbeiter und die Werkzeuge sind auf zwei Arten geschützt: (1) durch normale Isolierung der Drähte im Inneren und (2) durch ein Gehäuse, das im Falle einer Fehlfunktion keinen Strom zum Bediener leiten kann.
                                                        • Angetrieben von einem Niederspannungs-Trenntransformator.
                                                        • Verbunden über Fehlerstromschutzschalter. Dies sind permanente und tragbare Geräte, die einen Stromkreis sofort trennen, wenn er durch den Körper eines Arbeiters oder durch geerdete Gegenstände geerdet wird.

                                                               

                                                              Abbildung 3. Eine elektrische Bohrmaschine

                                                              MAC240F3

                                                               

                                                              Diese allgemeinen Sicherheitspraktiken sollten bei der Verwendung von Elektrowerkzeugen befolgt werden:

                                                                • Elektrowerkzeuge sollten innerhalb ihrer Auslegungsgrenzen betrieben werden.
                                                                • Beim Gebrauch von Elektrowerkzeugen werden Handschuhe und Sicherheitsschuhe empfohlen.
                                                                • Werkzeuge sollten bei Nichtgebrauch trocken gelagert werden.
                                                                • Werkzeuge sollten nicht verwendet werden, wenn Kabel oder Stecker ausgefranst, verbogen oder beschädigt sind.
                                                                • Elektrowerkzeuge sollten nicht an feuchten oder nassen Orten verwendet werden.
                                                                • Arbeitsbereiche sollten gut beleuchtet sein.

                                                                 

                                                                Angetriebene Schleifscheiben

                                                                Angetriebene Schleif-, Trenn-, Polier- und Drahtschwabbelscheiben verursachen besondere Sicherheitsprobleme, da die Scheiben zerfallen und herumfliegende Fragmente wegschleudern können.

                                                                Bevor Schleifscheiben montiert werden, sollten sie genau inspiziert und durch leichtes Klopfen mit einem leichten nichtmetallischen Instrument auf Klang (oder Ring) getestet werden, um sicherzustellen, dass sie frei von Rissen oder Defekten sind. Wenn Räder gerissen sind oder tot klingen, können sie im Betrieb auseinanderfliegen und dürfen nicht verwendet werden. Ein gesundes und unbeschädigtes Rad ergibt einen klaren metallischen Ton oder „Klingelton“.

                                                                Um zu verhindern, dass das Rad reißt, sollte der Benutzer sicher sein, dass es frei auf der Achse sitzt. Die Spindelmutter muss fest genug angezogen werden, um das Rad an Ort und Stelle zu halten, ohne den Flansch zu verformen. Befolgen Sie die Empfehlungen des Herstellers. Es muss darauf geachtet werden, dass das Spindelrad die Spezifikationen des Schleifrads nicht überschreitet. Aufgrund der Möglichkeit, dass ein Rad während des Starts zerfällt (explodiert), sollte der Arbeiter niemals direkt vor dem Rad stehen, während es auf volle Betriebsgeschwindigkeit beschleunigt. Tragbare Schleifwerkzeuge müssen mit Schutzvorrichtungen ausgestattet sein, um die Arbeiter nicht nur vor der sich bewegenden Scheibenoberfläche, sondern auch vor herumfliegenden Bruchstücken im Falle eines Bruchs zu schützen. Darüber hinaus sollten bei der Verwendung einer angetriebenen Schleifmaschine diese Vorsichtsmaßnahmen beachtet werden:

                                                                  • Verwenden Sie immer einen Augenschutz.
                                                                  • Schalten Sie das Gerät aus, wenn es nicht verwendet wird.
                                                                  • Spannen Sie niemals einen Handschleifer in einen Schraubstock.

                                                                       

                                                                      Druckluftwerkzeuge

                                                                      Pneumatische Werkzeuge werden mit Druckluft betrieben und umfassen Hacker, Bohrer, Hämmer und Schleifer. Obwohl bei der Verwendung von pneumatischen Werkzeugen mehrere potenzielle Gefahren auftreten, besteht die Hauptgefahr darin, von einem der Aufsätze des Werkzeugs oder von einer Art Befestigungselement getroffen zu werden, das der Arbeiter mit dem Werkzeug verwendet. Beim Arbeiten mit pneumatischen Werkzeugen ist Augenschutz erforderlich und Gesichtsschutz wird empfohlen. Lärm ist eine weitere Gefahr. Das Arbeiten mit lauten Werkzeugen wie Presslufthämmern erfordert die ordnungsgemäße und effektive Verwendung eines geeigneten Gehörschutzes.

                                                                      Bei der Verwendung eines pneumatischen Werkzeugs muss der Arbeiter überprüfen, ob es sicher am Schlauch befestigt ist, um eine Trennung zu verhindern. Als zusätzlicher Schutz dient ein kurzes Kabel oder eine formschlüssige Vorrichtung, mit der der Luftschlauch am Werkzeug befestigt wird. Wenn ein Luftschlauch einen Durchmesser von mehr als 1.27 cm (½ Zoll) hat, sollte ein Sicherheits-Überströmventil an der Luftversorgungsquelle installiert werden, um die Luft automatisch abzuschalten, falls der Schlauch reißt. Im Allgemeinen sollten bei einem Luftschlauch die gleichen Vorsichtsmaßnahmen getroffen werden, die für Elektrokabel empfohlen werden, da der Schlauch der gleichen Art von Beschädigung oder versehentlichem Aufprall ausgesetzt ist und außerdem eine Stolpergefahr darstellt.

                                                                      Druckluftpistolen sollten niemals auf jemanden gerichtet werden. Die Arbeiter sollten die Düse niemals gegen sich selbst oder andere Personen „verlegen“. Ein Sicherheitsclip oder -halter sollte installiert werden, um zu verhindern, dass Zubehörteile, wie z. B. ein Meißel an einem Meißelhammer, unbeabsichtigt aus dem Lauf geschossen werden. Es sollten Abschirmungen aufgestellt werden, um Arbeiter in der Nähe davor zu schützen, von umherfliegenden Fragmenten um Häcksler, Nietpistolen, Drucklufthämmer, Hefter oder Druckluftbohrer getroffen zu werden.

                                                                      Airless-Spritzpistolen, die Farben und Flüssigkeiten bei hohem Druck (1,000 Pfund oder mehr pro Quadratzoll) zerstäuben, müssen mit automatischen oder manuellen visuellen Sicherheitsvorrichtungen ausgestattet sein, die eine Aktivierung verhindern, bis die Sicherheitsvorrichtung manuell gelöst wird. Schwere Presslufthämmer können Ermüdung und Belastungen verursachen, die durch die Verwendung von schweren Gummigriffen, die einen sicheren Halt bieten, verringert werden können. Ein Arbeiter, der einen Presslufthammer bedient, muss eine Schutzbrille und Sicherheitsschuhe tragen, um sich vor Verletzungen zu schützen, wenn der Hammer abrutscht oder herunterfällt. Ein Gesichtsschutz sollte auch verwendet werden.

                                                                      Kraftstoffbetriebene Werkzeuge

                                                                      Kraftstoffbetriebene Werkzeuge werden üblicherweise mit kleinen benzinbetriebenen Verbrennungsmotoren betrieben. Die größten potenziellen Gefahren im Zusammenhang mit der Verwendung von kraftstoffbetriebenen Werkzeugen gehen von gefährlichen Kraftstoffdämpfen aus, die brennen oder explodieren und gefährliche Abgase abgeben können. Der Arbeiter muss darauf achten, das Benzin oder den Kraftstoff nur in zugelassenen Behältern für brennbare Flüssigkeiten gemäß den entsprechenden Verfahren für brennbare Flüssigkeiten zu handhaben, zu transportieren und zu lagern. Bevor der Tank für ein kraftstoffbetriebenes Werkzeug nachgefüllt wird, muss der Benutzer den Motor abstellen und ihn abkühlen lassen, um eine versehentliche Entzündung gefährlicher Dämpfe zu verhindern. Wenn ein kraftstoffbetriebenes Werkzeug in einem geschlossenen Bereich verwendet wird, ist eine wirksame Belüftung und/oder Schutzausrüstung erforderlich, um eine Exposition gegenüber Kohlenmonoxid zu vermeiden. Feuerlöscher müssen in der Umgebung verfügbar sein.

                                                                      Explosivpulverbetätigte Werkzeuge

                                                                      Sprengpulverbetriebene Werkzeuge funktionieren wie eine geladene Pistole und sollten mit dem gleichen Respekt und den gleichen Vorsichtsmaßnahmen behandelt werden. Tatsächlich sind sie so gefährlich, dass sie nur von speziell ausgebildeten oder qualifizierten Mitarbeitern bedient werden dürfen. Ein geeigneter Gehör-, Augen- und Gesichtsschutz ist bei der Verwendung eines pulverbetätigten Werkzeugs unerlässlich. Alle pulverbetätigten Werkzeuge sollten für unterschiedliche Pulverladungen ausgelegt sein, damit der Benutzer eine Pulvermenge auswählen kann, die erforderlich ist, um die Arbeit ohne übermäßigen Kraftaufwand auszuführen.

                                                                      Das Mündungsende des Werkzeugs sollte einen Schutzschild oder eine Schutzvorrichtung haben, die senkrecht auf dem Lauf zentriert ist, um den Benutzer vor herumfliegenden Fragmenten oder Partikeln zu schützen, die eine Gefahr darstellen könnten, wenn das Werkzeug abgefeuert wird. Das Werkzeug muss so konstruiert sein, dass es nicht zündet, wenn es nicht über eine solche Sicherheitsvorrichtung verfügt. Um zu verhindern, dass das Werkzeug versehentlich abfeuert, sind zum Abfeuern zwei separate Bewegungen erforderlich: eine, um das Werkzeug in Position zu bringen, und eine andere, um den Abzug zu betätigen. Die Werkzeuge dürfen nicht in Betrieb sein, bis sie mit einer Kraft gegen die Arbeitsfläche gedrückt werden, die mindestens 5 Pfund größer ist als das Gesamtgewicht des Werkzeugs.

                                                                      Wenn ein pulverbetätigtes Werkzeug fehlzündet, sollte der Benutzer mindestens 30 Sekunden warten, bevor er erneut versucht, es abzufeuern. Wenn es immer noch nicht zündet, sollte der Benutzer mindestens weitere 30 Sekunden warten, damit die fehlerhafte Patrone weniger wahrscheinlich explodiert, und dann die Ladung vorsichtig entfernen. Die defekte Patrone sollte in Wasser getaucht oder auf andere Weise gemäß den Verfahren des Arbeitgebers sicher entsorgt werden.

                                                                      Wenn ein pulverbetätigtes Werkzeug während des Gebrauchs einen Defekt aufweist, sollte es sofort gekennzeichnet und außer Betrieb genommen werden, bis es ordnungsgemäß repariert ist. Zu den Vorsichtsmaßnahmen für die sichere Verwendung und Handhabung von pulverbetätigten Werkzeugen gehören die folgenden:

                                                                        • Pulverbetätigte Werkzeuge sollten nicht in explosionsgefährdeten oder brennbaren Atmosphären verwendet werden, es sei denn, es wurde eine Heißarbeitserlaubnis von einer autorisierten Person ausgestellt.
                                                                        • Vor der Verwendung des Werkzeugs sollte der Arbeiter es überprüfen, um sicherzustellen, dass es sauber ist, dass alle beweglichen Teile frei funktionieren und dass der Lauf frei von Hindernissen ist.
                                                                        • Das Werkzeug sollte niemals auf jemanden gerichtet werden.
                                                                        • Das Werkzeug sollte nur geladen werden, wenn es sofort verwendet werden soll. Ein geladenes Werkzeug sollte nicht unbeaufsichtigt gelassen werden, insbesondere wenn es unbefugten Personen zur Verfügung stehen könnte.
                                                                        • Die Hände sollten vom Laufende ferngehalten werden.

                                                                         

                                                                        Bei der Verwendung von pulverbetätigten Werkzeugen zum Anbringen von Befestigungselementen sollten die folgenden Sicherheitsvorkehrungen berücksichtigt werden:

                                                                          • Brennen Sie keine Befestigungselemente in Material, das sie auf die andere Seite durchlassen würde.
                                                                          • Stecken Sie Befestigungselemente nicht näher als 3 cm (7.6 Zoll) zu einer Kante oder Ecke in Materialien wie Ziegel oder Beton und nicht näher als 1.27 cm (½ Zoll) zu einer Ecke oder Kante in Stahl.
                                                                          • Treiben Sie Befestigungselemente nicht in sehr hartes oder sprödes Material, das abplatzen, zerbrechen oder die Befestigungselemente abprallen lassen könnte.
                                                                          • Verwenden Sie eine Ausrichtungsführung, wenn Sie Befestigungselemente in vorhandene Löcher schießen. Treiben Sie keine Befestigungselemente in einen abgeplatzten Bereich, der durch eine unzureichende Befestigung verursacht wurde.

                                                                                 

                                                                                Hydraulische Elektrowerkzeuge

                                                                                Die in hydraulischen Elektrowerkzeugen verwendete Flüssigkeit muss für den erwarteten Einsatz zugelassen sein und ihre Betriebseigenschaften bei den extremsten Temperaturen, denen sie ausgesetzt wird, beibehalten. Der vom Hersteller empfohlene sichere Betriebsdruck für Schläuche, Ventile, Rohre, Filter und andere Armaturen darf nicht überschritten werden. Besteht die Möglichkeit eines Lecks unter hohem Druck in einem Bereich, in dem Zündquellen wie offene Flammen oder heiße Oberflächen vorhanden sein können, sollte die Verwendung von schwer entflammbaren Flüssigkeiten als Hydraulikmedium in Betracht gezogen werden.

                                                                                Jacks

                                                                                Alle Wagenheber – Hebel- und Ratschenwagenheber, Schraubenwinden und hydraulische Wagenheber – müssen eine Vorrichtung haben, die verhindert, dass sie zu hoch aufbocken. Die Belastungsgrenze des Herstellers muss an prominenter Stelle dauerhaft auf dem Wagenheber gekennzeichnet sein und darf nicht überschritten werden. Verwenden Sie bei Bedarf Holzblöcke unter der Basis, um den Wagenheber auszurichten und zu sichern. Wenn die Hebefläche aus Metall besteht, platzieren Sie einen 1 Zoll (2.54 cm) dicken Hartholzblock oder ein gleichwertiges Stück zwischen der Unterseite der Fläche und dem Metallkopf des Wagenhebers, um die Rutschgefahr zu verringern. Ein Wagenheber sollte niemals zum Abstützen einer angehobenen Last verwendet werden. Sobald die Last angehoben wurde, sollte sie sofort mit Blöcken unterstützt werden.

                                                                                Um einen Wagenheber einzurichten, stellen Sie die folgenden Bedingungen sicher:

                                                                                  1. Die Basis ruht auf einer festen, ebenen Fläche.
                                                                                  2. Die Buchse ist korrekt zentriert.
                                                                                  3. Der Wagenheberkopf liegt auf einer ebenen Fläche auf.
                                                                                  4. Die Auftriebskraft wird gleichmäßig aufgebracht.

                                                                                         

                                                                                        Die richtige Wartung von Wagenhebern ist für die Sicherheit unerlässlich. Alle Wagenheber müssen vor jedem Gebrauch überprüft und regelmäßig geschmiert werden. Wenn ein Wagenheber einer ungewöhnlichen Belastung oder Erschütterung ausgesetzt wird, sollte er gründlich untersucht werden, um sicherzustellen, dass er nicht beschädigt wurde. Hydraulikheber, die Gefriertemperaturen ausgesetzt sind, müssen mit einem ausreichenden Frostschutzmittel gefüllt werden.

                                                                                        Zusammenfassung

                                                                                        Arbeitnehmer, die Hand- und Elektrowerkzeuge verwenden und die Gefahren durch herabfallende, fliegende, scheuernde und spritzende Gegenstände und Materialien oder Gefahren durch gesundheitsschädliche Stäube, Dämpfe, Nebel, Dämpfe oder Gase ausgesetzt sind, müssen mit der erforderlichen angemessenen persönlichen Ausrüstung ausgestattet werden um sie vor der Gefahr zu schützen. Alle Gefahren, die mit der Verwendung von Elektrowerkzeugen verbunden sind, können von Arbeitern verhindert werden, die fünf grundlegende Sicherheitsregeln befolgen:

                                                                                          1. Halten Sie alle Werkzeuge durch regelmäßige Wartung in gutem Zustand.
                                                                                          2. Verwenden Sie das richtige Werkzeug für den Job.
                                                                                          3. Untersuchen Sie jedes Werkzeug vor Gebrauch auf Beschädigungen.
                                                                                          4. Betreiben Sie Werkzeuge gemäß den Anweisungen des Herstellers.
                                                                                          5. Geeignete Schutzausrüstung auswählen und verwenden.

                                                                                                   

                                                                                                  Arbeitnehmer und Arbeitgeber haben die Verantwortung, zusammenzuarbeiten, um etablierte sichere Arbeitspraktiken aufrechtzuerhalten. Wenn ein unsicheres Werkzeug oder eine gefährliche Situation auftritt, sollte die zuständige Person sofort darauf aufmerksam gemacht werden.

                                                                                                   

                                                                                                  Zurück

                                                                                                  Montag, April 04 2011 17: 11

                                                                                                  Bewegliche Teile von Maschinen

                                                                                                  Dieser Artikel behandelt Situationen und Ereignisketten, die zu Unfällen führen, die auf den Kontakt mit beweglichen Teilen von Maschinen zurückzuführen sind. Personen, die Maschinen bedienen und warten, laufen Gefahr, in schwere Unfälle verwickelt zu werden. US-Statistiken deuten darauf hin, dass 18,000 Amputationen und über 800 Todesfälle in den Vereinigten Staaten jedes Jahr auf solche Ursachen zurückzuführen sind. Nach Angaben des US-amerikanischen National Institute for Occupational Safety and Health (NIOSH) rangierte 1979 die Kategorie „Erwischt in, unter oder zwischen“ von Verletzungen in ihrer Klassifizierung unter den wichtigsten Arten von Arbeitsunfällen an erster Stelle. Solche Verletzungen betrafen im Allgemeinen Maschinen ( Etherton und Myers 1990). Seit der Einführung dieser Kategorie in die schwedische Arbeitsunfallstatistik im Jahr 10 wurde bei knapp über 1979 % der Arbeitsunfälle der „Kontakt mit einem sich bewegenden Maschinenteil“ als Hauptverletzungsereignis gemeldet.

                                                                                                  Die meisten Maschinen haben bewegliche Teile, die Verletzungen verursachen können. Solche beweglichen Teile können an der Arbeitsstelle zu finden sein, wo am Material gearbeitet wird, wie beispielsweise dort, wo geschnitten, geformt, gebohrt oder verformt wird. Sie können in der Vorrichtung gefunden werden, die Energie auf die Teile der Maschine überträgt, die die Arbeit ausführen, wie Schwungräder, Riemenscheiben, Pleuelstangen, Kupplungen, Nocken, Spindeln, Ketten, Kurbeln und Zahnräder. Sie können in anderen beweglichen Teilen der Maschine wie Rädern an mobilen Geräten, Getriebemotoren, Pumpen, Kompressoren usw. gefunden werden. Gefährliche Maschinenbewegungen finden sich auch bei anderen Maschinenarten, insbesondere bei Hilfsgeräten, die solche Lasten wie Werkstücke, Materialien, Abfälle oder Werkzeuge handhaben und transportieren.

                                                                                                  Alle Teile einer Maschine, die sich während der Arbeit bewegen, können zu Unfällen mit Verletzungen und Schäden beitragen. Sowohl rotierende als auch lineare Maschinenbewegungen sowie deren Energiequellen können gefährlich sein:

                                                                                                  Drehbewegung. Auch leicht drehende Wellen können ein Kleidungsstück greifen und beispielsweise den Arm einer Person in eine gefährliche Position ziehen. Die Gefahr in einer rotierenden Welle erhöht sich, wenn sie hervorstehende Teile oder unebene oder scharfe Oberflächen, wie z. B. Einstellschrauben, Bolzen, Schlitze, Kerben oder Schneidkanten, aufweist. Rotierende Maschinenteile führen auf drei verschiedene Arten zu „Klemmstellen“:

                                                                                                  1. Da sind die Punkte zwischen zwei rotierenden Teilen, die gegenläufig rotieren und parallele Achsen haben, wie Zahnräder oder Zahnräder, Schlittenrollen oder Mangeln.
                                                                                                  2. Es gibt die Kontaktpunkte zwischen rotierenden Teilen und Teilen in linearer Bewegung, wie sie z. B. zwischen einem Kraftübertragungsriemen und seiner Riemenscheibe, einer Kette und einem Kettenrad oder einer Zahnstange und einem Ritzel zu finden sind.
                                                                                                  3. Bei rotierenden Maschinenbewegungen besteht die Gefahr von Schnitt- und Quetschverletzungen, wenn sie in unmittelbarer Nähe von feststehenden Gegenständen stattfinden – ein solcher Zustand besteht zwischen einer Förderschnecke und ihrem Gehäuse, zwischen den Speichen eines Rades und dem Maschinenbett, oder zwischen einer Schleifscheibe und einer Werkzeughalterung.

                                                                                                   

                                                                                                  Lineare Bewegungen. Vertikale, horizontale und hin- und hergehende Bewegungen können auf verschiedene Weise Verletzungen verursachen: Eine Person kann von einem Maschinenteil gestoßen oder geschlagen werden und zwischen dem Maschinenteil und einem anderen Objekt eingeklemmt oder von einer scharfen Kante geschnitten oder aufgehalten werden eine Quetschverletzung durch Einklemmen zwischen dem beweglichen Teil und einem anderen Objekt (Abbildung 1).

                                                                                                  Abbildung 1. Beispiele für mechanische Bewegungen, die eine Person verletzen können

                                                                                                  ACC050F1

                                                                                                  Energiequellen. Häufig werden externe Energiequellen verwendet, um eine Maschine zu betreiben, was beträchtliche Energiemengen erfordern kann. Dazu gehören elektrische, Dampf-, hydraulische, pneumatische und mechanische Energiesysteme, die alle, wenn sie freigesetzt oder unkontrolliert werden, zu schweren Verletzungen oder Schäden führen können. Eine Untersuchung von Unfällen, die sich über einen Zeitraum von einem Jahr (1987 bis 1988) unter Bauern in neun Dörfern in Nordindien ereigneten, zeigte, dass Futterschneidemaschinen, die ansonsten alle gleich konstruiert sind, gefährlicher sind, wenn sie von einem Motor oder Traktor angetrieben werden. Die relative Häufigkeit von Unfällen mit mehr als einer geringfügigen Verletzung (pro Maschine) betrug 5.1 Promille für manuelle Schneidgeräte und 8.6 Promille für angetriebene Schneidgeräte (Mohan und Patel 1992).

                                                                                                  Verletzungen im Zusammenhang mit Maschinenbewegungen

                                                                                                  Da die mit Maschinenbewegungen verbundenen Kräfte oft recht groß sind, ist davon auszugehen, dass die daraus resultierenden Verletzungen schwerwiegend sein werden. Diese Vermutung wird von mehreren Quellen bestätigt. Der „Kontakt mit beweglichen Maschinen oder bearbeitetem Material“ machte laut britischer Statistik (HSE 5) nur 10 % aller Arbeitsunfälle, aber immerhin 1989 % der tödlichen und schweren Unfälle (Frakturen, Amputationen etc.) aus. In die gleiche Richtung weisen Studien an zwei schwedischen Fahrzeugherstellern. Unfälle, die durch Maschinenbewegungen verursacht wurden, führten gemessen an Medianwerten zu doppelt so vielen Krankenstandstagen im Vergleich zu nicht maschinenbezogenen Unfällen. Auch hinsichtlich der verletzten Körperteile unterschieden sich Maschinenunfälle von anderen Unfällen: Die Ergebnisse zeigten, dass 80 % der Verletzungen bei „Maschinen“-Unfällen Hände und Finger betreffen, bei „sonstigen“ Unfällen entsprechender Anteil 40 % (Backström und Döös 1995).

                                                                                                  Die Gefährdungssituation an automatisierten Anlagen hat sich sowohl anders (hinsichtlich Unfallart, Ereignisablauf und Schweregrad der Verletzung) als auch komplizierter (sowohl in technischer Hinsicht als auch in Bezug auf den Bedarf an Fachkenntnissen) als bei Installationen, in denen herkömmliche Maschinen verwendet werden. Der Begriff automatisierte soll sich hierin auf eine Ausrüstung beziehen, die ohne das direkte Eingreifen eines Menschen entweder eine Maschinenbewegung einleiten oder ihre Richtung oder Funktion ändern kann. Solche Geräte erfordern Sensorvorrichtungen (z. B. Positionssensoren oder Mikroschalter) und/oder irgendeine Form von sequentiellen Steuerungen (z. B. ein Computerprogramm), um ihre Aktivitäten zu steuern und zu überwachen. In den letzten Jahrzehnten, a Programmierbare Steuerung (SPS) wird zunehmend als Steuerungseinheit in Produktionsanlagen eingesetzt. Kleine Computer sind heute das gebräuchlichste Mittel, das zur Steuerung von Produktionsanlagen in der industrialisierten Welt verwendet wird, während andere Steuerungsmittel, wie beispielsweise elektromechanische Einheiten, immer seltener werden. In der schwedischen Fertigungsindustrie stieg der Einsatz von numerisch gesteuerten (NC) Maschinen in den 11er Jahren um 12 bis 1980 % pro Jahr (Hörte und Lindberg 1989). In der modernen Industrieproduktion wird die Verletzung durch „bewegte Maschinenteile“ immer mehr gleichbedeutend mit der Verletzung durch „computergesteuerte Maschinenbewegungen“.

                                                                                                  Automatisierte Anlagen finden sich in immer mehr Industriezweigen und sie haben immer mehr Funktionen. Lagerverwaltung, Materialhandhabung, Verarbeitung, Montage und Verpackung werden alle automatisiert. Die Serienfertigung ist der Prozessfertigung gleich geworden. Werden Zuführung, Bearbeitung und Ausschleusung der Werkstücke mechanisiert, muss sich der Bediener bei normaler, ungestörter Produktion nicht mehr im Gefahrenbereich aufhalten. Untersuchungen zur automatisierten Fertigung haben gezeigt, dass Unfälle vor allem beim Umgang mit produktionsrelevanten Störungen passieren. Aber auch bei anderen Aufgaben wie Reinigen, Einstellen, Umrüsten, Kontrollieren und Reparieren können Menschen Maschinenbewegungen behindern.

                                                                                                  Wenn die Produktion automatisiert wird und der Prozess nicht mehr unter der direkten Kontrolle des Menschen steht, steigt das Risiko unerwarteter Maschinenbewegungen. Die meisten Bediener, die mit Gruppen oder Linien miteinander verbundener Maschinen arbeiten, haben solche unerwarteten Maschinenbewegungen erlebt. Viele Unfälle in der Automatisierung entstehen durch eben solche Bewegungen. Ein Automatisierungsunfall ist ein Unfall, bei dem die automatische Ausrüstung die zur Verletzung führende Energie kontrolliert (oder kontrolliert haben sollte). Das bedeutet, dass die Kraft, die den Menschen verletzt, von der Maschine selbst kommt (z. B. die Energie einer Maschinenbewegung). In einer Studie von 177 Automatisierungsunfällen in Schweden wurde festgestellt, dass in 84 % der Fälle Verletzungen durch den „unerwarteten Start“ eines Maschinenteils verursacht wurden (Backström und Harms-Ringdahl 1984). Ein typisches Beispiel einer Verletzung durch eine computergesteuerte Maschinenbewegung ist in Abbildung 2 dargestellt.

                                                                                                  Abbildung 2. Ein typisches Beispiel einer Verletzung durch eine computergesteuerte Maschinenbewegung

                                                                                                  ACC050F2

                                                                                                  Eine der oben genannten Studien (Backström und Döös 1995) zeigte, dass automatisch gesteuerte Maschinenbewegungen ursächlich mit längeren Krankenständen verbunden waren als Verletzungen durch andere Arten von Maschinenbewegungen, wobei der Medianwert an einem der Arbeitsplätze viermal höher war . Das Verletzungsmuster von Automatisierungsunfällen war ähnlich wie bei anderen Maschinenunfällen (hauptsächlich Hände und Finger), jedoch tendenziell schwerwiegender (Amputationen, Quetschungen und Frakturen).

                                                                                                  Die Computersteuerung hat, wie auch die manuelle, Schwächen aus Sicht der Zuverlässigkeit. Es gibt keine Garantie dafür, dass ein Computerprogramm fehlerfrei funktioniert. Die Elektronik mit ihren geringen Signalpegeln kann bei unzureichendem Schutz empfindlich auf Störungen reagieren, und die Folgen daraus resultierender Ausfälle sind nicht immer vorhersehbar. Außerdem bleiben Programmieränderungen oft undokumentiert. Eine Methode, diese Schwäche zu kompensieren, ist beispielsweise der Betrieb von „doppelten“ Systemen, bei denen es zwei unabhängige Ketten von funktionalen Komponenten gibt und ein Verfahren zur Überwachung, so dass beide Ketten den gleichen Wert aufweisen. Wenn die Systeme unterschiedliche Werte anzeigen, deutet dies auf einen Fehler in einem von ihnen hin. Es besteht jedoch die Möglichkeit, dass beide Komponentenketten unter demselben Fehler leiden und beide durch dieselbe Störung außer Betrieb gesetzt werden, wodurch ein falsch positiver Messwert entsteht (da beide Systeme übereinstimmen). Allerdings war es nur in wenigen der untersuchten Fälle möglich, einen Unfall auf einen Computerausfall zurückzuführen (siehe unten), obwohl es üblich ist, dass ein einziger Computer alle Funktionen einer Anlage steuert (sogar das Anhalten von einer Maschine infolge der Aktivierung einer Sicherheitseinrichtung). Alternativ kann überlegt werden, ein bewährtes System mit elektromechanischen Komponenten für Sicherheitsfunktionen bereitzustellen.

                                                                                                  Technische Probleme

                                                                                                  Generell lässt sich sagen, dass ein einzelner Unfall viele Ursachen hat, darunter technische, individuelle, umweltbedingte und organisatorische. Aus präventiven Gründen wird ein Unfall am besten nicht als isoliertes Ereignis, sondern als ein Ereignis betrachtet Reihenfolge von Ereignissen oder einem Prozess (Backström 1996). Bei Automatisierungsunfällen hat sich gezeigt, dass technische Probleme häufig Teil eines solchen Ablaufs sind und entweder in einem der frühen Stadien des Prozesses oder in der Nähe des Verletzungsereignisses des Unfalls auftreten. Studien, in denen technische Probleme bei Automatisierungsunfällen untersucht wurden, legen nahe, dass diese für 75 bis 85 % der Unfälle verantwortlich sind. Gleichzeitig gibt es im Einzelfall meist auch andere Ursachen, etwa organisatorischer Natur. Nur in einem Zehntel der Fälle konnte festgestellt werden, dass die direkte Quelle der verletzungsauslösenden Energie auf ein technisches Versagen zurückgeführt werden konnte – beispielsweise eine Maschinenbewegung, die trotz Stillstand der Maschine stattfindet. Ähnliche Zahlen wurden in anderen Studien berichtet. Meist führte ein technisches Problem zu Störungen an der Anlage, so dass der Bediener Aufgaben wechseln musste (z. B. um ein schief liegendes Teil neu zu positionieren). Der Unfall ereignete sich dann während der Durchführung der Aufgabe, ausgelöst durch das technische Versagen. Einem Viertel der Automatisierungsunfälle ging eine Störung im Materialfluss voraus, beispielsweise ein Hängenbleiben eines Teils, eine schiefe oder anderweitig fehlerhafte Position (siehe Abbildung 3).

                                                                                                  Abbildung 3. Arten von technischen Problemen bei Automatisierungsunfällen (Anzahl der Unfälle = 127)

                                                                                                  ACC050T1

                                                                                                  In einer Studie von 127 Unfällen mit Automatisierung wurden 28 dieser Unfälle, die in Abbildung 4 beschrieben sind, weiter untersucht, um die Arten von technischen Problemen zu bestimmen, die als kausale Faktoren beteiligt waren (Backström und Döös, im Druck). Die in den Unfalluntersuchungen genannten Probleme wurden am häufigsten durch festsitzende, defekte oder verschlissene Bauteile verursacht. In zwei Fällen wurde ein Problem durch einen Computerprogrammfehler verursacht, in einem durch elektromagnetische Störungen. In mehr als der Hälfte der Fälle (17 von 28) waren Störungen schon länger vorhanden, wurden aber nicht behoben. Nur in 5 der 28 Fälle, in denen auf ein technisches Versagen oder eine Abweichung verwiesen wurde, lag der Mangel vor nicht hat sich vorher manifestiert. Einige Fehler wurden repariert, traten aber später wieder auf. Einige Mängel waren bereits bei der Installation vorhanden, andere resultierten aus Verschleiß und Umwelteinflüssen.

                                                                                                  Der Anteil der Automatisierungsunfälle, die im Zuge der Behebung einer Produktionsstörung auftreten, liegt den meisten Studien zufolge zwischen einem Drittel und zwei Drittel aller Fälle. Mit anderen Worten besteht allgemeiner Konsens darüber, dass die Bewältigung von Produktionsstörungen eine gefährliche berufliche Tätigkeit ist. Für das unterschiedliche Ausmaß solcher Unfälle gibt es viele Erklärungen, darunter solche, die mit der Art der Produktion und der Einstufung beruflicher Aufgaben zusammenhängen. Bei manchen Störfallstudien wurden nur Probleme und Maschinenstopps im laufenden Produktionsbetrieb betrachtet; in anderen wurde ein breiteres Spektrum von Problemen behandelt – zum Beispiel diejenigen, die mit der Einrichtung einer Arbeit zu tun haben.

                                                                                                  Eine sehr wichtige Maßnahme zur Vermeidung von Automatisierungsunfällen ist es, Verfahren zur Ursachenbeseitigung von Produktionsstörungen so vorzubereiten, dass sie sich nicht wiederholen. In einer Fachstudie zu Produktionsstörungen zum Zeitpunkt eines Unfalls (Döös und Backström 1994) wurde festgestellt, dass die häufigste Aufgabe, zu der Störungen führten, das Lösen oder das Korrigieren der Position eines festgefahrenen oder schief liegenden Werkstücks war platziert. Diese Art von Problem löste eine von zwei ziemlich ähnlichen Abfolgen von Ereignissen aus: (1) Das Teil wurde befreit und kam in seine richtige Position, die Maschine erhielt ein automatisches Signal zum Starten, und die Person wurde durch die eingeleitete Maschinenbewegung verletzt, (2 ) es keine Zeit gab, das Teil zu lösen oder neu zu positionieren, bevor die Person durch eine Maschinenbewegung verletzt wurde, die unerwartet, schneller oder mit größerer Kraft als vom Bediener erwartet erfolgte. Weitere Störungsbehandlungen umfassten das Auslösen eines Sensorimpulses, das Befreien eines blockierten Maschinenteils, die Durchführung einfacher Arten der Fehlersuche und die Veranlassung des Wiederanlaufs (siehe Abbildung 4).

                                                                                                  Abbildung 4. Art der Störungsbeseitigung zum Zeitpunkt des Unfalls (Anzahl der Unfälle =76)

                                                                                                  ACC050T2

                                                                                                  Arbeitssicherheit

                                                                                                  Welche Personengruppen bei Automatisierungsunfällen tendenziell verletzt werden, hängt davon ab, wie die Arbeit organisiert ist, also davon, welche Berufsgruppe die gefährlichen Tätigkeiten ausführt. In der Praxis geht es darum, welche Person am Arbeitsplatz regelmäßig mit Problemen und Störungen betraut wird. In der modernen schwedischen Industrie werden normalerweise aktive Eingriffe von den Personen verlangt, die die Maschine bedienen. Aus diesem Grund wurde in der bereits erwähnten Arbeitsplatzstudie zur Fahrzeugherstellung in Schweden (Backström und Döös, zur Veröffentlichung angenommen) festgestellt, dass 82 % der Personen, die Verletzungen durch automatisierte Maschinen erlitten, Produktionsarbeiter oder Bediener waren. Bediener hatten auch eine höhere relative Unfallhäufigkeit (15 Automatisierungsunfälle pro 1,000 Bediener pro Jahr) als Wartungsarbeiter (6 pro 1,000). Die Ergebnisse von Studien, die darauf hindeuten, dass Wartungsarbeiter stärker betroffen sind, sind zumindest teilweise damit zu erklären, dass Bediener in einigen Unternehmen Bearbeitungsbereiche nicht betreten dürfen. In Organisationen mit einer anderen Art der Aufgabenverteilung können andere Personengruppen – beispielsweise Einrichter – mit der Lösung auftretender Produktionsprobleme beauftragt werden.

                                                                                                  Die häufigste Korrekturmaßnahme, die in diesem Zusammenhang ergriffen wird, um das Niveau der Personensicherheit zu erhöhen, besteht darin, die Person vor gefährlichen Maschinenbewegungen zu schützen, indem eine Art Sicherheitsvorrichtung, wie z. B. ein Maschinenschutz, verwendet wird. Das Hauptprinzip ist hier das der „passiven“ Sicherheit – also das Bereitstellen von Schutz, der kein Handeln des Arbeitnehmers erfordert. Ohne eine sehr gute Kenntnis der tatsächlichen Arbeitsanforderungen an der jeweiligen Maschine, die normalerweise nur der Maschinenbediener selbst besitzt, ist es jedoch unmöglich, die Wirksamkeit von Schutzeinrichtungen zu beurteilen.

                                                                                                  Es gibt viele Faktoren, die selbst einen scheinbar guten Maschinenschutz außer Kraft setzen können. Um ihre Arbeit auszuführen, müssen Bediener möglicherweise eine Sicherheitsvorrichtung lösen oder umgehen. In einer Studie (Döös und Backström 1993) wurde festgestellt, dass bei 12 von 75 erfassten Automatisierungsunfällen ein solches Ausrücken oder Umgehen stattgefunden hatte. Oft liegt es am Ehrgeiz des Bedieners, weder Produktionsprobleme noch Produktionsverzögerungen hinzunehmen, die mit der vorschriftsmäßigen Behebung von Störungen verbunden sind. Eine Möglichkeit, dieses Problem zu vermeiden, besteht darin, die Schutzvorrichtung unmerklich zu machen, damit sie das Produktionstempo, die Produktqualität oder die Aufgabenerfüllung nicht beeinträchtigt. Aber das ist nicht immer möglich; und bei wiederholten produktionsstörungen können selbst geringfügige unannehmlichkeiten dazu führen, dass sicherheitseinrichtungen nicht eingesetzt werden. Auch hier sollten Routinen zur Verfügung gestellt werden, um die Ursachen von Produktionsstörungen zu beseitigen, damit sich diese nicht wiederholen. Ein weiterer wesentlicher Risikofaktor ist die fehlende Bestätigung, dass Sicherheitseinrichtungen wirklich gemäß den Spezifikationen funktionieren. Fehlerhafte Anschlüsse, im System verbleibende Startsignale, die später zu unerwarteten Starts führen, Luftdruckaufbau und sich lösende Sensoren können zum Ausfall von Schutzeinrichtungen führen.

