58. Sicherheitsanwendungen
Kapitel-Editoren: Kenneth Gerecke und Charles T. Pope
Systemanalyse
Manh Trung Ho
Sicherheit von Hand- und tragbaren Elektrowerkzeugen
US-Arbeitsministerium – Arbeitsschutzbehörde; herausgegeben von Kenneth Gerecke
Bewegliche Teile von Maschinen
Tomas Backström und Marianne Döös
Maschinenschutz
US-Arbeitsministerium – Arbeitsschutzbehörde; herausgegeben von Kenneth Gerecke
Präsenzmelder
Paul Schreiber
Geräte zum Steuern, Trennen und Schalten von Energie
René Troxler
Sicherheitsrelevante Anwendungen
Dietmar Reinert und Karlheinz Meffert
Software und Computer: Hybride automatisierte Systeme
Waldemar Karwowski und Jozef Zurada
Grundsätze für die Gestaltung sicherer Steuerungssysteme
Georg Vondracek
Sicherheitsprinzipien für CNC-Werkzeugmaschinen
Toni Retsch, Guido Schmitter und Albert Marty
Sicherheitsprinzipien für Industrieroboter
Toni Retsch, Guido Schmitter und Albert Marty
Elektrische, elektronische und programmierbare elektronische sicherheitsbezogene Steuerungssysteme
Ron Glocke
Technische Anforderungen an sicherheitsbezogene Systeme basierend auf elektrischen, elektronischen und programmierbaren elektronischen Geräten
John Brazendale und Ron Bell
Roll
Bengt Springfeldt
Stürze von Erhebungen
Jean Artau
Enge Räume
Neil McManus
Grundsätze der Prävention: Materialhandhabung und interner Verkehr
Kari Häkkinen
Klicken Sie unten auf einen Link, um die Tabelle im Artikelkontext anzuzeigen.
1. Mögliche Fehlfunktionen eines Zwei-Tasten-Steuerkreises
2. Maschinenschutz
3. Geräte
4. Fütterungs- und Auswurfmethoden
5. Kombinationen von Schaltungsstrukturen in Maschinensteuerungen
6. Sicherheitsintegritätslevel für Schutzsysteme
7. Softwaredesign und -entwicklung
8. Sicherheitsintegritätslevel: Komponenten vom Typ B
9. Integritätsanforderungen: Elektronische Systemarchitekturen
10 Stürze von Erhebungen: Quebec 1982-1987
11Typische Absturzsicherungs- und Absturzsicherungssysteme
12 Unterschiede zwischen Sturzprävention und Sturzsicherung
13 Musterformular zur Beurteilung von Gefährdungsbedingungen
14 Eine Muster-Einreiseerlaubnis
Zeigen Sie auf eine Miniaturansicht, um die Bildunterschrift anzuzeigen, klicken Sie, um die Abbildung im Artikelkontext anzuzeigen.
A System kann als ein Satz voneinander abhängiger Komponenten definiert werden, die so kombiniert sind, dass sie unter bestimmten Bedingungen eine bestimmte Funktion erfüllen. Eine Maschine ist ein greifbares und besonders deutliches Beispiel für ein System in diesem Sinne, aber es gibt andere Systeme, die Männer und Frauen in einem Team oder in einer Werkstatt oder Fabrik einbeziehen, die weitaus komplexer und nicht so einfach zu definieren sind. Sicherheit suggeriert das Fehlen einer Gefahr oder eines Unfall- oder Schadensrisikos. Um Mehrdeutigkeiten zu vermeiden, wird das allgemeine Konzept von an ungewolltes Auftreten wird angestellt. Absolute Sicherheit im Sinne der Unmöglichkeit eines mehr oder weniger unglücklichen Zwischenfalls ist nicht erreichbar; realistischerweise muss man eher eine sehr geringe als eine Null-Wahrscheinlichkeit unerwünschter Ereignisse anstreben.
Ein bestimmtes System kann nur im Hinblick auf die Leistung, die tatsächlich von ihm erwartet wird, als sicher oder unsicher angesehen werden. Vor diesem Hintergrund kann das Sicherheitsniveau eines Systems wie folgt definiert werden: „Für jede gegebene Menge unerwünschter Ereignisse wird das Sicherheitsniveau (oder die Unsicherheit) eines Systems durch die Wahrscheinlichkeit bestimmt, dass diese Ereignisse über einen bestimmten Zeitraum auftreten Zeitspanne". Beispiele für unerwünschte Ereignisse, die im vorliegenden Zusammenhang von Interesse wären, sind: mehrere Todesfälle, Tod einer oder mehrerer Personen, schwere Verletzungen, leichte Verletzungen, Umweltschäden, schädliche Einwirkungen auf Lebewesen, Zerstörung von Anlagen oder Gebäuden und größere oder begrenzte Material- oder Ausrüstungsschäden.
Zweck der Sicherheitssystemanalyse
Ziel einer Systemsicherheitsanalyse ist es, die Faktoren zu ermitteln, die die Wahrscheinlichkeit der unerwünschten Ereignisse beeinflussen, die Art und Weise zu untersuchen, in der diese Ereignisse stattfinden, und letztendlich präventive Maßnahmen zu entwickeln, um ihre Wahrscheinlichkeit zu verringern.
Die analytische Phase des Problems kann in zwei Hauptaspekte unterteilt werden:
Nachdem die verschiedenen Störungen und ihre Folgen untersucht wurden, können die Systemsicherheitsanalysten ihre Aufmerksamkeit auf vorbeugende Maßnahmen richten. Die Forschung in diesem Bereich wird direkt auf früheren Erkenntnissen aufbauen. Diese Untersuchung präventiver Maßnahmen folgt den beiden Hauptaspekten der Systemsicherheitsanalyse.
Methoden der Analyse
Eine Systemsicherheitsanalyse kann vor oder nach dem Ereignis (a priori oder a posteriori) durchgeführt werden; in beiden Fällen kann das verwendete Verfahren entweder direkt oder umgekehrt sein. Vor dem unerwünschten Ereignis findet eine a priori Analyse statt. Der Analytiker nimmt eine bestimmte Anzahl solcher Ereignisse und macht sich daran, die verschiedenen Stadien zu entdecken, die zu ihnen führen können. Im Gegensatz dazu wird eine a posteriori-Analyse durchgeführt, nachdem das unerwünschte Ereignis stattgefunden hat. Sein Zweck besteht darin, eine Orientierungshilfe für die Zukunft zu geben und insbesondere Schlussfolgerungen zu ziehen, die für spätere a priori-Analysen nützlich sein können.
Obwohl es den Anschein haben mag, dass eine A-priori-Analyse sehr viel wertvoller wäre als eine A-posteriori-Analyse, da sie dem Vorfall vorausgeht, ergänzen sich beide tatsächlich. Welche Methode verwendet wird, hängt von der Komplexität des betreffenden Systems und dem, was bereits über das Thema bekannt ist, ab. Bei greifbaren Systemen wie Maschinen oder Industrieanlagen können Vorerfahrungen in der Regel dazu dienen, eine recht detaillierte a priori Analyse zu erstellen. Aber selbst dann ist die Analyse nicht unbedingt unfehlbar und wird sicherlich von einer nachfolgenden a posteriori-Analyse profitieren, die im Wesentlichen auf einer Untersuchung der Vorfälle basiert, die sich im Laufe des Betriebs ereignen. Bei komplexeren Systemen, an denen Personen beteiligt sind, wie beispielsweise Schichten, Werkstätten oder Fabriken, ist eine nachträgliche Analyse noch wichtiger. In solchen Fällen reichen Erfahrungen aus der Vergangenheit nicht immer aus, um eine detaillierte und verlässliche a priori-Analyse zu ermöglichen.
Eine A-posteriori-Analyse kann sich zu einer A-priori-Analyse entwickeln, wenn der Analytiker über den einzelnen Prozess hinausgeht, der zu dem fraglichen Vorfall geführt hat, und beginnt, die verschiedenen Vorkommnisse zu untersuchen, die vernünftigerweise zu einem solchen Vorfall oder ähnlichen Vorfällen führen könnten.
Eine andere Art und Weise, wie eine A-posteriori-Analyse zu einer A-priori-Analyse werden kann, besteht darin, den Schwerpunkt nicht auf das Ereignis (dessen Verhinderung der Hauptzweck der aktuellen Analyse ist), sondern auf weniger schwerwiegende Vorfälle zu legen. Diese Vorfälle, wie technische Störungen, Sachschäden und mögliche oder kleinere Unfälle, die für sich genommen von relativ geringer Bedeutung sind, können als Warnsignale für schwerwiegendere Ereignisse identifiziert werden. In solchen Fällen wird die Analyse, obwohl sie nach dem Eintreten kleinerer Vorfälle durchgeführt wird, eine a priori-Analyse in Bezug auf schwerwiegendere Vorfälle sein, die noch nicht stattgefunden haben.
Es gibt zwei mögliche Methoden, um den Mechanismus oder die Logik hinter der Abfolge von zwei oder mehr Ereignissen zu untersuchen:
Abbildung 1 ist ein Diagramm einer Steuerschaltung, die zwei Tasten erfordert (B1 und B2) gleichzeitig gedrückt werden, um die Relaisspule (R) zu aktivieren und die Maschine zu starten. Dieses Beispiel kann verwendet werden, um dies in praktischer Hinsicht zu veranschaulichen direkt und rückgängig machen Methoden, die in der Systemsicherheitsanalyse verwendet werden.
Abbildung 1. Steuerschaltung mit zwei Tasten
Direkte Methode
Im direkte Methodebeginnt der Analytiker damit, (1) Fehler, Funktionsstörungen und Fehlanpassungen aufzulisten, (2) ihre Auswirkungen zu untersuchen und (3) festzustellen, ob diese Auswirkungen eine Bedrohung für die Sicherheit darstellen oder nicht. Im Fall von Bild 1 können folgende Fehler auftreten:
Der Analytiker kann dann die Folgen dieser Fehler ableiten und die Ergebnisse tabellarisch darstellen (Tabelle 1).
Tabelle 1. Mögliche Funktionsstörungen einer Zwei-Knopf-Steuerschaltung und ihre Folgen
Fehler |
Folgen |
Drahtbruch zwischen 2 und 2' |
Start der Maschine nicht möglich* |
Versehentliches Schließen von B1 (oder b2 ) |
Keine unmittelbare Konsequenz |
Kontakt bei C1 (oder C2 ) Als ein Resultat aus |
Keine unmittelbare Folge, aber Möglichkeit der |
Kurzschluss zwischen 1 und 1' |
Aktivierung der Relaisspule R - versehentliches Starten von |
* Auftreten mit direktem Einfluss auf die Zuverlässigkeit des Systems
** Ereignis, das für eine schwerwiegende Verringerung des Sicherheitsniveaus des Systems verantwortlich ist
*** Zu vermeidendes gefährliches Ereignis
Siehe Text und Bild 1.
In Tabelle 1 können Folgen, die gefährlich sind oder das Sicherheitsniveau des Systems ernsthaft verringern können, durch herkömmliche Zeichen wie *** gekennzeichnet werden.
Hinweis: In Tabelle 1 führt ein Drahtbruch zwischen 2 und 2´ (dargestellt in Abbildung 1) zu einem Ereignis, das nicht als gefährlich angesehen wird. Sie hat keinen direkten Einfluss auf die Sicherheit des Systems; Die Wahrscheinlichkeit, dass ein solcher Vorfall auftritt, hat jedoch einen direkten Einfluss auf die Zuverlässigkeit des Systems.
Die direkte Methode eignet sich besonders für die Simulation. Abbildung 2 zeigt einen analogen Simulator, der zur Untersuchung der Sicherheit von Pressensteuerkreisen entwickelt wurde. Die Nachbildung des Regelkreises ermöglicht den Nachweis, dass der Kreis im fehlerfreien Zustand tatsächlich in der Lage ist, die geforderte Funktion zu gewährleisten, ohne die Sicherheitskriterien zu verletzen. Darüber hinaus kann der Simulator dem Analytiker ermöglichen, Fehler in die verschiedenen Komponenten der Schaltung einzuführen, ihre Folgen zu beobachten und somit die Schaltungen, die richtig entworfen sind (mit wenigen oder keinen gefährlichen Fehlern), von denen zu unterscheiden, die schlecht entworfen sind. Diese Art der Sicherheitsanalyse kann auch mit einem Computer durchgeführt werden.