                                                                                                  Zusammenfassung

                                                                                                  Wie gezeigt wurde, können technische Problemlösungen neue Probleme hervorrufen. Obwohl Verletzungen durch Maschinenbewegungen verursacht werden, die im Wesentlichen technischer Natur sind, bedeutet dies nicht automatisch, dass das Potenzial für deren Beseitigung in rein technischen Faktoren liegt. Technische Systeme werden weiterhin ausfallen, und Menschen werden die Situationen, die diese Ausfälle hervorrufen, nicht bewältigen. Die Risiken bleiben bestehen und können nur mit unterschiedlichsten Mitteln eingedämmt werden. Als Ergänzung zur rein technischen Entwicklung sind Gesetzgebung und Kontrolle, organisatorische Maßnahmen in den einzelnen Unternehmen (in Form von Schulungen, Sicherheitsrundgängen, Risikoanalysen und Meldungen von Störungen und Beinahe-Unfällen) sowie die Betonung stetiger, kontinuierlicher Verbesserungen erforderlich.

                                                                                                   

                                                                                                  Zurück

                                                                                                  Montag, April 04 2011 17: 19

                                                                                                  Maschinenschutz

                                                                                                  Es scheint so viele potenzielle Gefahren durch sich bewegende Maschinenteile zu geben, wie es verschiedene Arten von Maschinen gibt. Sicherheitsvorkehrungen sind unerlässlich, um Arbeitnehmer vor unnötigen und vermeidbaren maschinenbedingten Verletzungen zu schützen. Daher sollten alle Maschinenteile, Funktionen oder Prozesse, die Verletzungen verursachen können, geschützt werden. Wenn der Betrieb einer Maschine oder der versehentliche Kontakt mit ihr den Bediener oder andere Personen in der Nähe verletzen kann, muss die Gefahr entweder kontrolliert oder beseitigt werden.

                                                                                                  Mechanische Bewegungen und Aktionen

                                                                                                  Mechanische Gefahren beinhalten typischerweise gefährliche bewegliche Teile in den folgenden drei grundlegenden Bereichen:

                                                                                                    • der Einsatzort, die Stelle, an der Arbeiten am Material durchgeführt werden, wie z
                                                                                                    • Kraftübertragungsgerät, alle Komponenten des mechanischen Systems, die Energie auf die Teile der Maschine übertragen, die die Arbeit ausführen. Zu diesen Komponenten gehören Schwungräder, Riemenscheiben, Riemen, Pleuelstangen, Kupplungen, Nocken, Spindeln, Ketten, Kurbeln und Zahnräder
                                                                                                    • andere bewegliche Teile, alle Teile der Maschine, die sich während des Betriebs der Maschine bewegen, wie z. B. hin- und hergehende, rotierende und quer bewegliche Teile, sowie Vorschubeinrichtungen und Hilfsteile der Maschine.

                                                                                                        Eine Vielzahl von mechanischen Bewegungen und Aktionen, die eine Gefahr für Arbeiter darstellen können, umfassen die Bewegung von rotierenden Elementen, hin- und hergehenden Armen, sich bewegenden Riemen, ineinandergreifenden Zahnrädern, schneidenden Zähnen und allen Teilen, die aufprallen oder abscheren. Diese verschiedenen Arten mechanischer Bewegungen und Aktionen sind grundlegend für fast alle Maschinen, und ihre Erkennung ist der erste Schritt zum Schutz der Arbeitnehmer vor den Gefahren, die sie darstellen können.

                                                                                                        Bewegungen

                                                                                                        Es gibt drei grundlegende Bewegungsarten: rotierend, hin- und hergehend und transversal.

                                                                                                        Drehbewegung kann gefährlich sein; Selbst glatte, langsam rotierende Wellen können Kleidung erfassen und einen Arm oder eine Hand in eine gefährliche Position bringen. Verletzungen durch Kontakt mit rotierenden Teilen können schwerwiegend sein (siehe Abbildung 1).

                                                                                                        Abbildung 1. Mechanische Stanzpresse

                                                                                                        MAC080F1

                                                                                                        Manschetten, Kupplungen, Nocken, Kupplungen, Schwungräder, Wellenenden, Spindeln und horizontale oder vertikale Wellen sind einige Beispiele für übliche Drehmechanismen, die gefährlich sein können. Es besteht zusätzliche Gefahr, wenn Bolzen, Kerben, Abschürfungen und vorstehende Keile oder Stellschrauben an rotierenden Maschinenteilen freigelegt werden, wie in Abbildung 2 dargestellt.

                                                                                                        Abbildung 2. Beispiele für gefährliche Spritzer auf rotierende Teile

                                                                                                        MAC080F2

                                                                                                        Einlaufender Klemmpunkts entstehen durch rotierende Teile an Maschinen. Es gibt drei Haupttypen von Einlaufspaltpunkten:

                                                                                                          1. Teile mit parallelen Achsen können sich in entgegengesetzte Richtungen drehen. Diese Teile können in Kontakt sein (wodurch ein Klemmpunkt erzeugt wird) oder in unmittelbarer Nähe zueinander sein, wobei in diesem Fall das zwischen die Walzen zugeführte Papiermaterial die Klemmpunkte erzeugt. Diese Gefahr ist bei Maschinen mit ineinandergreifenden Getrieben, Walzwerken und Kalandern üblich, wie in Abbildung 3 dargestellt.
                                                                                                          2. Eine andere Art von Klemmstelle entsteht zwischen rotierenden und sich tangential bewegenden Teilen, wie z. B. der Kontaktpunkt zwischen einem Kraftübertragungsriemen und seiner Riemenscheibe, einer Kette und einem Kettenrad oder einer Zahnstange und einem Ritzel, wie in Abbildung 4 gezeigt.
                                                                                                          3. Klemmstellen können auch zwischen rotierenden und feststehenden Teilen auftreten, die eine Scher-, Quetsch- oder Schleifwirkung erzeugen. Beispiele sind Handräder oder Schwungräder mit Speichen, Förderschnecken oder der Umfang einer Schleifscheibe und eine falsch eingestellte Werkstückauflage, wie in Bild 5 dargestellt.

                                                                                                           

                                                                                                          Abbildung 3. Übliche Klemmpunkte an rotierenden Teilen

                                                                                                              MAC080F3

                                                                                                               

                                                                                                              Abbildung 4. Klemmpunkte zwischen rotierenden Elementen und Teilen mit Längsbewegungen

                                                                                                              MAC080F4

                                                                                                               

                                                                                                              Abbildung 5. Klemmpunkte zwischen rotierenden Maschinenkomponenten

                                                                                                              MAC080F5

                                                                                                              Hin- und Herbewegungen kann gefährlich sein, da ein Arbeiter während der Hin- und Her- oder Auf- und Abbewegung von einem beweglichen Teil und einem feststehenden Teil getroffen oder zwischen diesen eingeklemmt werden kann. Ein Beispiel ist in Abbildung 6 dargestellt.

                                                                                                              Abbildung 6. Gefährliche Hin- und Herbewegung

                                                                                                              MAC080F6

                                                                                                              Querbewegung (Bewegung in einer geraden, kontinuierlichen Linie) stellt eine Gefahr dar, da ein Arbeiter von einem sich bewegenden Teil getroffen oder in einer Quetsch- oder Scherstelle erfasst werden kann. Ein Beispiel für eine Querbewegung ist in Abbildung 7 dargestellt.

                                                                                                              Abbildung 7. Beispiel einer Querbewegung

                                                                                                              MAC080F7

                                                                                                              Aktionen

                                                                                                              Es gibt vier grundlegende Einwirkungsarten: Schneiden, Stanzen, Scheren und Biegen.

                                                                                                              Schneidwirkung umfasst eine rotierende, hin- und hergehende oder transversale Bewegung. Schneidvorgänge schaffen Gefahren an der Arbeitsstelle, wo Finger-, Kopf- und Armverletzungen auftreten können und wo umherfliegende Späne oder Abfallmaterial die Augen oder das Gesicht treffen können. Typische Beispiele für Maschinen mit Schnittgefahr sind Bandsägen, Kreissägen, Bohr- oder Bohrmaschinen, Drehmaschinen (Drehbänke) und Fräsmaschinen. (Siehe Abbildung 8.)

                                                                                                              Abbildung 8. Beispiele für Schnittgefahren

                                                                                                              MAC080F8

                                                                                                              Punching-Aktion entsteht, wenn ein Schlitten (Stößel) mit Strom versorgt wird, um Metall oder andere Materialien zu stanzen, zu ziehen oder zu stanzen. Die Gefahr dieser Art von Aktion tritt an der Arbeitsstelle auf, wo Bestände von Hand eingeführt, gehalten und entnommen werden. Typische Maschinen, die eine Stanzwirkung verwenden, sind Kraftpressen und Eisenarbeiter. (Siehe Abbildung 9.)

                                                                                                              Abbildung 9. Typischer Stanzvorgang

                                                                                                              MAC080F9

                                                                                                              Scherwirkung beinhaltet das Anlegen von Kraft an einen Schieber oder ein Messer, um Metall oder andere Materialien zu trimmen oder zu scheren. Eine Gefährdung tritt an der Betriebsstelle auf, an der das Lager tatsächlich eingeführt, gehalten und entnommen wird. Typische Beispiele für Maschinen, die für Schervorgänge verwendet werden, sind mechanisch, hydraulisch oder pneumatisch angetriebene Scheren. (Siehe Abbildung 10.)

                                                                                                              Abbildung 10. Schervorgang

                                                                                                              MAC80F10

                                                                                                              Biegeaktion entsteht, wenn Strom auf einen Schlitten aufgebracht wird, um Metall oder andere Materialien zu formen, zu ziehen oder zu stanzen. Die Gefahr tritt an der Betriebsstelle auf, an der Waren eingeführt, gehalten und entnommen werden. Zu den Geräten, die Biegevorgänge verwenden, gehören Kraftpressen, Abkantpressen und Rohrbiegemaschinen. (Siehe Abbildung 11.)

                                                                                                              Abbildung 11. Biegevorgang

                                                                                                              MAC80F11

                                                                                                              Anforderungen an Sicherungsmaßnahmen

                                                                                                              Schutzeinrichtungen müssen die folgenden allgemeinen Mindestanforderungen erfüllen, um Arbeitnehmer vor mechanischen Gefahren zu schützen:

                                                                                                              Kontakt verhindern. Die Schutzeinrichtung muss verhindern, dass Hände, Arme oder Körperteile oder Kleidung eines Arbeiters mit gefährlichen beweglichen Teilen in Kontakt kommen, indem die Möglichkeit ausgeschlossen wird, dass Bediener oder andere Arbeiter Körperteile in die Nähe gefährlicher beweglicher Teile bringen.

                                                                                                              Geben Sie Sicherheit. Arbeiter sollten nicht in der Lage sein, die Schutzvorrichtung einfach zu entfernen oder zu manipulieren. Schutzvorrichtungen und Sicherheitsvorrichtungen sollten aus strapazierfähigem Material bestehen, das den Bedingungen des normalen Gebrauchs standhält und fest an der Maschine befestigt ist.

                                                                                                              Vor herabfallenden Gegenständen schützen. Die Schutzeinrichtung sollte sicherstellen, dass keine Gegenstände in bewegliche Teile fallen und das Gerät beschädigen oder zu einem Geschoss werden können, das jemanden treffen und verletzen könnte.

                                                                                                              Keine neuen Gefahren schaffen. Eine Schutzeinrichtung verfehlt ihren Zweck, wenn sie selbst eine Gefahr darstellt, wie z. B. eine Scherstelle, eine gezackte Kante oder eine unbearbeitete Oberfläche. Die Kanten von Schutzvorrichtungen sollten beispielsweise so gerollt oder verschraubt werden, dass scharfe Kanten ausgeschlossen sind.

                                                                                                              Keine Störungen verursachen. Schutzmaßnahmen, die Arbeitnehmer an der Ausübung ihrer Arbeit hindern, könnten bald außer Kraft gesetzt oder missachtet werden. Wenn möglich, sollten Arbeiter in der Lage sein, Maschinen zu schmieren, ohne Schutzeinrichtungen zu lösen oder zu entfernen. Wenn Sie beispielsweise Ölreservoirs außerhalb der Schutzvorrichtung anordnen, wobei eine Leitung zur Schmierstelle führt, wird die Notwendigkeit verringert, den Gefahrenbereich zu betreten.

                                                                                                              Sicherheitstraining

                                                                                                              Selbst das ausgeklügeltste Sicherheitssystem kann keinen wirksamen Schutz bieten, wenn die Arbeitnehmer nicht wissen, wie und warum es anzuwenden ist. Spezifische und detaillierte Schulungen sind ein wichtiger Bestandteil aller Bemühungen zur Umsetzung von Schutzmaßnahmen gegen maschinenbezogene Gefahren. Richtiger Schutz kann die Produktivität verbessern und die Effizienz steigern, da er die Befürchtungen der Arbeitnehmer vor Verletzungen mindern kann. Eine Sicherheitsschulung ist für neue Bediener und Wartungs- oder Einrichtungspersonal erforderlich, wenn neue oder geänderte Sicherheitsvorrichtungen in Betrieb genommen werden oder wenn Arbeiter einer neuen Maschine oder einem neuen Betrieb zugewiesen werden; es sollte Anweisungen oder praktisches Training in den folgenden Bereichen beinhalten:

                                                                                                                • eine Beschreibung und Identifizierung der mit bestimmten Maschinen verbundenen Gefahren und der spezifischen Schutzmaßnahmen gegen jede Gefahr
                                                                                                                • wie die Sicherheitsvorkehrungen Schutz bieten; wie man die Sicherheitsvorkehrungen verwendet und warum
                                                                                                                • wie und unter welchen Umständen Schutzeinrichtungen entfernt werden können und durch wen (in den meisten Fällen nur Reparatur- oder Wartungspersonal)
                                                                                                                • was zu tun ist (z. B. den Vorgesetzten kontaktieren), wenn eine Schutzeinrichtung beschädigt ist, fehlt oder keinen ausreichenden Schutz bieten kann.

                                                                                                                       

                                                                                                                      Methoden der Maschinenabsicherung

                                                                                                                      Es gibt viele Möglichkeiten, Maschinen zu schützen. Die Art des Vorgangs, die Größe oder Form des Materials, die Handhabungsmethode, die physische Anordnung des Arbeitsbereichs, die Art des Materials und die Produktionsanforderungen oder -beschränkungen helfen bei der Bestimmung der geeigneten Sicherungsmethode für die einzelne Maschine. Der Maschinenkonstrukteur oder Sicherheitsexperte muss die effektivste und praktischste verfügbare Schutzeinrichtung wählen.

                                                                                                                      Schutzmaßnahmen können in fünf allgemeine Klassifikationen eingeteilt werden: (1) Schutzeinrichtungen, (2) Geräte, (3) Trennung, (4) Betrieb und (5) Sonstiges.

                                                                                                                      Absicherung mit Wachen

                                                                                                                      Es gibt vier allgemeine Arten von Schutzeinrichtungen (Barrieren, die den Zugang zu Gefahrenbereichen verhindern):

                                                                                                                      Feste Wachen. Eine feststehende Schutzeinrichtung ist ein fester Bestandteil der Maschine und ist nicht von beweglichen Teilen abhängig, um ihre vorgesehene Funktion zu erfüllen. Es kann aus Blech, Sieb, Drahtgewebe, Stäben, Kunststoff oder jedem anderen Material bestehen, das robust genug ist, um jeglichen Stößen, denen es ausgesetzt ist, zu widerstehen und einen längeren Gebrauch auszuhalten. Feststehende Schutzvorrichtungen sind normalerweise allen anderen Typen vorzuziehen, da sie relativ einfach und dauerhaft sind (siehe Tabelle 1).

                                                                                                                      Tabelle 1. Maschinenschutzvorrichtungen

                                                                                                                      Method

                                                                                                                      Sicherungsmaßnahmen

                                                                                                                      Vorteile

                                                                                                                      Einschränkungen

                                                                                                                      Behoben

                                                                                                                      · Bietet eine Barriere

                                                                                                                      · Geeignet für viele spezifische Anwendungen
                                                                                                                      · Eigenbau ist oft möglich
                                                                                                                      · Bietet maximalen Schutz
                                                                                                                      · Benötigt normalerweise minimale Wartung
                                                                                                                      · Geeignet für hohe Produktion, sich wiederholende Operationen

                                                                                                                      · Kann die Sicht beeinträchtigen
                                                                                                                      · Beschränkt auf bestimmte Operationen
                                                                                                                      · Maschineneinstellungen und -reparaturen erfordern häufig deren Entfernung, wodurch andere Schutzmaßnahmen für die Wartung erforderlich werden
                                                                                                                      Personal

                                                                                                                      Verriegelt

                                                                                                                      · Schaltet die Stromversorgung ab oder unterbricht und verhindert das Starten der Maschine, wenn die Schutzvorrichtung offen ist; sollte erfordern, dass die Maschine gestoppt wird, bevor der Arbeiter in den Gefahrenbereich greifen kann

                                                                                                                      · Bietet maximalen Schutz
                                                                                                                      · Ermöglicht den Zugriff auf die Maschine zum Beseitigen von Papierstaus ohne zeitraubendes Entfernen fester Schutzvorrichtungen

                                                                                                                      · Erfordert sorgfältige Einstellung und Wartung
                                                                                                                      · Kann leicht gelöst oder umgangen werden

                                                                                                                      Einstellbar

                                                                                                                      · Bietet eine Barriere, die angepasst werden kann, um eine Vielzahl von Produktionsvorgängen zu erleichtern

                                                                                                                      · Kann für viele spezifische Anwendungen konstruiert werden
                                                                                                                      · Kann angepasst werden, um unterschiedliche Vorratsgrößen aufzunehmen

                                                                                                                      · Bediener kann Gefahrenbereich betreten: Der Schutz ist möglicherweise nicht immer vollständig
                                                                                                                      · Kann häufige Wartung und/oder Einstellung erfordern
                                                                                                                      · Kann vom Betreiber unwirksam gemacht werden
                                                                                                                      · Kann die Sicht beeinträchtigen

                                                                                                                      Selbstjustierend

                                                                                                                      · Stellt eine Barriere bereit, die sich entsprechend der Größe des Bestands bewegt, der in den Gefahrenbereich gelangt

                                                                                                                      · Schutzvorrichtungen von der Stange sind im Handel erhältlich

                                                                                                                      · Bietet nicht immer maximalen Schutz
                                                                                                                      · Kann die Sicht beeinträchtigen
                                                                                                                      · Kann häufige Wartung und Einstellung erfordern

                                                                                                                       

                                                                                                                      In Abbildung 12 umschließt eine feststehende Schutzeinrichtung an einer Presse die Gefahrstelle vollständig. Das Material wird durch die Seite des Schutzes in den Matrizenbereich eingeführt, wobei das Abfallmaterial auf der gegenüberliegenden Seite austritt.

                                                                                                                      Abbildung 12. Fester Schutz an der Power Press

                                                                                                                      MAC80F12

                                                                                                                      Abbildung 13 zeigt einen festen Gehäuseschutz, der den Riemen und die Riemenscheibe einer Kraftübertragungseinheit abschirmt. Oben befindet sich eine Inspektionsplatte, um die Notwendigkeit zum Entfernen des Schutzes zu minimieren.

                                                                                                                      Abbildung 13. Feststehende Schutzvorrichtung, die Riemen und Riemenscheiben umschließt

                                                                                                                      MAC80F13

                                                                                                                      In Abbildung 14 sind feste Gehäuseschutzvorrichtungen an einer Bandsäge dargestellt. Diese Schutzvorrichtungen schützen den Bediener vor den sich drehenden Rädern und dem sich bewegenden Sägeblatt. Normalerweise würden die Schutzvorrichtungen nur zum Klingenwechsel oder zur Wartung geöffnet oder entfernt. Es ist sehr wichtig, dass sie sicher befestigt sind, während die Säge verwendet wird.

                                                                                                                      Abbildung 14. Feste Schutzvorrichtungen an der Bandsäge

                                                                                                                      MAC80F14

                                                                                                                      Verriegelte Wachen. Wenn verriegelte Schutzvorrichtungen geöffnet oder entfernt werden, wird der Auslösemechanismus und/oder die Stromversorgung automatisch abgeschaltet oder getrennt, und die Maschine kann nicht laufen oder gestartet werden, bis die Verriegelungsschutzvorrichtung wieder angebracht ist. Das Ersetzen des Verriegelungsschutzes sollte die Maschine jedoch nicht automatisch neu starten. Verriegelte Schutzeinrichtungen können elektrische, mechanische, hydraulische oder pneumatische Energie oder eine beliebige Kombination davon verwenden. Verriegelungen sollten, falls erforderlich, ein „Inchen“ (dh schrittweise fortschreitende Bewegungen) durch Fernsteuerung nicht verhindern.

                                                                                                                      Ein Beispiel für eine verriegelte Schutzvorrichtung ist in Abbildung 15 dargestellt. In dieser Abbildung ist der Schlagmechanismus einer Pflückmaschine (in der Textilindustrie verwendet) durch eine verriegelte Schutzvorrichtung abgedeckt. Dieser Schutz kann nicht angehoben werden, während die Maschine läuft, noch kann die Maschine mit dem Schutz in angehobener Position neu gestartet werden.

                                                                                                                      Abbildung 15. Verriegelte Schutzvorrichtung an der Picker-Maschine

                                                                                                                      MAC80F15

                                                                                                                      Einstellbare Schutzvorrichtungen. Verstellbare Schutzvorrichtungen ermöglichen Flexibilität bei der Aufnahme verschiedener Vorratsgrößen. Abbildung 16 zeigt einen einstellbaren Gehäuseschutz an einer Bandsäge.

                                                                                                                      Abbildung 16. Verstellbarer Schutz an der Bandsäge

                                                                                                                      MAC80F16

                                                                                                                      Selbsteinstellende Schutzvorrichtungen. Die Öffnungen selbstjustierender Schutzvorrichtungen werden durch die Bewegung des Schafts bestimmt. Wenn der Bediener das Material in den Gefahrenbereich bewegt, wird die Schutzvorrichtung weggedrückt, wodurch eine Öffnung bereitgestellt wird, die groß genug ist, um nur das Material einzulassen. Nachdem der Schaft entfernt wurde, kehrt die Schutzvorrichtung in die Ruheposition zurück. Diese Schutzeinrichtung schützt den Bediener, indem sie eine Barriere zwischen dem Gefahrenbereich und dem Bediener platziert. Die Schutzvorrichtungen können aus Kunststoff, Metall oder einem anderen festen Material bestehen. Selbsteinstellende Schutzvorrichtungen bieten unterschiedliche Schutzgrade.

                                                                                                                      Abbildung 17 zeigt eine Radialarmsäge mit selbsteinstellender Schutzhaube. Wenn die Klinge über den Schaft gezogen wird, bewegt sich der Schutz nach oben und bleibt in Kontakt mit dem Schaft.

                                                                                                                      Abbildung 17. Selbsteinstellende Schutzhaube an Radialarmsäge

                                                                                                                      MAC80F17

                                                                                                                      Absicherung mit Geräten

                                                                                                                      Sicherheitsvorrichtungen können die Maschine stoppen, wenn eine Hand oder ein Körperteil versehentlich in den Gefahrenbereich gebracht wird, können die Hände des Bedieners während des Betriebs aus dem Gefahrenbereich zurückhalten oder zurückziehen, können vom Bediener verlangen, beide Hände gleichzeitig an der Maschinensteuerung zu verwenden ( wodurch Hände und Körper außer Gefahr gehalten werden) oder eine mit dem Betriebszyklus der Maschine synchronisierte Barriere bereitstellen, um das Betreten des Gefahrenbereichs während des gefährlichen Teils des Zyklus zu verhindern. Es gibt fünf grundlegende Arten von Sicherheitsvorrichtungen:

                                                                                                                      Präsenzmelder

                                                                                                                      Im Folgenden werden drei Arten von Sensoren beschrieben, die die Maschine anhalten oder den Arbeitszyklus oder Betrieb unterbrechen, wenn sich ein Arbeiter im Gefahrenbereich befindet:

                                                                                                                      Die fotoelektrische (optische) Präsenzmelder verwendet ein System von Lichtquellen und Steuerungen, die den Betriebszyklus der Maschine unterbrechen können. Wenn das Lichtfeld unterbrochen wird, stoppt die Maschine und läuft nicht weiter. Dieses Gerät sollte nur an Maschinen verwendet werden, die gestoppt werden können, bevor der Arbeiter den Gefahrenbereich erreicht. Abbildung 18 zeigt eine fotoelektrische Anwesenheitserkennungsvorrichtung, die mit einer Abkantpresse verwendet wird. Das Gerät kann nach oben oder unten geschwenkt werden, um unterschiedlichen Produktionsanforderungen gerecht zu werden.

                                                                                                                      Abbildung 18. Photoelektrisches Anwesenheitserkennungsgerät an der Abkantpresse

                                                                                                                      MAC80F18

                                                                                                                      Die Hochfrequenz-(Kapazitäts-)Präsenzerfassungsgerät verwendet einen Funkstrahl, der Teil des Steuerkreises ist. Wenn das Kapazitätsfeld unterbrochen wird, stoppt die Maschine oder wird nicht aktiviert. Dieses Gerät sollte nur an Maschinen verwendet werden, die angehalten werden können, bevor der Arbeiter den Gefahrenbereich erreichen kann. Dies erfordert, dass die Maschine über eine Reibungskupplung oder andere zuverlässige Mittel zum Stoppen verfügt. Fig. 19 zeigt ein Hochfrequenz-Anwesenheitserfassungsgerät, das an einer Teilumdrehungspresse montiert ist.

                                                                                                                      Abbildung 19. Hochfrequenz-Anwesenheitssensor an der Motorsäge

                                                                                                                      MAC80F19

                                                                                                                      Die Elektromechanischer Sensor hat eine Sonde oder Kontaktstange, die sich auf eine vorbestimmte Entfernung absenkt, wenn der Bediener den Maschinenzyklus einleitet. Wenn es ein Hindernis gibt, das sie daran hindert, ihre volle vorbestimmte Strecke abzufahren, betätigt die Steuerschaltung den Maschinenzyklus nicht. Abbildung 20 zeigt eine elektromechanische Sensorvorrichtung an einer Öse. Die Sensorsonde in Kontakt mit dem Finger des Bedieners ist ebenfalls gezeigt.

                                                                                                                      Abbildung 20. Elektromechanisches Sensorgerät an einer Eye-Letter-Maschine

                                                                                                                      MAC80F20

                                                                                                                      Rückzugsgeräte

                                                                                                                      Rückzugsvorrichtungen verwenden eine Reihe von Kabeln, die an den Händen, Handgelenken und/oder Armen des Bedieners befestigt sind, und werden hauptsächlich an Maschinen mit Hubbewegung verwendet. Wenn der Schieber/Stößel oben ist, wird dem Bediener der Zugang zum Betriebspunkt gestattet. Wenn der Schieber/Stößel sich abzusenken beginnt, sichert ein mechanisches Gestänge automatisch das Zurückziehen der Hände vom Betätigungspunkt. Abbildung 21 zeigt eine Pullback-Vorrichtung an einer kleinen Presse.

                                                                                                                      Abbildung 21. Rückzugsvorrichtung an der Power Press

                                                                                                                      MAC80F21

                                                                                                                      Rückhaltevorrichtungen

                                                                                                                      In einigen Ländern wurden Rückhaltevorrichtungen verwendet, die Kabel oder Gurte verwenden, die zwischen einem festen Punkt und den Händen des Bedieners befestigt sind. Diese Vorrichtungen werden im Allgemeinen nicht als akzeptable Schutzmaßnahmen angesehen, da sie vom Bediener leicht umgangen werden können, wodurch es möglich wird, die Hände in den Gefahrenbereich zu bringen. (Siehe Tabelle 2.)

                                                                                                                      Tabelle 2. Geräte

                                                                                                                      Method

                                                                                                                      Sicherungsmaßnahmen

                                                                                                                      Vorteile

                                                                                                                      Einschränkungen

                                                                                                                      Fotoelektrisch
                                                                                                                      (optisch)

                                                                                                                      · Die Maschine beginnt nicht zu radeln, wenn das Lichtfeld unterbrochen wird
                                                                                                                      · Wenn das Lichtfeld während des Radfahrvorgangs von irgendeinem Körperteil des Bedieners unterbrochen wird, wird eine sofortige Maschinenbremsung aktiviert

                                                                                                                      · Kann dem Bediener eine freiere Bewegung ermöglichen

                                                                                                                      · Schützt nicht vor mechanischem Versagen
                                                                                                                      · Kann eine häufige Ausrichtung und Kalibrierung erfordern
                                                                                                                      · Übermäßige Vibrationen können zu Schäden am Lampenfaden und vorzeitigem Durchbrennen führen
                                                                                                                      · Beschränkt auf Maschinen, die gestoppt werden können, ohne den Zyklus abzuschließen

                                                                                                                      Radiofrequenz
                                                                                                                      (Kapazität)

                                                                                                                      · Der Maschinenzyklus startet nicht, wenn das Kapazitätsfeld unterbrochen wird
                                                                                                                      · Wenn das Kapazitätsfeld während des Zyklusvorgangs durch irgendeinen Teil des Körpers des Bedieners gestört wird, wird eine sofortige Maschinenbremsung aktiviert

                                                                                                                      · Kann dem Bediener eine freiere Bewegung ermöglichen

                                                                                                                      · Schützt nicht vor mechanischem Versagen
                                                                                                                      · Die Antennenempfindlichkeit muss richtig eingestellt sein
                                                                                                                      · Beschränkt auf Maschinen, die gestoppt werden können, ohne den Zyklus abzuschließen

                                                                                                                      Elektromechanisch

                                                                                                                      · Kontaktschiene oder Sonde fährt eine vorgegebene Strecke zwischen dem Bediener und dem Gefahrenbereich
                                                                                                                      · Die Unterbrechung dieser Bewegung verhindert den Start des Maschinenzyklus

                                                                                                                      · Kann den Zugang am Einsatzort ermöglichen

                                                                                                                      · Kontaktschiene oder Sonde müssen für jede Anwendung richtig eingestellt werden; Diese Einstellung muss ordnungsgemäß beibehalten werden

                                                                                                                      Pullback

                                                                                                                      · Wenn die Maschine zu laufen beginnt, werden die Hände des Bedieners aus dem Gefahrenbereich gezogen

                                                                                                                      · Eliminiert die Notwendigkeit für zusätzliche Barrieren oder andere Eingriffe im Gefahrenbereich

                                                                                                                      · Begrenzt die Bewegung des Bedieners
                                                                                                                      · Kann den Arbeitsbereich um den Bediener herum behindern
                                                                                                                      · Anpassungen müssen für bestimmte Operationen und für jeden Einzelnen vorgenommen werden
                                                                                                                      · Erfordert häufige Inspektionen und regelmäßige Wartung
                                                                                                                      · Erfordert eine genaue Überwachung der Verwendung des Geräts durch den Bediener

                                                                                                                      Sicherheitsauslöser:
                                                                                                                      · Druckempfindlich
                                                                                                                      Körperstange
                                                                                                                      · Sicherheits-Stolperstange
                                                                                                                      · Sicherheits-Stolperdraht

                                                                                                                      · Stoppt die Maschine, wenn sie ausgelöst wird

                                                                                                                      · Benutzerfreundlichkeit

                                                                                                                      · Alle Bedienelemente müssen manuell aktiviert werden
                                                                                                                      · Aufgrund ihrer Lage kann es schwierig sein, Bedienelemente zu aktivieren
                                                                                                                      · Schützt nur den Bediener
                                                                                                                      · Kann spezielle Vorrichtungen erfordern, um die Arbeit zu halten
                                                                                                                      · Kann eine Maschinenbremse erfordern

                                                                                                                      Zweihandbedienung

                                                                                                                      · Der gleichzeitige Gebrauch beider Hände ist erforderlich, um zu verhindern, dass der Bediener den Gefahrenbereich betritt

                                                                                                                      · Die Hände des Bedieners befinden sich an einer vorbestimmten Stelle außerhalb des Gefahrenbereichs
                                                                                                                      · Die Hände des Bedieners sind frei, um ein neues Teil aufzunehmen, nachdem die erste Hälfte des Zyklus abgeschlossen ist

                                                                                                                      · Benötigt eine Teilzyklusmaschine mit Bremse
                                                                                                                      · Einige Zweihandsteuerungen können durch Halten mit dem Arm oder Blockieren unsicher gemacht werden, wodurch eine Einhandbedienung ermöglicht wird
                                                                                                                      · Schützt nur den Bediener

                                                                                                                      Zweihandfahrt

                                                                                                                      · Die gleichzeitige Verwendung von zwei Händen an separaten Steuerungen verhindert, dass sich die Hände im Gefahrenbereich befinden, wenn der Maschinenzyklus startet

                                                                                                                      · Die Hände des Bedieners befinden sich außerhalb des Gefahrenbereichs
                                                                                                                      · Kann an mehrere Operationen angepasst werden
                                                                                                                      · Keine Behinderung der Handfütterung
                                                                                                                      · Erfordert keine Einstellung für jeden Vorgang

                                                                                                                      · Der Bediener kann versuchen, nach dem Auslösen der Maschine in den Gefahrenbereich zu greifen
                                                                                                                      · Einige Fahrten können durch Halten mit dem Arm oder Blockieren unsicher gemacht werden, wodurch eine Einhandbedienung ermöglicht wird
                                                                                                                      · Schützt nur den Bediener
                                                                                                                      · Möglicherweise sind spezielle Vorrichtungen erforderlich

                                                                                                                      Tor

                                                                                                                      · Bietet eine Barriere zwischen Gefahrenbereich und Bediener oder anderen Personen

                                                                                                                      · Kann das Hineingreifen oder Betreten des Gefahrenbereichs verhindern

                                                                                                                      · Kann eine häufige Inspektion und regelmäßige Wartung erfordern
                                                                                                                      · Kann die Fähigkeit des Bedieners beeinträchtigen, die Arbeit zu sehen

                                                                                                                       

                                                                                                                      Sicherheitskontrollgeräte

                                                                                                                      Alle diese Sicherheitskontrollvorrichtungen werden manuell aktiviert und müssen manuell zurückgesetzt werden, um die Maschine neu zu starten:

                                                                                                                      • Sicherheitsauslöser wie Druckstangen, Stolperstangen und Stolperdrähte sind manuelle Steuerungen, die ein schnelles Mittel zum Deaktivieren der Maschine in einer Notsituation bieten.
                                                                                                                      • Druckempfindliche Bodybars, wenn gedrückt, wird die Maschine deaktiviert, wenn der Bediener oder jemand stolpert, das Gleichgewicht verliert oder von der Maschine angezogen wird. Die Positionierung der Stange ist kritisch, da sie die Maschine stoppen muss, bevor ein Körperteil den Gefahrenbereich erreicht. Abbildung 22 zeigt einen druckempfindlichen Körperstab, der sich an der Vorderseite einer Gummimühle befindet.

                                                                                                                       

                                                                                                                      Abbildung 22. Druckempfindlicher Körperstab in einer Gummimühle

                                                                                                                      MAC80F23

                                                                                                                      • Sicherheits-Stolperstangen-Vorrichtungen Deaktivieren Sie die Maschine, wenn Sie von Hand drücken. Da sie in einer Notfallsituation vom Bediener betätigt werden müssen, ist ihre richtige Position kritisch. Abbildung 23 zeigt eine über der Gummimühle angeordnete Auslösestange.

                                                                                                                       

                                                                                                                      Abbildung 23. Sicherheitsauslösestange an einer Gummimühle

                                                                                                                      MAC80F24

                                                                                                                      • Sicherheitstripwire-Kabel befinden sich rund um oder in der Nähe des Gefahrenbereichs. Der Bediener muss das Kabel mit beiden Händen erreichen können, um die Maschine anzuhalten. Abbildung 24 zeigt einen Kalander, der mit dieser Art von Steuerung ausgestattet ist.

                                                                                                                       

                                                                                                                      Abbildung 24. Stolperdraht-Sicherheitskabel am Kalander

                                                                                                                      MAC80F25

                                                                                                                      • Zweihandbedienung erfordern einen konstanten, gleichzeitigen Druck für den Bediener, um die Maschine zu aktivieren. Wenn diese Steuerungen an Pressen installiert sind, verwenden sie eine Teilumdrehungskupplung und einen Bremswächter, wie in Abbildung 25 gezeigt sicheren Abstand zum Gefahrenbereich halten, während die Maschine ihren Schließvorgang abschließt.

                                                                                                                       

                                                                                                                      Abbildung 25. Zweihand-Steuerknöpfe an der Kupplungskraftpresse mit Teilumdrehung

                                                                                                                       MAC80F26

                                                                                                                      • Zweihandfahrt. Die in Abbildung 26 gezeigte Zweihandschaltung wird normalerweise bei Maschinen verwendet, die mit Vollumlaufkupplungen ausgestattet sind. Es erfordert die gleichzeitige Betätigung beider Steuerknöpfe des Bedieners, um den Maschinenzyklus zu aktivieren, wonach die Hände frei sind. Die Auslöser müssen weit genug von der Betätigungsstelle entfernt platziert werden, um es dem Bediener unmöglich zu machen, seine Hände von den Auslöseknöpfen oder -griffen in die Betätigungsstelle zu bewegen, bevor die erste Hälfte des Zyklus abgeschlossen ist. Die Hände des Bedieners werden weit genug entfernt gehalten, um zu verhindern, dass sie versehentlich in den Gefahrenbereich gebracht werden, bevor der Schieber/Stempel oder die Klinge die vollständig untere Position erreicht.

                                                                                                                       

                                                                                                                      Abbildung 26. Zweihand-Steuertasten an der Kupplungskraftpresse mit voller Umdrehung

                                                                                                                      MAC80F27

                                                                                                                      • Gates sind Sicherheitsschaltgeräte, die eine bewegliche Barriere bilden, die den Bediener am Einsatzort schützt, bevor der Maschinenzyklus gestartet werden kann. Tore sind oft so ausgelegt, dass sie mit jedem Maschinenzyklus betrieben werden. Abbildung 27 zeigt ein Tor an einer Kraftpresse. Wenn das Tor nicht in die vollständig geschlossene Position abgesenkt werden darf, funktioniert die Presse nicht. Eine weitere Anwendung von Toren ist ihre Verwendung als Komponente eines Perimetersicherungssystems, bei dem die Tore den Bedienern und dem Fußgängerverkehr Schutz bieten.

                                                                                                                       

                                                                                                                      Abbildung 27. Kraftpresse mit Tor

                                                                                                                      MAC80F28

                                                                                                                      Schutz nach Standort oder Entfernung

                                                                                                                      Um eine Maschine standortspezifisch abzusichern, müssen die Maschine oder ihre gefährlichen beweglichen Teile so aufgestellt werden, dass gefährliche Bereiche nicht zugänglich sind oder während des normalen Betriebs der Maschine keine Gefahr für einen Arbeiter darstellen. Dies kann mit Umzäunungen oder Zäunen erreicht werden, die den Zugang zu Maschinen einschränken, oder indem eine Maschine so aufgestellt wird, dass ein Konstruktionsmerkmal der Anlage, wie z. B. eine Wand, den Arbeiter und anderes Personal schützt. Eine andere Möglichkeit besteht darin, gefährliche Teile so hoch anzuordnen, dass sie außerhalb der normalen Reichweite eines Arbeiters liegen. Eine gründliche Gefahrenanalyse jeder Maschine und der jeweiligen Situation ist unerlässlich, bevor Sie diese Sicherungstechnik anwenden. Die nachfolgend genannten Beispiele sind einige der zahlreichen Anwendungen des Prinzips der Orts-/Entfernungssicherung.