Abbildung 2. Simulator zur Untersuchung von Druckregelkreisen
Umgekehrte Methode
Im umgekehrte Methode, arbeitet der Analytiker von dem unerwünschten Ereignis, Zwischenfall oder Unfall rückwärts zu den verschiedenen vorangegangenen Ereignissen, um festzustellen, welche möglicherweise zu den zu vermeidenden Ereignissen führen können. In Abbildung 1 wäre das letzte zu vermeidende Ereignis das unbeabsichtigte Anlaufen der Maschine.
Die Ergebnisse dieser Analyse können in einem baumähnlichen Diagramm dargestellt werden (deshalb wird die umgekehrte Methode als „Fehlerbaumanalyse“ bezeichnet), wie in Abbildung 3 dargestellt.
Abbildung 3. Mögliche Ereigniskette
Das Diagramm folgt logischen Operationen, von denen die wichtigsten die „ODER“- und „UND“-Verknüpfungen sind. Die „ODER“-Operation bedeutet, dass [X1] tritt auf, wenn entweder [A] oder [B] (oder beide) stattfinden. Die „UND“-Operation bedeutet, dass vor [X2] auftreten kann, müssen sowohl [C] als auch [D] stattgefunden haben (siehe Abbildung 4).
Abbildung 4. Darstellung zweier logischer Operationen
Die umgekehrte Methode wird sehr häufig in der A-priori-Analyse von konkreten Systemen verwendet, insbesondere in der Chemie-, Luftfahrt-, Raumfahrt- und Nuklearindustrie. Es hat sich auch als äußerst nützliche Methode zur Untersuchung von Arbeitsunfällen erwiesen.
Obwohl sie sehr unterschiedlich sind, ergänzen sich die direkten und umgekehrten Methoden. Die direkte Methode basiert auf einer Reihe von Fehlern oder Dysfunktionen, und der Wert einer solchen Analyse hängt daher weitgehend von der Relevanz der verschiedenen Dysfunktionen ab, die zu Beginn berücksichtigt werden. So gesehen scheint die umgekehrte Methode systematischer zu sein. Wenn der Analytiker weiß, welche Arten von Unfällen oder Vorfällen passieren können, kann er diese Methode theoretisch anwenden, um auf alle Funktionsstörungen oder Kombinationen von Funktionsstörungen zurückzuarbeiten, die diese verursachen können. Da jedoch nicht unbedingt alle gefährlichen Verhaltensweisen eines Systems im Voraus bekannt sind, können sie durch die direkte Methode, beispielsweise durch Simulation, entdeckt werden. Sind diese entdeckt, können die Gefährdungen mit der umgekehrten Methode genauer analysiert werden.
Probleme der Systemsicherheitsanalyse
Die oben beschriebenen analytischen Verfahren sind nicht nur mechanische Verfahren, die nur automatisiert angewendet werden müssen, um zu sinnvollen Schlussfolgerungen zur Verbesserung der Systemsicherheit zu gelangen. Im Gegenteil, Analysten stoßen im Laufe ihrer Arbeit auf eine Reihe von Problemen, und der Nutzen ihrer Analysen hängt weitgehend davon ab, wie sie diese lösen. Einige der typischen Probleme, die auftreten können, werden im Folgenden beschrieben.
Verständnis des zu untersuchenden Systems und seiner Betriebsbedingungen
Die grundlegenden Probleme jeder Systemsicherheitsanalyse sind die Definition des zu untersuchenden Systems, seine Grenzen und die Bedingungen, unter denen es während seiner gesamten Existenz arbeiten soll.
Wenn der Analyst ein zu begrenztes Subsystem berücksichtigt, kann das Ergebnis eine Reihe willkürlicher Präventivmaßnahmen sein (eine Situation, in der alles darauf ausgerichtet ist, bestimmte besondere Arten von Ereignissen zu verhindern, während ebenso schwerwiegende Gefahren ignoriert oder unterschätzt werden ). Wenn andererseits das betrachtete System in Bezug auf ein bestimmtes Problem zu umfassend oder zu allgemein ist, kann dies zu einer übermäßigen Unschärfe des Konzepts und der Verantwortlichkeiten führen, und die Analyse führt möglicherweise nicht zur Annahme geeigneter Präventivmaßnahmen.
Ein typisches Beispiel, das die Problematik der Definition des zu untersuchenden Systems verdeutlicht, ist die Sicherheit industrieller Maschinen oder Anlagen. In einer solchen Situation könnte der Analytiker versucht sein, nur die eigentliche Ausrüstung zu betrachten und die Tatsache zu übersehen, dass sie von einer oder mehreren Personen bedient oder kontrolliert werden muss. Vereinfachung dieser Art ist manchmal gültig. Analysiert werden muss jedoch nicht nur das Subsystem Maschine, sondern das gesamte System Mensch plus Maschine in den verschiedenen Lebensphasen der Anlage (darunter beispielsweise Transport und Handhabung, Montage, Prüfung und Einstellung, Normalbetrieb). , Wartung, Demontage und gegebenenfalls Zerstörung). Auf jeder Stufe ist die Maschine Teil eines spezifischen Systems, dessen Zweck, Funktionsweise und Fehlfunktion sich vollständig von denen des Systems auf anderen Stufen unterscheiden. Es muss daher so konstruiert und hergestellt werden, dass die Erfüllung der geforderten Funktion unter guten Sicherheitsbedingungen in jeder der Phasen möglich ist.
Generell gibt es bei Sicherheitsstudien in Unternehmen mehrere Systemebenen: die Maschine, den Arbeitsplatz, die Schicht, die Abteilung, die Fabrik und das Unternehmen als Ganzes. Je nachdem, welche Systemebene betrachtet wird, sind die möglichen Arten von Funktionsstörungen – und die entsprechenden präventiven Maßnahmen – sehr unterschiedlich. Eine gute Präventionspolitik muss die auf verschiedenen Ebenen auftretenden Funktionsstörungen berücksichtigen.
Die Betriebsbedingungen des Systems können hinsichtlich der Art und Weise, wie das System funktionieren soll, und der Umgebungsbedingungen, denen es ausgesetzt sein kann, definiert werden. Diese Definition muss realistisch genug sein, um die tatsächlichen Bedingungen zu berücksichtigen, unter denen das System voraussichtlich betrieben wird. Ein System, das nur in einem sehr eingeschränkten Betriebsbereich sehr sicher ist, ist möglicherweise nicht so sicher, wenn der Benutzer den vorgeschriebenen theoretischen Betriebsbereich nicht einhalten kann. Ein sicheres System muss daher robust genug sein, um angemessenen Schwankungen der Bedingungen, unter denen es funktioniert, standzuhalten, und es muss bestimmte einfache, aber vorhersehbare Fehler seitens der Bediener tolerieren.
Systemmodellierung
Oft ist es notwendig, ein Modell zu entwickeln, um die Sicherheit eines Systems zu analysieren. Dies kann bestimmte Probleme aufwerfen, die es wert sind, untersucht zu werden.
Für ein prägnantes und relativ einfaches System wie eine herkömmliche Maschine ist das Modell fast direkt aus den Beschreibungen der materiellen Komponenten und ihrer Funktionen (Motoren, Getriebe usw.) und der Art und Weise, wie diese Komponenten miteinander in Beziehung stehen, ableitbar. Die Anzahl möglicher Komponentenausfallmodi ist ähnlich begrenzt.
Ein besonderes Problem stellen moderne Maschinen wie Computer und Roboter dar, die komplexe Komponenten wie Mikroprozessoren und elektronische Schaltungen mit sehr hoher Integration enthalten. Dieses Problem wurde weder im Hinblick auf die Modellierung noch auf die Vorhersage der unterschiedlichen möglichen Ausfallarten vollständig gelöst, weil es so viele Elementartransistoren in jedem Chip gibt und weil verschiedene Arten von Software verwendet werden.
Wenn das zu analysierende System eine menschliche Organisation ist, liegt ein interessantes Problem, das bei der Modellierung auftritt, in der Auswahl und Definition bestimmter nicht-materieller oder nicht vollständig materieller Komponenten. Eine bestimmte Arbeitsstation kann beispielsweise durch ein System dargestellt werden, das Arbeiter, Software, Aufgaben, Maschinen, Materialien und Umgebung umfasst. (Die Komponente „Aufgabe“ kann sich als schwierig zu definieren erweisen, da nicht die vorgeschriebene Aufgabe zählt, sondern die Aufgabe, wie sie tatsächlich ausgeführt wird).
Bei der Modellierung menschlicher Organisationen kann sich der Analyst dafür entscheiden, das betrachtete System in ein Informationssubsystem und ein oder mehrere Aktionssubsysteme zu zerlegen. Die Analyse von Fehlern in verschiedenen Phasen des Informationssubsystems (Informationserfassung, -übertragung, -verarbeitung und -nutzung) kann sehr aufschlussreich sein.
Probleme im Zusammenhang mit mehreren Analyseebenen
Probleme im Zusammenhang mit mehreren Analyseebenen entstehen oft, weil der Analyst ausgehend von einem unerwünschten Ereignis möglicherweise auf zeitlich immer weiter zurückliegende Vorfälle zurückarbeitet. Je nach betrachteter Analyseebene variiert die Art der auftretenden Funktionsstörungen; gleiches gilt für die vorbeugenden Maßnahmen. Es ist wichtig, entscheiden zu können, auf welcher Ebene die Analyse gestoppt und auf welcher Ebene vorbeugende Maßnahmen ergriffen werden sollen. Ein Beispiel ist der einfache Fall eines Unfalls, der aus einem mechanischen Versagen resultiert, das durch die wiederholte Verwendung einer Maschine unter anormalen Bedingungen verursacht wurde. Dies kann durch mangelnde Bedienerschulung oder schlechte Arbeitsorganisation verursacht worden sein. Abhängig von der betrachteten Analyseebene kann die erforderliche vorbeugende Maßnahme der Austausch der Maschine durch eine andere Maschine sein, die härteren Einsatzbedingungen standhält, die Verwendung der Maschine nur unter normalen Bedingungen, Änderungen in der Personalschulung oder eine Neuorganisation arbeiten.
Wirksamkeit und Umfang einer Präventionsmaßnahme hängen von der Ebene ab, auf der sie eingeführt wird. Vorbeugende Maßnahmen in unmittelbarer Nähe des unerwünschten Ereignisses haben eher eine direkte und schnelle Wirkung, aber ihre Auswirkungen können begrenzt sein; Andererseits sollte es möglich sein, durch ein vernünftiges Rückwärtsgehen bei der Analyse von Ereignissen Funktionsstörungen zu finden, die zahlreichen Unfällen gemeinsam sind. Alle auf dieser Ebene ergriffenen vorbeugenden Maßnahmen werden einen viel größeren Umfang haben, aber ihre Wirksamkeit kann weniger direkt sein.
Bedenkt man, dass es mehrere Analyseebenen gibt, kann es auch zahlreiche Muster präventiven Handelns geben, von denen jedes seinen eigenen Anteil an der Präventionsarbeit trägt. Dies ist ein äußerst wichtiger Punkt, und man braucht nur auf das Beispiel des gegenwärtig betrachteten Unfalls zurückzukommen, um die Tatsache zu würdigen. Der Vorschlag, die Maschine durch eine andere Maschine zu ersetzen, die härteren Einsatzbedingungen standhalten kann, legt die Verantwortung für die Vorbeugung auf die Maschine. Die Entscheidung, dass die Maschine nur unter normalen Bedingungen verwendet werden soll, bedeutet, dass die Verantwortung dem Benutzer auferlegt wird. Ebenso kann die Last auf die Personalschulung, die Arbeitsorganisation oder gleichzeitig auf die Maschine, den Benutzer, die Schulungsfunktion und die Organisationsfunktion gelegt werden.
Auf jeder Analyseebene scheint ein Unfall häufig die Folge der Kombination mehrerer Funktionsstörungen oder Fehlanpassungen zu sein. Je nachdem, ob gegen die eine oder andere Funktionsstörung oder gegen mehrere gleichzeitig vorgegangen wird, variiert das Muster der vorbeugenden Maßnahmen.