                                                                                                                      Fütterungsprozess. Der Fütterungsprozess kann örtlich abgesichert werden, wenn ein Sicherheitsabstand zum Schutz der Hände des Arbeiters eingehalten werden kann. Die Abmessungen des bearbeiteten Materials können eine ausreichende Sicherheit bieten. Wenn zum Beispiel beim Betrieb einer Einzelendstanzmaschine das Material mehrere Fuß lang ist und nur an einem Ende des Materials gearbeitet wird, kann der Bediener möglicherweise das gegenüberliegende Ende halten, während die Arbeit durchgeführt wird. Je nach Maschine kann jedoch dennoch ein Schutz für andere Personen erforderlich sein.

                                                                                                                      Positionierungssteuerung. Die Positionierung der Kontrollstation des Bedieners bietet einen möglichen Ansatz zur Sicherung nach Standort. Bedienelemente dürfen sich in sicherer Entfernung von der Maschine befinden, wenn kein Grund für die Anwesenheit des Bedieners an der Maschine besteht.

                                                                                                                      Fütterungs- und Auswurfsicherungsmethoden

                                                                                                                      Bei vielen Zuführ- und Auswurfmethoden müssen die Bediener ihre Hände nicht in den Gefahrenbereich bringen. In einigen Fällen ist nach dem Einrichten der Maschine kein Eingreifen des Bedieners erforderlich, während in anderen Situationen Bediener das Material mit Hilfe eines Zuführmechanismus manuell zuführen können. Darüber hinaus können Ausstoßverfahren entworfen werden, die keine Bedienereingriffe erfordern, nachdem die Maschine zu funktionieren beginnt. Einige Zuführ- und Auswurfmethoden können sogar selbst Gefahren erzeugen, wie z. B. ein Roboter, der die Notwendigkeit eines Bedieners in der Nähe der Maschine beseitigen kann, aber durch die Bewegung seines Arms eine neue Gefahr schaffen kann. (Siehe Tabelle 3.)

                                                                                                                      Tabelle 3. Fütterungs- und Auswurfmethoden

                                                                                                                      Method

                                                                                                                      Sicherungsmaßnahmen

                                                                                                                      Vorteile

                                                                                                                      Einschränkungen

                                                                                                                      Automatischer Vorschub

                                                                                                                      · Material wird von Rollen zugeführt, durch Maschinenmechanismus indexiert usw.

                                                                                                                      · Beseitigt die Notwendigkeit des Eingreifens des Bedieners in den Gefahrenbereich

                                                                                                                      · Für den Personenschutz sind auch andere Schutzeinrichtungen erforderlich – in der Regel feststehende Schutzeinrichtungen
                                                                                                                      · Benötigt häufige Wartung
                                                                                                                      · Möglicherweise nicht an Bestandsschwankungen anpassbar

                                                                                                                      Semi-automatische
                                                                                                                      Feed

                                                                                                                      · Das Material wird über Rutschen, bewegliche Matrizen und Wählscheiben zugeführt
                                                                                                                      Vorschub, Stößel oder Gleitschlitten

                                                                                                                      · Beseitigt die Notwendigkeit des Eingreifens des Bedieners in den Gefahrenbereich

                                                                                                                      · Für den Personenschutz sind auch andere Schutzeinrichtungen erforderlich – in der Regel feststehende Schutzeinrichtungen
                                                                                                                      · Benötigt häufige Wartung
                                                                                                                      · Möglicherweise nicht an Bestandsschwankungen anpassbar

                                                                                                                      automatische
                                                                                                                      Auswurf

                                                                                                                      · Werkstücke werden durch Luft oder mechanisch ausgeworfen

                                                                                                                      · Beseitigt die Notwendigkeit des Eingreifens des Bedieners in den Gefahrenbereich

                                                                                                                      · Es besteht die Gefahr, dass Späne oder Fremdkörper aufgewirbelt werden
                                                                                                                      · Die Größe des Bestands schränkt die Verwendung dieser Methode ein
                                                                                                                      · Luftausstoß kann eine Lärmgefährdung darstellen

                                                                                                                      Semi-automatische
                                                                                                                      Auswurf

                                                                                                                      · Werkstücke werden mechanisch ausgeworfen
                                                                                                                      Mittel, die vom Bediener initiiert werden

                                                                                                                      · Der Bediener muss den Gefahrenbereich nicht betreten, um fertige Arbeiten zu entfernen

                                                                                                                      · Für den Bediener sind weitere Schutzvorrichtungen erforderlich
                                                                                                                      Sicherheit
                                                                                                                      · Möglicherweise nicht an Bestandsschwankungen anpassbar

                                                                                                                      Roboter

                                                                                                                      · Sie führen Arbeiten aus, die normalerweise vom Bediener ausgeführt werden

                                                                                                                      · Bediener muss Gefahrenbereich nicht betreten
                                                                                                                      · Sind geeignet für Einsätze mit hohen Belastungsfaktoren wie Hitze und Lärm

                                                                                                                      · Können selbst Gefahren erzeugen
                                                                                                                      · Erfordern maximale Wartung
                                                                                                                      · Sind nur für bestimmte Operationen geeignet

                                                                                                                       

                                                                                                                      Die Verwendung einer der folgenden fünf Zuführungs- und Auswurfmethoden zum Schutz von Maschinen beseitigt nicht die Notwendigkeit von Schutzvorrichtungen und anderen Vorrichtungen, die bei Bedarf verwendet werden müssen, um Schutz vor Gefahren zu bieten.

                                                                                                                      Automatischer Vorschub. Automatische Zuführungen reduzieren die Exposition des Bedieners während des Arbeitsprozesses und erfordern häufig keine Anstrengung des Bedieners, nachdem die Maschine eingerichtet und in Betrieb ist. Die Kraftpresse in Abbildung 28 hat einen automatischen Zuführmechanismus mit einem durchsichtigen feststehenden Schutzgitter im Gefahrenbereich.

                                                                                                                      Abbildung 28. Kraftpresse mit automatischem Vorschub

                                                                                                                      MAC80F29

                                                                                                                      Halbautomatischer Vorschub. Bei der halbautomatischen Zuführung, wie im Fall einer Kraftpresse, verwendet der Bediener einen Mechanismus, um das zu bearbeitende Teil bei jedem Hub unter den Stößel zu legen. Der Bediener muss nicht in den Gefahrenbereich greifen, der Gefahrenbereich ist vollständig umschlossen. Abbildung 29 zeigt eine Schachtzuführung, in die jedes Stück von Hand gelegt wird. Die Verwendung eines Rutschenvorschubs bei einer geneigten Presse hilft nicht nur dabei, das Teil zu zentrieren, wenn es in die Matrize gleitet, sondern kann auch das Problem des Auswurfs vereinfachen.

                                                                                                                      Abbildung 29. Kraftpresse mit Schachtbeschickung

                                                                                                                      MAC80F30

                                                                                                                      Automatischer Auswurf. Der automatische Auswurf kann entweder Luftdruck oder eine mechanische Vorrichtung verwenden, um das fertiggestellte Teil aus einer Presse zu entfernen, und kann mit den Betriebssteuerungen verriegelt sein, um den Betrieb zu verhindern, bis der Teileauswurf abgeschlossen ist. Der in Abbildung 30 gezeigte Pan-Shuttle-Mechanismus bewegt sich unter das fertige Teil, während sich der Schlitten in Richtung der oberen Position bewegt. Das Shuttle fängt dann das von den Auswerferstiften von der Rutsche abgestreifte Teil auf und lenkt es in eine Rutsche um. Wenn sich der Stößel nach unten in Richtung des nächsten Rohlings bewegt, bewegt sich der Pfannen-Shuttle vom Werkzeugbereich weg.

                                                                                                                      Abbildung 30. Shuttle-Auswurfsystem

                                                                                                                      MAC80F31

                                                                                                                      Halbautomatischer Auswurf. Abbildung 31 zeigt einen halbautomatischen Auswurfmechanismus, der bei einer Kraftpresse verwendet wird. Wenn der Kolben aus dem Matrizenbereich zurückgezogen wird, stößt das mechanisch mit dem Kolben gekoppelte Auswerferbein das fertige Werkstück aus.

                                                                                                                      Abbildung 31. Halbautomatischer Auswurfmechanismus

                                                                                                                      MAC80F32

                                                                                                                      Roboter. Roboter sind komplexe Vorrichtungen, die Lager be- und entladen, Teile zusammenbauen, Objekte transportieren oder Arbeiten ausführen, die ansonsten von einem Bediener ausgeführt werden, wodurch der Bediener keinen Gefahren ausgesetzt wird. Sie werden am besten in Hochproduktionsprozessen eingesetzt, die wiederholte Routinen erfordern, wo sie vor anderen Gefahren für Mitarbeiter schützen können. Roboter können Gefahren verursachen, und es müssen geeignete Schutzvorrichtungen verwendet werden. Abbildung 32 zeigt ein Beispiel eines Roboters, der eine Presse beschickt.

                                                                                                                      Abbildung 32. Verwendung von Schutzgittern zum Schutz der Roboterhülle

                                                                                                                      MAC80F33

                                                                                                                      Diverse Sicherungshilfen

                                                                                                                      Obwohl verschiedene Schutzhilfen keinen vollständigen Schutz vor Maschinengefahren bieten, können sie den Bedienern einen zusätzlichen Sicherheitsspielraum bieten. Bei ihrer Anwendung und Verwendung ist ein gesundes Urteilsvermögen erforderlich.

                                                                                                                      Bewusstseinsbarrieren. Aufmerksamkeitsbarrieren bieten keinen physischen Schutz, sondern dienen nur dazu, Bediener daran zu erinnern, dass sie sich dem Gefahrenbereich nähern. Im Allgemeinen werden Bewusstseinsbarrieren nicht als angemessen angesehen, wenn eine kontinuierliche Exposition gegenüber der Gefahr besteht. Abbildung 33 zeigt ein Seil, das als Wahrnehmungsbarriere an der Rückseite einer elektrischen Tafelschere verwendet wird. Absperrungen hindern Personen nicht physisch am Betreten von Gefahrenbereichen, sondern sensibilisieren lediglich für die Gefahr.

                                                                                                                      Abbildung 33. Rückansicht des Power-Shear-Quadrats

                                                                                                                      MAC80F34

                                                                                                                      Shields. Abschirmungen können zum Schutz vor umherfliegenden Partikeln, spritzenden Metallbearbeitungsflüssigkeiten oder Kühlmitteln verwendet werden. Abbildung 34 zeigt zwei mögliche Anwendungen.

                                                                                                                      Abbildung 34. Anwendungen von Abschirmungen

                                                                                                                      MAC80F35

                                                                                                                      Werkzeuge halten. Haltewerkzeuge platzieren und Material entfernen. Eine typische Anwendung wäre das Greifen in den Gefahrenbereich einer Abkantpresse oder Abkantpresse. Abbildung 35 zeigt eine Auswahl an Werkzeugen für diesen Zweck. Haltewerkzeuge sollten nicht verwendet werden beantragen müssen von anderen Maschinenschutzvorrichtungen; sie sind lediglich eine Ergänzung zu dem Schutz, den andere Wachen bieten.

                                                                                                                      Abbildung 35. Haltewerkzeuge

                                                                                                                      MAC80F36

                                                                                                                      Stöcke oder Blöcke schieben, wie in Abbildung 36 gezeigt, kann verwendet werden, wenn Material in eine Maschine eingeführt wird, wie z. B. ein Sägeblatt. Wenn es notwendig wird, dass sich die Hände in unmittelbarer Nähe der Klinge befinden, kann der Schiebestock oder -block einen Sicherheitsspielraum bieten und Verletzungen verhindern.

                                                                                                                      Abbildung 36. Verwendung von Schiebestock oder Schiebeblock

                                                                                                                      MAC80F37

                                                                                                                       

                                                                                                                      Zurück

                                                                                                                      Montag, April 04 2011 17: 47

                                                                                                                      Präsenzmelder

                                                                                                                      Allgemeine Entwicklungen in der Mikroelektronik und in der Sensortechnik lassen hoffen, dass durch die Verfügbarkeit von zuverlässigen, robusten, wartungsarmen und kostengünstigen Präsenz- und Näherungsmeldern eine Verbesserung der Arbeitssicherheit erreicht werden kann. Dieser Artikel beschreibt die Sensorik, die unterschiedlichen Detektionsverfahren, die Bedingungen und Einschränkungen für den Einsatz von Sensorsystemen sowie einige abgeschlossene Studien und Normungsarbeiten in Deutschland.

                                                                                                                      Präsenzmelder-Kriterien

                                                                                                                      Die Entwicklung und praktische Erprobung von Präsenzmeldern ist eine der größten zukünftigen Herausforderungen an die technischen Bemühungen zur Verbesserung der Arbeitssicherheit und des Personenschutzes im Allgemeinen. Präsenzmelder sind Sensoren, die das zuverlässig und sicher signalisieren nahe Anwesenheit oder Annäherung einer Person. Außerdem muss diese Warnung schnell erfolgen, damit ein Ausweichen, Bremsen oder Abschalten einer stehenden Maschine erfolgen kann, bevor es zu der prognostizierten Berührung kommt. Ob die Personen groß oder klein sind, welche Haltung sie haben oder wie sie gekleidet sind, sollte keinen Einfluss auf die Zuverlässigkeit des Sensors haben. Zudem muss der Sensor funktionssicher, robust und kostengünstig sein, damit er unter härtesten Bedingungen wie auf Baustellen und im mobilen Einsatz mit minimalem Wartungsaufwand eingesetzt werden kann. Sensoren müssen wie ein Airbag sein, wartungsfrei und immer einsatzbereit. Angesichts des Widerwillens einiger Benutzer, Geräte zu warten, die sie möglicherweise als nicht unbedingt erforderlich erachten, können Sensoren jahrelang ungenutzt bleiben. Eine weitere, viel häufiger nachgefragte Eigenschaft von Präsenzmeldern ist, dass sie auch andere Hindernisse als Menschen erkennen und den Bediener rechtzeitig auf Abwehrmaßnahmen hinweisen und so Reparaturkosten und Sachschäden reduzieren. Dies ist ein nicht zu unterschätzender Grund für die Installation von Präsenzmeldern.

                                                                                                                      Detektoranwendungen

                                                                                                                      Unzählige tödliche Unfälle und schwere Verletzungen, die wie unvermeidbare, individuelle Schicksalsschläge erscheinen, können vermieden oder minimiert werden, wenn Präsenzmelder als Präventionsmaßnahme im Bereich der Arbeitssicherheit mehr Akzeptanz finden. Die Zeitungen berichten nur allzu oft über diese Unfälle: Hier wurde eine Person von einem rückwärts fahrenden Lader erfasst, dort übersah der Bediener jemanden, der vom Vorderrad eines Baggers überrollt wurde. Rückwärts fahrende Lkw auf Straßen, Firmengeländen und Baustellen sind die Ursache für viele Unfälle mit Menschen. Die durchrationalisierten Unternehmen von heute stellen keine Beifahrer oder andere Personen mehr zur Verfügung, die dem rückwärtsfahrenden Fahrer als Wegweiser dienen. Diese Beispiele für Verkehrsunfälle lassen sich leicht auf andere mobile Geräte wie Gabelstapler übertragen. Der Einsatz von Sensoren ist jedoch dringend erforderlich, um Unfälle mit semimobilen und rein stationären Anlagen zu verhindern. Ein Beispiel sind die hinteren Bereiche großer Lademaschinen, die von Sicherheitskräften als potenzielle Gefahrenbereiche identifiziert wurden, die durch den Einsatz kostengünstiger Sensoren verbessert werden könnten. Viele Variationen von Präsenzmeldern können innovativ an andere Fahrzeuge und mobile Großgeräte angepasst werden, um vor den in diesem Artikel diskutierten Arten von Unfällen zu schützen, die in der Regel große Schäden und schwere, wenn nicht tödliche Verletzungen verursachen.

                                                                                                                      Die Tendenz zur Verbreitung innovativer Lösungen scheint zu versprechen, dass Präsenzmelder auch in anderen Anwendungen zur Standard-Sicherheitstechnik werden; Dies ist jedoch nirgendwo der Fall. Der Durchbruch, motiviert durch Unfälle und hohe Sachschäden, wird bei der Überwachung hinter Lieferwagen und schweren Lkw und für die innovativsten Bereiche der „neuen Technologien“ – die mobilen Robotermaschinen der Zukunft – erwartet.

                                                                                                                      Die Vielfalt der Einsatzgebiete von Präsenzmeldern und die Variabilität der Aufgaben – beispielsweise das Tolerieren von (unter Umständen auch bewegten) Objekten, die zu einem Erfassungsfeld gehören und kein Signal auslösen sollen – erfordern Sensoren, bei denen „ intelligente“ Bewertungstechnologie unterstützt die Mechanismen der Sensorfunktion. Diese zukunftsträchtige Technologie kann aus Methoden der künstlichen Intelligenz (Schreiber und Kuhn 1995) herausgearbeitet werden. Bis heute hat eine begrenzte Universalität die derzeitigen Verwendungen von Sensoren stark eingeschränkt. Es gibt Lichtvorhänge; Lichtleisten; Kontaktmatten; passive Infrarotsensoren; Ultraschall- und Radarbewegungsmelder, die den Doppler-Effekt nutzen; Sensoren, die die verstrichene Zeit von Ultraschall-, Radar- und Lichtimpulsen messen; und Laserscanner. Normale Fernsehkameras, die an Monitore angeschlossen sind, sind in dieser Liste nicht enthalten, da sie keine Präsenzmelder sind. Jedoch sind diejenigen Kameras enthalten, die automatisch aktiviert werden, wenn sie die Anwesenheit einer Person erfassen.

                                                                                                                      Sensor Technology

                                                                                                                      Die Hauptthemen der Sensorik sind heute (1) die optimale Nutzung der physikalischen Effekte (Infrarot, Licht, Ultraschall, Radar etc.) und (2) die Selbstüberwachung. Laserscanner werden intensiv für den Einsatz als Navigationsinstrumente für mobile Roboter entwickelt. Dazu müssen zwei teilweise prinzipiell unterschiedliche Aufgaben gelöst werden: die Navigation des Roboters und der Schutz von anwesenden Personen (und Material oder Ausrüstung), damit diese nicht angefahren, überfahren oder gepackt werden (Freund, Dierks und Rossman 1993 ). Zukünftige mobile Roboter können nicht dieselbe Sicherheitsphilosophie der „räumlichen Trennung von Roboter und Mensch“ beibehalten, die für heutige stationäre Industrieroboter strikt gilt. Dabei wird großer Wert auf die zuverlässige Funktion des einzusetzenden Präsenzmelders gelegt.

                                                                                                                      Der Einsatz „neuer Technik“ ist oft mit Akzeptanzproblemen verbunden, und es ist davon auszugehen, dass der allgemeine Einsatz mobiler Roboter, die sich bewegen und greifen können, bei Menschen in Anlagen, auf öffentlichen Verkehrsflächen oder auch in Wohn- oder Erholungsgebieten erfolgt , werden nur akzeptiert, wenn sie mit sehr hochentwickelten, ausgeklügelten und zuverlässigen Präsenzmeldern ausgestattet sind. Spektakuläre Unfälle müssen unbedingt vermieden werden, um ein mögliches Akzeptanzproblem nicht zu verschärfen. Der derzeitige Aufwand für die Entwicklung derartiger Arbeitsschutzsensoren trägt dieser Überlegung nicht annähernd Rechnung. Um viele Kosten zu sparen, sollten Präsenzmelder gleichzeitig mit den mobilen Robotern und den Navigationssystemen entwickelt und getestet werden, nicht nachträglich.

                                                                                                                      Bei Kraftfahrzeugen haben Sicherheitsfragen zunehmend an Bedeutung gewonnen. Zur innovativen Insassensicherheit im Automobil gehören Dreipunktgurte, Kindersitze, Airbags und das durch Serien-Crashtests verifizierte Antiblockiersystem. Diese Sicherheitsmaßnahmen machen einen relativ steigenden Anteil der Produktionskosten aus. Der Seitenairbag und die Radarsensorik zur Abstandsmessung zum vorausfahrenden Fahrzeug sind evolutionäre Weiterentwicklungen des Insassenschutzes.

                                                                                                                      Die äußere Kraftfahrzeugsicherheit, also der Schutz Dritter, findet zunehmend Beachtung. Neuerdings wird vor allem für Lastkraftwagen ein Seitenschutz gefordert, um Motorradfahrer, Fahrradfahrer und Fußgänger vor der Gefahr zu bewahren, unter die Hinterräder zu fallen. Ein nächster logischer Schritt wäre die Überwachung des Bereichs hinter großen Fahrzeugen mit Präsenzmeldern und die Installation von Rückraumwarneinrichtungen. Dies hätte den positiven Nebeneffekt, die notwendigen Mittel bereitzustellen, um höchst leistungsfähige, selbstüberwachende, wartungsfreie und zuverlässig funktionierende, kostengünstige Sensoren für den Arbeitsschutz zu entwickeln, zu testen und verfügbar zu machen. Der mit dem breiten Einsatz von Sensoren bzw. Sensorsystemen einhergehende Erprobungsprozess würde Innovationen in anderen Bereichen erheblich erleichtern, etwa bei Baggern, Schwerlastern und anderen großen mobilen Arbeitsmaschinen, die während ihres Betriebs bis zur Hälfte zurückstehen. Der Evolutionsprozess von stationären Robotern zu mobilen Robotern ist ein weiterer Entwicklungspfad für Präsenzmelder. So könnten beispielsweise die derzeit eingesetzten Sensoren an mobilen Roboter-Materialbewegern oder „fahrerlosen Werkstraktoren“ verbessert werden, die festen Bahnen folgen und daher relativ geringe Sicherheitsanforderungen haben. Der Einsatz von Präsenzmeldern ist der nächste logische Schritt zur Verbesserung der Sicherheit im Bereich Material- und Personentransport.

                                                                                                                      Erkennungsverfahren

                                                                                                                      Zur Beurteilung und Lösung der oben genannten Aufgaben können verschiedene physikalische Prinzipien, die in Verbindung mit elektronischen Mess- und Selbstüberwachungsverfahren und teilweise Hochleistungsrechenverfahren zur Verfügung stehen, genutzt werden. Die in Science-Fiction-Filmen übliche scheinbar mühelose und sichere Bedienung automatisierter Maschinen (Roboter) wird in der realen Welt möglicherweise durch den Einsatz von bildgebenden Verfahren und leistungsstarken Mustererkennungsalgorithmen in Kombination mit analogen Entfernungsmessverfahren erreicht von Laserscannern eingesetzt. Die paradoxe Situation, dass alles, was für Menschen einfach erscheint, für Automaten schwierig ist, muss erkannt werden. Zum Beispiel kann eine schwierige Aufgabe wie ausgezeichnetes Schachspiel (das eine Aktivität des Vorderhirns erfordert) leichter von automatisierten Maschinen simuliert und ausgeführt werden als eine einfache Aufgabe wie aufrechtes Gehen oder Ausführen von Hand-Augen- und anderen Bewegungskoordinationen (vermittelt durch Mittel- und Hinterhirn). Einige dieser Prinzipien, Methoden und Verfahren, die auf Sensoranwendungen anwendbar sind, werden unten beschrieben. Daneben gibt es eine Vielzahl von Spezialverfahren für ganz spezielle Aufgabenstellungen, die zum Teil mit einer Kombination verschiedener physikalischer Einwirkungen arbeiten.

                                                                                                                      Lichtschrankenvorhänge und -stangen. Zu den ersten Präsenzmeldern gehörten Lichtschrankenvorhänge und Lichtschranken. Sie haben eine flache Überwachungsgeometrie; Das heißt, jemand, der die Barriere passiert hat, wird nicht mehr erkannt. Mit diesen Geräten kann beispielsweise die Hand eines Bedieners oder das Vorhandensein von Werkzeugen oder Teilen, die in der Hand eines Bedieners gehalten werden, schnell und zuverlässig erkannt werden. Sie leisten einen wichtigen Beitrag zur Arbeitssicherheit für Maschinen (wie Pressen und Stanzmaschinen), die eine manuelle Materialzuführung erfordern. Die Zuverlässigkeit muss statistisch extrem hoch sein, denn wenn die Hand nur zwei- bis dreimal pro Minute eingreift, werden in wenigen Jahren etwa eine Million Betätigungen ausgeführt. Die gegenseitige Selbstüberwachung von Sender- und Empfängerkomponenten ist technisch so weit entwickelt, dass sie einen Standard für alle anderen Anwesenheitserkennungsverfahren darstellt.

                                                                                                                      Kontaktmatten (Schaltmatten). Es gibt sowohl passive als auch aktive (Pumpen-) Typen von elektrischen und pneumatischen Kontaktmatten und -böden, die zunächst in großer Zahl in Servicefunktionen (Türöffner) eingesetzt wurden, bis sie durch Bewegungsmelder ersetzt wurden. Die Weiterentwicklung erfolgt durch den Einsatz von Präsenzmeldern in allen möglichen Gefahrenbereichen. Beispielsweise führte die Entwicklung der automatisierten Fertigung mit einem Funktionswandel des Werkers – von der Bedienung der Maschine zur strengen Überwachung ihrer Funktion – zu einer entsprechenden Nachfrage nach entsprechenden Detektoren. Die Standardisierung dieser Anwendung ist weit fortgeschritten (DIN 1995a), und spezielle Einschränkungen (Layout, Größe, maximal zulässige „tote“ Zonen) erforderten den Aufbau von Know-how für die Installation in diesem Anwendungsbereich.

                                                                                                                      Interessante Einsatzmöglichkeiten von Kontaktmatten ergeben sich in Verbindung mit computergesteuerten Mehrrobotersystemen. Ein Bediener schaltet ein oder zwei Elemente um, damit der Präsenzmelder seine genaue Position erfasst und den Computer informiert, der Robotersteuerungssysteme mit einem eingebauten Kollisionsvermeidungssystem verwaltet. In einem von der Bundesanstalt für Sicherheit (BAU) vorangetriebenen Versuch wurde zu diesem Zweck ein Kontaktmattenboden, bestehend aus kleinen Elektroschaltmatten, unter dem Arbeitsbereich des Roboterarms eingebaut (Freund, Dierks und Rossman 1993). Dieser Präsenzmelder hatte die Form eines Schachbretts. Das jeweils aktivierte Mattenfeld teilte dem Computer die Position des Bedieners mit (Bild 1) und wenn sich der Bediener dem Roboter zu nahe näherte, entfernte er sich. Ohne den Präsenzmelder wäre das Robotersystem nicht in der Lage, die Position des Bedieners zu ermitteln und der Bediener könnte dann nicht geschützt werden.

                                                                                                                      Abbildung 1. Eine Person (rechts) und zwei Roboter in berechneten Hüllenkörpern

                                                                                                                      ACC290F1

                                                                                                                      Reflektoren (Bewegungsmelder und Präsenzmelder). So verdienstvoll die bisher diskutierten Sensoren auch sein mögen, sie sind keine Präsenzmelder im weiteren Sinne. Ihre Eignung – vor allem aus Gründen des Arbeitsschutzes – für große Fahrzeuge und mobile Großgeräte setzt zwei wichtige Eigenschaften voraus: (1) die Möglichkeit, einen Bereich von einer Position aus zu überwachen, und (2) die fehlerfreie Funktion ohne zusätzliche Maßnahmen der Teil – zum Beispiel die Verwendung von Reflektorgeräten. Das Erfassen der Anwesenheit einer Person, die den überwachten Bereich betritt und angehalten bleibt, bis diese Person gegangen ist, impliziert auch die Notwendigkeit, eine absolut stillstehende Person zu erfassen. Dies unterscheidet sogenannte Bewegungsmelder von Präsenzmeldern, zumindest in Verbindung mit mobilen Geräten; Bewegungssensoren werden fast immer ausgelöst, wenn das Fahrzeug in Bewegung gesetzt wird.

                                                                                                                      Bewegungssensoren. Die zwei Grundtypen von Bewegungsmeldern sind: (1) „Passiv-Infrarot-Sensoren“ (PIRS), die auf die kleinste Änderung des Infrarotstrahls im überwachten Bereich reagieren (der kleinste erkennbare Strahl ist ungefähr 10-9 W mit einem Wellenlängenbereich von etwa 7 bis 20 μm); und (2) Ultraschall- und Mikrowellensensoren, die das Doppler-Prinzip verwenden, das die Eigenschaften der Bewegung eines Objekts gemäß den Frequenzänderungen bestimmt. Beispielsweise erhöht der Doppler-Effekt die Frequenz des Horns einer Lokomotive für einen Beobachter, wenn er sich nähert, und verringert die Frequenz, wenn sich die Lokomotive entfernt. Der Dopplereffekt ermöglicht den Bau relativ einfacher Annäherungssensoren, da der Empfänger lediglich die Signalfrequenz benachbarter Frequenzbänder auf das Auftreten der Dopplerfrequenz überwachen muss.

                                                                                                                      Mitte der 1970er-Jahre setzte sich der Einsatz von Bewegungsmeldern in Servicefunktionsanwendungen wie Türöffner, Diebstahlsicherung und Objektschutz durch. Für den stationären Einsatz war die Erkennung einer sich nähernden Person in Richtung einer Gefahrenstelle ausreichend, um rechtzeitig zu warnen oder eine Maschine abzuschalten. Auf dieser Grundlage wurde die Eignung von Bewegungsmeldern für den Einsatz im Arbeitsschutz, insbesondere mittels PIRS, untersucht (Mester et al. 1980). Da eine bekleidete Person im Allgemeinen eine höhere Temperatur hat als die Umgebung (Kopf 34°C, Hände 31°C), ist das Erkennen einer sich nähernden Person etwas einfacher als das Erkennen von unbelebten Objekten. In begrenztem Umfang können sich Maschinenteile im überwachten Bereich bewegen, ohne dass der Melder auslöst.

                                                                                                                      Die passive Methode (ohne Sender) hat Vor- und Nachteile. Der Vorteil ist, dass ein PIRS nicht zu Lärm- und Elektrosmogproblemen beiträgt. Für die Diebstahlsicherung und den Objektschutz ist es besonders wichtig, dass der Melder nicht leicht zu finden ist. Ein Sensor, der nur ein Empfänger ist, kann jedoch kaum seine eigene Wirksamkeit überwachen, was für die Arbeitssicherheit unerlässlich ist. Eine Methode zur Überwindung dieses Nachteils bestand darin, kleine modulierte (5 bis 20 Hz) Infrarotstrahler zu testen, die im Überwachungsbereich installiert waren und den Sensor nicht auslösten, deren Strahlen jedoch mit einer fest auf die Modulationsfrequenz eingestellten elektronischen Verstärkung registriert wurden. Diese Modifikation machte ihn von einem „passiven“ Sensor zu einem „aktiven“ Sensor. Auf diese Weise konnte auch die geometrische Genauigkeit des überwachten Bereichs überprüft werden. Spiegel können tote Winkel haben, und die Richtung eines passiven Sensors kann durch die raue Aktivität in einer Anlage abgelenkt werden. Bild 2 zeigt ein Versuchslayout mit einem PIRS mit überwachter Geometrie in Form eines Pyramidenmantels. Wegen ihrer großen Reichweite werden Passiv-Infrarot-Sensoren zum Beispiel in den Durchgängen von Regallagern installiert.

                                                                                                                      Bild 2. Passiv-Infrarot-Sensor als Annäherungsmelder im Gefahrenbereich

                                                                                                                      ACC290F2

                                                                                                                      Insgesamt zeigten Tests, dass Bewegungsmelder für den Arbeitsschutz nicht geeignet sind. Ein nächtlicher Museumsboden ist nicht mit Gefahrenzonen am Arbeitsplatz zu vergleichen.

                                                                                                                      Ultraschall-, Radar- und Lichtimpulsdetektoren. Sensoren, die nach dem Impuls/Echo-Prinzip arbeiten, also Laufzeitmessungen von Ultraschall-, Radar- oder Lichtimpulsen, haben ein großes Potenzial als Präsenzmelder. Mit Laserscannern können Lichtimpulse schnell hintereinander (meist rotatorisch) beispielsweise horizontal überstreichen und mit Hilfe eines Computers ein Abstandsprofil der lichtreflektierenden Objekte auf einer Ebene erhalten. Will man beispielsweise nicht nur eine einzelne Linie, sondern das gesamte, was vor dem mobilen Roboter im Bereich bis zu einer Höhe von 2 Metern liegt, müssen große Datenmengen verarbeitet werden, um die Umgebung abzubilden. Ein zukünftiger „idealer“ Präsenzmelder wird aus einer Kombination der folgenden beiden Verfahren bestehen:

                                                                                                                      1. Zum Einsatz kommt ein Mustererkennungsverfahren, bestehend aus einer Kamera und einem Computer. Letzteres kann auch ein "neuronales Netz" sein.
                                                                                                                      2. Zur Entfernungsmessung ist ferner ein Laser-Scanning-Verfahren erforderlich; Dies nimmt eine Peilung in einem dreidimensionalen Raum über eine Anzahl von einzelnen Punkten vor, die durch den Mustererkennungsprozess ausgewählt wurden, der eingerichtet wurde, um die Entfernung und Bewegung durch Geschwindigkeit und Richtung zu erhalten.

                                                                                                                       

                                                                                                                      Abbildung 3 zeigt aus dem bereits zitierten BAU-Projekt (Freund, Dierks und Rossman 1993) den Einsatz eines Laserscanners auf einem mobilen Roboter, der auch Navigationsaufgaben (über einen Richtungserkennungsstrahl) und den Kollisionsschutz für Objekte in unmittelbarer Nähe übernimmt Umgebung (über einen Bodenmessstrahl zur Anwesenheitserkennung). Angesichts dieser Eigenschaften hat der mobile Roboter die Fähigkeit aktives automatisiertes freies Fahren (dh die Fähigkeit, um Hindernisse herumzufahren). Technisch wird dies dadurch erreicht, dass neben dem 45°-Winkel nach vorne auch der 180°-Winkel der Scannerrotation nach hinten auf beiden Seiten (nach Backbord und Steuerbord des Roboters) genutzt wird. Diese Strahlen sind mit einem speziellen Spiegel verbunden, der als Lichtvorhang auf dem Boden vor dem mobilen Roboter wirkt (und eine Bodensichtlinie bereitstellt). Kommt von dort eine Laserreflexion, stoppt der Roboter. Während für den Arbeitsschutz zertifizierte Laser- und Lichtscanner auf dem Markt sind, haben diese Präsenzmelder ein großes Entwicklungspotential.

                                                                                                                      Abbildung 3. Mobiler Roboter mit Laserscanner zur Navigation und Anwesenheitserkennung

                                                                                                                      ACC290F3

                                                                                                                      Ultraschall- und Radarsensoren, die die verstrichene Zeit vom Signal bis zur Antwort zur Entfernungsbestimmung nutzen, sind technisch weniger anspruchsvoll und damit kostengünstiger herstellbar. Der Sensorbereich ist keulenförmig und hat eine oder mehrere kleinere Seitenkeulen, die symmetrisch angeordnet sind. Die Ausbreitungsgeschwindigkeit des Signals (Schall: 330 m/s; elektromagnetische Welle: 300,000 km/s) bestimmt die erforderliche Geschwindigkeit der eingesetzten Elektronik.

                                                                                                                      Warneinrichtungen für den rückwärtigen Bereich. Auf der Hannover Messe 1985 zeigte die BAU die Ergebnisse eines ersten Projektes zum Einsatz von Ultraschallsensoren zur Bereichssicherung hinter Großfahrzeugen (Langer und Kurfürst 1985). An der Rückwand eines Versorgungslastwagens wurde ein Modell eines Sensorkopfs aus Polaroid™-Sensoren in Originalgröße aufgebaut. Abbildung 4 zeigt seine Funktionsweise schematisch. Der große Durchmesser dieses Sensors erzeugt relativ kleinwinklige (ca. 18°), weitreichende keulenförmige Messfelder, die nebeneinander angeordnet und auf unterschiedliche maximale Signalbereiche eingestellt sind. In der Praxis lässt sich damit jede gewünschte Überwachungsgeometrie einstellen, die von den Sensoren etwa viermal pro Sekunde auf Anwesenheit oder Zutritt von Personen abgetastet wird. Andere demonstrierte Rückraum-Warnsysteme hatten mehrere parallel angeordnete einzelne Sensoren.

                                                                                                                      Abbildung 4. Anordnung des Messkopfes und überwachter Bereich auf der Rückseite eines Lastwagens

                                                                                                                      ACC290F4

                                                                                                                      Diese anschauliche Demonstration war ein großer Erfolg auf der Messe. Dabei zeigte sich, dass die Sicherung des Heckbereichs von Großfahrzeugen und -geräten vielerorts – beispielsweise von Fachausschüssen der gewerblichen Berufsgenossenschaften – untersucht wird (Berufsgenossenschaften), die kommunalen Unfallversicherer (die für Kommunalfahrzeuge zuständig sind), die staatlichen Gewerbeaufsichtsbeamten und die Hersteller von Sensoren, die das Automobil eher als Servicefahrzeug (im Sinne einer Fokussierung auf Parksysteme zum Schutz vor Karosserieschaden). Ein aus den Kreisen berufener Ad-hoc-Ausschuss zur Förderung von Rückraumwarneinrichtungen wurde spontan gebildet und nahm als erste Aufgabe die Erstellung eines Anforderungskatalogs aus Sicht der Arbeitssicherheit auf. Zehn Jahre sind vergangen, in denen viel an der Rückraumüberwachung – der vielleicht wichtigsten Aufgabe von Präsenzmeldern – gearbeitet wurde; aber der große durchbruch fehlt noch.

                                                                                                                      Viele Projekte wurden mit Ultraschallsensoren durchgeführt, beispielsweise an Rundholzsortierkränen, Hydraulikbaggern, speziellen Kommunalfahrzeugen und anderen Nutzfahrzeugen sowie an Gabelstaplern und Ladern (Schreiber 1990). Rückraumwarneinrichtungen sind besonders wichtig für große Maschinen, die viel zurücksetzen. Ultraschall-Präsenzmelder werden zum Beispiel zum Schutz spezialisierter fahrerloser Fahrzeuge wie Roboter-Fördermaschinen eingesetzt. Im Vergleich zu Gummipuffern haben diese Sensoren einen größeren Erfassungsbereich, der ein Bremsen vor dem Kontakt zwischen der Maschine und einem Objekt ermöglicht. Entsprechende Sensoren für Automobile sind entsprechende Entwicklungen und stellen deutlich weniger strenge Anforderungen.

                                                                                                                      Inzwischen hat der Normenausschuss Verkehrswesentechnik im DIN die Norm 75031 „Hinderniserkennung beim Rückwärtsfahren“ (DIN 1995b) erarbeitet. Die Anforderungen und Tests wurden für zwei Reichweiten festgelegt: 1.8 m für Versorgungs-Lkw und 3.0 m – ein zusätzlicher Warnbereich – für größere Lkw. Der überwachte Bereich wird durch die Erkennung von zylindrischen Prüfkörpern festgelegt. Auch die 3-m-Reichweite liegt an der Grenze des derzeit technisch Machbaren, da Ultraschallsensoren aufgrund ihrer rauen Arbeitsbedingungen geschlossene Metallmembranen haben müssen. Die Anforderungen an die Selbstüberwachung des Sensorsystems werden gestellt, da die geforderte überwachte Geometrie erst mit einem System aus drei oder mehr Sensoren erreicht werden kann. Bild 5 zeigt eine Rückraumwarneinrichtung bestehend aus drei Ultraschallsensoren (Microsonic GmbH 1996). Gleiches gilt für die Meldeeinrichtung im Führerhaus und die Art des Warnsignals. Die Inhalte der DIN-Norm 75031 sind auch im internationalen technischen ISO-Bericht TR 12155 „Nutzfahrzeuge – Hinderniserkennung beim Rückwärtsfahren“ (ISO 1994) dargelegt. Verschiedene Sensorhersteller haben Prototypen nach dieser Norm entwickelt.

                                                                                                                      Abbildung 5. Mittelgroßer Lkw, ausgestattet mit einem Warngerät für den hinteren Bereich (Mikrosonic-Foto).

                                                                                                                      ACC290F5

                                                                                                                      Fazit

                                                                                                                      Seit Anfang der 1970er Jahre haben mehrere Institutionen und Sensorhersteller an der Entwicklung und Etablierung von „Präsenzmeldern“ gearbeitet. In der Spezialanwendung „Rückraumwarneinrichtungen“ gibt es die DIN-Norm 75031 und den ISO-Report TR 12155. Derzeit führt die Deutsche Post AG einen Großversuch durch. Mehrere Sensorhersteller haben jeweils fünf mittelgroße Lkw mit solchen Geräten ausgestattet. Ein positives Ergebnis dieser Prüfung ist sehr im Sinne des Arbeitsschutzes. Wie eingangs betont wurde, sind Präsenzmelder in den geforderten Stückzahlen eine große Herausforderung für die Sicherheitstechnik in den vielen genannten Anwendungsbereichen. Sie müssen daher kostengünstig realisierbar sein, wenn Schäden an Geräten, Maschinen und Materialien und vor allem oft schwerste Personenschäden der Vergangenheit angehören sollen.

                                                                                                                       

                                                                                                                      Zurück

                                                                                                                      Befehlsgeräte und Geräte zum Trennen und Schalten sind immer im Zusammenhang zu diskutieren technische Systeme, ein Begriff, der in diesem Artikel verwendet wird, um Maschinen, Anlagen und Geräte einzuschließen. Jedes technische System erfüllt eine spezifische und zugewiesene praktische Aufgabe. Damit diese praktische Aufgabe bewältigbar oder überhaupt unter sicheren Bedingungen möglich ist, sind entsprechende Sicherheits-Steuerungs- und Schaltgeräte erforderlich. Solche Vorrichtungen werden verwendet, um den Strom und/oder die Impulse von elektrischen, hydraulischen, pneumatischen und auch potentiellen Energien zu steuern, zu unterbrechen oder zu verzögern.

                                                                                                                      Isolation und Energiereduktion

                                                                                                                      Trenneinrichtungen dienen der Energietrennung durch Trennung der Versorgungsleitung zwischen der Energiequelle und der technischen Anlage. Die Trenneinrichtung muss normalerweise eine eindeutig bestimmbare tatsächliche Unterbrechung der Energieversorgung bewirken. Eine Abschaltung der Energieversorgung sollte auch immer mit dem Abbau gespeicherter Energie in allen Teilen des technischen Systems einhergehen. Wird die technische Anlage von mehreren Energiequellen gespeist, müssen alle diese Versorgungsleitungen zuverlässig trennbar sein. Personen, die im Umgang mit der jeweiligen Energieart geschult sind und auf der Energieseite der technischen Anlage tätig sind, schirmen sich mit Trenneinrichtungen von den Gefahren der Energie ab. Aus Sicherheitsgründen prüfen diese Personen immer, ob keine potentiell gefährliche Energie in der technischen Anlage verbleibt, z. B. durch Feststellung der Spannungsfreiheit bei elektrischer Energie. Der gefahrlose Umgang mit bestimmten Isoliermitteln ist nur für geschultes Fachpersonal möglich; in solchen Fällen muss die Trenneinrichtung für Unbefugte unzugänglich gemacht werden. (Siehe Abbildung 1.)

                                                                                                                      Abbildung 1. Prinzipien elektrischer und pneumatischer Trennvorrichtungen

                                                                                                                      SAF064F1

                                                                                                                      Der Hauptschalter

                                                                                                                      Eine Hauptschalteinrichtung trennt die technische Anlage von der Energieversorgung. Anders als die Trenneinrichtung kann sie auch von „Nicht-Energiefachkräften“ gefahrlos bedient werden. Die Hauptschalteinrichtung dient dazu, gerade nicht genutzte technische Anlagen freizuschalten, wenn z. B. deren Betrieb durch unbefugte Dritte behindert wird. Es wird auch verwendet, um eine Abschaltung für Wartungszwecke, Störungsbeseitigung, Reinigung, Neueinstellung und Umrüstung vorzunehmen, sofern diese Arbeiten ohne Energie in der Anlage durchgeführt werden können. Wenn eine Hauptschalteinrichtung auch die Eigenschaften einer Trenneinrichtung besitzt, kann sie natürlich auch deren Funktion übernehmen und/oder teilen. (Siehe Abbildung 2.)

                                                                                                                      Abbildung 2. Beispielhafte Darstellung von elektrischen und pneumatischen Hauptschaltgeräten

                                                                                                                      SAF064F2

                                                                                                                      Sicherheits-Trennvorrichtung

                                                                                                                      Eine Sicherheits-Trenneinrichtung trennt nicht die gesamte technische Anlage von der Energiequelle; vielmehr entzieht es den Teilen des Systems, die für ein bestimmtes betriebsbereites Subsystem kritisch sind, Energie. Bei betrieblichen Teilsystemen können Eingriffe von kurzer Dauer vorgesehen werden, z. B. zum Einrichten oder Umrüsten des Systems, zur Behebung von Störungen, zur regelmäßigen Reinigung sowie zu wesentlichen und vorgesehenen Bewegungs- und Funktionsabläufen, die während des Studiums erforderlich sind B. beim Einrichten, Um-/Umrüsten oder Testläufen. Komplexe Produktionsanlagen und Anlagen können in diesen Fällen nicht einfach mit einem Hauptschaltgerät abgeschaltet werden, da die gesamte technische Anlage nach der Behebung einer Störung nicht dort wieder anlaufen könnte, wo sie aufgehört hat. Außerdem befindet sich die Hauptschalteinrichtung bei den umfangreicheren technischen Anlagen selten an der Stelle, an der eingegriffen werden muss. Somit muss die Sicherheits-Trenneinrichtung eine Reihe von Anforderungen erfüllen, wie z. B. die folgenden:

                                                                                                                      • Es unterbricht den Energiefluss zuverlässig und so, dass gefährliche Bewegungen oder Prozesse nicht durch fehlerhaft eingegebene oder generierte Steuersignale ausgelöst werden.
                                                                                                                      • Es wird genau dort installiert, wo Unterbrechungen in Gefahrenbereichen von betrieblichen Teilsystemen des technischen Systems vorgenommen werden müssen. Bei Bedarf kann die Installation an mehreren Stellen erfolgen (z. B. auf verschiedenen Stockwerken, in verschiedenen Räumen oder an verschiedenen Zugängen an Maschinen oder Anlagen).
                                                                                                                      • Sein Steuergerät hat eine deutlich gekennzeichnete „Aus“-Stellung, die nur einmal registriert wird, nachdem der Energiefluss zuverlässig unterbrochen wurde.
                                                                                                                      • In der „Aus“-Stellung kann seine Steuereinrichtung gegen unbefugtes Wiedereinschalten gesichert werden, (a) wenn die betreffenden Gefahrenbereiche vom Steuerbereich aus nicht zuverlässig einsehbar sind und (b) wenn Personen, die sich im Gefahrenbereich aufhalten, diese nicht selbst einsehen können Steuerungsgerät leicht und ständig, oder (c) wenn eine Verriegelung/Kennzeichnung durch Vorschriften oder organisatorische Verfahren erforderlich ist.
                                                                                                                      • Es soll nur eine einzelne Funktionseinheit eines erweiterten technischen Systems abschalten, wenn andere Funktionseinheiten ohne Gefährdung der eingreifenden Person selbstständig weiterarbeiten können.

                                                                                                                       

                                                                                                                      Sofern die in einer technischen Anlage eingesetzte Hauptschalteinrichtung alle Anforderungen an eine Sicherheits-Trenneinrichtung erfüllen kann, kann sie auch diese Funktion übernehmen. Aber das wird natürlich nur in sehr einfachen technischen Systemen ein zuverlässiger Ausweg sein. (Siehe Abbildung 3.)

                                                                                                                      Bild 3. Darstellung elementarer Prinzipien einer Sicherheits-Trenneinrichtung

                                                                                                                      SAF064F3

                                                                                                                      Vorschaltgeräte für betriebliche Subsysteme

                                                                                                                      Vorschaltgeräte ermöglichen es, Bewegungen und Funktionsabläufe, die für funktionsfähige Teilsysteme des technischen Systems erforderlich sind, sicher auszuführen und zu steuern. Vorschaltgeräte für betriebsbereite Teilsysteme können für die Einrichtung (wenn Testläufe durchgeführt werden sollen) erforderlich sein; zur Regulierung (wenn Störungen im Betrieb der Anlage behoben oder Blockaden beseitigt werden müssen); oder Schulungszwecke (Demonstration von Operationen). In solchen Fällen kann der normale Betrieb des Systems nicht einfach wieder aufgenommen werden, da die eingreifende Person durch Bewegungen und Prozesse gefährdet würde, die durch fehlerhaft eingegebene oder fehlerhaft erzeugte Steuersignale ausgelöst werden. Ein Betriebsgerät für betriebsbereite Teilsysteme muss folgende Anforderungen erfüllen:

                                                                                                                      • Sie soll die sichere Ausführung von Bewegungen und Prozessen ermöglichen, die für funktionsfähige Teilsysteme des technischen Systems erforderlich sind. Beispielsweise werden bestimmte Bewegungen mit reduzierter Geschwindigkeit, schrittweise oder mit geringerer Leistung (je nach Zweckmäßigkeit) ausgeführt und Vorgänge in der Regel sofort unterbrochen, wenn das Bedienfeld nicht mehr bedient wird.
                                                                                                                      • Seine Bedienpulte sind in Bereichen anzuordnen, in denen ihre Bedienung den Bediener nicht gefährdet und von denen aus die gesteuerten Prozesse vollständig einsehbar sind.
                                                                                                                      • Befinden sich an einem Ort mehrere Bedienpulte, die unterschiedliche Prozesse steuern, so müssen diese deutlich gekennzeichnet und eindeutig und verständlich angeordnet sein.
                                                                                                                      • Die Vorschaltgeräte für betriebsbereite Teilsysteme sollten erst dann wirksam werden, wenn der Normalbetrieb zuverlässig abgeschaltet wurde; dh es muss gewährleistet sein, dass kein Steuerbefehl effektiv aus dem Normalbetrieb kommen und das Betriebsgerät übersteuern kann.
                                                                                                                      • Die unbefugte Verwendung des Betriebsgeräts für betriebsbereite Teilsysteme sollte verhindert werden können, indem beispielsweise die Verwendung eines speziellen Schlüssels oder Codes zum Freigeben der betreffenden Funktion verlangt wird. (Siehe Abbildung 4.)

                                                                                                                       

                                                                                                                      Abbildung 4. Betätigungseinrichtungen in den Vorschaltgeräten für bewegliche und stationäre Betriebssubsysteme

                                                                                                                      SAF064F4

                                                                                                                      Der Notschalter

                                                                                                                      Notschalter sind dort erforderlich, wo durch den normalen Betrieb technischer Anlagen Gefahren entstehen können, die weder durch geeignete Anlagengestaltung noch durch entsprechende Sicherheitsvorkehrungen verhindert werden können. In betriebsbereiten Teilsystemen ist der Notschalter häufig Teil des Betriebsgeräts des betriebsfähigen Teilsystems. Der Notschalter setzt bei Betätigung im Gefahrenfall Vorgänge um, die das technische System schnellstmöglich in einen sicheren Betriebszustand zurückführen. Bei den Sicherheitsprioritäten steht der Personenschutz im Vordergrund; Die Vermeidung von Sachschäden ist zweitrangig, es sei denn, dass diese auch Personen gefährden könnten. Der Notschalter muss folgende Anforderungen erfüllen:

                                                                                                                      • Sie muss schnellstmöglich einen sicheren Betriebszustand der technischen Anlage herbeiführen.
                                                                                                                      • Sein Bedienfeld muss leicht erkennbar und so angeordnet und gestaltet sein, dass es von den gefährdeten Personen problemlos bedient und auch von anderen Einsatzkräften erreicht werden kann.
                                                                                                                      • Die von ihm ausgelösten Notfallprozesse dürfen keine neuen Gefährdungen hervorrufen; sie dürfen beispielsweise keine Spannvorrichtungen lösen oder Magnethalterungen lösen oder Sicherheitseinrichtungen blockieren.
                                                                                                                      • Nach Auslösung eines Notschaltvorganges darf die technische Anlage nicht automatisch durch das Zurücksetzen des Notschalt-Bedienfeldes wieder gestartet werden können. Vielmehr muss die bewusste Eingabe eines neuen Funktionssteuerbefehls verlangt werden. (Siehe Abbildung 5.)

                                                                                                                       

                                                                                                                      Abbildung 5. Veranschaulichung der Prinzipien von Bedienfeldern in Notschaltern

                                                                                                                      SAF064F5

                                                                                                                      Funktionsschalter-Steuergerät

                                                                                                                      Funktionsschalter-Steuergeräte dienen dazu, die technische Anlage für den Normalbetrieb einzuschalten und die für den Normalbetrieb vorgesehenen Bewegungen und Vorgänge einzuleiten, auszuführen und zu unterbrechen. Das Funktionsschalter-Steuergerät wird ausschließlich im Rahmen des normalen Betriebs des technischen Systems, also während der ungestörten Ausführung aller zugeordneten Funktionen, verwendet. Sie wird von den Personen, die das technische System betreiben, entsprechend genutzt. Die Funktionsschalter-Steuergeräte müssen folgende Anforderungen erfüllen:

                                                                                                                      • Ihre Bedienfelder müssen leicht zugänglich und gefahrlos zu bedienen sein.
                                                                                                                      • Ihre Bedienfelder müssen übersichtlich und rationell angeordnet sein; Beispielsweise sollten Bedienknebel hinsichtlich kontrollierter Bewegungen nach oben und unten, rechts und links „rational“ funktionieren. („Rationale“ Steuerbewegungen und entsprechende Effekte können lokalen Schwankungen unterliegen und werden manchmal durch Bestimmungen definiert.)
                                                                                                                      • Ihre Bedienfelder sind deutlich und verständlich mit leicht verständlichen Symbolen zu kennzeichnen.
                                                                                                                      • Vorgänge, die zu ihrem sicheren Ablauf die volle Aufmerksamkeit des Benutzers erfordern, dürfen weder durch irrtümlich erzeugte Steuersignale noch durch unbeabsichtigte Betätigung der sie steuernden Steuereinrichtungen ausgelöst werden können. Die Signalverarbeitung der Zentrale muss entsprechend zuverlässig sein, und eine unbeabsichtigte Betätigung muss durch entsprechende Gestaltung des Steuergeräts verhindert werden. (Siehe Abbildung 6).

                                                                                                                       

                                                                                                                      Abbildung 6. Schematische Darstellung eines Operations Control Panels

                                                                                                                      SAF064F6

                                                                                                                      Überwachungsschalter

                                                                                                                      Überwachungsschalter verhindern das Anlaufen des technischen Systems, solange die überwachten Sicherheitsbedingungen nicht erfüllt sind, und sie unterbrechen den Betrieb, sobald eine Sicherheitsbedingung nicht mehr erfüllt ist. Sie werden beispielsweise eingesetzt, um Türen in Schutzräumen zu überwachen, die korrekte Position von Schutzeinrichtungen zu kontrollieren oder sicherzustellen, dass Geschwindigkeits- oder Wegbegrenzungen nicht überschritten werden. Entsprechend müssen Überwachungsschalter folgende Sicherheits- und Zuverlässigkeitsanforderungen erfüllen:

                                                                                                                      • Die zur Überwachung eingesetzten Schaltgeräte müssen das Schutzsignal besonders zuverlässig abgeben; so könnte beispielsweise ein mechanischer Überwachungsschalter so ausgelegt sein, dass er den Signalfluss automatisch und besonders zuverlässig unterbricht.
                                                                                                                      • Das zur Überwachung eingesetzte Schaltwerkzeug soll besonders zuverlässig betrieben werden, wenn die Sicherheitsbedingung nicht erfüllt ist (z. B. wenn der Stößel eines Überwachungsschalters mit automatischer Unterbrechung mechanisch und selbsttätig in die Unterbrechungsstellung gedrängt wird).
                                                                                                                      • Der Überwachungsschalter darf nicht unsachgemäß abgeschaltet werden können, zumindest nicht unbeabsichtigt und nicht ohne Aufwand; diese Bedingung kann beispielsweise durch einen mechanisch automatisch gesteuerten Schalter mit automatischer Unterbrechung erfüllt werden, wenn der Schalter und das Betätigungselement fest montiert sind. (Siehe Abbildung 7).

                                                                                                                       

                                                                                                                      Abbildung 7. Diagramm eines Schalters mit positiver mechanischer Betätigung und positiver Trennung

                                                                                                                      SAF064F7

                                                                                                                      Sicherheitssteuerkreise

                                                                                                                      Einige der oben beschriebenen Sicherheitsschaltgeräte führen die Sicherheitsfunktion nicht direkt aus, sondern durch Abgabe eines Signals, das dann von einem Sicherheitssteuerkreis übertragen und verarbeitet wird und schließlich die Teile der technischen Anlage erreicht, die die eigentliche Sicherheitsfunktion ausüben. Beispielsweise bewirkt die Sicherheits-Trenneinrichtung häufig indirekt die Trennung der Energie an neuralgischen Punkten, während ein Hauptschalter meist direkt die Stromzufuhr zum technischen System unterbricht.

                                                                                                                      Da Sicherheitssteuerkreise Sicherheitssignale zuverlässig übertragen müssen, sind daher folgende Grundsätze zu beachten:

                                                                                                                      • Die Sicherheit soll auch bei fehlender oder unzureichender Fremdenergie gewährleistet sein, beispielsweise bei Unterbrechungen oder Undichtigkeiten.
                                                                                                                      • Schutzsignale funktionieren zuverlässiger durch Unterbrechung des Signalflusses; B. Sicherheitsschalter mit Öffnerkontakt oder einem geöffneten Relaiskontakt.
                                                                                                                      • Die Schutzfunktion von Verstärkern, Transformatoren und dergleichen kann ohne Fremdenergie zuverlässiger erreicht werden; solche Mechanismen sind beispielsweise elektromagnetische Schalteinrichtungen oder im Ruhezustand geschlossene Lüftungsöffnungen.
                                                                                                                      • Fehlerhafte Anschlüsse und Undichtigkeiten im Sicherheits-Steuerkreis dürfen nicht zu Fehlstarts oder Behinderungen des Stillsetzens führen; insbesondere bei Kurzschlüssen zwischen Ein- und Ausgängen, Erdschluss oder Erdung.
                                                                                                                      • Äußere Einflüsse, die das System in einem Maß beeinflussen, das die Erwartungen des Benutzers nicht übersteigt, sollten die Sicherheitsfunktion des Sicherheitssteuerkreises nicht beeinträchtigen.

                                                                                                                       

                                                                                                                      Die in Sicherheitsschaltkreisen verwendeten Komponenten müssen die Sicherheitsfunktion besonders zuverlässig ausführen. Die Funktionen von Komponenten, die diese Anforderung nicht erfüllen, sind durch eine möglichst diversifizierte Redundanz zu realisieren und zu überwachen.

                                                                                                                       

                                                                                                                      Zurück

                                                                                                                      Montag, April 04 2011 18: 00

                                                                                                                      Sicherheitsrelevante Anwendungen

                                                                                                                      Mikroprozessoren spielen in den letzten Jahren eine immer größere Rolle im Bereich der Sicherheitstechnik. Da mittlerweile ganze Rechner (dh Zentraleinheit, Speicher und Peripheriekomponenten) als "Single-Chip-Rechner" in einem einzigen Bauteil verfügbar sind, findet die Mikroprozessortechnik nicht nur in komplexen Maschinensteuerungen, sondern auch in relativ einfach aufgebauten Absicherungen Anwendung (z. B. Lichtgitter, Zweihandsteuerungen und Schaltleisten). Die Software, die diese Systeme steuert, umfasst zwischen tausend und mehreren zehntausend Einzelbefehlen und besteht in der Regel aus mehreren hundert Programmzweigen. Die Programme arbeiten in Echtzeit und sind meist in der Assemblersprache der Programmierer geschrieben.

                                                                                                                      Die Einführung computergesteuerter Systeme im Bereich der Sicherheitstechnik ist bei allen technischen Großgeräten nicht nur mit aufwendigen Forschungs- und Entwicklungsprojekten, sondern auch mit erheblichen Einschränkungen zur Erhöhung der Sicherheit einhergegangen. (Als Beispiele für großtechnische Anwendungen seien hier die Luft- und Raumfahrttechnik, die Militärtechnik und die Atomkrafttechnik genannt.) Das Sammelgebiet der industriellen Massenproduktion ist bisher nur sehr begrenzt behandelt worden. Dies liegt unter anderem daran, dass die für den industriellen Maschinenbau charakteristischen schnellen Innovationszyklen eine nur sehr eingeschränkte Übertragbarkeit von Erkenntnissen aus Forschungsprojekten zur Enderprobung im Großmaßstab erschweren Sicherheitsgeräte. Dies macht die Entwicklung schneller und kostengünstiger Bewertungsverfahren zu einem Desiderat (Reinert und Reuss 1991).

                                                                                                                      Dieser Artikel untersucht zunächst Maschinen und Anlagen, in denen Computersysteme heute Sicherheitsaufgaben übernehmen, und zeigt anhand von Beispielen von Unfällen, die sich überwiegend im Bereich der Maschinenabsicherung ereignen, die besondere Rolle von Computern in der Sicherheitstechnik auf. Diese Unfälle geben Aufschluss darüber, welche Vorkehrungen zu treffen sind, damit die heute immer häufiger eingesetzten computergesteuerten Sicherheitseinrichtungen nicht zu einem Anstieg der Unfallzahlen führen. Der letzte Abschnitt des Artikels skizziert ein Verfahren, mit dem auch kleine Computersysteme mit vertretbarem Aufwand und in vertretbarer Zeit auf ein angemessenes Maß an technischer Sicherheit gebracht werden können. Die in diesem letzten Teil aufgezeigten Prinzipien werden derzeit in internationale Standardisierungsverfahren eingeführt und werden Auswirkungen auf alle Bereiche der Sicherheitstechnik haben, in denen Computer Anwendung finden.

                                                                                                                      Beispiele für den Einsatz von Software und Computern im Bereich der Maschinenabsicherung

                                                                                                                      Die folgenden vier Beispiele verdeutlichen, dass Software und Computer derzeit immer mehr Einzug in sicherheitsrelevante Anwendungen im gewerblichen Bereich halten.

                                                                                                                      Personen-Notsignalanlagen bestehen in der Regel aus einer zentralen Empfangsstelle und mehreren Personen-Notsignaleinrichtungen. Die Geräte werden von den vor Ort tätigen Personen selbst getragen. Befindet sich eine dieser allein arbeitenden Personen in einer Notsituation, kann sie über das Gerät per Funksignal in der zentralen Empfangsstelle einen Alarm auslösen. Eine solche willensabhängige Alarmauslösung kann auch durch einen willensunabhängigen Auslösemechanismus ergänzt werden, der durch in die Personennotrufgeräte eingebaute Sensoren aktiviert wird. Sowohl die einzelnen Geräte als auch die zentrale Empfangsstation werden häufig von Mikrocomputern gesteuert. Es ist denkbar, dass der Ausfall bestimmter Einzelfunktionen des eingebauten Computers in einer Notfallsituation dazu führen kann, dass der Alarm nicht ausgelöst wird. Es müssen daher Vorkehrungen getroffen werden, um einen solchen Funktionsverlust rechtzeitig zu erkennen und zu beheben.

                                                                                                                      Druckmaschinen, die heute zum Drucken von Zeitschriften verwendet werden, sind große Maschinen. Die Papierbahnen werden normalerweise von einer separaten Maschine so vorbereitet, dass ein nahtloser Übergang zu einer neuen Papierrolle möglich ist. Die bedruckten Seiten werden von einer Falzmaschine gefalzt und anschließend durch eine Kette weiterer Maschinen bearbeitet. Das Ergebnis sind Paletten, die mit vollständig vernähten Magazinen beladen sind. Obwohl solche Anlagen automatisiert sind, müssen an zwei Stellen manuelle Eingriffe vorgenommen werden: (1) beim Einfädeln der Papierwege und (2) beim Beseitigen von Hindernissen durch Papierrisse an Gefahrenstellen an den rotierenden Walzen. Aus diesem Grund muss während der Verstellung der Pressen eine reduzierte Arbeitsgeschwindigkeit oder ein weg- oder zeitbegrenzter Tippbetrieb steuerungstechnisch gewährleistet sein. Aufgrund der komplexen Steuerungsvorgänge muss jede einzelne Druckstation mit einer eigenen speicherprogrammierbaren Steuerung ausgestattet werden. Ein auftretender Fehler in der Steuerung einer Druckerei bei geöffneten Schutzgittern muss verhindert werden, dass es entweder zu einem unerwarteten Anlauf einer stillstehenden Maschine oder zu einem Betrieb über angemessen reduzierten Drehzahlen kommt.

                                                                                                                      In großen Fabriken und Lagern bewegen sich fahrerlose, fahrerlose Roboterfahrzeuge auf speziell gekennzeichneten Gleisen. Diese Gleise können jederzeit von Personen begangen oder Materialien und Geräte versehentlich auf den Gleisen zurückgelassen werden, da sie baulich nicht von anderen Verkehrswegen getrennt sind. Aus diesem Grund muss eine Art Kollisionsverhütungsausrüstung verwendet werden, um sicherzustellen, dass das Fahrzeug zum Stillstand gebracht wird, bevor es zu einer gefährlichen Kollision mit einer Person oder einem Objekt kommt. In neueren Anwendungen erfolgt die Kollisionsvermeidung mittels Ultraschall- oder Laserlichttaster in Kombination mit einem Sicherheitsbumper. Da diese Systeme computergesteuert arbeiten, ist es möglich, mehrere permanente Erfassungszonen zu konfigurieren, sodass ein Fahrzeug seine Reaktion abhängig von der spezifischen Erfassungszone, in der sich eine Person befindet, modifizieren kann. Fehler in der Schutzeinrichtung dürfen nicht zu einer gefährlichen Kollision mit einer Person führen.

                                                                                                                      Guillotinen mit Papierschneidesteuerung werden verwendet, um dicke Papierstapel zu pressen und dann zu schneiden. Sie werden durch eine Zweihandbedienung ausgelöst. Der Benutzer muss nach jedem Schnitt in den Gefahrenbereich der Maschine greifen. Eine immaterielle Schutzeinrichtung, meist ein Lichtgitter, dient in Verbindung mit der Zweihandbedienung und einer sicheren Maschinensteuerung dazu, Verletzungen beim Zuführen von Papier während des Schneidvorgangs zu vermeiden. Nahezu alle heute verwendeten größeren, moderneren Guillotinen werden von Mehrkanal-Mikrocomputersystemen gesteuert. Auch die Zweihandbedienung und das Lichtgitter müssen sicher funktionieren.

                                                                                                                      Unfälle mit computergesteuerten Systemen

                                                                                                                      In nahezu allen industriellen Anwendungsbereichen werden Unfälle mit Software und Computern gemeldet (Neumann 1994). Computerausfälle führen in den meisten Fällen nicht zu Personenschäden. Solche Versäumnisse werden ohnehin nur öffentlich gemacht, wenn sie von allgemeinem öffentlichem Interesse sind. Das bedeutet, dass die Fehlfunktionen oder Unfälle im Zusammenhang mit Computern und Software, bei denen Personenschäden im Spiel waren, einen relativ hohen Anteil an allen bekannt gewordenen Fällen ausmachen. Leider werden Unfälle, die kein großes öffentliches Aufsehen erregen, nicht mit der gleichen Intensität auf ihre Ursachen hin untersucht wie größere Unfälle, typischerweise in Großanlagen. Aus diesem Grund beziehen sich die folgenden Beispiele auf vier für computergesteuerte Systeme typische Beschreibungen von Fehlfunktionen oder Unfällen außerhalb des Bereichs der Maschinenabsicherung, die Hinweise darauf geben, was bei sicherheitstechnischen Beurteilungen zu berücksichtigen ist.

                                                                                                                      Unfälle, die durch zufällige Fehler in der Hardware verursacht werden

                                                                                                                      Das folgende Missgeschick wurde durch eine Konzentration zufälliger Fehler in der Hardware in Verbindung mit Programmierfehlern verursacht: Ein Reaktor überhitzt in einer Chemiefabrik, woraufhin Überdruckventile geöffnet wurden, wodurch der Inhalt des Reaktors in die Atmosphäre abgelassen werden konnte. Dieses Missgeschick ereignete sich kurz nach einer Warnung, dass der Ölstand in einem Getriebe zu niedrig sei. Eine sorgfältige Untersuchung des Missgeschicks ergab, dass kurz nachdem der Katalysator die Reaktion im Reaktor ausgelöst hatte – wodurch der Reaktor mehr Kühlung benötigt hätte – der Computer aufgrund der Meldung von niedrigem Ölstand im Getriebe alles eingefroren hatte Größen unter seiner Kontrolle auf einen festen Wert. Dadurch blieb der Kaltwasserdurchfluss zu niedrig und der Reaktor überhitzt. Weitere Untersuchungen ergaben, dass die Anzeige eines niedrigen Ölstands durch eine fehlerhafte Komponente signalisiert worden war.

                                                                                                                      Die Software hatte entsprechend der Spezifikation mit der Auslösung eines Alarms und der Fixierung aller Betriebsvariablen reagiert. Dies war eine Folge der HAZOP-Studie (Hazards and Operability Analysis) (Knowlton 1986), die vor dem Ereignis durchgeführt wurde und die verlangte, dass alle kontrollierten Variablen im Falle eines Ausfalls nicht modifiziert werden. Da der Programmierer die Vorgehensweise im Detail nicht kannte, wurde diese Forderung dahingehend interpretiert, dass die angesteuerten Aktoren (hier Regelventile) nicht verändert werden sollten; Die Möglichkeit eines Temperaturanstiegs wurde nicht beachtet. Der Programmierer hat nicht berücksichtigt, dass sich das System nach dem Empfang eines fehlerhaften Signals in einer dynamischen Situation befinden könnte, die das aktive Eingreifen des Computers erfordert, um ein Missgeschick zu verhindern. Die Situation, die zu dem Missgeschick führte, war zudem so unwahrscheinlich, dass sie in der HAZOP-Studie (Levenson 1986) nicht im Detail analysiert worden war. Dieses Beispiel bietet einen Übergang zu einer zweiten Kategorie von Ursachen für Software- und Computerunfälle. Dies sind die systematischen Fehler, die von Anfang an im System vorhanden sind, sich aber nur in ganz bestimmten Situationen manifestieren, die der Entwickler nicht berücksichtigt hat.

                                                                                                                      Unfälle durch Betriebsstörungen

                                                                                                                      Bei Feldversuchen bei der Endkontrolle von Robotern lieh sich ein Techniker die Kassette eines benachbarten Roboters aus und tauschte sie gegen eine andere aus, ohne seinen Kollegen darüber zu informieren. Bei der Rückkehr an seinen Arbeitsplatz legte der Kollege die falsche Kassette ein. Da er neben dem Roboter stand und von ihm einen bestimmten Bewegungsablauf erwartete, der aufgrund des ausgetauschten Programms anders herauskam, kam es zu einer Kollision zwischen Roboter und Mensch. Dieser Unfall beschreibt das klassische Beispiel eines Betriebsausfalls. Die Rolle solcher Ausfälle bei Störungen und Unfällen nimmt derzeit aufgrund der zunehmenden Komplexität bei der Anwendung von computergesteuerten Sicherheitsmechanismen zu.

                                                                                                                      Unfälle, die durch systematische Fehler in Hard- oder Software verursacht werden

                                                                                                                      Ein Torpedo mit Sprengkopf sollte zu Übungszwecken von einem Kriegsschiff auf hoher See abgefeuert werden. Aufgrund eines Defekts im Antriebsapparat blieb der Torpedo im Torpedorohr. Der Kapitän beschloss, zum Heimathafen zurückzukehren, um den Torpedo zu bergen. Kurz nachdem das Schiff seinen Heimweg angetreten hatte, explodierte der Torpedo. Eine Analyse des Unfalls ergab, dass die Entwickler des Torpedos gezwungen waren, in den Torpedo einen Mechanismus einzubauen, der verhindern sollte, dass er nach dem Abfeuern zur Startrampe zurückkehrt und damit das Schiff zerstört, das ihn gestartet hat. Der dafür gewählte Mechanismus war folgender: Nach dem Abfeuern des Torpedos wurde mit dem Trägheitsnavigationssystem überprüft, ob sich dessen Kurs um 180° geändert hatte. Sobald der Torpedo spürte, dass er sich um 180 ° gedreht hatte, detonierte der Torpedo sofort, angeblich in sicherer Entfernung von der Startrampe. Dieser Detektionsmechanismus wurde bei dem nicht ordnungsgemäß abgefeuerten Torpedo ausgelöst, so dass der Torpedo explodierte, nachdem das Schiff seinen Kurs um 180° geändert hatte. Dies ist ein typisches Beispiel für einen Unfall, der aufgrund eines Fehlers in den Spezifikationen auftritt. Die Anforderung im Lastenheft, dass der Torpedo bei einer Kursänderung das eigene Schiff nicht zerstören dürfe, sei nicht präzise genug formuliert; die Vorsichtsmaßnahme wurde also falsch programmiert. Der Fehler trat nur in einer bestimmten Situation auf, die der Programmierer nicht als Möglichkeit in Betracht gezogen hatte.

                                                                                                                      Am 14. September 1993 stürzte ein Airbus A 320 der Lufthansa bei der Landung in Warschau ab (Bild 1). Eine sorgfältige Untersuchung des Unfalls ergab, dass Änderungen in der Landelogik des Bordcomputers nach einem Unfall mit einer Boeing 767 der Lauda Air im Jahr 1991 mitverantwortlich für diese Bruchlandung waren. Was beim Unfall von 1991 passiert war, war, dass die Schubumlenkung, die einen Teil der Motorgase umleitet, um das Flugzeug bei der Landung abzubremsen, noch in der Luft eingesetzt hatte, wodurch die Maschine in einen unkontrollierbaren Sturzflug gezwungen wurde. Aus diesem Grund war in die Airbus-Maschinen eine elektronische Verriegelung der Schubumlenkung eingebaut worden. Dieser Mechanismus ließ die Schubumlenkung erst wirksam werden, nachdem Sensoren an beiden Fahrwerkssätzen das Zusammendrücken der Stoßdämpfer unter dem Druck der aufsetzenden Räder signalisiert hatten. Aufgrund falscher Angaben rechneten die Piloten des Flugzeugs in Warschau mit starkem Seitenwind.

                                                                                                                      Abbildung 1. Lufthansa Airbus nach dem Unfall in Warschau 1993

                                                                                                                      ACC260F2

                                                                                                                      Aus diesem Grund brachten sie die Maschine leicht geneigt an und der Airbus setzte nur mit dem rechten Rad auf, wobei das linke Lager weniger als das volle Gewicht beließ. Aufgrund der elektronischen Verriegelung der Schubumlenkung verweigerte der Bordcomputer dem Piloten für die Dauer von neun Sekunden solche Manöver, die dem Flugzeug trotz widriger Umstände eine sichere Landung ermöglicht hätten. Dieser Unfall zeigt sehr deutlich, dass Änderungen an Computersystemen zu neuen und gefährlichen Situationen führen können, wenn die Bandbreite ihrer möglichen Folgen nicht im Voraus berücksichtigt wird.

                                                                                                                       

                                                                                                                      Auch das folgende Beispiel einer Fehlfunktion zeigt, welche verheerenden Auswirkungen die Änderung eines einzigen Befehls in Computersystemen haben kann. Der Alkoholgehalt des Blutes wird in chemischen Tests mit klarem Blutserum bestimmt, aus dem zuvor die Blutkörperchen abzentrifugiert wurden. Der Alkoholgehalt des Serums ist daher um den Faktor 1.2 höher als der des dickeren Vollbluts. Aus diesem Grund müssen die Alkoholwerte im Serum durch den Faktor 1.2 dividiert werden, um die rechtlich und medizinisch kritischen Promillezahlen zu ermitteln. Bei dem 1984 durchgeführten Ringversuch sollten die in identischen Tests an verschiedenen Forschungseinrichtungen mit Serum ermittelten Blutalkoholwerte miteinander verglichen werden. Da es sich nur um einen Vergleich handelte, wurde außerdem der Befehl zum Teilen durch 1.2 für die Dauer des Experiments an einer der Institutionen aus dem Programm gestrichen. Nach Beendigung des Ringversuchs wurde an dieser Stelle fälschlicherweise ein Befehl zum Multiplizieren mit 1.2 in das Programm eingefügt. Als Folge wurden zwischen August 1,500 und März 1984 rund 1985 falsche Promillewerte berechnet. Dieser Fehler war für die Berufskarrieren von Lkw-Fahrern mit Blutalkoholwerten zwischen 1.0 und 1.3 Promille kritisch, da bei einem Wert von 1.3 Promille eine strafrechtliche Ahndung des Führerscheins über einen längeren Zeitraum die Folge ist.

                                                                                                                      Unfälle, die durch Einwirkungen von Betriebsbeanspruchungen oder Umweltbelastungen verursacht werden

                                                                                                                      Als Folge einer durch Abfallansammlung verursachten Störung im Wirkbereich einer CNC (Computer Numeric Control) Stanz- und Nibbelmaschine hat der Anwender den „programmierten Stopp“ veranlasst. Als er versuchte, den Abfall mit den Händen zu entfernen, geriet die Schubstange der Maschine trotz des programmierten Stopps in Bewegung und verletzte den Benutzer schwer. Eine Analyse des Unfalls ergab, dass es sich nicht um einen Programmfehler gehandelt hatte. Der unerwartete Anlauf konnte nicht reproduziert werden. Ähnliche Unregelmäßigkeiten waren in der Vergangenheit bei anderen Maschinen des gleichen Typs beobachtet worden. Daraus lässt sich plausibel ableiten, dass der Unfall durch elektromagnetische Störungen verursacht worden sein muss. Ähnliche Unfälle mit Industrierobotern werden aus Japan berichtet (Neumann 1987).

                                                                                                                      Eine Fehlfunktion der Raumsonde Voyager 2 am 18. Januar 1986 macht den Einfluss von Umweltbelastungen auf computergesteuerte Systeme noch deutlicher. Sechs Tage vor der größten Annäherung an Uranus bedeckten große Felder aus schwarz-weißen Linien die Bilder von Voyager 2. Eine genaue Analyse ergab, dass ein einziges Bit in einem Befehlswort des Flugdaten-Subsystems den Ausfall verursacht hatte, beobachtet als die Bilder wurden in der Sonde komprimiert. Dieses Bit war höchstwahrscheinlich durch den Einschlag eines kosmischen Teilchens im Programmspeicher verschoben worden. Die fehlerfreie Übertragung der komprimierten Aufnahmen der Sonde erfolgte bereits zwei Tage später mit einem Ersatzprogramm, das den ausgefallenen Speicherpunkt umgehen konnte (Laeser, McLaughlin und Wolff 1987).