Werkzeuge sind ein so alltäglicher Bestandteil unseres Lebens, dass es manchmal schwierig ist, sich daran zu erinnern, dass sie Gefahren darstellen können. Alle Werkzeuge werden unter Berücksichtigung der Sicherheit hergestellt, aber gelegentlich kann ein Unfall passieren, bevor werkzeugbezogene Gefahren erkannt werden. Die Arbeiter müssen lernen, die mit den verschiedenen Arten von Werkzeugen verbundenen Gefahren und die zur Vermeidung dieser Gefahren erforderlichen Sicherheitsvorkehrungen zu erkennen. Zum Schutz vor potenziellen Gefahren, die bei der Verwendung von tragbaren Elektrowerkzeugen und Handwerkzeugen auftreten können, sollte geeignete persönliche Schutzausrüstung wie Schutzbrillen oder Handschuhe getragen werden.
Handwerkzeuge
Handwerkzeuge sind nicht angetrieben und umfassen alles von Äxten bis zu Schraubenschlüsseln. Die größten Gefahren, die von Handwerkzeugen ausgehen, resultieren aus Missbrauch, Verwendung des falschen Werkzeugs für die Arbeit und unsachgemäßer Wartung. Einige der Gefahren im Zusammenhang mit der Verwendung von Handwerkzeugen umfassen, sind aber nicht beschränkt auf die folgenden:
Der Arbeitgeber ist für den sicheren Zustand der den Arbeitnehmern zur Verfügung gestellten Werkzeuge und Ausrüstungen verantwortlich, aber die Arbeitnehmer sind dafür verantwortlich, die Werkzeuge ordnungsgemäß zu verwenden und zu warten. Arbeiter sollten Sägeblätter, Messer oder andere Werkzeuge von Gangbereichen und anderen Mitarbeitern, die in unmittelbarer Nähe arbeiten, fernhalten. Messer und Scheren müssen scharf gehalten werden, da stumpfe Werkzeuge gefährlicher sein können als scharfe. (Siehe Abbildung 1.)
Abbildung 1. Ein Schraubendreher
Sicherheit erfordert, dass Böden so sauber und trocken wie möglich gehalten werden, um versehentliches Ausrutschen beim Arbeiten mit oder in der Nähe von gefährlichen Handwerkzeugen zu vermeiden. Obwohl Funken, die von Handwerkzeugen aus Eisen und Stahl erzeugt werden, normalerweise nicht heiß genug sind, um Zündquellen zu sein, können beim Arbeiten mit oder in der Nähe von brennbaren Materialien funkenbeständige Werkzeuge aus Messing, Kunststoff, Aluminium oder Holz verwendet werden, um Funkenbildung zu verhindern.
Power Tools
Elektrowerkzeuge sind gefährlich, wenn sie unsachgemäß verwendet werden. Es gibt verschiedene Arten von Elektrowerkzeugen, die normalerweise nach der Stromquelle kategorisiert werden (elektrisch, pneumatisch, mit Flüssigbrennstoff, hydraulisch, mit Dampf und Sprengpulver betrieben). Mitarbeiter sollten in der Verwendung aller Elektrowerkzeuge, die bei ihrer Arbeit verwendet werden, qualifiziert oder geschult sein. Sie sollten die potenziellen Gefahren im Zusammenhang mit der Verwendung von Elektrowerkzeugen verstehen und die folgenden allgemeinen Sicherheitsvorkehrungen beachten, um das Auftreten dieser Gefahren zu vermeiden:
Schutzvorrichtungen
Gefährliche bewegliche Teile von Elektrowerkzeugen müssen geschützt werden. Beispielsweise müssen Riemen, Zahnräder, Wellen, Riemenscheiben, Kettenräder, Spindeln, Trommeln, Schwungräder, Ketten oder andere sich hin- und herbewegende, rotierende oder bewegliche Teile von Geräten geschützt werden, wenn diese Teile Kontakt durch Arbeiter ausgesetzt sind. Falls erforderlich, sollten Schutzvorrichtungen vorgesehen werden, um den Bediener und andere Personen vor Gefahren zu schützen, die mit Folgendem verbunden sind:
Schutzvorrichtungen dürfen niemals entfernt werden, wenn ein Werkzeug verwendet wird. Beispielsweise müssen Handkreissägen mit Schutzvorrichtungen ausgestattet sein. Ein oberer Schutz muss das gesamte Sägeblatt abdecken. Eine einziehbare untere Schutzhaube muss die Zähne der Säge abdecken, außer wenn sie mit dem Arbeitsmaterial in Kontakt kommt. Der untere Schutz muss automatisch in die Abdeckposition zurückkehren, wenn das Werkzeug aus dem Werkstück herausgezogen wird. Beachten Sie die Blattschutzvorrichtungen in der Abbildung einer Motorsäge (Abbildung 2).
Abbildung 2. Eine Kreissäge mit Schutzvorrichtung
Sicherheitsschalter und -steuerungen
Im Folgenden finden Sie Beispiele für handgeführte Elektrowerkzeuge, die mit einem Tastschalter „Ein-Aus“ ausgestattet sein müssen:
Diese Werkzeuge können auch mit einer Einschaltsperre ausgestattet sein, vorausgesetzt, dass das Ausschalten durch eine einzige Bewegung desselben Fingers oder derselben Finger, die sie einschalten, erreicht werden kann.
Die folgenden handgeführten Elektrowerkzeuge dürfen nur mit einem positiven „Ein-Aus“-Steuerschalter ausgestattet sein:
Andere handgeführte Elektrowerkzeuge, die mit einem Konstantdruckschalter ausgestattet sein müssen, der die Stromversorgung abschaltet, wenn der Druck nachlässt, sind:
Elektrische Werkzeuge
Arbeiter, die Elektrowerkzeuge verwenden, müssen sich mehrerer Gefahren bewusst sein. Am schwerwiegendsten ist die Möglichkeit eines Stromschlags, gefolgt von Verbrennungen und leichten Stromschlägen. Unter bestimmten Bedingungen kann sogar eine kleine Stromstärke zu Herzflimmern führen, was zum Tod führen kann. Ein Stoß kann auch dazu führen, dass ein Arbeiter von einer Leiter oder anderen erhöhten Arbeitsflächen fällt.
Um das Verletzungsrisiko von Arbeitern durch Stromschlag zu verringern, müssen Werkzeuge durch mindestens eine der folgenden Maßnahmen geschützt werden:
Abbildung 3. Eine elektrische Bohrmaschine
Diese allgemeinen Sicherheitspraktiken sollten bei der Verwendung von Elektrowerkzeugen befolgt werden:
Angetriebene Schleifscheiben
Angetriebene Schleif-, Trenn-, Polier- und Drahtschwabbelscheiben verursachen besondere Sicherheitsprobleme, da die Scheiben zerfallen und herumfliegende Fragmente wegschleudern können.
Bevor Schleifscheiben montiert werden, sollten sie genau inspiziert und durch leichtes Klopfen mit einem leichten nichtmetallischen Instrument auf Klang (oder Ring) getestet werden, um sicherzustellen, dass sie frei von Rissen oder Defekten sind. Wenn Räder gerissen sind oder tot klingen, können sie im Betrieb auseinanderfliegen und dürfen nicht verwendet werden. Ein gesundes und unbeschädigtes Rad ergibt einen klaren metallischen Ton oder „Klingelton“.
Um zu verhindern, dass das Rad reißt, sollte der Benutzer sicher sein, dass es frei auf der Achse sitzt. Die Spindelmutter muss fest genug angezogen werden, um das Rad an Ort und Stelle zu halten, ohne den Flansch zu verformen. Befolgen Sie die Empfehlungen des Herstellers. Es muss darauf geachtet werden, dass das Spindelrad die Spezifikationen des Schleifrads nicht überschreitet. Aufgrund der Möglichkeit, dass ein Rad während des Starts zerfällt (explodiert), sollte der Arbeiter niemals direkt vor dem Rad stehen, während es auf volle Betriebsgeschwindigkeit beschleunigt. Tragbare Schleifwerkzeuge müssen mit Schutzvorrichtungen ausgestattet sein, um die Arbeiter nicht nur vor der sich bewegenden Scheibenoberfläche, sondern auch vor herumfliegenden Bruchstücken im Falle eines Bruchs zu schützen. Darüber hinaus sollten bei der Verwendung einer angetriebenen Schleifmaschine diese Vorsichtsmaßnahmen beachtet werden:
Druckluftwerkzeuge
Pneumatische Werkzeuge werden mit Druckluft betrieben und umfassen Hacker, Bohrer, Hämmer und Schleifer. Obwohl bei der Verwendung von pneumatischen Werkzeugen mehrere potenzielle Gefahren auftreten, besteht die Hauptgefahr darin, von einem der Aufsätze des Werkzeugs oder von einer Art Befestigungselement getroffen zu werden, das der Arbeiter mit dem Werkzeug verwendet. Beim Arbeiten mit pneumatischen Werkzeugen ist Augenschutz erforderlich und Gesichtsschutz wird empfohlen. Lärm ist eine weitere Gefahr. Das Arbeiten mit lauten Werkzeugen wie Presslufthämmern erfordert die ordnungsgemäße und effektive Verwendung eines geeigneten Gehörschutzes.
Bei der Verwendung eines pneumatischen Werkzeugs muss der Arbeiter überprüfen, ob es sicher am Schlauch befestigt ist, um eine Trennung zu verhindern. Als zusätzlicher Schutz dient ein kurzes Kabel oder eine formschlüssige Vorrichtung, mit der der Luftschlauch am Werkzeug befestigt wird. Wenn ein Luftschlauch einen Durchmesser von mehr als 1.27 cm (½ Zoll) hat, sollte ein Sicherheits-Überströmventil an der Luftversorgungsquelle installiert werden, um die Luft automatisch abzuschalten, falls der Schlauch reißt. Im Allgemeinen sollten bei einem Luftschlauch die gleichen Vorsichtsmaßnahmen getroffen werden, die für Elektrokabel empfohlen werden, da der Schlauch der gleichen Art von Beschädigung oder versehentlichem Aufprall ausgesetzt ist und außerdem eine Stolpergefahr darstellt.
Druckluftpistolen sollten niemals auf jemanden gerichtet werden. Die Arbeiter sollten die Düse niemals gegen sich selbst oder andere Personen „verlegen“. Ein Sicherheitsclip oder -halter sollte installiert werden, um zu verhindern, dass Zubehörteile, wie z. B. ein Meißel an einem Meißelhammer, unbeabsichtigt aus dem Lauf geschossen werden. Es sollten Abschirmungen aufgestellt werden, um Arbeiter in der Nähe davor zu schützen, von umherfliegenden Fragmenten um Häcksler, Nietpistolen, Drucklufthämmer, Hefter oder Druckluftbohrer getroffen zu werden.
Airless-Spritzpistolen, die Farben und Flüssigkeiten bei hohem Druck (1,000 Pfund oder mehr pro Quadratzoll) zerstäuben, müssen mit automatischen oder manuellen visuellen Sicherheitsvorrichtungen ausgestattet sein, die eine Aktivierung verhindern, bis die Sicherheitsvorrichtung manuell gelöst wird. Schwere Presslufthämmer können Ermüdung und Belastungen verursachen, die durch die Verwendung von schweren Gummigriffen, die einen sicheren Halt bieten, verringert werden können. Ein Arbeiter, der einen Presslufthammer bedient, muss eine Schutzbrille und Sicherheitsschuhe tragen, um sich vor Verletzungen zu schützen, wenn der Hammer abrutscht oder herunterfällt. Ein Gesichtsschutz sollte auch verwendet werden.