                                                                                                                      Zusammenfassung der vorgestellten Unfälle

                                                                                                                      Die analysierten Unfälle zeigen, dass bestimmte Risiken, die unter Bedingungen einfacher, elektromechanischer Technik vernachlässigt werden könnten, durch den Einsatz von Computern an Bedeutung gewinnen. Computer erlauben die Verarbeitung komplexer und situationsspezifischer Sicherheitsfunktionen. Eine eindeutige, fehlerfreie, vollständige und prüfbare Spezifikation aller Sicherheitsfunktionen wird aus diesem Grund besonders wichtig. Fehler in Spezifikationen sind schwer zu entdecken und häufig die Ursache für Unfälle in komplexen Systemen. Frei programmierbare Steuerungen werden meist mit der Absicht eingeführt, flexibel und schnell auf sich verändernde Märkte reagieren zu können. Modifikationen haben jedoch – insbesondere in komplexen Systemen – schwer vorhersehbare Nebenwirkungen. Alle Änderungen müssen daher einem streng formalen Änderungsmanagement unterzogen werden, bei dem eine klare Trennung von Sicherheitsfunktionen von nicht sicherheitsrelevanten Teilsystemen dazu beiträgt, die Folgen von Änderungen für die Sicherheitstechnik überschaubar zu halten.

                                                                                                                      Computer arbeiten mit geringem Stromverbrauch. Sie sind daher anfällig für Störungen durch externe Strahlungsquellen. Da die Veränderung eines einzigen Signals unter Millionen zu einer Fehlfunktion führen kann, lohnt es sich, dem Thema Elektromagnetische Verträglichkeit im Zusammenhang mit Computern besondere Aufmerksamkeit zu schenken.

                                                                                                                      Die Wartung computergesteuerter Systeme wird derzeit immer komplexer und damit unübersichtlicher. Die Software-Ergonomie von Bedien- und Konfigurationssoftware wird daher aus sicherheitstechnischer Sicht immer interessanter.

                                                                                                                      Kein Computersystem ist zu 100 % testbar. Eine einfache Steuerung mit 32 binären Eingangsports und 1,000 verschiedenen Softwarepfaden benötigt 4.3 × 1012 Tests für eine vollständige Überprüfung. Bei einer Rate von 100 durchgeführten und ausgewerteten Tests pro Sekunde würde ein vollständiger Test 1,362 Jahre dauern.

                                                                                                                      Verfahren und Maßnahmen zur Verbesserung computergesteuerter Sicherheitseinrichtungen

                                                                                                                      In den letzten 10 Jahren wurden Verfahren entwickelt, die es ermöglichen, spezifische sicherheitstechnische Herausforderungen im Zusammenhang mit Computern zu meistern. Diese Verfahren beziehen sich auf die in diesem Abschnitt beschriebenen Computerfehler. Die beschriebenen Beispiele von Software und Computern in der Maschinenabsicherung und die analysierten Unfälle zeigen, dass das Schadensausmaß und damit auch das Risiko bei verschiedenen Anwendungen sehr unterschiedlich sind. Es ist daher klar, dass die erforderlichen Vorkehrungen zur Verbesserung von Computern und Software, die in der Sicherheitstechnik verwendet werden, in Bezug auf das Risiko getroffen werden sollten.

                                                                                                                      Abbildung 2 zeigt ein qualitatives Verfahren, mit dem die durch Sicherheitssysteme erzielbare notwendige Risikominderung unabhängig von Schadensausmaß und -häufigkeit ermittelt werden kann (Bell und Reinert 1992). Die im Abschnitt „Unfälle mit computergesteuerten Systemen“ (oben) analysierten Fehlerarten in Computersystemen können mit den sogenannten Safety Integrity Levels – also den technischen Einrichtungen zur Risikominderung – in Beziehung gesetzt werden.

                                                                                                                      Abbildung 2. Qualitatives Verfahren zur Risikobestimmung

                                                                                                                      ACC260F3

                                                                                                                      Abbildung 3 verdeutlicht, dass die Effektivität der jeweils getroffenen Maßnahmen zur Fehlerreduzierung in Software und Computern mit steigendem Risiko steigen muss (DIN 1994; IEC 1993).

                                                                                                                      Abbildung 3, Wirksamkeit der getroffenen Vorkehrungen gegen Fehler unabhängig vom Risiko

                                                                                                                      ACC260F4

                                                                                                                      Die Analyse der oben skizzierten Unfälle zeigt, dass das Versagen computergesteuerter Schutzeinrichtungen nicht nur durch zufällige Bauteilfehler verursacht wird, sondern auch durch besondere Betriebsbedingungen, die der Programmierer nicht berücksichtigt hat. Eine weitere Fehlerquelle sind die nicht sofort ersichtlichen Folgen von Programmänderungen im Rahmen der Systemwartung. Daraus folgt, dass in mikroprozessorgesteuerten Sicherheitssystemen Fehler auftreten können, die zwar während der Entwicklung des Systems entstanden sind, aber erst im Betrieb zu einer gefährlichen Situation führen können. Bereits in der Entwicklungsphase sicherheitsrelevanter Systeme müssen daher Vorkehrungen gegen solche Ausfälle getroffen werden. Diese sogenannten Fehlervermeidungsmaßnahmen müssen nicht nur in der Konzeptphase, sondern auch im Prozess der Entwicklung, Installation und Modifikation getroffen werden. Bestimmte Fehler können vermieden werden, wenn sie dabei entdeckt und behoben werden (DIN 1990).

                                                                                                                      Wie das zuletzt beschriebene Missgeschick verdeutlicht, kann der Ausfall eines einzigen Transistors zum technischen Ausfall hochkomplexer automatisierter Anlagen führen. Da jede einzelne Schaltung aus vielen tausend Transistoren und anderen Komponenten zusammengesetzt ist, müssen zahlreiche Maßnahmen zur Fehlervermeidung ergriffen werden, um auftretende Fehler im Betrieb zu erkennen und eine entsprechende Reaktion im Computersystem einzuleiten. Abbildung 4 beschreibt Fehlerarten in programmierbaren elektronischen Systemen sowie Beispiele für Vorkehrungen, die getroffen werden können, um Fehler in Computersystemen zu vermeiden und zu beherrschen (DIN 1990; IEC 1992).

                                                                                                                      Abbildung 4. Beispiele für Vorkehrungen zur Kontrolle und Vermeidung von Fehlern in Computersystemen

                                                                                                                      ACC260F5

                                                                                                                      Möglichkeiten und Perspektiven programmierbarer elektronischer Systeme in der Sicherheitstechnik

                                                                                                                      Moderne Maschinen und Anlagen werden immer komplexer und müssen immer umfangreichere Aufgaben in immer kürzerer Zeit bewältigen. Aus diesem Grund haben Computersysteme seit Mitte der 1970er Jahre nahezu alle Bereiche der Industrie erobert. Allein diese Zunahme der Komplexität hat maßgeblich zu den steigenden Kosten für die Verbesserung der Sicherheitstechnik in solchen Systemen beigetragen. Obwohl Software und Computer eine große Herausforderung an die Sicherheit am Arbeitsplatz darstellen, ermöglichen sie auch die Umsetzung neuer fehlerfreundlicher Systeme im Bereich der Sicherheitstechnik.

                                                                                                                      Ein skurriler, aber lehrreicher Vers von Ernst Jandl hilft zu erklären, was mit dem Begriff gemeint ist fehlerfreundlich. „Lichtung: Manche meinen Lechten und Rinks kann man nicht velwechsern, werch ein Illtum“. („Dilkation: Viele glauben, dass Licht und Reft nicht ausgetauscht werden können, was für ein Ello.“) Trotz des Austauschs der Briefe r und l, dieser Satz wird von einem normalen erwachsenen Menschen leicht verstanden. Sogar jemand mit geringen Englischkenntnissen kann es ins Englische übersetzen. Diese Aufgabe ist jedoch für einen Übersetzungscomputer allein nahezu unmöglich.

                                                                                                                      Dieses Beispiel zeigt, dass ein Mensch wesentlich fehlerfreundlicher reagieren kann als ein Sprachcomputer. Das bedeutet, dass der Mensch, wie alle anderen Lebewesen, Fehler tolerieren kann, indem er sie auf Erfahrung bezieht. Betrachtet man die heute im Einsatz befindlichen Maschinen, so sieht man, dass die Mehrzahl der Maschinen Ausfälle der Anwender nicht mit einem Unfall, sondern mit einem Produktionsrückgang bestrafen. Diese Eigenschaft führt zur Manipulation oder Umgehung von Schutzmaßnahmen. Moderne Computertechnik stellt dem Arbeitsschutz Systeme zur Verfügung, die intelligent – ​​also modifiziert – reagieren können. Solche Systeme ermöglichen somit ein fehlerfreundliches Verhalten in neuartigen Maschinen. Sie warnen den Benutzer zunächst bei einer Fehlbedienung und schalten die Maschine erst dann ab, wenn nur so ein Unfall vermieden werden kann. Die Unfallanalyse zeigt, dass in diesem Bereich ein erhebliches Potenzial zur Reduzierung von Unfällen besteht (Reinert und Reuss 1991).

                                                                                                                       

                                                                                                                      Zurück

                                                                                                                      Ein hybrides automatisiertes System (HAS) zielt darauf ab, die Fähigkeiten künstlich intelligenter Maschinen (basierend auf Computertechnologie) mit den Fähigkeiten der Menschen zu integrieren, die im Rahmen ihrer Arbeitstätigkeiten mit diesen Maschinen interagieren. Die Hauptanliegen der HAS-Nutzung beziehen sich darauf, wie die menschlichen und maschinellen Subsysteme gestaltet werden sollten, um das Wissen und die Fähigkeiten beider Teile des Hybridsystems optimal zu nutzen, und wie die menschlichen Bediener und Maschinenkomponenten miteinander interagieren sollten sicherzustellen, dass sich ihre Funktionen ergänzen. Viele hybride automatisierte Systeme haben sich als Produkte von Anwendungen moderner informations- und steuerungsbasierter Methoden entwickelt, um verschiedene Funktionen von oft komplexen technologischen Systemen zu automatisieren und zu integrieren. HAS wurde ursprünglich mit der Einführung computergestützter Systeme identifiziert, die beim Entwurf und Betrieb von Echtzeit-Steuerungssystemen für Kernkraftwerke, für chemische Verarbeitungsanlagen und für die Fertigungstechnologie für diskrete Teile verwendet werden. HAS sind mittlerweile auch in vielen Dienstleistungsbranchen zu finden, etwa bei Flugsicherungs- und Flugzeugnavigationsverfahren im Bereich der zivilen Luftfahrt sowie bei der Gestaltung und dem Einsatz von intelligenten Fahrzeug- und Autobahnnavigationssystemen im Straßenverkehr.

                                                                                                                      Mit fortschreitendem Fortschritt in der computergestützten Automatisierung verlagert sich die Natur menschlicher Aufgaben in modernen technologischen Systemen von solchen, die wahrnehmungsmotorische Fähigkeiten erfordern, hin zu solchen, die kognitive Aktivitäten erfordern, die für die Problemlösung, für die Entscheidungsfindung bei der Systemüberwachung usw. erforderlich sind aufsichtsrechtliche Kontrollaufgaben. Beispielsweise fungieren die menschlichen Bediener in computerintegrierten Fertigungssystemen hauptsächlich als Systemüberwacher, Problemlöser und Entscheidungsträger. Die kognitiven Aktivitäten des menschlichen Supervisors in jeder HAS-Umgebung sind (1) das Planen, was für einen bestimmten Zeitraum getan werden sollte, (2) das Entwickeln von Verfahren (oder Schritten), um die Reihe geplanter Ziele zu erreichen, (3) das Überwachen des Fortschritts von (technologischen) Prozessen, (4) „Lernen“ des Systems durch einen menschlich-interaktiven Computer, (5) Eingreifen, wenn sich das System abnormal verhält oder wenn sich die Steuerungsprioritäten ändern, und (6) Lernen durch Feedback vom System über die Auswirkungen von Aufsichtsmaßnahmen (Sheridan 1987).

                                                                                                                      Hybrides Systemdesign

                                                                                                                      Die Mensch-Maschine-Interaktionen in einem HAS beinhalten die Nutzung dynamischer Kommunikationsschleifen zwischen den menschlichen Bedienern und intelligenten Maschinen – ein Prozess, der das Erfassen und Verarbeiten von Informationen sowie das Initiieren und Ausführen von Steuerungsaufgaben und die Entscheidungsfindung umfasst – innerhalb einer gegebenen Struktur der Funktionszuordnung dazwischen Menschen und Maschinen. Die Interaktionen zwischen Menschen und Automatisierung sollten zumindest die hohe Komplexität hybrider automatisierter Systeme sowie relevante Eigenschaften der menschlichen Bediener und Aufgabenanforderungen widerspiegeln. Daher kann das hybride automatisierte System formal als Quintupel in der folgenden Formel definiert werden:

                                                                                                                      HAT = (T, U, C, E, I)

                                                                                                                      woher T = Aufgabenanforderungen (physisch und kognitiv); U = Benutzereigenschaften (physisch und kognitiv); C = die Automatisierungsmerkmale (Hardware und Software, einschließlich Computerschnittstellen); E = die Umgebung des Systems; I = eine Reihe von Wechselwirkungen zwischen den oben genannten Elementen.

                                                                                                                      Die Menge der Interaktionen I verkörpert alle möglichen Interaktionen zwischen T, U und C in E unabhängig von ihrer Art oder Stärke der Assoziation. Beispielsweise könnte eine der möglichen Interaktionen die Beziehung der im Computerspeicher gespeicherten Daten zu dem entsprechenden Wissen des menschlichen Bedieners, falls vorhanden, beinhalten. Die Wechselwirkungen I kann elementar (dh beschränkt auf eine Eins-zu-eins-Assoziation) oder komplex sein, wie z. B. Interaktionen zwischen dem menschlichen Bediener, der speziellen Software, die verwendet wird, um die gewünschte Aufgabe zu erfüllen, und der verfügbaren physikalischen Schnittstelle mit dem Computer.

                                                                                                                      Designer vieler hybrider automatisierter Systeme konzentrieren sich hauptsächlich auf die computergestützte Integration hochentwickelter Maschinen und anderer Geräte als Teile computerbasierter Technologie, wobei sie selten viel Aufmerksamkeit auf die vorrangige Notwendigkeit einer effektiven menschlichen Integration in solche Systeme richten. Daher sind derzeit viele der computerintegrierten (technologischen) Systeme nicht vollständig kompatibel mit den inhärenten Fähigkeiten der menschlichen Bediener, wie sie sich in den Fähigkeiten und Kenntnissen ausdrücken, die für die wirksame Steuerung und Überwachung dieser Systeme erforderlich sind. Eine solche Inkompatibilität tritt auf allen Ebenen der menschlichen, maschinellen und Mensch-Maschine-Funktion auf und kann im Rahmen des Individuums und der gesamten Organisation oder Einrichtung definiert werden. Beispielsweise treten die Probleme der Integration von Menschen und Technologie in fortgeschrittenen Fertigungsunternehmen früh in der HAS-Designphase auf. Diese Probleme können mit dem folgenden Systemintegrationsmodell der Komplexität von Interaktionen konzeptualisiert werden, I, zwischen den Systemdesignern, D, menschliche Operatoren, Hoder potenzielle Systembenutzer und Technologie, T:

                                                                                                                      Ich (H, T) = F [ Ich (H, D), Ich (D, T)]

                                                                                                                      woher I steht für relevante Interaktionen, die in einer gegebenen HAS-Struktur stattfinden, während F weist auf funktionale Beziehungen zwischen Designern, menschlichen Bedienern und Technologie hin.

                                                                                                                      Das obige Systemintegrationsmodell hebt die Tatsache hervor, dass die Interaktionen zwischen den Benutzern und der Technologie durch das Ergebnis der Integration der beiden früheren Interaktionen bestimmt werden – nämlich (1) die zwischen HAS-Designern und potenziellen Benutzern und (2) die zwischen den Designern und die HAS-Technologie (auf der Ebene der Maschinen und ihrer Integration). Es sollte beachtet werden, dass, obwohl typischerweise starke Interaktionen zwischen Designern und Technologie bestehen, nur sehr wenige Beispiele für ebenso starke Wechselbeziehungen zwischen Designern und menschlichen Bedienern gefunden werden können.

                                                                                                                      Es kann argumentiert werden, dass selbst in den am stärksten automatisierten Systemen die Rolle des Menschen für eine erfolgreiche Systemleistung auf Betriebsebene entscheidend bleibt. Bainbridge (1983) identifizierte eine Reihe von Problemen, die für den Betrieb des HAS relevant sind und auf die Natur der Automatisierung selbst zurückzuführen sind, wie folgt:

                                                                                                                        1. Betreiber „außerhalb des Regelkreises“. Die menschlichen Bediener sind im System anwesend, um bei Bedarf die Kontrolle auszuüben, aber da sie „außerhalb des Regelkreises“ sind, können sie nicht die manuellen Fähigkeiten und langfristigen Systemkenntnisse aufrechterhalten, die im Notfall häufig erforderlich sind.
                                                                                                                        2. Veraltetes „Geistesbild“. Die menschlichen Bediener sind möglicherweise nicht in der Lage, schnell auf Änderungen im Systemverhalten zu reagieren, wenn sie die Ereignisse seines Betriebs nicht sehr genau verfolgt haben. Darüber hinaus kann das Wissen oder die mentale Vorstellung des Bedieners von der Systemfunktion unzureichend sein, um die erforderlichen Reaktionen einzuleiten oder auszuführen.
                                                                                                                        3. Verschwindende Generationen von Fähigkeiten. Neue Betreiber sind möglicherweise nicht in der Lage, sich durch Erfahrung ausreichende Kenntnisse über das computergestützte System anzueignen, und sind daher nicht in der Lage, bei Bedarf eine wirksame Kontrolle auszuüben.
                                                                                                                        4. Autorität der Automatik. Wenn das computergestützte System implementiert wurde, weil es die erforderlichen Aufgaben besser ausführen kann als der menschliche Bediener, stellt sich die Frage: „Auf welcher Grundlage sollte der Bediener entscheiden, ob die automatisierten Systeme richtige oder falsche Entscheidungen treffen?“
                                                                                                                        5. Entstehung der neuen Arten von „menschlichen Fehlern“ durch Automatisierung. Automatisierte Systeme führen zu neuartigen Fehlern und damit zu Unfällen, die im Rahmen herkömmlicher Analysetechniken nicht analysiert werden können.

                                                                                                                                 

                                                                                                                                Aufgabenverteilung

                                                                                                                                Eines der wichtigsten Themen für das HAS-Design ist die Bestimmung, wie viele und welche Funktionen oder Verantwortlichkeiten den menschlichen Bedienern und welche und wie viele den Computern zugewiesen werden sollten. Im Allgemeinen gibt es drei grundlegende Klassen von Aufgabenzuweisungsproblemen, die berücksichtigt werden sollten: (1) die Aufgabenzuweisung zwischen Mensch und Computer, (2) die Aufgabenzuweisung zwischen Mensch und Mensch und (3) die Aufgabenzuweisung zwischen Computer und Computer. Idealerweise sollten die Zuweisungsentscheidungen durch ein strukturiertes Zuweisungsverfahren getroffen werden, bevor mit dem grundlegenden Systemdesign begonnen wird. Leider ist ein solches systematisches Vorgehen selten möglich, da die zuzuweisenden Funktionen entweder einer weiteren Prüfung bedürfen oder interaktiv zwischen den Systemkomponenten Mensch und Maschine – also durch Anwendung des Supervisory Control Paradigmas – durchgeführt werden müssen. Die Aufgabenzuweisung in hybriden automatisierten Systemen sollte sich auf das Ausmaß der menschlichen und computergestützten Überwachungsverantwortlichkeiten konzentrieren und sollte die Art der Interaktionen zwischen dem menschlichen Bediener und computergestützten Entscheidungsunterstützungssystemen berücksichtigen. Auch die Mittel der Informationsübertragung zwischen Maschinen und den menschlichen Input-Output-Schnittstellen sowie die Kompatibilität von Software mit menschlichen kognitiven Problemlösungsfähigkeiten sollten berücksichtigt werden.

                                                                                                                                In traditionellen Ansätzen zum Design und Management hybrider automatisierter Systeme wurden Arbeiter als deterministische Input-Output-Systeme betrachtet, und es gab eine Tendenz, die teleologische Natur menschlichen Verhaltens zu missachten – das heißt, das zielorientierte Verhalten, das auf dem Erwerb von basiert relevanten Informationen und der Auswahl von Zielen (Goodstein et al. 1988). Um erfolgreich zu sein, müssen das Design und die Verwaltung fortschrittlicher hybrider automatisierter Systeme auf einer Beschreibung der menschlichen mentalen Funktionen basieren, die für eine bestimmte Aufgabe benötigt werden. Der „Cognitive Engineering“-Ansatz (weiter unten beschrieben) schlägt vor, dass Mensch-Maschine- (Hybrid-)Systeme in Bezug auf menschliche mentale Prozesse konzipiert, entworfen, analysiert und bewertet werden müssen (dh das mentale Modell des Bedieners der adaptiven Systeme wird berücksichtigt). Konto). Das Folgende sind die Anforderungen des menschenzentrierten Ansatzes für HAS-Design und -Betrieb, wie er von Corbett (1988) formuliert wurde:

                                                                                                                                  1. Kompatibilität. Der Systembetrieb sollte keine Fähigkeiten erfordern, die nichts mit bestehenden Fähigkeiten zu tun haben, sondern sollte die Entwicklung bestehender Fähigkeiten ermöglichen. Der menschliche Bediener sollte Informationen eingeben und empfangen, die mit der herkömmlichen Praxis kompatibel sind, damit die Schnittstelle den Vorkenntnissen und Fähigkeiten des Benutzers entspricht.
                                                                                                                                  2. Transparenz. Man kann ein System nicht kontrollieren, ohne es zu verstehen. Daher muss der menschliche Bediener in der Lage sein, die internen Prozesse der Steuerungssoftware des Systems zu „sehen“, wenn das Lernen erleichtert werden soll. Ein transparentes System macht es Benutzern leicht, ein internes Modell der Entscheidungs- und Kontrollfunktionen aufzubauen, die das System ausführen kann.
                                                                                                                                  3. Minimaler Schock. Das System sollte nichts tun, was die Betreiber im Lichte der ihnen zur Verfügung stehenden Informationen über den aktuellen Systemzustand als unerwartet empfinden.
                                                                                                                                  4. Störungskontrolle. Unsichere Aufgaben (wie durch die Wahlstrukturanalyse definiert) sollten unter menschlicher Bedienersteuerung mit Computer-Entscheidungsunterstützung stehen.
                                                                                                                                  5. Fehlbarkeit. Die impliziten Fähigkeiten und Kenntnisse der menschlichen Bediener sollten nicht aus dem System heraus entworfen werden. Die Bediener sollten niemals in eine Position gebracht werden, in der sie hilflos zusehen, wie die Software eine fehlerhafte Operation leitet.
                                                                                                                                  6. Fehlerumkehrbarkeit. Die Software sollte eine ausreichende Weiterleitung von Informationen liefern, um den menschlichen Bediener über die wahrscheinlichen Folgen einer bestimmten Operation oder Strategie zu informieren.
                                                                                                                                  7. Betriebsflexibilität. Das System sollte menschlichen Bedienern die Freiheit bieten, Anforderungen und Ressourcengrenzen abzuwägen, indem sie Betriebsstrategien ändern, ohne die Unterstützung der Steuerungssoftware zu verlieren.

                                                                                                                                   

                                                                                                                                  Kognitives Human Factors Engineering

                                                                                                                                  Cognitive Human Factors Engineering konzentriert sich darauf, wie menschliche Bediener am Arbeitsplatz Entscheidungen treffen, Probleme lösen, Pläne formulieren und neue Fähigkeiten erlernen (Hollnagel und Woods 1983). Die Rollen der menschlichen Bediener, die in jedem HAS tätig sind, können unter Verwendung des Schemas von Rasmussen (1983) in drei Hauptkategorien eingeteilt werden:

                                                                                                                                    1. Fähigkeitsbasiertes Verhalten ist die sensomotorische Leistung, die während Handlungen oder Aktivitäten ausgeführt wird, die ohne bewusste Kontrolle als reibungslose, automatisierte und hochintegrierte Verhaltensmuster stattfinden. Menschliche Tätigkeiten, die in diese Kategorie fallen, werden als eine für eine bestimmte Situation zusammengestellte Abfolge qualifizierter Handlungen betrachtet. Fertigkeitsbasiertes Verhalten ist somit der Ausdruck von mehr oder weniger gespeicherten Verhaltensmustern oder vorprogrammierten Anweisungen in einem Raum-Zeit-Bereich.
                                                                                                                                    2. Regelbasiertes Verhalten ist eine zielorientierte Leistungskategorie, die durch Feedforward-Steuerung durch eine gespeicherte Regel oder Prozedur strukturiert ist – das heißt, eine geordnete Leistung, die es ermöglicht, eine Folge von Unterroutinen in einer vertrauten Arbeitssituation zusammenzustellen. Die Regel wird typischerweise aus früheren Erfahrungen ausgewählt und spiegelt die funktionalen Eigenschaften wider, die das Verhalten der Umgebung einschränken. Die regelbasierte Performance basiert auf explizitem Know-how im Umgang mit den relevanten Regeln. Der Entscheidungsdatensatz besteht aus Referenzen zum Erkennen und Identifizieren von Zuständen, Ereignissen oder Situationen.
                                                                                                                                    3. Wissensbasiertes Verhalten ist eine Kategorie der zielgesteuerten Leistung, bei der das Ziel explizit auf der Grundlage der Kenntnis der Umwelt und der Ziele der Person formuliert wird. Die interne Struktur des Systems wird durch ein „mentales Modell“ repräsentiert. Diese Art von Verhalten ermöglicht die Entwicklung und das Testen unterschiedlicher Pläne unter ungewohnten und daher unsicheren Steuerungsbedingungen und wird benötigt, wenn Fähigkeiten oder Regeln entweder nicht verfügbar oder unzureichend sind, so dass stattdessen Problemlösung und Planung in Anspruch genommen werden müssen.

                                                                                                                                         

                                                                                                                                        Bei der Gestaltung und Verwaltung eines HAS sollten die kognitiven Merkmale der Arbeiter berücksichtigt werden, um die Kompatibilität des Systembetriebs mit dem internen Modell des Arbeiters sicherzustellen, das seine Funktionen beschreibt. Folglich sollte die Beschreibungsebene des Systems von den kompetenzbasierten zu den regelbasierten und wissensbasierten Aspekten des menschlichen Funktionierens verschoben werden und geeignete Methoden der kognitiven Aufgabenanalyse sollten verwendet werden, um das Bedienermodell eines Systems zu identifizieren. Ein verwandtes Problem bei der Entwicklung eines HAS ist die Gestaltung von Mitteln zur Informationsübertragung zwischen dem menschlichen Bediener und automatisierten Systemkomponenten, sowohl auf physischer als auch auf kognitiver Ebene. Eine solche Informationsübertragung sollte mit den Informationsmodi kompatibel sein, die auf verschiedenen Ebenen des Systembetriebs verwendet werden – d. h. visuell, verbal, taktil oder hybrid. Diese Informationskompatibilität stellt sicher, dass verschiedene Formen der Informationsübertragung eine minimale Inkompatibilität zwischen dem Medium und der Art der Informationen erfordern. Beispielsweise eignet sich eine visuelle Anzeige am besten für die Übertragung räumlicher Informationen, während eine akustische Eingabe verwendet werden kann, um Textinformationen zu übermitteln.

                                                                                                                                        Nicht selten entwickelt der menschliche Bediener ein internes Modell, das den Betrieb und die Funktion des Systems gemäß seiner Erfahrung, Schulung und Anweisungen in Verbindung mit der gegebenen Art von Mensch-Maschine-Schnittstelle beschreibt. Angesichts dieser Realität sollten die Designer eines HAS versuchen, in die Maschinen (oder andere künstliche Systeme) ein Modell der physischen und kognitiven Eigenschaften des menschlichen Bedieners einzubauen – das heißt, das Systembild des Bedieners (Hollnagel und Woods 1983). . Die Designer eines HAS müssen auch die Abstraktionsebene in der Systembeschreibung sowie verschiedene relevante Kategorien des Verhaltens des menschlichen Bedieners berücksichtigen. Diese Abstraktionsebenen zur Modellierung menschlicher Funktionen in der Arbeitsumgebung sind wie folgt (Rasmussen 1983): (1) physische Form (anatomische Struktur), (2) physische Funktionen (physiologische Funktionen), (3) generalisierte Funktionen (psychologische Mechanismen und kognitive und affektive Prozesse), (4) abstrakte Funktionen (Informationsverarbeitung) und (5) funktionaler Zweck (Wertstrukturen, Mythen, Religionen, menschliche Interaktionen). Diese fünf Ebenen müssen von den Designern gleichzeitig berücksichtigt werden, um eine effektive HAS-Leistung sicherzustellen.

                                                                                                                                        Systemsoftware-Design

                                                                                                                                        Da die Computersoftware eine primäre Komponente jeder HAS-Umgebung ist, müssen Softwareentwicklung, einschließlich Design, Testen, Betrieb und Modifikation, sowie Fragen der Softwarezuverlässigkeit auch in den frühen Stadien der HAS-Entwicklung berücksichtigt werden. Auf diese Weise sollte man in der Lage sein, die Kosten für die Erkennung und Beseitigung von Softwarefehlern zu senken. Es ist jedoch schwierig, die Zuverlässigkeit der menschlichen Komponenten eines HAS abzuschätzen, da wir nur eingeschränkt in der Lage sind, die Leistung menschlicher Aufgaben, die damit verbundene Arbeitsbelastung und potenzielle Fehler zu modellieren. Eine zu hohe oder zu geringe mentale Belastung kann zu Informationsüberlastung bzw. Langeweile führen und kann zu einer verminderten menschlichen Leistungsfähigkeit führen, was zu Fehlern und einer zunehmenden Unfallwahrscheinlichkeit führt. Die Designer eines HAS sollten adaptive Schnittstellen verwenden, die Techniken der künstlichen Intelligenz verwenden, um diese Probleme zu lösen. Neben der Mensch-Maschine-Kompatibilität muss auch die Frage der Mensch-Maschine-Anpassungsfähigkeit aneinander betrachtet werden, um die Belastungen zu reduzieren, die durch eine mögliche Überschreitung menschlicher Fähigkeiten entstehen.

                                                                                                                                        Aufgrund der hohen Komplexität vieler hybrider automatisierter Systeme ist die Identifizierung potenzieller Gefahren in Bezug auf Hardware, Software, Betriebsabläufe und Mensch-Maschine-Interaktionen dieser Systeme entscheidend für den Erfolg von Bemühungen zur Reduzierung von Verletzungen und Geräteschäden . Sicherheits- und Gesundheitsgefahren im Zusammenhang mit komplexen hybriden automatisierten Systemen, wie z. B. Computer-Integrated Manufacturing Technology (CIM), sind eindeutig einer der kritischsten Aspekte des Systemdesigns und -betriebs.

                                                                                                                                        Probleme mit der Systemsicherheit

                                                                                                                                        Hybride automatisierte Umgebungen mit ihrem erheblichen Potenzial für unberechenbares Verhalten der Steuerungssoftware unter Systemstörungsbedingungen schaffen eine neue Generation von Unfallrisiken. Da hybride automatisierte Systeme vielseitiger und komplexer werden, können Systemstörungen, einschließlich Start- und Abschaltproblemen und Abweichungen in der Systemsteuerung, die Möglichkeit einer ernsthaften Gefahr für die menschlichen Bediener erheblich erhöhen. Ironischerweise verlassen sich die Bediener in vielen anormalen Situationen normalerweise auf das ordnungsgemäße Funktionieren der automatisierten Sicherheitssubsysteme, eine Praxis, die das Risiko schwerer Verletzungen erhöhen kann. So zeigte beispielsweise eine Untersuchung von Unfällen im Zusammenhang mit Fehlfunktionen technischer Steuerungssysteme, dass etwa ein Drittel der Unfallabläufe einen menschlichen Eingriff in den Regelkreis des gestörten Systems beinhaltete.

                                                                                                                                        Da traditionelle Sicherheitsmaßnahmen nicht einfach an die Bedürfnisse von HAS-Umgebungen angepasst werden können, müssen Strategien zur Verletzungskontrolle und Unfallverhütung angesichts der inhärenten Eigenschaften dieser Systeme überdacht werden. Beispielsweise sind im Bereich der fortschrittlichen Fertigungstechnologie viele Prozesse durch das Vorhandensein erheblicher Mengen an Energieströmen gekennzeichnet, die von den menschlichen Bedienern nicht ohne weiteres vorhergesehen werden können. Darüber hinaus treten Sicherheitsprobleme typischerweise an den Schnittstellen zwischen Teilsystemen auf oder wenn Systemstörungen von einem Teilsystem zum anderen fortschreiten. Gemäß der Internationalen Organisation für Normung (ISO 1991) variieren die Risiken im Zusammenhang mit Gefahren durch industrielle Automatisierung mit den Arten von Industriemaschinen, die in das jeweilige Fertigungssystem integriert sind, und mit der Art und Weise, wie das System installiert, programmiert, betrieben und gewartet wird und repariert. Beispielsweise zeigte ein Vergleich von Unfällen im Zusammenhang mit Robotern in Schweden mit anderen Arten von Unfällen, dass Roboter möglicherweise die gefährlichsten Industriemaschinen sind, die in der fortgeschrittenen Fertigungsindustrie eingesetzt werden. Die geschätzte Unfallrate für Industrieroboter war ein schwerer Unfall pro 45 Roboterjahre, eine höhere Rate als die für Industriepressen, die mit einem Unfall pro 50 Maschinenjahre angegeben wurde. An dieser Stelle sei darauf hingewiesen, dass Industriepressen in den Vereinigten Staaten im Zeitraum 23–1980 etwa 1985 % aller Todesfälle im Zusammenhang mit Metallbearbeitungsmaschinen ausmachten, wobei Kraftpressen in Bezug auf das Schwere-Häufigkeits-Produkt für nicht tödliche Verletzungen an erster Stelle rangierten.

                                                                                                                                        Im Bereich der fortschrittlichen Fertigungstechnologie gibt es viele bewegliche Teile, die für Arbeiter gefährlich sind, da sie ihre Position auf komplexe Weise außerhalb des Sichtfelds der menschlichen Bediener ändern. Die schnellen technologischen Entwicklungen in der computerintegrierten Fertigung machten es erforderlich, die Auswirkungen fortschrittlicher Fertigungstechnologien auf die Arbeitnehmer zu untersuchen. Um die Gefahren zu identifizieren, die von verschiedenen Komponenten einer solchen HAS-Umgebung ausgehen, müssen vergangene Unfälle sorgfältig analysiert werden. Unglücklicherweise lassen sich Unfälle mit Robotereinsatz nur schwer von Berichten über Unfälle im Zusammenhang mit von Menschen bedienten Maschinen isolieren, und daher kann es einen hohen Prozentsatz an nicht erfassten Unfällen geben. Die Arbeitsschutzvorschriften Japans besagen, dass „Industrieroboter derzeit keine zuverlässigen Sicherheitsmittel haben und Arbeiter nicht vor ihnen geschützt werden können, wenn ihre Verwendung nicht geregelt ist“. Beispielsweise zeigten die Ergebnisse der vom Arbeitsministerium Japans (Sugimoto 1987) durchgeführten Erhebung zu Unfällen im Zusammenhang mit Industrierobotern in den 190 untersuchten Fabriken (mit 4,341 Arbeitsrobotern), dass es 300 roboterbedingte Störungen gab, davon 37 Fälle der unsicheren Handlungen führten zu Beinahe-Unfällen, 9 Unfälle mit Verletzungen und 2 tödliche Unfälle. Die Ergebnisse anderer Studien weisen darauf hin, dass computergestützte Automatisierung nicht unbedingt das Gesamtsicherheitsniveau erhöht, da die Systemhardware nicht allein durch Sicherheitsfunktionen in der Computersoftware ausfallsicher gemacht werden kann und Systemsteuerungen nicht immer sehr zuverlässig sind. Darüber hinaus kann man sich in einem komplexen HAS nicht ausschließlich auf Sicherheitserfassungsgeräte verlassen, um gefährliche Bedingungen zu erkennen und geeignete Gefahrenvermeidungsstrategien zu ergreifen.

                                                                                                                                        Auswirkungen der Automatisierung auf die menschliche Gesundheit

                                                                                                                                        Wie oben diskutiert, sind Arbeiteraktivitäten in vielen HAS-Umgebungen im Grunde solche der Überwachung, Überwachung, Systemunterstützung und Wartung. Diese Aktivitäten können auch wie folgt in vier grundlegende Gruppen eingeteilt werden: (1) Programmieraufgaben, dh Codieren der Informationen, die den Maschinenbetrieb führen und lenken, (2) Überwachung der HAS-Produktions- und Steuerkomponenten, (3) Wartung von HAS-Komponenten zur Verhinderung oder Maschinenfehlfunktionen zu lindern und (4) eine Vielzahl von Unterstützungsaufgaben durchzuführen usw. Viele neuere Untersuchungen der Auswirkungen des HAS auf das Wohlbefinden der Arbeiter kamen zu dem Schluss, dass die Verwendung eines HAS im Fertigungsbereich schwere und gefährliche Aufgaben beseitigen kann , kann die Arbeit in einer HAS-Umgebung für die Arbeitnehmer unbefriedigend und stressig sein. Zu den Stressquellen gehörten die ständige Überwachung, die bei vielen HAS-Anwendungen erforderlich ist, der begrenzte Umfang der zugewiesenen Aktivitäten, das geringe Maß an Arbeiterinteraktion, das durch das Systemdesign zulässig ist, und Sicherheitsrisiken im Zusammenhang mit der unvorhersehbaren und unkontrollierbaren Natur der Ausrüstung. Auch wenn einige Mitarbeiter, die an Programmier- und Wartungsaktivitäten beteiligt sind, die Elemente der Herausforderung spüren, die sich positiv auf ihr Wohlbefinden auswirken können, werden diese Auswirkungen oft durch die komplexe und anspruchsvolle Natur dieser Aktivitäten sowie durch den Druck ausgeglichen Anstrengungen des Managements, diese Aktivitäten schnell abzuschließen.

                                                                                                                                        Obwohl in einigen HAS-Umgebungen die menschlichen Bediener während normaler Betriebsbedingungen von traditionellen Energiequellen (Arbeitsfluss und Bewegung der Maschine) getrennt sind, müssen viele Aufgaben in automatisierten Systemen immer noch in direktem Kontakt mit anderen Energiequellen ausgeführt werden. Da die Zahl der unterschiedlichen HAS-Komponenten ständig zunimmt, muss besonderes Augenmerk auf den Komfort und die Sicherheit der Arbeiter und auf die Entwicklung wirksamer Vorkehrungen zur Vermeidung von Verletzungen gelegt werden, insbesondere angesichts der Tatsache, dass die Arbeiter nicht mehr in der Lage sind, mit den Anforderungen Schritt zu halten Ausgereiftheit und Komplexität solcher Systeme.

                                                                                                                                        Um den aktuellen Anforderungen an Verletzungskontrolle und Arbeitssicherheit in computerintegrierten Fertigungssystemen gerecht zu werden, hat das ISO-Komitee für industrielle Automatisierungssysteme eine neue Sicherheitsnorm mit dem Titel „Sicherheit integrierter Fertigungssysteme“ (1991) vorgeschlagen. Diese neue internationale Norm, die in Anbetracht der besonderen Gefahren entwickelt wurde, die in integrierten Fertigungssystemen mit Industriemaschinen und zugehöriger Ausrüstung bestehen, zielt darauf ab, die Möglichkeit von Verletzungen des Personals bei der Arbeit an oder neben einem integrierten Fertigungssystem zu minimieren. Die durch diese Norm identifizierten Hauptquellen potenzieller Gefahren für die menschlichen Bediener in CIM sind in Abbildung 1 dargestellt.