Kraftstoffbetriebene Werkzeuge
Kraftstoffbetriebene Werkzeuge werden üblicherweise mit kleinen benzinbetriebenen Verbrennungsmotoren betrieben. Die größten potenziellen Gefahren im Zusammenhang mit der Verwendung von kraftstoffbetriebenen Werkzeugen gehen von gefährlichen Kraftstoffdämpfen aus, die brennen oder explodieren und gefährliche Abgase abgeben können. Der Arbeiter muss darauf achten, das Benzin oder den Kraftstoff nur in zugelassenen Behältern für brennbare Flüssigkeiten gemäß den entsprechenden Verfahren für brennbare Flüssigkeiten zu handhaben, zu transportieren und zu lagern. Bevor der Tank für ein kraftstoffbetriebenes Werkzeug nachgefüllt wird, muss der Benutzer den Motor abstellen und ihn abkühlen lassen, um eine versehentliche Entzündung gefährlicher Dämpfe zu verhindern. Wenn ein kraftstoffbetriebenes Werkzeug in einem geschlossenen Bereich verwendet wird, ist eine wirksame Belüftung und/oder Schutzausrüstung erforderlich, um eine Exposition gegenüber Kohlenmonoxid zu vermeiden. Feuerlöscher müssen in der Umgebung verfügbar sein.
Explosivpulverbetätigte Werkzeuge
Sprengpulverbetriebene Werkzeuge funktionieren wie eine geladene Pistole und sollten mit dem gleichen Respekt und den gleichen Vorsichtsmaßnahmen behandelt werden. Tatsächlich sind sie so gefährlich, dass sie nur von speziell ausgebildeten oder qualifizierten Mitarbeitern bedient werden dürfen. Ein geeigneter Gehör-, Augen- und Gesichtsschutz ist bei der Verwendung eines pulverbetätigten Werkzeugs unerlässlich. Alle pulverbetätigten Werkzeuge sollten für unterschiedliche Pulverladungen ausgelegt sein, damit der Benutzer eine Pulvermenge auswählen kann, die erforderlich ist, um die Arbeit ohne übermäßigen Kraftaufwand auszuführen.
Das Mündungsende des Werkzeugs sollte einen Schutzschild oder eine Schutzvorrichtung haben, die senkrecht auf dem Lauf zentriert ist, um den Benutzer vor herumfliegenden Fragmenten oder Partikeln zu schützen, die eine Gefahr darstellen könnten, wenn das Werkzeug abgefeuert wird. Das Werkzeug muss so konstruiert sein, dass es nicht zündet, wenn es nicht über eine solche Sicherheitsvorrichtung verfügt. Um zu verhindern, dass das Werkzeug versehentlich abfeuert, sind zum Abfeuern zwei separate Bewegungen erforderlich: eine, um das Werkzeug in Position zu bringen, und eine andere, um den Abzug zu betätigen. Die Werkzeuge dürfen nicht in Betrieb sein, bis sie mit einer Kraft gegen die Arbeitsfläche gedrückt werden, die mindestens 5 Pfund größer ist als das Gesamtgewicht des Werkzeugs.
Wenn ein pulverbetätigtes Werkzeug fehlzündet, sollte der Benutzer mindestens 30 Sekunden warten, bevor er erneut versucht, es abzufeuern. Wenn es immer noch nicht zündet, sollte der Benutzer mindestens weitere 30 Sekunden warten, damit die fehlerhafte Patrone weniger wahrscheinlich explodiert, und dann die Ladung vorsichtig entfernen. Die defekte Patrone sollte in Wasser getaucht oder auf andere Weise gemäß den Verfahren des Arbeitgebers sicher entsorgt werden.
Wenn ein pulverbetätigtes Werkzeug während des Gebrauchs einen Defekt aufweist, sollte es sofort gekennzeichnet und außer Betrieb genommen werden, bis es ordnungsgemäß repariert ist. Zu den Vorsichtsmaßnahmen für die sichere Verwendung und Handhabung von pulverbetätigten Werkzeugen gehören die folgenden:
Bei der Verwendung von pulverbetätigten Werkzeugen zum Anbringen von Befestigungselementen sollten die folgenden Sicherheitsvorkehrungen berücksichtigt werden:
Hydraulische Elektrowerkzeuge
Die in hydraulischen Elektrowerkzeugen verwendete Flüssigkeit muss für den erwarteten Einsatz zugelassen sein und ihre Betriebseigenschaften bei den extremsten Temperaturen, denen sie ausgesetzt wird, beibehalten. Der vom Hersteller empfohlene sichere Betriebsdruck für Schläuche, Ventile, Rohre, Filter und andere Armaturen darf nicht überschritten werden. Besteht die Möglichkeit eines Lecks unter hohem Druck in einem Bereich, in dem Zündquellen wie offene Flammen oder heiße Oberflächen vorhanden sein können, sollte die Verwendung von schwer entflammbaren Flüssigkeiten als Hydraulikmedium in Betracht gezogen werden.
Jacks
Alle Wagenheber – Hebel- und Ratschenwagenheber, Schraubenwinden und hydraulische Wagenheber – müssen eine Vorrichtung haben, die verhindert, dass sie zu hoch aufbocken. Die Belastungsgrenze des Herstellers muss an prominenter Stelle dauerhaft auf dem Wagenheber gekennzeichnet sein und darf nicht überschritten werden. Verwenden Sie bei Bedarf Holzblöcke unter der Basis, um den Wagenheber auszurichten und zu sichern. Wenn die Hebefläche aus Metall besteht, platzieren Sie einen 1 Zoll (2.54 cm) dicken Hartholzblock oder ein gleichwertiges Stück zwischen der Unterseite der Fläche und dem Metallkopf des Wagenhebers, um die Rutschgefahr zu verringern. Ein Wagenheber sollte niemals zum Abstützen einer angehobenen Last verwendet werden. Sobald die Last angehoben wurde, sollte sie sofort mit Blöcken unterstützt werden.
Um einen Wagenheber einzurichten, stellen Sie die folgenden Bedingungen sicher:
Die richtige Wartung von Wagenhebern ist für die Sicherheit unerlässlich. Alle Wagenheber müssen vor jedem Gebrauch überprüft und regelmäßig geschmiert werden. Wenn ein Wagenheber einer ungewöhnlichen Belastung oder Erschütterung ausgesetzt wird, sollte er gründlich untersucht werden, um sicherzustellen, dass er nicht beschädigt wurde. Hydraulikheber, die Gefriertemperaturen ausgesetzt sind, müssen mit einem ausreichenden Frostschutzmittel gefüllt werden.