                                                                                                                                        Abbildung 1. Hauptgefahrenquellen in der computerintegrierten Fertigung (CIM) (nach ISO 1991)

                                                                                                                                        ACC250T1

                                                                                                                                        Menschliche und Systemfehler

                                                                                                                                        Im Allgemeinen können Gefahren in einem HAS aus dem System selbst, aus seiner Verbindung mit anderen in der physischen Umgebung vorhandenen Geräten oder aus Interaktionen von menschlichem Personal mit dem System entstehen. Ein Unfall ist nur eine von mehreren Folgen von Interaktionen zwischen Mensch und Maschine, die unter gefährlichen Bedingungen auftreten können; Beinahunfälle und Schadensereignisse sind viel häufiger (Zimolong und Duda 1992). Das Auftreten eines Fehlers kann zu einer dieser Folgen führen: (1) der Fehler bleibt unbemerkt, (2) das System kann den Fehler kompensieren, (3) der Fehler führt zu einem Maschinen- und/oder Anlagenstillstand oder (4 ) führt der Fehler zu einem Unfall.

                                                                                                                                        Da nicht jeder menschliche Fehler, der zu einem kritischen Vorfall führt, einen tatsächlichen Unfall verursacht, ist es angemessen, zwischen den Ergebniskategorien wie folgt weiter zu unterscheiden: (1) ein unsicherer Vorfall (d. h. jedes unbeabsichtigte Ereignis, unabhängig davon, ob es zu Verletzungen, Schäden oder Verlust), (2) ein Unfall (dh ein unsicheres Ereignis, das zu Verletzungen, Schäden oder Verlusten führt), (3) ein Schadensereignis (dh ein unsicheres Ereignis, das nur zu einer Art Sachschaden führt), (4) a Beinahe-Unfall oder „Beinahe-Unfall“ (d. h. ein unsicheres Ereignis, bei dem Verletzungen, Schäden oder Verluste zufällig nur knapp vermieden wurden) und (5) das Vorhandensein eines Unfallpotenzials (d. h. unsichere Ereignisse, die zu Verletzungen, Schäden hätten führen können oder Verlust, aber aufgrund der Umstände nicht einmal zu einem Beinahe-Unfall geführt hat).

                                                                                                                                        Man kann drei grundlegende Arten von menschlichem Versagen bei HAS unterscheiden:

                                                                                                                                          1. Geschicklichkeitsbasierte Ausrutscher und Verfehlungen
                                                                                                                                          2. regelbasierte Fehler
                                                                                                                                          3. wissensbasierte Fehler.

                                                                                                                                               

                                                                                                                                              Diese von Reason (1990) entwickelte Taxonomie basiert auf einer Modifikation von Rasmussens Fähigkeit-Regel-Wissen-Klassifikation menschlicher Leistung, wie oben beschrieben. Auf der fähigkeitsbasierten Ebene wird die menschliche Leistung durch gespeicherte Muster vorprogrammierter Anweisungen bestimmt, die als analoge Strukturen in einem Raum-Zeit-Bereich dargestellt werden. Die regelbasierte Ebene ist anwendbar, um vertraute Probleme anzugehen, bei denen Lösungen durch gespeicherte Regeln geregelt werden (als „Produktionen“ bezeichnet, da auf sie bei Bedarf zugegriffen oder sie erzeugt werden). Diese Regeln erfordern bestimmte Diagnosen (oder Beurteilungen) oder bestimmte Abhilfemaßnahmen, wenn bestimmte Bedingungen eingetreten sind, die eine angemessene Reaktion erfordern. Auf dieser Ebene sind menschliche Fehler typischerweise mit der Fehlklassifizierung von Situationen verbunden, was entweder zur Anwendung der falschen Regel oder zur falschen Erinnerung an daraus resultierende Urteile oder Verfahren führt. Wissensbasierte Fehler treten in neuartigen Situationen auf, für die Aktionen „online“ (zu einem bestimmten Zeitpunkt) geplant werden müssen, wobei bewusste analytische Prozesse und gespeichertes Wissen verwendet werden. Fehler auf dieser Ebene entstehen durch Ressourcenbeschränkungen und unvollständiges oder falsches Wissen.

                                                                                                                                              Die von Reason (1990) vorgeschlagenen generischen Fehlermodellierungssysteme (GEMS), die versuchen, die Ursprünge der grundlegenden menschlichen Fehlertypen zu lokalisieren, können verwendet werden, um die Gesamttaxonomie des menschlichen Verhaltens in einem HAS abzuleiten. GEMS versucht, zwei unterschiedliche Bereiche der Fehlerforschung zu integrieren: (1) Ausrutscher und Versäumnisse, bei denen Aktionen aufgrund von Ausführungsfehlern und/oder Speicherfehlern von der aktuellen Absicht abweichen, und (2) Fehler, bei denen die Aktionen planmäßig ablaufen können, aber der Plan reicht nicht aus, um das gewünschte Ergebnis zu erzielen.

                                                                                                                                              Gefährdungsbeurteilung und -prävention im CIM

                                                                                                                                              Gemäß ISO (1991) sollte eine Risikobewertung in CIM durchgeführt werden, um alle Risiken zu minimieren und als Grundlage für die Festlegung von Sicherheitszielen und -maßnahmen bei der Entwicklung von Programmen oder Plänen zu dienen, um sowohl ein sicheres Arbeitsumfeld zu schaffen als auch zu gewährleisten auch die Sicherheit und Gesundheit des Personals. Zum Beispiel können Arbeitsgefahren in produktionsbasierten HAS-Umgebungen wie folgt charakterisiert werden: (1) der menschliche Bediener muss möglicherweise den Gefahrenbereich während der Fehlerbehebung, Service- und Wartungsarbeiten betreten, (2) der Gefahrenbereich ist schwer zu bestimmen, wahrzunehmen und zu kontrollieren, (3) die Arbeit kann eintönig sein und (4) die Unfälle, die sich in computerintegrierten Fertigungssystemen ereignen, sind oft schwerwiegend. Jede identifizierte Gefahr sollte auf ihr Risiko hin bewertet werden, und geeignete Sicherheitsmaßnahmen sollten festgelegt und umgesetzt werden, um dieses Risiko zu minimieren. Gefahren sollten auch in Bezug auf alle folgenden Aspekte eines bestimmten Prozesses festgestellt werden: die einzelne Einheit selbst; die Interaktion zwischen einzelnen Einheiten; die Betriebsabschnitte des Systems; und den Betrieb des vollständigen Systems für alle beabsichtigten Betriebsmodi und Bedingungen, einschließlich Bedingungen, unter denen normale Schutzmaßnahmen für Vorgänge wie Programmierung, Überprüfung, Fehlersuche, Wartung oder Reparatur außer Kraft gesetzt sind.

                                                                                                                                              Die Entwurfsphase der ISO (1991) Sicherheitsstrategie für CIM umfasst:

                                                                                                                                                • Angabe der Grenzen von Systemparametern
                                                                                                                                                • Anwendung einer Sicherheitsstrategie
                                                                                                                                                • Identifizierung von Gefahren
                                                                                                                                                • Einschätzung der damit verbundenen Risiken
                                                                                                                                                • Beseitigung der Gefahren oder Verringerung der Risiken so weit wie möglich.

                                                                                                                                                         

                                                                                                                                                        Die Systemsicherheitsspezifikation sollte Folgendes umfassen:

                                                                                                                                                          • eine Beschreibung der Systemfunktionen
                                                                                                                                                          • ein Systemlayout und/oder -modell
                                                                                                                                                          • die Ergebnisse einer Umfrage, die durchgeführt wurde, um das Zusammenspiel verschiedener Arbeitsprozesse und manueller Tätigkeiten zu untersuchen
                                                                                                                                                          • eine Analyse von Prozessabläufen, einschließlich manueller Eingriffe
                                                                                                                                                          • eine Beschreibung der Schnittstellen zu Förder- oder Transportstrecken
                                                                                                                                                          • Prozessflussdiagramme
                                                                                                                                                          • Gründungspläne
                                                                                                                                                          • Pläne für Ver- und Entsorgungseinrichtungen
                                                                                                                                                          • Ermittlung des Platzbedarfs für die Materialver- und -entsorgung
                                                                                                                                                          • vorhandene Unfallunterlagen.

                                                                                                                                                                             

                                                                                                                                                                            Gemäß ISO (1991) müssen alle notwendigen Anforderungen zur Gewährleistung eines sicheren CIM-Systembetriebs bei der Gestaltung systematischer Sicherheitsplanungsverfahren berücksichtigt werden. Dies umfasst alle Schutzmaßnahmen zur wirksamen Minderung von Gefahren und erfordert:

                                                                                                                                                                              • Integration der Mensch-Maschine-Schnittstelle
                                                                                                                                                                              • frühzeitige Definition der Position der am System Arbeitenden (zeitlich und räumlich)
                                                                                                                                                                              • frühzeitige Überlegungen zum Abbau von Einzelarbeit
                                                                                                                                                                              • Berücksichtigung von Umweltaspekten.

                                                                                                                                                                                   

                                                                                                                                                                                  Das Sicherheitsplanungsverfahren sollte unter anderem die folgenden Sicherheitsaspekte von CIM berücksichtigen:

                                                                                                                                                                                    • Auswahl der Betriebsarten des Systems. Die Steuerausrüstung sollte Vorkehrungen für mindestens die folgenden Betriebsmodi haben: (1) Normal- oder Produktionsmodus (d. h. mit allen normalen Schutzvorrichtungen angeschlossen und in Betrieb), (2) Betrieb mit einigen der normalen Schutzvorrichtungen außer Kraft gesetzt und (3) Betrieb im eingeschalteten Zustand welches System oder ferngesteuerte manuelle Auslösen von Gefahrensituationen verhindert wird (z. B. im Fall einer lokalen Bedienung oder einer Trennung der Stromversorgung oder einer mechanischen Blockierung von Gefahrensituationen).
                                                                                                                                                                                    • Schulung, Installation, Inbetriebnahme und Funktionstest. Wenn sich Personal im Gefahrenbereich aufhalten muss, sollten die folgenden Sicherheitsmaßnahmen im Steuerungssystem vorgesehen werden: (1) Totmannfunktion, (2) Zustimmungseinrichtung, (3) reduzierte Geschwindigkeit, (4) reduzierte Leistung und (5 ) beweglicher Not-Halt.
                                                                                                                                                                                    • Sicherheit bei Systemprogrammierung, Wartung und Reparatur. Während des Programmierens sollte nur der Programmierer den geschützten Raum betreten dürfen. Das System sollte über Inspektions- und Wartungsverfahren verfügen, um den bestimmungsgemäßen Betrieb des Systems sicherzustellen. Das Inspektions- und Wartungsprogramm sollte die Empfehlungen des Systemlieferanten und die der Lieferanten verschiedener Elemente des Systems berücksichtigen. Es muss kaum erwähnt werden, dass Personal, das Wartungs- oder Reparaturarbeiten am System durchführt, in den Verfahren geschult werden sollte, die zur Ausführung der erforderlichen Aufgaben erforderlich sind.
                                                                                                                                                                                    • Störungsbeseitigung. Wenn eine Fehlerbeseitigung innerhalb des geschützten Raums erforderlich ist, sollte sie nach einer sicheren Trennung (oder, wenn möglich, nachdem eine Verriegelungsvorrichtung betätigt wurde) durchgeführt werden. Zusätzliche Maßnahmen gegen das irrtümliche Auslösen von Gefahrensituationen sollten getroffen werden. Wo bei der Störungsbeseitigung an Anlagenteilen oder an Maschinen benachbarter Anlagen oder Maschinen Gefahren auftreten können, sind diese ebenfalls außer Betrieb zu setzen und gegen unerwartetes Anlaufen zu sichern. Durch Hinweis- und Warnschilder soll auf die Störungsbeseitigung nicht vollständig beobachtbarer Anlagenteile hingewiesen werden.

                                                                                                                                                                                           

                                                                                                                                                                                          Systemstörungskontrolle

                                                                                                                                                                                          In vielen HAS-Installationen, die im Bereich der computerintegrierten Fertigung verwendet werden, werden menschliche Bediener typischerweise zum Zweck des Steuerns, Programmierens, Wartens, Voreinstellens, Wartens oder Behebens von Aufgaben benötigt. Störungen in der Anlage führen zu Situationen, die ein Betreten der Gefahrenbereiche durch die Arbeiter erforderlich machen. Insofern ist davon auszugehen, dass Störungen weiterhin der wichtigste Grund für menschliche Eingriffe in CIM bleiben, da die Systeme häufig von außerhalb der Sperrgebiete programmiert werden. Eines der wichtigsten Themen für die CIM-Sicherheit ist die Vermeidung von Störungen, da die meisten Risiken in der Fehlerbehebungsphase des Systems auftreten. Die Vermeidung von Störungen ist das gemeinsame Ziel hinsichtlich Sicherheit und Wirtschaftlichkeit.

                                                                                                                                                                                          Eine Störung in einem CIM-System ist ein Zustand oder eine Funktion eines Systems, die vom geplanten oder gewünschten Zustand abweicht. Neben der Produktivität wirken sich Störungen beim Betrieb eines CIM direkt auf die Sicherheit der am Betrieb der Anlage beteiligten Personen aus. Eine finnische Studie (Kuivanen 1990) zeigte, dass etwa die Hälfte der Störungen in der automatisierten Fertigung die Sicherheit der Arbeiter beeinträchtigen. Die Hauptursachen für Störungen waren Fehler im Systemdesign (34 %), Ausfälle von Systemkomponenten (31 %), menschliches Versagen (20 %) und externe Faktoren (15 %). Die meisten Maschinenausfälle wurden durch das Steuersystem verursacht, und im Steuersystem traten die meisten Fehler in Sensoren auf. Eine effektive Möglichkeit, das Sicherheitsniveau von CIM-Anlagen zu erhöhen, besteht darin, die Anzahl der Störungen zu reduzieren. Obwohl menschliche Handlungen in gestörten Systemen das Auftreten von Unfällen in der HAS-Umgebung verhindern, tragen sie auch dazu bei. So zeigte beispielsweise eine Untersuchung von Unfällen im Zusammenhang mit Fehlfunktionen technischer Steuerungssysteme, dass etwa ein Drittel der Unfallabläufe einen menschlichen Eingriff in den Regelkreis des gestörten Systems beinhaltete.

                                                                                                                                                                                          Die Hauptforschungsthemen in der CIM-Störungsprävention betreffen (1) Hauptursachen von Störungen, (2) unzuverlässige Komponenten und Funktionen, (3) die Auswirkungen von Störungen auf die Sicherheit, (4) die Auswirkungen von Störungen auf die Funktion des Systems, ( 5) Sachschäden und (6) Reparaturen. Die Sicherheit von HAS sollte frühzeitig in der Phase des Systementwurfs unter gebührender Berücksichtigung von Technologie, Personal und Organisation geplant werden und ein integraler Bestandteil des gesamten technischen HAS-Planungsprozesses sein.

                                                                                                                                                                                          HAS-Design: Zukünftige Herausforderungen

                                                                                                                                                                                          Um den größtmöglichen Nutzen aus hybriden automatisierten Systemen, wie oben diskutiert, sicherzustellen, ist eine viel breitere Vision der Systementwicklung erforderlich, die auf der Integration von Menschen, Organisation und Technologie basiert. Drei Haupttypen der Systemintegration sollten hier angewendet werden:

                                                                                                                                                                                            1. Integration von Menschen, indem eine effektive Kommunikation zwischen ihnen sichergestellt wird
                                                                                                                                                                                            2. Mensch-Computer-Integration, indem geeignete Schnittstellen und Interaktionen zwischen Menschen und Computern entworfen werden
                                                                                                                                                                                            3. technologische Integration, indem effektive Schnittstellen und Interaktionen zwischen Maschinen sichergestellt werden.

                                                                                                                                                                                                 

                                                                                                                                                                                                Die Mindestdesignanforderungen für hybride automatisierte Systeme sollten Folgendes umfassen: (1) Flexibilität, (2) dynamische Anpassung, (3) verbesserte Reaktionsfähigkeit und (4) die Notwendigkeit, Menschen zu motivieren und ihre Fähigkeiten, ihr Urteilsvermögen und ihre Erfahrung besser zu nutzen . Das oben Gesagte erfordert auch, dass Organisationsstrukturen, Arbeitspraktiken und Technologien entwickelt werden, die es Menschen auf allen Ebenen des Systems ermöglichen, ihre Arbeitsstrategien an die Vielfalt der Systemsteuerungssituationen anzupassen. Daher müssen die Organisationen, Arbeitsweisen und Technologien von HAS als offene Systeme konzipiert und entwickelt werden (Kidd 1994).

                                                                                                                                                                                                Ein offenes hybrides automatisiertes System (OHAS) ist ein System, das Eingaben von seiner Umgebung empfängt und Ausgaben an diese sendet. Die Idee eines offenen Systems lässt sich nicht nur auf Systemarchitekturen und Organisationsstrukturen anwenden, sondern auch auf Arbeitspraktiken, Mensch-Computer-Schnittstellen und die Beziehung zwischen Menschen und Technologien: Zu nennen sind beispielsweise Planungssysteme, Steuerungssysteme und Entscheidungsunterstützungssysteme. Ein offenes System ist auch dann ein adaptives System, wenn es den Menschen einen großen Freiheitsgrad bei der Definition der Betriebsweise des Systems lässt. Beispielsweise können im Bereich Advanced Manufacturing die Anforderungen an ein offenes hybrides automatisiertes System durch das Konzept von realisiert werden menschen- und computerintegrierte Fertigung (HCIM). Aus dieser Sicht sollte das Design der Technologie die gesamte HCIM-Systemarchitektur berücksichtigen, einschließlich der folgenden: (1) Überlegungen zum Netzwerk von Gruppen, (2) die Struktur jeder Gruppe, (3) die Interaktion zwischen Gruppen, (4) die Art der unterstützenden Software und (5) technische Kommunikations- und Integrationsanforderungen zwischen unterstützenden Softwaremodulen.

                                                                                                                                                                                                Das adaptive hybride automatisierte System schränkt im Gegensatz zum geschlossenen System nicht ein, was die menschlichen Bediener tun können. Die Rolle des Designers eines HAS besteht darin, ein System zu schaffen, das die persönlichen Vorlieben des Benutzers erfüllt und es seinen Benutzern ermöglicht, so zu arbeiten, wie sie es am geeignetsten finden. Eine Voraussetzung für das Zulassen von Benutzereingaben ist die Entwicklung einer adaptiven Entwurfsmethodik – also eines OHAS, der es ermöglicht, computergestützte Technologie für seine Implementierung im Entwurfsprozess zu ermöglichen. Die Notwendigkeit, eine Methodik für adaptives Design zu entwickeln, ist eine der unmittelbaren Voraussetzungen, um das OHAS-Konzept in die Praxis umzusetzen. Es muss auch eine neue Ebene der adaptiven menschlichen Überwachungssteuerungstechnologie entwickelt werden. Eine solche Technologie sollte es dem menschlichen Bediener ermöglichen, das ansonsten unsichtbare Steuersystem der HAS-Funktion „durchzuschauen“ – beispielsweise durch Anwendung eines interaktiven Hochgeschwindigkeits-Videosystems an jedem Punkt der Systemsteuerung und des Betriebs. Schließlich wird auch dringend eine Methodik zur Entwicklung einer intelligenten und hochgradig anpassungsfähigen computergestützten Unterstützung menschlicher Rollen und menschlicher Funktionen in hybriden automatisierten Systemen benötigt.

                                                                                                                                                                                                 

                                                                                                                                                                                                Zurück

                                                                                                                                                                                                Es besteht allgemein Einigkeit darüber, dass Steuerungssysteme während des Gebrauchs sicher sein müssen. Vor diesem Hintergrund sind die meisten modernen Steuerungssysteme wie in Abbildung 1 dargestellt aufgebaut.

                                                                                                                                                                                                Abbildung 1. Allgemeiner Aufbau von Steuerungssystemen

                                                                                                                                                                                                SAF062F1

                                                                                                                                                                                                Der einfachste Weg, ein Steuerungssystem sicher zu machen, besteht darin, eine undurchdringliche Mauer darum zu errichten, um den Zugang oder Eingriff von Menschen in den Gefahrenbereich zu verhindern. Ein solches System wäre sehr sicher, wenn auch unpraktisch, da es unmöglich wäre, sich Zugang zu verschaffen, um die meisten Test-, Reparatur- und Einstellarbeiten durchzuführen. Da der Zugang zu Gefahrenbereichen unter bestimmten Bedingungen erlaubt sein muss, sind andere Schutzmaßnahmen als nur Mauern, Zäune und dergleichen erforderlich, um Produktion, Installation, Wartung und Instandhaltung zu erleichtern.

                                                                                                                                                                                                 

                                                                                                                                                                                                Einige dieser Schutzmaßnahmen können wie folgt teilweise oder vollständig in Steuerungssysteme integriert werden:

                                                                                                                                                                                                • Beim Betreten des Gefahrenbereichs kann die Bewegung durch Not-Halt (ES)-Taster sofort gestoppt werden.
                                                                                                                                                                                                • Drucktastensteuerungen erlauben eine Bewegung nur, wenn die Drucktaste aktiviert ist.
                                                                                                                                                                                                • Zweihandsteuerungen (DHC) lassen eine Bewegung nur zu, wenn beide Hände mit dem Niederdrücken der beiden Bedienelemente beschäftigt sind (dadurch wird sichergestellt, dass die Hände von den Gefahrenbereichen ferngehalten werden).

                                                                                                                                                                                                 

                                                                                                                                                                                                Diese Arten von Schutzmaßnahmen werden von Bedienern aktiviert. Da der Mensch jedoch oft eine Schwachstelle in Anwendungen darstellt, werden viele Funktionen, wie z. B. die folgenden, automatisch ausgeführt:

                                                                                                                                                                                                • Bewegungen von Roboterarmen während der Wartung oder des „Einlernens“ sind sehr langsam. Trotzdem wird die Geschwindigkeit kontinuierlich überwacht. Wenn die Geschwindigkeit automatischer Roboterarme aufgrund eines Ausfalls des Steuerungssystems während der Wartungs- oder Einlernphase unerwartet zunehmen würde, würde das Überwachungssystem aktiviert und die Bewegung sofort beendet.
                                                                                                                                                                                                • Um den Zutritt in einen Gefahrenbereich zu verhindern, ist eine Lichtschranke vorgesehen. Wird der Lichtstrahl unterbrochen, stoppt die Maschine automatisch.

                                                                                                                                                                                                 

                                                                                                                                                                                                Die normale Funktion von Steuerungssystemen ist die wichtigste Voraussetzung für die Produktion. Wird eine Produktionsfunktion durch einen Steuerungsausfall unterbrochen, ist das höchstens lästig, aber nicht gefährlich. Wenn eine sicherheitsrelevante Funktion nicht ausgeführt wird, kann dies zu Produktionsausfall, Sachschäden, Verletzungen oder sogar zum Tod führen. Daher müssen sicherheitsrelevante Steuerungssystemfunktionen zuverlässiger und sicherer sein als normale Steuerungssystemfunktionen. Gemäß der Richtlinie 89/392/EWG des Europäischen Rates (Maschinenrichtlinie) müssen Steuerungen so konstruiert und gebaut sein, dass sie sicher und zuverlässig sind.

                                                                                                                                                                                                Steuerungen bestehen aus einer Anzahl von Komponenten, die miteinander verbunden sind, um eine oder mehrere Funktionen auszuführen. Die Steuerungen sind in Kanäle unterteilt. Ein Kanal ist der Teil einer Steuerung, der eine bestimmte Funktion ausführt (z. B. Start, Stopp, Notstopp). Physikalisch wird der Kanal durch eine Reihe von Komponenten (Transistoren, Dioden, Relais, Gatter usw.) erzeugt, durch die von einer Komponente zur nächsten (meist elektrische) Informationen, die diese Funktion darstellen, vom Eingang zum Ausgang übertragen werden.

                                                                                                                                                                                                Bei der Gestaltung von Steuerkanälen für sicherheitsrelevante Funktionen (also Funktionen, an denen Menschen beteiligt sind) sind folgende Anforderungen zu erfüllen:

                                                                                                                                                                                                • Komponenten, die in Steuerkanälen mit sicherheitsrelevanten Funktionen eingesetzt werden, müssen den Belastungen des normalen Gebrauchs standhalten. Allgemein, sie müssen ausreichend zuverlässig sein.
                                                                                                                                                                                                • Fehler in der Logik dürfen keine gefährlichen Situationen verursachen. Allgemein, der sicherheitsrelevante Kanal muss ausreichend ausfallsicher sein.
                                                                                                                                                                                                • Äußere Einflüsse (Faktoren) sollten nicht zu vorübergehenden oder dauerhaften Ausfällen in sicherheitsrelevanten Kanälen führen.

                                                                                                                                                                                                 

                                                                                                                                                                                                Zuverlässigkeit

                                                                                                                                                                                                Zuverlässigkeit ist die Fähigkeit eines Steuerkanals oder einer Komponente, eine erforderliche Funktion unter bestimmten Bedingungen für einen bestimmten Zeitraum auszuführen ohne zu scheitern. (Mit geeigneten Methoden können Wahrscheinlichkeiten für bestimmte Komponenten oder Kontrollkanäle berechnet werden.) Die Zuverlässigkeit muss immer für einen bestimmten Zeitwert angegeben werden. Im Allgemeinen kann die Zuverlässigkeit durch die Formel in Abbildung 2 ausgedrückt werden.

                                                                                                                                                                                                Abbildung 2. Zuverlässigkeitsformel

                                                                                                                                                                                                SAF062F2

                                                                                                                                                                                                Zuverlässigkeit komplexer Systeme

                                                                                                                                                                                                Systeme werden aus Komponenten aufgebaut. Sind die Zuverlässigkeiten der Komponenten bekannt, kann die Zuverlässigkeit des Gesamtsystems berechnet werden. In solchen Fällen gilt Folgendes:

                                                                                                                                                                                                Serielle Systeme

                                                                                                                                                                                                Die absolute Zuverlässigkeit Rbis eines seriellen Systems bestehend aus N Komponenten gleicher Zuverlässigkeit RC wird wie in Abbildung 3 berechnet.

                                                                                                                                                                                                Abbildung 3. Zuverlässigkeitsdiagramm von in Reihe geschalteten Komponenten

                                                                                                                                                                                                SAF062F3

                                                                                                                                                                                                Die Gesamtzuverlässigkeit ist geringer als die Zuverlässigkeit der am wenigsten zuverlässigen Komponente. Wenn die Anzahl der in Reihe geschalteten Komponenten zunimmt, nimmt die Gesamtzuverlässigkeit der Kette erheblich ab.

                                                                                                                                                                                                Parallele Systeme

                                                                                                                                                                                                Die absolute Zuverlässigkeit Rbis eines parallelen Systems bestehend aus N Komponenten gleicher Zuverlässigkeit RC wird wie in Abbildung 4 berechnet.

                                                                                                                                                                                                Abbildung 4. Zuverlässigkeitsdiagramm parallel geschalteter Komponenten

                                                                                                                                                                                                SAF062F4

                                                                                                                                                                                                Die Gesamtzuverlässigkeit kann durch die Parallelschaltung von zwei oder mehr Komponenten erheblich verbessert werden.

                                                                                                                                                                                                Abbildung 5 zeigt ein praktisches Beispiel. Beachten Sie, dass die Schaltung den Motor zuverlässiger abschaltet. Auch wenn das Relais A oder B seinen Kontakt nicht öffnet, wird der Motor trotzdem abgeschaltet.

                                                                                                                                                                                                Abbildung 5. Praktisches Beispiel von Abbildung 4

                                                                                                                                                                                                SAF062F5

                                                                                                                                                                                                Die Berechnung der Gesamtzuverlässigkeit eines Kanals ist einfach, wenn alle erforderlichen Komponentenzuverlässigkeiten bekannt und verfügbar sind. Bei komplexen Bauteilen (integrierte Schaltkreise, Mikroprozessoren etc.) ist die Berechnung der Gesamtzuverlässigkeit schwierig bis unmöglich, wenn die notwendigen Informationen nicht vom Hersteller veröffentlicht werden.

                                                                                                                                                                                                Sicherheit

                                                                                                                                                                                                Wenn Fachleute von Sicherheit sprechen und sichere Maschinen fordern, meinen sie die Sicherheit der gesamten Maschine oder Anlage. Diese Sicherheit ist jedoch zu allgemein und für den Konstrukteur von Steuerungen nicht genau genug definiert. Die folgende Definition von Sicherheit kann für Entwickler von Steuerschaltungen praktisch und brauchbar sein: Sicherheit ist die Fähigkeit eines Steuersystems, die erforderliche Funktion innerhalb vorgeschriebener Grenzen für eine bestimmte Dauer auszuführen, selbst wenn erwartete Fehler auftreten. Folglich muss beim Design geklärt werden, wie „sicher“ der sicherheitsgerichtete Kanal sein muss. (Der Konstrukteur kann einen Kanal entwickeln, der gegen den ersten Ausfall, gegen einen beliebigen Ausfall, gegen zwei Ausfälle usw. sicher ist.) Außerdem kann ein Kanal, der eine Funktion erfüllt, die dazu dient, Unfälle zu verhindern, im Wesentlichen zuverlässig sein, muss es aber nicht zwangsläufig sicher vor Ausfällen zu sein. Dies lässt sich am besten an folgenden Beispielen erklären:

                                                                                                                                                                                                Beispiel 1

                                                                                                                                                                                                Das in Abbildung 6 dargestellte Beispiel ist ein sicherheitsrelevanter Steuerkanal, der die erforderliche Sicherheitsfunktion ausführt. Die erste Komponente kann ein Schalter sein, der beispielsweise die Position einer Zugangstür zu einem Gefahrenbereich überwacht. Die letzte Komponente ist ein Motor, der bewegliche mechanische Teile innerhalb des Gefahrenbereichs antreibt.

                                                                                                                                                                                                Abbildung 6. Ein sicherheitsrelevanter Steuerkanal, der die erforderliche Sicherheitsfunktion ausführt

                                                                                                                                                                                                SAF062F6

                                                                                                                                                                                                Die geforderte Sicherheitsfunktion ist in diesem Fall eine doppelte: Bei geschlossener Tür darf der Motor laufen. Bei geöffneter Tür muss der Motor abgeschaltet werden. Zuverlässigkeiten kennen R1 zu R.6, lässt sich die Reliabilität R berechnenKnirps. Konstrukteure sollten zuverlässige Komponenten verwenden, um eine ausreichend hohe Zuverlässigkeit des gesamten Steuerungssystems aufrechtzuerhalten (dh die Wahrscheinlichkeit, dass diese Funktion beispielsweise noch in 20 Jahren ausgeführt wird, sollte bei der Konstruktion berücksichtigt werden). Folglich müssen Designer zwei Aufgaben erfüllen: (1) die Schaltung muss die erforderliche Funktion erfüllen, und (2) die Zuverlässigkeit der Komponenten und des gesamten Steuerkanals muss ausreichend sein.

                                                                                                                                                                                                Nun stellt sich folgende Frage: Wird der oben genannte Kanal die geforderten Sicherheitsfunktionen auch dann erfüllen, wenn ein Fehler im System auftritt (z. B. wenn ein Relaiskontakt klemmt oder ein Bauteil ausfällt)? Die Antwort ist nein". Der Grund ist, dass ein einzelner Steuerkanal, der nur aus in Reihe geschalteten Komponenten besteht und mit statischen Signalen arbeitet, nicht gegen einen Ausfall sicher ist. Der Kanal kann nur eine gewisse Zuverlässigkeit haben, die die Wahrscheinlichkeit garantiert, dass die Funktion ausgeführt wird. Sicherheit ist in solchen Situationen immer gemeint Ausfall bezogen.

                                                                                                                                                                                                Beispiel 2

                                                                                                                                                                                                Soll ein Steuerkanal sowohl zuverlässig als auch sicher sein, muss der Aufbau wie in Bild 7 modifiziert werden. Das dargestellte Beispiel ist ein sicherheitsrelevanter Steuerkanal, der aus zwei vollständig getrennten Teilkanälen besteht.

                                                                                                                                                                                                Abbildung 7. Ein sicherheitsrelevanter Steuerkanal mit zwei vollständig getrennten Unterkanälen

                                                                                                                                                                                                SAF062F7

                                                                                                                                                                                                Dieses Design ist sicher gegen den ersten Fehler (und mögliche weitere Fehler in demselben Unterkanal), ist aber nicht sicher gegen zwei Fehler, die in zwei verschiedenen Unterkanälen (gleichzeitig oder zu unterschiedlichen Zeiten) auftreten können, da es keine Fehlererkennungsschaltung gibt. Folglich arbeiten zunächst beide Teilkanäle mit hoher Zuverlässigkeit (siehe paralleles System), aber nach dem ersten Ausfall funktioniert nur noch ein Teilkanal und die Zuverlässigkeit nimmt ab. Tritt ein zweiter Fehler im noch funktionierenden Subkanal auf, sind beide ausgefallen und die Sicherheitsfunktion wird nicht mehr ausgeführt.

                                                                                                                                                                                                Beispiel 3

                                                                                                                                                                                                Das in Abbildung 8 dargestellte Beispiel ist ein sicherheitsrelevanter Steuerkanal, der aus zwei völlig getrennten Teilkanälen besteht, die sich gegenseitig überwachen.

                                                                                                                                                                                                Abbildung 8. Ein sicherheitsrelevanter Steuerkanal mit zwei vollständig getrennten Unterkanälen, die sich gegenseitig überwachen

                                                                                                                                                                                                SAF062F8

                                                                                                                                                                                                Ein solches Design ist ausfallsicher, da nach einem Ausfall nur ein Teilkanal nicht funktionsfähig ist, während der andere Teilkanal verfügbar bleibt und die Sicherheitsfunktion erfüllt. Darüber hinaus verfügt das Design über eine Fehlererkennungsschaltung. Wenn aufgrund einer Störung beide Teilkanäle nicht in gleicher Weise arbeiten, wird dieser Zustand durch eine „Exklusiv-Oder“-Schaltung erkannt, mit der Folge, dass die Maschine automatisch abgeschaltet wird. Dies ist eine der besten Möglichkeiten, Maschinensteuerungen zu entwerfen – das Entwerfen von sicherheitsrelevanten Unterkanälen. Sie sind gegen einen Ausfall sicher und bieten gleichzeitig genügend Zuverlässigkeit, so dass die Wahrscheinlichkeit, dass zwei Ausfälle gleichzeitig auftreten, minimal ist.

                                                                                                                                                                                                Redundanz

                                                                                                                                                                                                Es ist offensichtlich, dass es verschiedene Verfahren gibt, durch die ein Konstrukteur die Zuverlässigkeit und/oder Sicherheit (gegen Ausfall) verbessern kann. Die vorangegangenen Beispiele zeigen, wie eine Funktion (dh Tür geschlossen, Motor darf laufen; Tür geöffnet, Motor muss gestoppt werden) durch verschiedene Lösungen realisiert werden kann. Einige Verfahren sind sehr einfach (ein Unterkanal) und andere komplizierter (zwei Unterkanäle mit gegenseitiger Überwachung). (Siehe Abbildung 9.)

                                                                                                                                                                                                Abbildung 9. Zuverlässigkeit redundanter Systeme mit oder ohne Fehlererkennung

                                                                                                                                                                                                SAF062F9

                                                                                                                                                                                                Es gibt eine gewisse Redundanz in den komplexen Schaltungen und/oder Komponenten im Vergleich zu den einfachen. Redundanz kann wie folgt definiert werden: (1) Redundanz ist das Vorhandensein von mehr Mitteln (Komponenten, Kanäle, höhere Sicherheitsfaktoren, zusätzliche Tests usw.), als für die einfache Erfüllung der gewünschten Funktion wirklich notwendig sind; (2) Redundanz „verbessert“ offensichtlich nicht die Funktion, die ohnehin ausgeführt wird. Redundanz verbessert nur die Zuverlässigkeit und/oder Sicherheit.

                                                                                                                                                                                                Einige Sicherheitsexperten glauben, dass Redundanz nur die Verdoppelung oder Verdreifachung usw. des Systems ist. Dies ist eine sehr eingeschränkte Interpretation, da Redundanz viel umfassender und flexibler interpretiert werden kann. Redundanz kann nicht nur in der Hardware enthalten sein; es kann auch in der Software enthalten sein. Auch eine Verbesserung des Sicherheitsfaktors (z. B. ein stärkeres Seil anstelle eines schwächeren Seils) kann als eine Form der Redundanz angesehen werden.

                                                                                                                                                                                                Entropie

                                                                                                                                                                                                Entropie, ein Begriff, der hauptsächlich in der Thermodynamik und Astronomie vorkommt, kann wie folgt definiert werden: Alles neigt zum Zerfall. Daher ist es absolut sicher, dass alle Komponenten, Subsysteme oder Systeme, unabhängig von der verwendeten Technologie, irgendwann ausfallen werden. Das bedeutet, dass es keine 100 % zuverlässigen und/oder sicheren Systeme, Subsysteme oder Komponenten gibt. Alle sind lediglich mehr oder weniger zuverlässig und sicher, je nach Komplexität der Struktur. Die unvermeidlich früher oder später auftretenden Ausfälle demonstrieren die Wirkung der Entropie.

                                                                                                                                                                                                Das einzige Mittel, das Designern zur Verfügung steht, um der Entropie entgegenzuwirken, ist Redundanz, die erreicht wird, indem (a) mehr Zuverlässigkeit in die Komponenten eingeführt und (b) mehr Sicherheit in der gesamten Schaltungsarchitektur bereitgestellt wird. Nur wenn die Wahrscheinlichkeit, dass die erforderliche Funktion für die erforderliche Zeitdauer ausgeführt wird, ausreichend erhöht wird, können Designer sich einigermaßen gegen Entropie wehren.

                                                                                                                                                                                                Risk Assessment

                                                                                                                                                                                                Je größer das potenzielle Risiko ist, desto höher ist die erforderliche Zuverlässigkeit und/oder Sicherheit (gegen Ausfälle) (und umgekehrt). Dies wird durch die folgenden zwei Fälle veranschaulicht:

                                                                                                                                                                                                Fall 1

                                                                                                                                                                                                Der Zugang zu dem in einer Spritzgießmaschine befestigten Formwerkzeug ist durch eine Tür gesichert. Wenn die Tür geschlossen ist, darf die Maschine arbeiten, und wenn die Tür geöffnet wird, müssen alle gefährlichen Bewegungen gestoppt werden. Unter keinen Umständen (auch bei Ausfall des sicherheitsgerichteten Kanals) dürfen Bewegungen, insbesondere solche, die das Werkzeug bedienen, auftreten.

                                                                                                                                                                                                Fall 2

                                                                                                                                                                                                Der Zugang zu einer automatisch gesteuerten Montagelinie, die kleine Kunststoffkomponenten unter pneumatischem Druck montiert, ist durch eine Tür gesichert. Wenn diese Tür geöffnet wird, muss die Linie angehalten werden.

                                                                                                                                                                                                Im Fall 1 kann es bei einem Ausfall der Türüberwachungssteuerung zu schweren Verletzungen kommen, wenn das Werkzeug unerwartet geschlossen wird. Im Fall 2 kann es bei Ausfall der türüberwachenden Steuerung nur zu leichten Verletzungen oder unerheblichen Schäden kommen.

                                                                                                                                                                                                Es ist offensichtlich, dass im ersten Fall viel mehr Redundanz eingeführt werden muss, um die Zuverlässigkeit und/oder Sicherheit (gegen Ausfall) zu erreichen, die zum Schutz gegen extrem hohe Risiken erforderlich ist. Tatsächlich muss gemäß der europäischen Norm EN 201 das Überwachungssteuersystem der Spritzgießmaschinentür drei Kanäle haben; zwei davon sind elektrisch und gegenseitig überwacht und eine davon ist größtenteils mit Hydraulik und Prüfkreisen ausgestattet. Alle diese drei Überwachungsfunktionen beziehen sich auf dieselbe Tür.

                                                                                                                                                                                                Umgekehrt ist bei Anwendungen wie in Fall 2 beschrieben ein einzelner Kanal, der durch einen Schalter mit positiver Aktion aktiviert wird, dem Risiko angemessen.

                                                                                                                                                                                                Kontrollkategorien

                                                                                                                                                                                                Da alle oben genannten Überlegungen grundsätzlich auf der Informationstheorie basieren und folglich für alle Technologien gelten, spielt es keine Rolle, ob das Steuerungssystem auf elektronischen, elektromechanischen, mechanischen, hydraulischen oder pneumatischen Komponenten (oder einer Mischung davon) basiert. , oder auf einer anderen Technologie. Der Ideenreichtum des Konstrukteurs einerseits und wirtschaftliche Fragen andererseits sind die bestimmenden Faktoren für eine nahezu unendliche Zahl von Lösungsansätzen zur Realisierung sicherheitsrelevanter Kanäle.

                                                                                                                                                                                                Um Verwechslungen vorzubeugen, ist es sinnvoll, bestimmte Sortierkriterien festzulegen. Die typischsten Kanalstrukturen, die in Maschinensteuerungen zur Ausführung sicherheitsbezogener Funktionen verwendet werden, sind kategorisiert nach:

                                                                                                                                                                                                • Zuverlässigkeit
                                                                                                                                                                                                • Verhalten im Fehlerfall
                                                                                                                                                                                                • Ausfallmeldezeit.

                                                                                                                                                                                                 

                                                                                                                                                                                                Ihre Kombinationen (nicht alle möglichen Kombinationen sind gezeigt) sind in Tabelle 1 dargestellt.

                                                                                                                                                                                                Tabelle 1. Einige mögliche Kombinationen von Schaltungsstrukturen in Maschinensteuerungen für sicherheitsrelevante Funktionen

                                                                                                                                                                                                Kriterien (Fragen)

                                                                                                                                                                                                Grundlegende Strategie

                                                                                                                                                                                                 

                                                                                                                                                                                                Durch die Erhöhung der Zuverlässigkeit (wird das Auftreten von Fehlern in eine möglicherweise fernere Zukunft verschoben?)

                                                                                                                                                                                                Durch geeignete Schaltungsstruktur (Architektur) wird der Fehler zumindest erkannt (Kat. 2) oder Fehlereinfluss auf den Kanal wird beseitigt (Kat. 3) oder der Fehler wird sofort gemeldet (Kat. 4)

                                                                                                                                                                                                 

                                                                                                                                                                                                Kategorien

                                                                                                                                                                                                 

                                                                                                                                                                                                Diese Lösung ist grundsätzlich falsch

                                                                                                                                                                                                B

                                                                                                                                                                                                1

                                                                                                                                                                                                2

                                                                                                                                                                                                3

                                                                                                                                                                                                4

                                                                                                                                                                                                Halten die Schaltungskomponenten den zu erwartenden Einflüssen stand; sind sie nach dem Stand der Technik gebaut?

                                                                                                                                                                                                Nein

                                                                                                                                                                                                Ja

                                                                                                                                                                                                Ja

                                                                                                                                                                                                Ja

                                                                                                                                                                                                Ja

                                                                                                                                                                                                Ja

                                                                                                                                                                                                Wurden bewährte Komponenten und/oder Methoden verwendet?

                                                                                                                                                                                                Nein

                                                                                                                                                                                                Nein

                                                                                                                                                                                                Ja

                                                                                                                                                                                                Ja

                                                                                                                                                                                                Ja

                                                                                                                                                                                                Ja

                                                                                                                                                                                                Kann ein Fehler automatisch erkannt werden?

                                                                                                                                                                                                Nein

                                                                                                                                                                                                Nein

                                                                                                                                                                                                Nein

                                                                                                                                                                                                Ja

                                                                                                                                                                                                Ja

                                                                                                                                                                                                Ja

                                                                                                                                                                                                Verhindert ein Fehler die Ausführung der sicherheitsbezogenen Funktion?

                                                                                                                                                                                                Ja

                                                                                                                                                                                                Ja

                                                                                                                                                                                                Ja

                                                                                                                                                                                                Ja

                                                                                                                                                                                                Nein

                                                                                                                                                                                                Nein

                                                                                                                                                                                                Wann wird der Fehler erkannt?

                                                                                                                                                                                                Nie

                                                                                                                                                                                                Nie

                                                                                                                                                                                                Nie

                                                                                                                                                                                                Früh (spätestens am Ende des Intervalls, das nicht länger als ein Maschinenzyklus ist)

                                                                                                                                                                                                Sofort (wenn das Signal an Dynamik verliert
                                                                                                                                                                                                Charakter)

                                                                                                                                                                                                   

                                                                                                                                                                                                Bei Konsumgütern

                                                                                                                                                                                                Zum Einsatz in Maschinen

                                                                                                                                                                                                 

                                                                                                                                                                                                Die für eine bestimmte Maschine und ihr sicherheitsbezogenes Steuerungssystem geltende Kategorie wird meistens in den neuen europäischen Normen (EN) festgelegt, es sei denn, die nationale Behörde, der Benutzer und der Hersteller einigen sich darauf, dass eine andere Kategorie angewendet werden sollte. Der Designer entwickelt dann ein Steuerungssystem, das die Anforderungen erfüllt. Überlegungen zum Design eines Steuerkanals können beispielsweise Folgendes umfassen:

                                                                                                                                                                                                • Die Bauteile müssen den zu erwartenden Einflüssen standhalten. (JA NEIN)
                                                                                                                                                                                                • Ihre Konstruktion sollte dem Stand der Technik entsprechen. (JA NEIN)
                                                                                                                                                                                                • Dabei kommen bewährte Komponenten und Methoden zum Einsatz. (JA NEIN)
                                                                                                                                                                                                • Scheitern müssen erkannt werden. (JA NEIN)
                                                                                                                                                                                                • Wird die Sicherheitsfunktion auch im Fehlerfall ausgeführt? (JA NEIN)
                                                                                                                                                                                                • Wann wird der Fehler erkannt? (NIEMALS, FRÜH, SOFORT)

                                                                                                                                                                                                 

                                                                                                                                                                                                Dieser Vorgang ist reversibel. Mit den gleichen Fragen kann entschieden werden, zu welcher Kategorie ein bestehender, zuvor entwickelter Kontrollkanal gehört.

                                                                                                                                                                                                Kategoriebeispiele

                                                                                                                                                                                                Kategorie B

                                                                                                                                                                                                Die hauptsächlich in Konsumgütern eingesetzten Steuerkanalkomponenten müssen den zu erwartenden Einflüssen standhalten und nach dem Stand der Technik ausgelegt sein. Als Beispiel kann ein gut gestalteter Schalter dienen.

                                                                                                                                                                                                Kategorie 1

                                                                                                                                                                                                Typisch für Kategorie 1 ist die Verwendung altbewährter Komponenten und Methoden. Ein Beispiel für Kategorie 1 ist ein Schalter mit positiver Aktion (dh erfordert zwangsläufiges Öffnen von Kontakten). Dieser Schalter ist mit robusten Teilen konstruiert und wird durch relativ hohe Kräfte aktiviert, wodurch eine extrem hohe Zuverlässigkeit nur beim Öffnen des Kontakts erreicht wird. Trotz klebender oder gar verschweißter Kontakte öffnen diese Schalter. (Anmerkung: Bauelemente wie Transistoren und Dioden gelten nicht als altbewährte Bauelemente.) Abbildung 10 soll als Illustration einer Kategorie-1-Steuerung dienen.

                                                                                                                                                                                                Abbildung 10. Ein Schalter mit positiver Aktion

                                                                                                                                                                                                SAF62F10

                                                                                                                                                                                                Dieser Kanal verwendet Schalter S mit positiver Aktion. Das Schütz K wird durch die Leuchte L überwacht. Der Bediener wird durch die Meldeleuchte L darauf hingewiesen, dass die Schließerkontakte (NO) haften. Das Schütz K hat zwangsgeführte Kontakte. (Hinweis: Relais oder Schütze mit zwangsgeführten Kontakten haben im Vergleich zu herkömmlichen Relais oder Schützen einen speziellen Käfig aus Isolierstoff, so dass bei geschlossenen Öffnerkontakten alle Schließerkontakte geöffnet werden müssen und umgekehrt umgekehrt. Das bedeutet, dass bei Verwendung von Öffnerkontakten überprüft werden kann, ob die Arbeitskontakte nicht verkleben oder verschweißt sind.)

                                                                                                                                                                                                Kategorie 2

                                                                                                                                                                                                Kategorie 2 sieht eine automatische Fehlererkennung vor. Vor jeder gefährlichen Bewegung muss eine automatische Ausfallerkennung generiert werden. Nur wenn der Test positiv ist, darf die Bewegung ausgeführt werden; andernfalls wird die Maschine gestoppt. Für Lichtschranken werden automatische Ausfallerkennungssysteme eingesetzt, um deren Funktionsfähigkeit nachzuweisen. Das Prinzip ist in Bild 1 dargestellt.

                                                                                                                                                                                                Abbildung 11. Schaltung mit Ausfallerkennung

                                                                                                                                                                                                SAF62F11

                                                                                                                                                                                                Dieses Steuersystem wird regelmäßig (oder gelegentlich) getestet, indem dem Eingang ein Impuls zugeführt wird. In einem ordnungsgemäß funktionierenden System wird dieser Impuls dann zum Ausgang übertragen und mit einem Impuls von einem Testgenerator verglichen. Wenn beide Impulse vorhanden sind, funktioniert das System offensichtlich. Andernfalls, wenn kein Ausgangsimpuls vorhanden ist, ist das System ausgefallen.

                                                                                                                                                                                                Kategorie 3

                                                                                                                                                                                                Die Schaltung wurde zuvor unter Beispiel 3 im Sicherheitsabschnitt dieses Artikels beschrieben, Abbildung 8.

                                                                                                                                                                                                Die Anforderung, dh automatische Fehlererkennung und die Fähigkeit, die Sicherheitsfunktion auszuführen, auch wenn irgendwo ein Fehler aufgetreten ist, kann durch zweikanalige Kontrollstrukturen und durch gegenseitige Überwachung der beiden Kanäle erfüllt werden.

                                                                                                                                                                                                Nur bei Maschinensteuerungen müssen die gefährlichen Ausfälle untersucht werden. Es sollte beachtet werden, dass es zwei Arten von Fehlern gibt:

                                                                                                                                                                                                • Ungefährlich Störungen sind solche, die nach ihrem Auftreten einen „sicheren Zustand“ der Maschine herbeiführen, indem sie ein Abschalten des Motors bewirken.
                                                                                                                                                                                                • Gefährlich Störungen sind solche, die nach ihrem Auftreten einen „unsicheren Zustand“ der Maschine bewirken, da der Motor nicht abgeschaltet werden kann oder der Motor sich unerwartet in Bewegung setzt.

                                                                                                                                                                                                Kategorie 4

                                                                                                                                                                                                Kategorie 4 sieht typischerweise das Anlegen eines dynamischen, sich kontinuierlich ändernden Signals am Eingang vor. Das Vorhandensein eines dynamischen Signals auf dem Ausgabemittel Laufen ("1"), und das Fehlen eines dynamischen Signalmittels halt („0“).

                                                                                                                                                                                                Für solche Schaltungen ist es typisch, dass nach dem Ausfall irgendeiner Komponente das dynamische Signal am Ausgang nicht mehr zur Verfügung steht. (Anmerkung: Das statische Potential am Ausgang ist unerheblich.) Solche Schaltungen können als „ausfallsicher“ bezeichnet werden. Alle Fehler werden sofort offengelegt, nicht nach der ersten Änderung (wie bei Schaltungen der Kategorie 3).

                                                                                                                                                                                                Weitere Anmerkungen zu den Kontrollkategorien

                                                                                                                                                                                                Tabelle 1 ist für übliche Maschinensteuerungen entwickelt worden und zeigt nur die prinzipiellen Schaltungsstrukturen; laut Maschinenrichtlinie sollte sie unter der Annahme berechnet werden, dass in einem Maschinenzyklus nur ein Fehler auftritt. Deshalb muss die Sicherheitsfunktion bei zwei gleichzeitigen Ausfällen nicht ausgeführt werden. Es wird davon ausgegangen, dass ein Fehler innerhalb eines Maschinenzyklus erkannt wird. Die Maschine wird angehalten und anschließend repariert. Danach startet die Steuerung wieder, voll funktionsfähig, ohne Ausfälle.

                                                                                                                                                                                                Die erste Absicht des Konstrukteurs sollte darin bestehen, „stehende“ Fehler nicht zuzulassen, die während eines Zyklus nicht erkannt würden, da sie später mit neu auftretenden Fehlern kombiniert werden könnten (Fehlerkumulation). Solche Kombinationen (ein dauerhafter Fehler und ein neuer Fehler) können selbst bei Schaltkreisen der Kategorie 3 zu einer Fehlfunktion führen.

                                                                                                                                                                                                Trotz dieser Taktiken ist es möglich, dass zwei unabhängige Ausfälle gleichzeitig innerhalb desselben Maschinenzyklus auftreten. Es ist nur sehr unwahrscheinlich, insbesondere wenn hochzuverlässige Komponenten verwendet wurden. Für Anwendungen mit sehr hohem Risiko sollten drei oder mehr Unterkanäle verwendet werden. Diese Philosophie basiert auf der Tatsache, dass die mittlere Zeit zwischen Ausfällen viel länger ist als der Maschinenzyklus.

                                                                                                                                                                                                Dies bedeutet jedoch nicht, dass die Tabelle nicht weiter ausgebaut werden kann. Tabelle 1 ist grundsätzlich und strukturell der in EN 2-954 verwendeten Tabelle 1 sehr ähnlich. Es wird jedoch nicht versucht, zu viele Sortierkriterien aufzunehmen. Die Anforderungen werden nach den strengen Gesetzen der Logik definiert, sodass nur eindeutige Antworten (JA oder NEIN) zu erwarten sind. Dies ermöglicht eine genauere Bewertung, Sortierung und Klassifizierung der eingereichten Schaltungen (sicherheitsrelevante Kanäle) und nicht zuletzt eine deutliche Verbesserung der Reproduzierbarkeit der Bewertung.

                                                                                                                                                                                                Ideal wäre es, wenn man Risiken in verschiedene Risikostufen einteilen und dann eine eindeutige Verknüpfung zwischen Risikostufen und Kategorien herstellen könnte, und das alles unabhängig von der eingesetzten Technologie. Dies ist jedoch nicht vollständig möglich. Schon früh nach der Erstellung der Kategorien wurde deutlich, dass selbst bei gleicher Technologie diverse Fragen nicht ausreichend beantwortet wurden. Was ist besser: eine sehr zuverlässige und gut konstruierte Komponente der Kategorie 1 oder ein System, das die Anforderungen der Kategorie 3 mit geringer Zuverlässigkeit erfüllt?

                                                                                                                                                                                                Um dieses Dilemma zu erklären, muss man zwischen zwei Qualitäten unterscheiden: Zuverlässigkeit und Sicherheit (gegen Ausfälle). Sie sind nicht vergleichbar, da diese beiden Qualitäten unterschiedliche Eigenschaften haben:

                                                                                                                                                                                                • Das Bauteil mit der höchsten Zuverlässigkeit hat die unangenehme Eigenschaft, dass im Fehlerfall (wenn auch höchst unwahrscheinlich) die Funktion wegfällt.
                                                                                                                                                                                                • Systeme der Kategorie 3, bei denen auch bei einem Ausfall die Funktion erfüllt wird, sind nicht sicher gegen zwei Ausfälle gleichzeitig (wichtig kann sein, ob ausreichend zuverlässige Komponenten verwendet wurden).

                                                                                                                                                                                                In Anbetracht des oben Gesagten kann es sein, dass die beste Lösung (aus Sicht des hohen Risikos) darin besteht, hochzuverlässige Komponenten zu verwenden und sie so zu konfigurieren, dass die Schaltung gegen mindestens einen Ausfall (vorzugsweise mehr) sicher ist. Es ist klar, dass eine solche Lösung nicht die wirtschaftlichste ist. In der Praxis ist der Optimierungsprozess meist die Folge all dieser Einflüsse und Überlegungen.

                                                                                                                                                                                                Erfahrungen mit der praktischen Verwendung der Kategorien zeigen, dass es selten möglich ist, ein Steuerungssystem zu entwerfen, das durchgehend nur eine Kategorie verwenden kann. Typisch ist die Kombination aus zwei oder sogar drei Teilen, die jeweils einer anderen Kategorie angehören, wie im folgenden Beispiel dargestellt:

                                                                                                                                                                                                Viele Sicherheitslichtschranken sind in Kategorie 4 ausgelegt, wobei ein Kanal mit einem dynamischen Signal arbeitet. Am Ende dieses Systems befinden sich in der Regel zwei sich gegenseitig überwachende Teilkanäle, die mit statischen Signalen arbeiten. (Dies erfüllt die Anforderungen für Kategorie 3.)

                                                                                                                                                                                                Nach EN 50100 werden solche Lichtschranken klassifiziert als Typ 4 berührungslos wirkende Schutzeinrichtungen, obwohl sie aus zwei Teilen bestehen. Leider gibt es keine Einigung darüber, wie Steuersysteme bezeichnet werden sollen, die aus zwei oder mehr Teilen bestehen, wobei jeder Teil einer anderen Kategorie angehört.

                                                                                                                                                                                                Programmierbare elektronische Systeme (PES)

                                                                                                                                                                                                Die Grundsätze zur Erstellung von Tabelle 1 lassen sich natürlich mit gewissen Einschränkungen auch allgemein auf PES übertragen.

                                                                                                                                                                                                Nur-PES-System

                                                                                                                                                                                                Bei der Verwendung von PESs zur Steuerung werden die Informationen über eine große Anzahl von Komponenten vom Sensor zum Aktivator übertragen. Darüber hinaus durchläuft es sogar Software. (Siehe Abbildung 12).

                                                                                                                                                                                                Abbildung 12. Schaltung eines PES-Systems

                                                                                                                                                                                                SAF62F14

                                                                                                                                                                                                Obwohl moderne PES sehr zuverlässig sind, ist die Zuverlässigkeit nicht so hoch, wie es für die Verarbeitung von Sicherheitsfunktionen erforderlich sein könnte. Darüber hinaus sind die üblichen PES-Systeme nicht sicher genug, da sie im Fehlerfall die sicherheitsrelevante Funktion nicht erfüllen. Daher ist die Verwendung von PES zur Verarbeitung von Sicherheitsfunktionen ohne zusätzliche Maßnahmen nicht zulässig.

                                                                                                                                                                                                Sehr risikoarme Anwendungen: Systeme mit einem PES und zusätzlichen Maßnahmen

                                                                                                                                                                                                Bei Verwendung eines einzelnen PES zur Steuerung besteht das System aus den folgenden Hauptteilen:

                                                                                                                                                                                                Eingabeteil

                                                                                                                                                                                                Die Zuverlässigkeit eines Sensors und eines Eingangs eines PES kann verbessert werden, indem sie verdoppelt werden. Eine solche Doppelsystem-Eingabekonfiguration kann weiter durch Software überwacht werden, um zu prüfen, ob beide Subsysteme die gleichen Informationen liefern. Somit können die Fehler im Eingangsteil erkannt werden. Dies ist fast die gleiche Philosophie wie für Kategorie 3 erforderlich. Da die Überwachung jedoch durch Software und nur einmal erfolgt, kann dies als 3- (oder nicht so zuverlässig wie 3) bezeichnet werden.

                                                                                                                                                                                                Mittelteil

                                                                                                                                                                                                Obwohl dieser Teil nicht gut verdoppelt werden kann, kann er getestet werden. Beim Einschalten (oder während des Betriebs) kann eine Überprüfung des gesamten Befehlssatzes durchgeführt werden. In gleichen Abständen kann der Speicher auch durch geeignete Bitmuster überprüft werden. Wenn solche Überprüfungen ohne Fehler durchgeführt werden, funktionieren beide Teile, CPU und Speicher, offensichtlich ordnungsgemäß. Der Mittelteil weist einige typische Merkmale der Kategorie 4 (dynamisches Signal) und andere typische Merkmale der Kategorie 2 (regelmäßige Prüfung in angemessenen Abständen) auf. Das Problem ist, dass diese Tests trotz ihres Umfangs nicht wirklich vollständig sein können, da das One-PES-System sie von Natur aus nicht zulässt.

                                                                                                                                                                                                Ausgangsteil

                                                                                                                                                                                                Ähnlich wie ein Input kann auch der Output (inklusive Aktivatoren) verdoppelt werden. Beide Subsysteme können hinsichtlich des gleichen Ergebnisses überwacht werden. Fehler werden erkannt und die Sicherheitsfunktion wird ausgeführt. Allerdings gibt es die gleichen Schwachstellen wie im Eingabeteil. Folglich wird in diesem Fall die Kategorie 3 gewählt.

                                                                                                                                                                                                In Abbildung 13 wird die gleiche Funktion auf Relais übertragen A und B. Die Steuerkontakte a und b, teilt dann zwei Eingabesystemen mit, ob beide Relais die gleiche Arbeit verrichten (es sei denn, es liegt ein Fehler in einem der Kanäle vor). Die Überwachung erfolgt wieder per Software.

                                                                                                                                                                                                Abbildung 13. Eine PES-Schaltung mit einem Fehlererkennungssystem

                                                                                                                                                                                                SAF62F13

                                                                                                                                                                                                Das gesamte System kann als Kategorie 3-/4/2/3- bezeichnet werden, wenn es richtig und umfassend durchgeführt wird. Dennoch können die oben beschriebenen Schwachstellen solcher Systeme nicht vollständig beseitigt werden. Tatsächlich werden verbesserte PES nur dort für sicherheitsrelevante Funktionen eingesetzt, wo die Risiken eher gering sind (Hölscher und Rader 1984).

                                                                                                                                                                                                Anwendungen mit geringem und mittlerem Risiko mit einem PES

                                                                                                                                                                                                Heute ist fast jede Maschine mit einer PES-Steuerung ausgestattet. Um das Problem der unzureichenden Zuverlässigkeit und meist unzureichenden Ausfallsicherheit zu lösen, werden üblicherweise die folgenden Entwurfsmethoden verwendet:

                                                                                                                                                                                                • Bei relativ einfachen Maschinen wie Aufzügen werden die Funktionen in zwei Gruppen eingeteilt: (1) die nicht sicherheitsrelevanten Funktionen werden vom PES verarbeitet; (2) die sicherheitsrelevanten Funktionen werden in einer Kette (Sicherheitskreis) zusammengefasst und außerhalb des PES verarbeitet (siehe Abbildung 14).

                                                                                                                                                                                                 

                                                                                                                                                                                                Abbildung 14. Stand der Technik für Stoppkategorie 0

                                                                                                                                                                                                SAF62F15

                                                                                                                                                                                                • Das oben angegebene Verfahren ist für komplexere Maschinen nicht geeignet. Ein Grund dafür ist, dass solche Lösungen meist nicht sicher genug sind. Für Anwendungen mit mittlerem Risiko sollten Lösungen die Anforderungen für Kategorie 3 erfüllen. Allgemeine Vorstellungen, wie solche Konstruktionen aussehen können, sind in Abbildung 15 und Abbildung 16 dargestellt.

                                                                                                                                                                                                 

                                                                                                                                                                                                Abbildung 15. Stand der Technik für Stoppkategorie 1

                                                                                                                                                                                                SAF62F16

                                                                                                                                                                                                 

                                                                                                                                                                                                Abbildung 16. Stand der Technik für Stoppkategorie 2

                                                                                                                                                                                                SAF62F17

                                                                                                                                                                                                Anwendungen mit hohem Risiko: Systeme mit zwei (oder mehr) PES

                                                                                                                                                                                                Abgesehen von Komplexität und Kosten gibt es keine anderen Faktoren, die Designer daran hindern würden, vollständig verdoppelte PES-Systeme wie Siemens Simatic S5-115F, 3B6 Typ CAR-MIL usw. zu verwenden. Diese umfassen typischerweise zwei identische PES mit homogener Software und gehen von der Verwendung von „bewährten“ PES und „bewährten“ Compilern aus (ein bewährter PES oder Compiler kann als einer angesehen werden, der in vielen praktischen Anwendungen über 3 oder mehr Jahre verwendet wurde hat gezeigt, dass systematische Fehler offensichtlich eliminiert wurden). Obwohl diese doppelten PES-Systeme nicht die Schwachpunkte von Einzel-PES-Systemen haben, bedeutet dies nicht, dass doppelte PES-Systeme alle Probleme lösen. (Siehe Abbildung 17).

                                                                                                                                                                                                Abbildung 17. Anspruchsvolles System mit zwei PES

                                                                                                                                                                                                SAF62F18

                                                                                                                                                                                                Systematische Fehler

                                                                                                                                                                                                Systematische Fehler können aus Fehlern in Spezifikationen, Design und anderen Ursachen resultieren und sowohl in der Hardware als auch in der Software vorhanden sein. Doppel-PES-Systeme eignen sich für den Einsatz in sicherheitsgerichteten Anwendungen. Solche Konfigurationen ermöglichen die Erkennung zufälliger Hardwarefehler. Durch Hardwarediversität, wie z. B. die Verwendung zweier unterschiedlicher Typen oder Produkte zweier verschiedener Hersteller, könnten systematische Hardwareausfälle aufgedeckt werden (es ist sehr unwahrscheinlich, dass ein identischer Hardwaresystemausfall in beiden PES auftritt).

                                                                                                                                                                                                Software

                                                                                                                                                                                                Software ist ein neues Element in Sicherheitsbetrachtungen. Software ist entweder richtig oder falsch (in Bezug auf Ausfälle). Einmal richtig, kann Software nicht sofort falsch werden (im Vergleich zu Hardware). Ziel ist es, alle Fehler in der Software zu beseitigen oder zumindest zu identifizieren.

                                                                                                                                                                                                Es gibt verschiedene Wege, dieses Ziel zu erreichen. Einer ist der Überprüfung des Programms (eine zweite Person versucht in einem anschließenden Test, die Fehler zu entdecken). Eine andere Möglichkeit ist Vielfalt der Software, bei der zwei unterschiedliche Programme, geschrieben von zwei Programmierern, dasselbe Problem behandeln. Sind die Ergebnisse (innerhalb gewisser Grenzen) identisch, kann davon ausgegangen werden, dass beide Programmteile korrekt sind. Sind die Ergebnisse unterschiedlich, wird vermutet, dass Fehler vorliegen. (NB, Die Architektur der Hardware natürlich auch berücksichtigt werden.)

                                                                                                                                                                                                Zusammenfassung

                                                                                                                                                                                                Beim Einsatz von PES sind generell die gleichen folgenden Grundüberlegungen zu berücksichtigen (wie in den vorangegangenen Abschnitten beschrieben).

                                                                                                                                                                                                • Ein Steuerungssystem ohne Redundanz darf der Kategorie B zugeordnet werden. Ein Steuerungssystem mit zusätzlichen Maßnahmen darf Kategorie 1 oder höher, jedoch nicht höher als 2 sein.
                                                                                                                                                                                                • Ein zweiteiliges Kontrollsystem mit gegenseitigem Ergebnisvergleich kann der Kategorie 3 zugeordnet werden. Ein zweiteiliges Kontrollsystem mit gegenseitigem Ergebnisvergleich und mehr oder weniger Diversität kann der Kategorie 3 zugeordnet werden und ist für Anwendungen mit höherem Risiko geeignet.

                                                                                                                                                                                                Neu ist, dass für das System mit PES auch Software auf Korrektheit hin bewertet werden sollte. Software ist, wenn sie korrekt ist, zu 100 % zuverlässig. In diesem Stadium der technologischen Entwicklung werden wahrscheinlich nicht die bestmöglichen und bekannten technischen Lösungen verwendet, da die limitierenden Faktoren immer noch wirtschaftlicher Natur sind. Darüber hinaus entwickeln verschiedene Expertengruppen die Standards für Sicherheitsanwendungen von PES weiter (z. B. EC, EWICS). Obwohl bereits verschiedene Normen verfügbar sind (VDE0801, IEC65A usw.), ist diese Angelegenheit so umfassend und komplex, dass keine davon als endgültig angesehen werden kann.

                                                                                                                                                                                                 

                                                                                                                                                                                                Zurück

                                                                                                                                                                                                Immer wenn einfache und konventionelle Produktionsmittel wie Werkzeugmaschinen automatisiert werden, entstehen komplexe technische Systeme sowie neue Gefährdungen. Diese Automatisierung wird durch die Verwendung von Computer Numeric Control (CNC)-Systemen auf Werkzeugmaschinen erreicht, die sog CNC-Werkzeugmaschinen (z. B. Fräsmaschinen, Bearbeitungszentren, Bohrer und Schleifmaschinen). Um das Gefährdungspotential automatischer Werkzeuge erkennen zu können, sollten die verschiedenen Betriebsarten der einzelnen Systeme analysiert werden. Bisher durchgeführte Analysen weisen darauf hin, dass zwischen zwei Betriebsarten unterschieden werden sollte: dem Normalbetrieb und dem Sonderbetrieb.

                                                                                                                                                                                                Die Sicherheitsanforderungen an CNC-Werkzeugmaschinen lassen sich oft nicht in konkreten Maßnahmen vorschreiben. Das mag daran liegen, dass es zu wenige gerätespezifische Vorschriften und Normen gibt, die konkrete Lösungen bieten. Sicherheitsanforderungen können nur ermittelt werden, wenn die möglichen Gefährdungen durch eine Gefährdungsanalyse systematisch identifiziert werden, insbesondere wenn diese komplexen technischen Anlagen mit frei programmierbaren Steuerungen ausgestattet sind (wie bei CNC-Werkzeugmaschinen).

                                                                                                                                                                                                Bei neu entwickelten CNC-Werkzeugmaschinen ist der Hersteller verpflichtet, eine Gefährdungsanalyse an der Anlage durchzuführen, um eventuell vorhandene Gefahren zu erkennen und durch konstruktive Lösungen aufzuzeigen, dass alle Gefährdungen für Personen in allen Fällen ausgeschlossen sind unterschiedliche Betriebsarten entfallen. Alle identifizierten Gefährdungen müssen einer Gefährdungsbeurteilung unterzogen werden, wobei jedes Risiko eines Ereignisses vom Schadensumfang und der möglichen Eintrittshäufigkeit abhängt. Die zu bewertende Gefährdung erhält zusätzlich eine Risikokategorie (minimiert, normal, erhöht). Wo das Risiko aufgrund der Gefährdungsbeurteilung nicht akzeptiert werden kann, müssen Lösungen (Sicherheitsmaßnahmen) gefunden werden. Der Zweck dieser Lösungen besteht darin, die Häufigkeit des Auftretens und den Schadensumfang eines ungeplanten und potenziell gefährlichen Zwischenfalls (eines „Ereignisses“) zu verringern.

                                                                                                                                                                                                Die Lösungsansätze für normale und erhöhte Risiken liegen in der indirekten und direkten Sicherheitstechnik; für minimierte risiken sind sie in der sicherheitstechnik zu finden:

                                                                                                                                                                                                • Direkte Sicherheitstechnik. Bei der Konstruktion wird darauf geachtet, jegliche Gefahren zu beseitigen (z. B. Beseitigung von Scher- und Einklemmstellen).
                                                                                                                                                                                                • Indirekte Sicherheitstechnik. Die Gefahr bleibt. Das Hinzufügen technischer Vorkehrungen verhindert jedoch, dass die Gefahr zu einem Ereignis wird (z. B. können solche Vorkehrungen die Verhinderung des Zugangs zu gefährlichen beweglichen Teilen durch physische Schutzhauben, die Bereitstellung von Sicherheitsvorrichtungen, die den Strom abschalten, und die Abschirmung vor Flug umfassen Teile mit Schutzvorrichtungen usw.).
                                                                                                                                                                                                • Überweisungssicherheitstechnologie. Dies gilt nur für Restgefahren und minimierte Risiken, also Gefahren, die durch menschliche Faktoren zu einem Ereignis führen können. Durch entsprechendes Verhalten der betroffenen Person (z. B. Verhaltenshinweise in Betriebs- und Wartungsanleitungen, Personalschulung etc.) kann der Eintritt eines solchen Ereignisses verhindert werden.

                                                                                                                                                                                                 

                                                                                                                                                                                                Internationale Sicherheitsanforderungen

                                                                                                                                                                                                Die EG-Maschinenrichtlinie (89/392/EWG) von 1989 legt die wichtigsten Sicherheits- und Gesundheitsanforderungen für Maschinen fest. (Im Sinne der Maschinenrichtlinie ist eine Maschine die Gesamtheit miteinander verbundener Teile oder Geräte, von denen mindestens eines bewegt werden kann und dementsprechend eine Funktion hat.) Darüber hinaus werden einzelne Normen von internationalen Normungsgremien erstellt, um dies möglichst zu veranschaulichen Lösungen (z. B. durch Beachtung grundlegender Sicherheitsaspekte oder durch Untersuchung elektrischer Ausrüstungen von Industriemaschinen). Ziel dieser Normen ist es, Schutzziele festzulegen. Diese internationalen Sicherheitsanforderungen geben Herstellern die notwendige Rechtsgrundlage, um diese Anforderungen in den oben genannten Gefahrenanalysen und Risikobewertungen zu spezifizieren.

                                                                                                                                                                                                Betriebsarten

                                                                                                                                                                                                Beim Einsatz von Werkzeugmaschinen wird zwischen Normalbetrieb und Sonderbetrieb unterschieden. Statistiken und Untersuchungen zeigen, dass die Mehrzahl der Vorfälle und Unfälle nicht im Normalbetrieb (dh während der automatischen Erfüllung des betreffenden Auftrags) stattfinden. Bei dieser Art von Maschinen und Anlagen liegt der Schwerpunkt auf speziellen Betriebsarten wie Inbetriebnahme, Einrichten, Programmieren, Testläufen, Kontrollen, Störungsbeseitigung oder Wartung. In diesen Betriebsarten befinden sich Personen in der Regel im Gefahrenbereich. Das Sicherheitskonzept muss das Personal in solchen Situationen vor schädlichen Ereignissen schützen.

                                                                                                                                                                                                Normale Operation

                                                                                                                                                                                                Für automatische Maschinen im Normalbetrieb gilt: (1) die Maschine erfüllt die Aufgabe, für die sie konstruiert und gebaut wurde, ohne weiteres Eingreifen des Bedieners, und (2) angewandt auf eine einfache Drehmaschine bedeutet dies, dass a Das Werkstück wird in die richtige Form gedreht und es entstehen Späne. Wenn das Werkstück manuell gewechselt wird, ist das Wechseln des Werkstücks eine besondere Betriebsart.

                                                                                                                                                                                                Spezielle Betriebsarten

                                                                                                                                                                                                Sonderbetriebsarten sind Arbeitsvorgänge, die einen normalen Betrieb ermöglichen. Darunter fallen beispielsweise Werkstück- oder Werkzeugwechsel, Störungsbeseitigung im Produktionsprozess, Behebung einer Maschinenstörung, Einrichten, Programmieren, Testläufe, Reinigen und Warten. Im Normalbetrieb erfüllen automatische Systeme ihre Aufgaben selbstständig. Aus Sicht der Arbeitssicherheit wird der automatische Normalbetrieb jedoch dann kritisch, wenn der Bediener in Arbeitsabläufe eingreifen muss. Die an solchen Prozessen beteiligten Personen dürfen unter keinen Umständen Gefahren ausgesetzt werden.

                                                                                                                                                                                                Personal

                                                                                                                                                                                                Bei der Absicherung von Werkzeugmaschinen ist sowohl auf die in den verschiedenen Betriebsarten tätigen Personen als auch auf Dritte Rücksicht zu nehmen. Als Dritte gelten auch mittelbar an der Maschine Beteiligte wie Vorgesetzte, Inspektoren, Hilfskräfte für Materialtransporte und Demontagearbeiten, Besucher und andere.

                                                                                                                                                                                                Anforderungen und Sicherheitsmaßnahmen für Maschinenzubehör

                                                                                                                                                                                                Eingriffe bei Arbeiten in Sonderbetriebsarten erfordern den Einsatz von speziellem Zubehör, um ein sicheres Arbeiten zu gewährleisten. Das erster Typ Zu den Zubehörteilen gehören Geräte und Gegenstände, mit denen in den automatischen Prozess eingegriffen werden kann, ohne dass der Bediener einen Gefahrenbereich betreten muss. Zu dieser Art von Zubehör gehören (1) Spänehaken und -zangen, die so konstruiert sind, dass Späne im Bearbeitungsbereich durch die in den Schutzeinrichtungen vorgesehenen Öffnungen entfernt oder weggezogen werden können, und (2) Werkstückspannvorrichtungen, mit denen das Produktionsmaterial kann manuell in einen automatischen Zyklus eingefügt oder daraus entfernt werden

                                                                                                                                                                                                Verschiedene Sonderbetriebsarten – beispielsweise Sanierungsarbeiten oder Wartungsarbeiten – machen es erforderlich, dass Personal in eine Anlage eingreift. Auch für diese Fälle gibt es eine ganze Reihe von Maschinenzubehör, das die Arbeitssicherheit erhöhen soll – zum Beispiel Vorrichtungen zur Handhabung schwerer Schleifscheiben beim Schleifmaschinenwechsel sowie spezielle Krangehänge für die Demontage oder Montage schwerer Komponenten im Einsatz Maschinen werden überholt. Diese Geräte sind die zweiter Typ von Maschinenzubehör zur Erhöhung der Sicherheit bei Arbeiten in Sonderbetrieben. Als zweite Art von Maschinenzubehör können auch spezielle Betriebsleitsysteme angesehen werden. Mit solchem ​​Zubehör können bestimmte Tätigkeiten sicher ausgeführt werden – zum Beispiel kann eine Vorrichtung in den Maschinenachsen aufgebaut werden, wenn Vorschubbewegungen bei geöffneten Schutzeinrichtungen erforderlich sind.

                                                                                                                                                                                                Diese speziellen Betriebsleitsysteme müssen besonderen Sicherheitsanforderungen genügen. Beispielsweise müssen sie sicherstellen, dass nur die angeforderte Beförderung in der angeforderten Weise und nur so lange wie angefordert durchgeführt wird. Die Sonderbetriebsführung muss daher so gestaltet sein, dass Fehlhandlungen nicht in gefährliche Bewegungen oder Zustände übergehen.

                                                                                                                                                                                                Als Ausrüstung, die den Automatisierungsgrad einer Anlage erhöht, kann gelten a dritter Typ von Maschinenzubehör zur Erhöhung der Arbeitssicherheit. Tätigkeiten, die bisher manuell ausgeführt wurden, erledigt die Maschine im Normalbetrieb automatisch, wie z. B. Anlagen wie Portallader, die die Werkstücke an Werkzeugmaschinen automatisch wechseln. Die Absicherung des automatischen Normalbetriebs bereitet wenig Probleme, da der Eingriff einer Bedienperson in den Ablauf unnötig ist und mögliche Eingriffe durch Sicherheitseinrichtungen verhindert werden können.

                                                                                                                                                                                                Anforderungen und Sicherheitsmaßnahmen für die Automatisierung von Werkzeugmaschinen

                                                                                                                                                                                                Leider hat die Automatisierung nicht zur Beseitigung von Unfällen in Produktionsanlagen geführt. Untersuchungen zeigen lediglich eine Verschiebung des Unfallgeschehens vom Normal- zum Sonderbetrieb, vor allem durch die Automatisierung des Normalbetriebs, so dass Eingriffe in den Produktionsablauf nicht mehr erforderlich sind und das Personal somit keiner Gefährdung mehr ausgesetzt ist. Andererseits sind hochautomatisierte Maschinen komplexe Systeme, die im Fehlerfall schwer einzuschätzen sind. Auch die zur Störungsbeseitigung eingesetzten Fachkräfte können dies nicht immer unfallfrei erledigen. Die Menge an Software, die für den Betrieb immer komplexerer Maschinen benötigt wird, nimmt an Umfang und Komplexität zu, was dazu führt, dass immer mehr Elektro- und Inbetriebsetzungsingenieure Unfälle erleiden. Eine fehlerfreie Software gibt es nicht, und Änderungen in der Software führen oft zu Änderungen an anderer Stelle, die weder erwartet noch gewollt waren. Um die Sicherheit nicht zu beeinträchtigen, dürfen gefährliche Fehlverhalten durch Fremdeinwirkung und Bauteilausfälle nicht möglich sein. Diese Bedingung kann nur erfüllt werden, wenn der Sicherheitskreis möglichst einfach aufgebaut und von der übrigen Steuerung getrennt ist. Auch die im Sicherheitskreis verwendeten Elemente oder Baugruppen müssen ausfallsicher sein.

                                                                                                                                                                                                Es ist die Aufgabe des Konstrukteurs, Designs zu entwickeln, die den Sicherheitsanforderungen genügen. Der Konstrukteur kommt nicht umhin, die notwendigen Arbeitsabläufe, einschließlich der speziellen Betriebsweisen, sorgfältig zu berücksichtigen. Welche sicheren Arbeitsverfahren erforderlich sind, muss analysiert und dem Bedienpersonal bekannt gemacht werden. In den meisten Fällen wird eine Steuerung für den Sonderbetrieb erforderlich sein. Die Steuerung beobachtet oder regelt in der Regel eine Bewegung, während gleichzeitig keine andere Bewegung ausgelöst werden muss (da für diese Arbeit keine andere Bewegung benötigt wird und somit auch keine vom Bediener erwartet wird). Die Steuerung muss in den verschiedenen Sonderbetriebsarten nicht notwendigerweise die gleichen Aufgaben übernehmen.

                                                                                                                                                                                                Anforderungen und Sicherheitsmaßnahmen im Normal- und Sonderbetrieb

                                                                                                                                                                                                Normale Operation

                                                                                                                                                                                                Die Festlegung von Sicherheitszielen sollte den technischen Fortschritt nicht behindern, da angepasste Lösungen gewählt werden können. Der Einsatz von CNC-Werkzeugmaschinen stellt höchste Anforderungen an Gefahrenanalyse, Risikobeurteilung und Sicherheitskonzepte. Im Folgenden werden einige Sicherheitsziele und mögliche Lösungen näher beschrieben.

                                                                                                                                                                                                Sicherheitsziel

                                                                                                                                                                                                • Der manuelle oder physische Zugang zu Gefahrenbereichen während automatischer Bewegungen muss verhindert werden.

                                                                                                                                                                                                 

                                                                                                                                                                                                Mögliche Lösungen

                                                                                                                                                                                                • Verhindern Sie den manuellen oder physischen Zugang zu Gefahrenbereichen durch mechanische Barrieren.
                                                                                                                                                                                                • Sehen Sie Sicherheitseinrichtungen vor, die bei Annäherung ansprechen (Lichtschranken, Schaltmatten) und schalten Sie Maschinen bei Eingriffen oder Betreten sicher ab.
                                                                                                                                                                                                • Erlauben Sie manuellen oder physischen Zugang zu Maschinen (oder deren Umgebung) nur, wenn sich das gesamte System in einem sicheren Zustand befindet (z. B. durch Verwendung von Verriegelungsvorrichtungen mit Schließmechanismen an den Zugangstüren).

                                                                                                                                                                                                 

                                                                                                                                                                                                Sicherheitsziel

                                                                                                                                                                                                • Personenschäden durch freigesetzte Energie (umherfliegende Teile oder Energiestrahlen) sind auszuschließen.

                                                                                                                                                                                                 

                                                                                                                                                                                                Mögliche Lösung

                                                                                                                                                                                                • Verhindern Sie das Freisetzen von Energie aus dem Gefahrenbereich – zum Beispiel durch eine entsprechend dimensionierte Schutzhaube.

                                                                                                                                                                                                 

                                                                                                                                                                                                Sonderbetrieb

                                                                                                                                                                                                Die Schnittstellen zwischen Normalbetrieb und Sonderbetrieb (z. B. Türverriegelungen, Lichtschranken, Schaltmatten) sind notwendig, damit die Sicherheitssteuerung automatisch die Anwesenheit von Personen erkennen kann. Im Folgenden werden bestimmte Sonderbetriebsarten (z. B. Einrichten, Programmieren) an CNC-Werkzeugmaschinen beschrieben, die Bewegungen erfordern, die direkt am Einsatzort beurteilt werden müssen.

                                                                                                                                                                                                Sicherheitsziele

                                                                                                                                                                                                • Bewegungen dürfen nur so erfolgen, dass sie keine Gefahr für die betroffenen Personen darstellen können. Solche Bewegungen dürfen nur im vorgesehenen Stil und Tempo ausgeführt und nur so lange wie angewiesen fortgesetzt werden.
                                                                                                                                                                                                • Sie sind nur dann zu versuchen, wenn sichergestellt ist, dass sich keine Körperteile im Gefahrenbereich befinden.

                                                                                                                                                                                                 

                                                                                                                                                                                                Mögliche Lösung

                                                                                                                                                                                                • Installieren Sie spezielle Bediensysteme, die nur kontrollierbare und handhabbare Bewegungen per Fingertipp über „quittierende“ Drucktaster zulassen. Die Bewegungsgeschwindigkeit wird somit sicher reduziert (sofern die Energie durch einen Trenntransformator oder ähnliche Überwachungseinrichtungen reduziert wurde).

                                                                                                                                                                                                 

                                                                                                                                                                                                Anforderungen an Sicherheitssteuerungen

                                                                                                                                                                                                Zu den Merkmalen einer Sicherheitssteuerung muss gehören, dass die Sicherheitsfunktion im Fehlerfall gewährleistet ist, um Prozesse aus einem gefährlichen Zustand in einen sicheren Zustand zu lenken.

                                                                                                                                                                                                Sicherheitsziele

                                                                                                                                                                                                • Ein Fehler in der Sicherheitssteuerung darf keinen gefährlichen Zustand auslösen.
                                                                                                                                                                                                • Ein Fehler in der Sicherheitssteuerung muss erkannt werden (sofort oder in Intervallen).

                                                                                                                                                                                                 

                                                                                                                                                                                                Mögliche Lösungen

                                                                                                                                                                                                • Richten Sie ein redundantes und vielfältiges Layout elektromechanischer Steuerungssysteme ein, einschließlich Testschaltungen.
                                                                                                                                                                                                • Richten Sie eine redundante und vielfältige Einrichtung von Mikroprozessor-Steuerungssystemen ein, die von verschiedenen Teams entwickelt wurden. Dieser Ansatz gilt beispielsweise bei Sicherheitslichtschranken als Stand der Technik.

                                                                                                                                                                                                 

                                                                                                                                                                                                Fazit

                                                                                                                                                                                                Es zeigt sich, dass die zunehmende Unfallhäufigkeit im Normal- und Sonderbetrieb ohne ein klares und unverwechselbares Sicherheitskonzept nicht aufzuhalten ist. Diese Tatsache muss bei der Erstellung von Sicherheitsvorschriften und Richtlinien berücksichtigt werden. Neue Richtlinien in Form von Sicherheitszielen sind notwendig, um fortschrittliche Lösungen zu ermöglichen. Dieses Ziel ermöglicht es Konstrukteuren, die optimale Lösung für einen bestimmten Fall auszuwählen und gleichzeitig die Sicherheitsmerkmale ihrer Maschinen auf relativ einfache Weise zu demonstrieren, indem sie eine Lösung für jedes Sicherheitsziel beschreiben. Diese Lösung kann dann mit anderen bestehenden und akzeptierten Lösungen verglichen werden, und wenn sie besser oder zumindest gleichwertig ist, kann dann eine neue Lösung gewählt werden. So wird der Fortschritt nicht durch eng formulierte Vorschriften behindert.


                                                                                                                                                                                                Hauptmerkmale der EWG-Maschinenrichtlinie

                                                                                                                                                                                                Für jeden einzelnen Staat gilt die Richtlinie des Rates vom 14. Juni 1989 zur Angleichung der Rechtsvorschriften der Mitgliedstaaten über Maschinen (89/392/EWG).

                                                                                                                                                                                                • Jeder einzelne Staat muss die Richtlinie in seine Gesetzgebung integrieren.
                                                                                                                                                                                                • Gültig ab 1. Januar 1993.
                                                                                                                                                                                                • Fordert, dass sich alle Hersteller an den Stand der Technik halten.
                                                                                                                                                                                                • Der Hersteller muss eine technische Konstruktionsakte erstellen, die vollständige Informationen zu allen grundlegenden Aspekten der Sicherheit und des Gesundheitsschutzes enthält.
                                                                                                                                                                                                • Der Hersteller muss die Konformitätserklärung und die CE-Kennzeichnung der Maschinen ausstellen.
                                                                                                                                                                                                • Das Versäumnis, einer staatlichen Überwachungsstelle eine vollständige technische Dokumentation zur Verfügung zu stellen, gilt als Nichterfüllung der Maschinenrichtlinie. Ein EWG-weites Verkaufsverbot kann die Folge sein.

                                                                                                                                                                                                 

                                                                                                                                                                                                Sicherheitsziele für den Bau und Einsatz von CNC-Werkzeugmaschinen

                                                                                                                                                                                                1. Drehmaschinen

                                                                                                                                                                                                1.1 Normaler Betriebsmodus

                                                                                                                                                                                                1.1.1 Der Arbeitsbereich ist so abzusichern, dass der Gefahrenbereich automatischer Bewegungen weder absichtlich noch unbeabsichtigt erreicht oder betreten werden kann.

                                                                                                                                                                                                1.1.2 Das Werkzeugmagazin ist so abzusichern, dass es unmöglich ist, die Gefahrenbereiche automatischer Bewegungen zu erreichen oder zu betreten, weder beabsichtigt noch unbeabsichtigt.

                                                                                                                                                                                                1.1.3 Das Werkstückmagazin ist so abzusichern, dass es unmöglich ist, die Gefahrenbereiche automatischer Bewegungen zu erreichen oder zu betreten, weder beabsichtigt noch unbeabsichtigt.

                                                                                                                                                                                                1.1.4 Die Späneabfuhr darf nicht zu Personenschäden durch Späne oder bewegliche Teile der Maschine führen.

                                                                                                                                                                                                1.1.5 Personenschäden durch Eingreifen in Antriebssysteme sind zu vermeiden.

                                                                                                                                                                                                1.1.6 Das Hineingreifen in die Gefahrenbereiche sich bewegender Späneförderer muss verhindert werden.

                                                                                                                                                                                                1.1.7 Durch umherfliegende Werkstücke oder Teile davon dürfen weder Bediener noch Dritte verletzt werden.

                                                                                                                                                                                                Dies kann beispielsweise vorkommen

                                                                                                                                                                                                • wegen unzureichender Klemmung
                                                                                                                                                                                                • durch unzulässige Schnittkraft
                                                                                                                                                                                                • durch unzulässige Drehzahl
                                                                                                                                                                                                • durch Kollision mit Werkzeug- oder Maschinenteilen
                                                                                                                                                                                                • durch Werkstückbruch
                                                                                                                                                                                                • aufgrund defekter Spannvorrichtungen
                                                                                                                                                                                                • wegen Stromausfall

                                                                                                                                                                                                 

                                                                                                                                                                                                1.1.8 Durch umherfliegende Werkstückspannvorrichtungen darf kein Personenschaden entstehen.

                                                                                                                                                                                                1.1.9 Durch umherfliegende Späne darf kein Personenschaden entstehen.

                                                                                                                                                                                                1.1.10 Durch umherfliegende Werkzeuge oder Teile davon darf kein Personenschaden entstehen.

                                                                                                                                                                                                Dies kann beispielsweise vorkommen

                                                                                                                                                                                                • aufgrund von Materialfehlern
                                                                                                                                                                                                • durch unzulässige Schnittkraft
                                                                                                                                                                                                • B. durch Kollision mit dem Werkstück oder einem Maschinenteil
                                                                                                                                                                                                • durch unzureichendes Klemmen oder Anziehen

                                                                                                                                                                                                 

                                                                                                                                                                                                1.2 Besondere Betriebsarten

                                                                                                                                                                                                1.2.1 Werkstückwechsel.

                                                                                                                                                                                                1.2.1.1 Die Werkstückspannung muss so erfolgen, dass keine Körperteile zwischen schließenden Spannvorrichtungen und Werkstück oder zwischen vorlaufender Hülsenspitze und Werkstück eingeklemmt werden können.

                                                                                                                                                                                                1.2.1.2 Das Anlaufen eines Antriebs (Spindeln, Achsen, Pinolen, Revolverköpfe oder Späneförderer) infolge eines fehlerhaften oder ungültigen Befehls muss verhindert werden.

                                                                                                                                                                                                1.2.1.3 Das Werkstück muss von Hand oder mit Werkzeugen gefahrlos manipuliert werden können.

                                                                                                                                                                                                1.2.2 Werkzeugwechsel im Werkzeughalter oder Werkzeugrevolverkopf.

                                                                                                                                                                                                1.2.2.1 Gefährdungen durch fehlerhaftes Verhalten des Systems oder durch Eingabe eines ungültigen Befehls müssen verhindert werden.

                                                                                                                                                                                                1.2.3 Werkzeugwechsel im Werkzeugmagazin.

                                                                                                                                                                                                1.2.3.1 Bewegungen im Werkzeugmagazin infolge eines fehlerhaften oder ungültigen Befehls müssen beim Werkzeugwechsel verhindert werden.

                                                                                                                                                                                                1.2.3.2 Von der Werkzeugbeladestation darf nicht in andere bewegliche Maschinenteile gegriffen werden können.

                                                                                                                                                                                                1.2.3.3 Beim Weiterfahren des Werkzeugmagazins oder beim Suchen darf nicht in Gefahrenbereiche gegriffen werden können. Bei abgenommenen Schutzeinrichtungen für den Normalbetrieb dürfen diese Bewegungen nur der vorgesehenen Art und nur während der angeordneten Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass sich keine Körperteile in diesen Gefahrenbereichen befinden .

                                                                                                                                                                                                1.2.4 Messkontrolle.

                                                                                                                                                                                                1.2.4.1 Das Hineingreifen in den Arbeitsbereich darf erst möglich sein, nachdem alle Bewegungen zum Stillstand gebracht wurden.

                                                                                                                                                                                                1.2.4.2 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                1.2.5 Einrichtung.

                                                                                                                                                                                                1.2.5.1 Werden Bewegungen während des Rüstens bei entfernten Schutzeinrichtungen für den Normalbetrieb ausgeführt, muss der Bediener auf andere Weise abgesichert werden.

                                                                                                                                                                                                1.2.5.2 Aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe dürfen keine gefährlichen Bewegungen oder Bewegungsänderungen eingeleitet werden.

                                                                                                                                                                                                1.2.6 Programmierung.

                                                                                                                                                                                                1.2.6.1 Während der Programmierung dürfen keine Bewegungen eingeleitet werden, die eine Person im Arbeitsbereich gefährden.

                                                                                                                                                                                                1.2.7 Produktionsfehler.

                                                                                                                                                                                                1.2.7.1 Das Anlaufen eines Antriebs aufgrund eines fehlerhaften Befehls bei ungültigem Befehlsvorgabesollwert muss verhindert werden.

                                                                                                                                                                                                1.2.7.2 Durch das Bewegen oder Entfernen des Werkstücks oder Abfalls dürfen keine gefährlichen Bewegungen oder Situationen ausgelöst werden.

                                                                                                                                                                                                1.2.7.3 Müssen Bewegungen bei abgenommenen Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der dafür vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass keine Teile der Körper befinden sich in diesen Gefahrenbereichen.

                                                                                                                                                                                                1.2.8 Fehlerbehebung.

                                                                                                                                                                                                1.2.8.1 Das Hineingreifen in die Gefahrenbereiche automatischer Bewegungen muss verhindert werden.

                                                                                                                                                                                                1.2.8.2 Das Anlaufen eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                1.2.8.3 Eine Bewegung der Maschine bei Manipulation des defekten Teils muss verhindert werden.

                                                                                                                                                                                                1.2.8.4 Personenschäden durch Absplittern oder Herunterfallen eines Maschinenteils müssen verhindert werden.

                                                                                                                                                                                                1.2.8.5 Müssen bei der Fehlersuche Bewegungen bei entfernten Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn dies sichergestellt werden kann keine Körperteile befinden sich in diesen Gefahrenzonen.

                                                                                                                                                                                                1.2.9 Maschinenstörung und Reparatur.

                                                                                                                                                                                                1.2.9.1 Die Maschine ist gegen Anlaufen zu sichern.

                                                                                                                                                                                                1.2.9.2 Die Manipulation der verschiedenen Teile der Maschine muss manuell oder mit Werkzeugen gefahrlos möglich sein.

                                                                                                                                                                                                1.2.9.3 Es darf nicht möglich sein, spannungsführende Teile der Maschine zu berühren.

                                                                                                                                                                                                1.2.9.4 Durch das Austreten von flüssigen oder gasförmigen Medien dürfen keine Personenschäden entstehen.

                                                                                                                                                                                                 

                                                                                                                                                                                                2. Fräsmaschinen

                                                                                                                                                                                                2.1 Normaler Betriebsmodus

                                                                                                                                                                                                2.1.1 Der Arbeitsbereich ist so abzusichern, dass der Gefahrenbereich automatischer Bewegungen weder absichtlich noch unbeabsichtigt erreicht oder betreten werden kann.

                                                                                                                                                                                                2.1.2 Die Späneabfuhr darf nicht zu Personenschäden durch Späne oder bewegliche Teile der Maschine führen.

                                                                                                                                                                                                2.1.3 Personenschäden durch Eingreifen in Antriebssysteme sind zu vermeiden.

                                                                                                                                                                                                Durch umherfliegende Werkstücke oder Teile davon dürfen keine Personenschäden des Bedienpersonals oder Dritter entstehen.

                                                                                                                                                                                                Dies kann beispielsweise vorkommen

                                                                                                                                                                                                • wegen unzureichender Klemmung
                                                                                                                                                                                                • durch unzulässige Schnittkraft
                                                                                                                                                                                                • durch Kollision mit Werkzeug- oder Maschinenteilen
                                                                                                                                                                                                • durch Werkstückbruch
                                                                                                                                                                                                • aufgrund defekter Spannvorrichtungen
                                                                                                                                                                                                • wegen Stromausfall

                                                                                                                                                                                                 

                                                                                                                                                                                                2.1.4 Durch umherfliegende Werkstückspannvorrichtungen darf kein Personenschaden entstehen.

                                                                                                                                                                                                2.1.5 Durch umherfliegende Späne darf kein Personenschaden entstehen.

                                                                                                                                                                                                2.1.6 Durch umherfliegende Werkzeuge oder Teile davon darf kein Personenschaden entstehen.

                                                                                                                                                                                                Dies kann beispielsweise vorkommen

                                                                                                                                                                                                • aufgrund von Materialfehlern
                                                                                                                                                                                                • wegen unzulässiger Drehzahl
                                                                                                                                                                                                • durch unzulässige Schnittkraft
                                                                                                                                                                                                • durch Kollision mit Werkstück oder Maschinenteil
                                                                                                                                                                                                • durch unzureichendes Klemmen oder Anziehen
                                                                                                                                                                                                • wegen Stromausfall

                                                                                                                                                                                                 

                                                                                                                                                                                                Spezielle Betriebsarten

                                                                                                                                                                                                2.2.1 Werkstückwechsel.

                                                                                                                                                                                                2.2.1.1 Bei kraftbetätigten Spannzeugen dürfen keine Körperteile zwischen den Schließteilen der Spannvorrichtung und dem Werkstück eingeklemmt werden können.

                                                                                                                                                                                                2.2.1.2 Das Anlaufen eines Antriebs (Spindel, Achse) aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                2.2.1.3 Die Manipulation des Werkstücks muss manuell oder mit Werkzeugen gefahrlos möglich sein.

                                                                                                                                                                                                2.2.2 Werkzeugwechsel.

                                                                                                                                                                                                2.2.2.1 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                2.2.2.2 Beim Einsetzen von Werkzeugen dürfen die Finger nicht eingeklemmt werden.

                                                                                                                                                                                                2.2.3 Messkontrolle.

                                                                                                                                                                                                2.2.3.1 Das Hineingreifen in den Arbeitsbereich darf erst möglich sein, nachdem alle Bewegungen zum Stillstand gebracht wurden.

                                                                                                                                                                                                2.2.3.2 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                2.2.4 Einrichtung.

                                                                                                                                                                                                2.2.4.1 Werden Bewegungen während des Rüstens bei entfernten Schutzeinrichtungen für den Normalbetrieb ausgeführt, muss der Bediener auf andere Weise abgesichert werden.

                                                                                                                                                                                                2.2.4.2 Aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe dürfen keine gefährlichen Bewegungen oder Bewegungsänderungen eingeleitet werden.

                                                                                                                                                                                                2.2.5 Programmierung.

                                                                                                                                                                                                2.2.5.1 Während der Programmierung dürfen keine Bewegungen eingeleitet werden, die eine Person im Arbeitsbereich gefährden.

                                                                                                                                                                                                2.2.6 Produktionsfehler.

                                                                                                                                                                                                2.2.6.1 Das Starten des Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                2.2.6.2 Durch das Bewegen oder Entfernen des Werkstücks oder Abfalls dürfen keine gefährlichen Bewegungen oder Situationen ausgelöst werden.

                                                                                                                                                                                                2.2.6.3 Müssen Bewegungen bei abgenommenen Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der dafür vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass keine Teile der Körper befinden sich in diesen Gefahrenbereichen.

                                                                                                                                                                                                2.2.7 Fehlerbehebung.

                                                                                                                                                                                                2.2.7.1 Das Hineingreifen in die Gefahrenbereiche automatischer Bewegungen muss verhindert werden.

                                                                                                                                                                                                2.2.7.2 Das Anlaufen eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                2.2.7.3 Jede Bewegung der Maschine bei Manipulation des defekten Teils muss verhindert werden.

                                                                                                                                                                                                2.2.7.4 Personenschäden durch Absplittern oder Herunterfallen eines Maschinenteils müssen verhindert werden.

                                                                                                                                                                                                2.2.7.5 Müssen bei der Fehlersuche Bewegungen bei entfernten Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn dies sichergestellt werden kann keine Körperteile befinden sich in diesen Gefahrenzonen.

                                                                                                                                                                                                2.2.8 Maschinenstörung und Reparatur.

                                                                                                                                                                                                2.2.8.1 Das Anlaufen der Maschine muss verhindert werden.

                                                                                                                                                                                                2.2.8.2 Die Manipulation der verschiedenen Teile der Maschine muss manuell oder mit Werkzeugen gefahrlos möglich sein.

                                                                                                                                                                                                2.2.8.3 Es darf nicht möglich sein, spannungsführende Teile der Maschine zu berühren.

                                                                                                                                                                                                2.2.8.4 Durch das Austreten von flüssigen oder gasförmigen Medien dürfen keine Personenschäden entstehen.

                                                                                                                                                                                                 

                                                                                                                                                                                                3. Bearbeitungszentren

                                                                                                                                                                                                3.1 Normaler Betriebsmodus

                                                                                                                                                                                                3.1.1 Der Arbeitsbereich muss so abgesichert sein, dass der Gefahrenbereich automatischer Bewegungen weder absichtlich noch unbeabsichtigt erreicht oder betreten werden kann.

                                                                                                                                                                                                3.1.2 Das Werkzeugmagazin muss so gesichert sein, dass es unmöglich ist, in die Gefahrenbereiche automatischer Bewegungen zu gelangen oder hineinzusteigen.

                                                                                                                                                                                                3.1.3 Das Werkstückmagazin muss so abgesichert sein, dass ein Hineingreifen oder Betreten der Gefahrenbereiche automatischer Bewegungen ausgeschlossen ist.

                                                                                                                                                                                                3.1.4 Die Späneabfuhr darf nicht zu Personenschäden durch Späne oder bewegliche Teile der Maschine führen.

                                                                                                                                                                                                3.1.5 Personenschäden durch Eingreifen in Antriebssysteme sind zu vermeiden.

                                                                                                                                                                                                3.1.6 Das Hineingreifen in Gefahrenbereiche von sich bewegenden Späneförderern (Förderschnecken etc.) muss verhindert werden.

                                                                                                                                                                                                3.1.7 Durch umherfliegende Werkstücke oder Teile davon dürfen weder Bediener noch Dritte verletzt werden.

                                                                                                                                                                                                Dies kann beispielsweise vorkommen

                                                                                                                                                                                                • wegen unzureichender Klemmung
                                                                                                                                                                                                • durch unzulässige Schnittkraft
                                                                                                                                                                                                • durch Kollision mit Werkzeug- oder Maschinenteilen
                                                                                                                                                                                                • durch Werkstückbruch
                                                                                                                                                                                                • aufgrund defekter Spannvorrichtungen
                                                                                                                                                                                                • durch Wechsel auf das falsche Werkstück
                                                                                                                                                                                                • wegen Stromausfall

                                                                                                                                                                                                 

                                                                                                                                                                                                3.1.8 Durch umherfliegende Werkstückspannvorrichtungen darf kein Personenschaden entstehen.

                                                                                                                                                                                                3.1.9 Durch umherfliegende Späne darf kein Personenschaden entstehen.

                                                                                                                                                                                                3.1.10 Durch umherfliegende Werkzeuge oder Teile davon darf kein Personenschaden entstehen.

                                                                                                                                                                                                Dies kann beispielsweise vorkommen

                                                                                                                                                                                                • aufgrund von Materialfehlern
                                                                                                                                                                                                • wegen unzulässiger Drehzahl
                                                                                                                                                                                                • durch unzulässige Schnittkraft
                                                                                                                                                                                                • durch Kollision mit Werkstück oder Maschinenteil
                                                                                                                                                                                                • durch unzureichendes Klemmen oder Anziehen
                                                                                                                                                                                                • durch herausfliegendes Werkzeug aus dem Werkzeugwechsler
                                                                                                                                                                                                • aufgrund der Auswahl des falschen Werkzeugs
                                                                                                                                                                                                • wegen Stromausfall

                                                                                                                                                                                                 

                                                                                                                                                                                                3.2 Besondere Betriebsarten

                                                                                                                                                                                                3.2.1 Werkstückwechsel.

                                                                                                                                                                                                3.2.1.1 Bei kraftbetätigten Spannzeugen dürfen keine Körperteile zwischen den Schließteilen der Spannvorrichtung und dem Werkstück eingeklemmt werden können.

                                                                                                                                                                                                3.2.1.2 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                3.2.1.3 Das Werkstück muss von Hand oder mit Werkzeugen gefahrlos manipuliert werden können.

                                                                                                                                                                                                3.2.1.4 Beim Werkstückwechsel in einer Spannstation dürfen automatische Bewegungsabläufe der Maschine oder des Werkstückmagazins von dieser Stelle aus nicht erreicht oder betreten werden können. Während sich eine Person im Spannbereich aufhält, dürfen keine Bewegungen von der Steuerung eingeleitet werden. Das automatische Einlegen des gespannten Werkstücks in die Maschine oder das Werkstückmagazin darf nur dann erfolgen, wenn auch die Spannstation mit einem dem Normalbetrieb entsprechenden Schutzsystem abgesichert ist.

                                                                                                                                                                                                3.2.2 Werkzeugwechsel in der Spindel.

                                                                                                                                                                                                3.2.2.1 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                3.2.2.2 Beim Einsetzen von Werkzeugen dürfen die Finger nicht eingeklemmt werden.

                                                                                                                                                                                                3.2.3 Werkzeugwechsel im Werkzeugmagazin.

                                                                                                                                                                                                3.2.3.1 Bewegungen im Werkzeugmagazin durch fehlerhafte Befehle oder ungültige Befehlseingaben müssen beim Werkzeugwechsel verhindert werden.

                                                                                                                                                                                                3.2.3.2 Von der Werkzeugbeladestation darf nicht in andere bewegliche Maschinenteile gegriffen werden können.

                                                                                                                                                                                                3.2.3.3 Bei der Weiterbewegung des Werkzeugmagazins oder während der Suche darf nicht in Gefahrenbereiche gegriffen werden können. Bei abgenommenen Schutzeinrichtungen für den normalen Betrieb dürfen diese Bewegungen nur in der vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass sich keine Körperteile in diesen Gefahrenbereichen befinden .

                                                                                                                                                                                                3.2.4 Messkontrolle.

                                                                                                                                                                                                3.2.4.1 Das Hineingreifen in den Arbeitsbereich darf erst möglich sein, nachdem alle Bewegungen zum Stillstand gebracht wurden.

                                                                                                                                                                                                3.2.4.2 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                3.2.5 Einrichtung.

                                                                                                                                                                                                3.2.5.1 Werden Bewegungen während des Rüstens bei entfernten Schutzeinrichtungen für den Normalbetrieb ausgeführt, muss der Bediener auf andere Weise abgesichert werden.

                                                                                                                                                                                                3.2.5.2 Aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe dürfen keine gefährlichen Bewegungen oder Bewegungsänderungen eingeleitet werden.

                                                                                                                                                                                                3.2.6 Programmierung.

                                                                                                                                                                                                3.2.6.1 Während der Programmierung dürfen keine Bewegungen eingeleitet werden, die eine Person im Arbeitsbereich gefährden.

                                                                                                                                                                                                3.2.7 Produktionsfehler.

                                                                                                                                                                                                3.2.7.1 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                3.2.7.2 Durch das Bewegen oder Entfernen des Werkstücks oder Abfalls dürfen keine gefährlichen Bewegungen oder Situationen ausgelöst werden.

                                                                                                                                                                                                3.2.7.3 Müssen Bewegungen bei abgenommenen Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der dafür vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass keine Teile der Körper befinden sich in diesen Gefahrenbereichen.

                                                                                                                                                                                                3.2.8 Fehlerbehebung.

                                                                                                                                                                                                3.2.8.1 Das Hineingreifen in die Gefahrenbereiche automatischer Bewegungen muss verhindert werden.

                                                                                                                                                                                                3.2.8.2 Das Anlaufen eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                3.2.8.3 Jede Bewegung der Maschine bei Manipulation des defekten Teils muss verhindert werden.

                                                                                                                                                                                                3.2.8.4 Personenschäden durch Absplittern oder Herunterfallen eines Maschinenteils müssen verhindert werden.

                                                                                                                                                                                                3.2.8.5 Müssen bei der Fehlersuche Bewegungen bei entfernten Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn dies sichergestellt werden kann keine Körperteile befinden sich in diesen Gefahrenzonen.

                                                                                                                                                                                                3.2.9 Maschinenstörung und Reparatur.

                                                                                                                                                                                                3.2.9.1 Das Anlaufen der Maschine muss verhindert werden.

                                                                                                                                                                                                3.2.9.2 Die Manipulation der verschiedenen Teile der Maschine muss manuell oder mit Werkzeugen gefahrlos möglich sein.

                                                                                                                                                                                                3.2.9.3 Es darf nicht möglich sein, spannungsführende Teile der Maschine zu berühren.

                                                                                                                                                                                                3.2.9.4 Durch das Austreten von flüssigen oder gasförmigen Medien dürfen keine Personenschäden entstehen.

                                                                                                                                                                                                 

                                                                                                                                                                                                4. Schleifmaschinen

                                                                                                                                                                                                4.1 Normaler Betriebsmodus

                                                                                                                                                                                                4.1.1 Der Arbeitsbereich ist so abzusichern, dass der Gefahrenbereich automatischer Bewegungen weder absichtlich noch unbeabsichtigt erreicht oder betreten werden kann.

                                                                                                                                                                                                4.1.2 Personenschäden durch Eingreifen in Antriebssysteme sind zu vermeiden.

                                                                                                                                                                                                4.1.3 Durch umherfliegende Werkstücke oder Teile davon dürfen weder Bediener noch Dritte verletzt werden.

                                                                                                                                                                                                Dies kann beispielsweise vorkommen

                                                                                                                                                                                                • wegen unzureichender Klemmung
                                                                                                                                                                                                • durch unzulässige Schnittkraft
                                                                                                                                                                                                • durch unzulässige Drehzahl
                                                                                                                                                                                                • durch Kollision mit Werkzeug- oder Maschinenteilen
                                                                                                                                                                                                • durch Werkstückbruch
                                                                                                                                                                                                • aufgrund defekter Spannvorrichtungen
                                                                                                                                                                                                • wegen Stromausfall

                                                                                                                                                                                                 

                                                                                                                                                                                                4.1.4 Durch umherfliegende Werkstückspannvorrichtungen darf kein Personenschaden entstehen.

                                                                                                                                                                                                4.1.5 Durch Funkenbildung dürfen keine Personenschäden oder Brände entstehen.

                                                                                                                                                                                                4.1.6 Durch umherfliegende Schleifscheibenteile darf kein Personenschaden entstehen.

                                                                                                                                                                                                Dies kann beispielsweise vorkommen

                                                                                                                                                                                                • durch unzulässige Drehzahl
                                                                                                                                                                                                • durch unzulässige Schnittkraft
                                                                                                                                                                                                • aufgrund von Materialfehlern
                                                                                                                                                                                                • durch Kollision mit Werkstück oder Maschinenteil
                                                                                                                                                                                                • durch unzureichende Klemmung (Flansche)
                                                                                                                                                                                                • durch Verwendung einer falschen Schleifscheibe

                                                                                                                                                                                                 

                                                                                                                                                                                                Spezielle Betriebsarten

                                                                                                                                                                                                4.2.1 Werkstückwechsel.

                                                                                                                                                                                                4.2.1.1 Bei kraftbetätigten Spannzeugen dürfen keine Körperteile zwischen den Schließteilen der Spannvorrichtung und dem Werkstück eingeklemmt werden können.

                                                                                                                                                                                                4.2.1.2 Das Starten eines Vorschubantriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                4.2.1.3 Personenschäden durch die rotierende Schleifscheibe müssen beim Hantieren mit dem Werkstück verhindert werden.

                                                                                                                                                                                                4.2.1.4 Personenschäden durch berstende Schleifscheibe dürfen nicht möglich sein.

                                                                                                                                                                                                4.2.1.5 Die Manipulation des Werkstücks muss manuell oder mit Werkzeugen gefahrlos möglich sein.

                                                                                                                                                                                                4.2.2 Werkzeugwechsel (Schleifscheibenwechsel)

                                                                                                                                                                                                4.2.2.1 Das Anlaufen eines Vorschubantriebs infolge eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                4.2.2.2 Personenschäden durch die rotierende Schleifscheibe dürfen während des Messvorgangs nicht möglich sein.

                                                                                                                                                                                                4.2.2.3 Personenschäden durch berstende Schleifscheibe dürfen nicht möglich sein.

                                                                                                                                                                                                4.2.3 Messkontrolle.

                                                                                                                                                                                                4.2.3.1 Das Starten eines Vorschubantriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                4.2.3.2 Personenschäden durch die rotierende Schleifscheibe dürfen während des Messvorgangs nicht möglich sein.

                                                                                                                                                                                                4.2.3.3 Personenschäden durch berstende Schleifscheibe dürfen nicht möglich sein.

                                                                                                                                                                                                4.2.4. Installieren.

                                                                                                                                                                                                4.2.4.1 Werden Bewegungen während des Rüstens bei entfernten Schutzeinrichtungen für den Normalbetrieb ausgeführt, muss der Bediener auf andere Weise abgesichert werden.

                                                                                                                                                                                                4.2.4.2 Aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe dürfen keine gefährlichen Bewegungen oder Bewegungsänderungen eingeleitet werden.

                                                                                                                                                                                                4.2.5 Programmierung.

                                                                                                                                                                                                4.2.5.1 Während der Programmierung dürfen keine Bewegungen eingeleitet werden, die eine Person im Arbeitsbereich gefährden.

                                                                                                                                                                                                4.2.6 Produktionsfehler.

                                                                                                                                                                                                4.2.6.1 Das Starten eines Vorschubantriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                4.2.6.2 Durch das Bewegen oder Entfernen des Werkstücks oder Abfalls dürfen keine gefährlichen Bewegungen oder Situationen ausgelöst werden.

                                                                                                                                                                                                4.2.6.3 Müssen Bewegungen bei abgenommenen Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der dafür vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass keine Teile der Körper befinden sich in diesen Gefahrenbereichen.

                                                                                                                                                                                                4.2.6.4 Personenschäden durch die rotierende Schleifscheibe müssen verhindert werden.

                                                                                                                                                                                                4.2.6.5 Personenschäden durch berstende Schleifscheibe dürfen nicht möglich sein.

                                                                                                                                                                                                4.2.7 Fehlerbehebung.

                                                                                                                                                                                                4.2.7.1 Das Hineingreifen in die Gefahrenbereiche automatischer Bewegungen muss verhindert werden.

                                                                                                                                                                                                4.2.7.2 Das Anlaufen eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.

                                                                                                                                                                                                4.2.7.3 Jede Bewegung der Maschine bei Manipulation des defekten Teils muss verhindert werden.

                                                                                                                                                                                                4.2.7.4 Personenschäden durch Absplittern oder Herunterfallen eines Maschinenteils müssen verhindert werden.

                                                                                                                                                                                                4.2.7.5 Personenschäden durch Berühren des Bedieners oder durch Bersten der rotierenden Schleifscheibe müssen verhindert werden.

                                                                                                                                                                                                4.2.7.6 Müssen bei der Fehlersuche Bewegungen bei entfernten Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn dies sichergestellt werden kann keine Körperteile befinden sich in diesen Gefahrenzonen.

                                                                                                                                                                                                4.2.8 Maschinenstörung und Reparatur.

                                                                                                                                                                                                4.2.8.1 Das Anlaufen der Maschine muss verhindert werden.

                                                                                                                                                                                                4.2.8.2 Die Manipulation der verschiedenen Teile der Maschine muss manuell oder mit Werkzeugen gefahrlos möglich sein.

                                                                                                                                                                                                4.2.8.3 Es darf nicht möglich sein, spannungsführende Teile der Maschine zu berühren.

                                                                                                                                                                                                4.2.8.4 Durch das Austreten von flüssigen oder gasförmigen Medien dürfen keine Personenschäden entstehen.

                                                                                                                                                                                                 

                                                                                                                                                                                                Zurück

                                                                                                                                                                                                Seite 1 von 2

                                                                                                                                                                                                HAFTUNGSAUSSCHLUSS: Die ILO übernimmt keine Verantwortung für auf diesem Webportal präsentierte Inhalte, die in einer anderen Sprache als Englisch präsentiert werden, der Sprache, die für die Erstproduktion und Peer-Review von Originalinhalten verwendet wird. Bestimmte Statistiken wurden seitdem nicht aktualisiert die Produktion der 4. Auflage der Encyclopaedia (1998)."

                                                                                                                                                                                                Inhalte