Zusammenfassung
Arbeitnehmer, die Hand- und Elektrowerkzeuge verwenden und die Gefahren durch herabfallende, fliegende, scheuernde und spritzende Gegenstände und Materialien oder Gefahren durch gesundheitsschädliche Stäube, Dämpfe, Nebel, Dämpfe oder Gase ausgesetzt sind, müssen mit der erforderlichen angemessenen persönlichen Ausrüstung ausgestattet werden um sie vor der Gefahr zu schützen. Alle Gefahren, die mit der Verwendung von Elektrowerkzeugen verbunden sind, können von Arbeitern verhindert werden, die fünf grundlegende Sicherheitsregeln befolgen:
Arbeitnehmer und Arbeitgeber haben die Verantwortung, zusammenzuarbeiten, um etablierte sichere Arbeitspraktiken aufrechtzuerhalten. Wenn ein unsicheres Werkzeug oder eine gefährliche Situation auftritt, sollte die zuständige Person sofort darauf aufmerksam gemacht werden.
Dieser Artikel behandelt Situationen und Ereignisketten, die zu Unfällen führen, die auf den Kontakt mit beweglichen Teilen von Maschinen zurückzuführen sind. Personen, die Maschinen bedienen und warten, laufen Gefahr, in schwere Unfälle verwickelt zu werden. US-Statistiken deuten darauf hin, dass 18,000 Amputationen und über 800 Todesfälle in den Vereinigten Staaten jedes Jahr auf solche Ursachen zurückzuführen sind. Nach Angaben des US-amerikanischen National Institute for Occupational Safety and Health (NIOSH) rangierte 1979 die Kategorie „Erwischt in, unter oder zwischen“ von Verletzungen in ihrer Klassifizierung unter den wichtigsten Arten von Arbeitsunfällen an erster Stelle. Solche Verletzungen betrafen im Allgemeinen Maschinen ( Etherton und Myers 1990). Seit der Einführung dieser Kategorie in die schwedische Arbeitsunfallstatistik im Jahr 10 wurde bei knapp über 1979 % der Arbeitsunfälle der „Kontakt mit einem sich bewegenden Maschinenteil“ als Hauptverletzungsereignis gemeldet.
Die meisten Maschinen haben bewegliche Teile, die Verletzungen verursachen können. Solche beweglichen Teile können an der Arbeitsstelle zu finden sein, wo am Material gearbeitet wird, wie beispielsweise dort, wo geschnitten, geformt, gebohrt oder verformt wird. Sie können in der Vorrichtung gefunden werden, die Energie auf die Teile der Maschine überträgt, die die Arbeit ausführen, wie Schwungräder, Riemenscheiben, Pleuelstangen, Kupplungen, Nocken, Spindeln, Ketten, Kurbeln und Zahnräder. Sie können in anderen beweglichen Teilen der Maschine wie Rädern an mobilen Geräten, Getriebemotoren, Pumpen, Kompressoren usw. gefunden werden. Gefährliche Maschinenbewegungen finden sich auch bei anderen Maschinenarten, insbesondere bei Hilfsgeräten, die solche Lasten wie Werkstücke, Materialien, Abfälle oder Werkzeuge handhaben und transportieren.
Alle Teile einer Maschine, die sich während der Arbeit bewegen, können zu Unfällen mit Verletzungen und Schäden beitragen. Sowohl rotierende als auch lineare Maschinenbewegungen sowie deren Energiequellen können gefährlich sein:
Drehbewegung. Auch leicht drehende Wellen können ein Kleidungsstück greifen und beispielsweise den Arm einer Person in eine gefährliche Position ziehen. Die Gefahr in einer rotierenden Welle erhöht sich, wenn sie hervorstehende Teile oder unebene oder scharfe Oberflächen, wie z. B. Einstellschrauben, Bolzen, Schlitze, Kerben oder Schneidkanten, aufweist. Rotierende Maschinenteile führen auf drei verschiedene Arten zu „Klemmstellen“:
Lineare Bewegungen. Vertikale, horizontale und hin- und hergehende Bewegungen können auf verschiedene Weise Verletzungen verursachen: Eine Person kann von einem Maschinenteil gestoßen oder geschlagen werden und zwischen dem Maschinenteil und einem anderen Objekt eingeklemmt oder von einer scharfen Kante geschnitten oder aufgehalten werden eine Quetschverletzung durch Einklemmen zwischen dem beweglichen Teil und einem anderen Objekt (Abbildung 1).
Abbildung 1. Beispiele für mechanische Bewegungen, die eine Person verletzen können
Energiequellen. Häufig werden externe Energiequellen verwendet, um eine Maschine zu betreiben, was beträchtliche Energiemengen erfordern kann. Dazu gehören elektrische, Dampf-, hydraulische, pneumatische und mechanische Energiesysteme, die alle, wenn sie freigesetzt oder unkontrolliert werden, zu schweren Verletzungen oder Schäden führen können. Eine Untersuchung von Unfällen, die sich über einen Zeitraum von einem Jahr (1987 bis 1988) unter Bauern in neun Dörfern in Nordindien ereigneten, zeigte, dass Futterschneidemaschinen, die ansonsten alle gleich konstruiert sind, gefährlicher sind, wenn sie von einem Motor oder Traktor angetrieben werden. Die relative Häufigkeit von Unfällen mit mehr als einer geringfügigen Verletzung (pro Maschine) betrug 5.1 Promille für manuelle Schneidgeräte und 8.6 Promille für angetriebene Schneidgeräte (Mohan und Patel 1992).
Verletzungen im Zusammenhang mit Maschinenbewegungen
Da die mit Maschinenbewegungen verbundenen Kräfte oft recht groß sind, ist davon auszugehen, dass die daraus resultierenden Verletzungen schwerwiegend sein werden. Diese Vermutung wird von mehreren Quellen bestätigt. Der „Kontakt mit beweglichen Maschinen oder bearbeitetem Material“ machte laut britischer Statistik (HSE 5) nur 10 % aller Arbeitsunfälle, aber immerhin 1989 % der tödlichen und schweren Unfälle (Frakturen, Amputationen etc.) aus. In die gleiche Richtung weisen Studien an zwei schwedischen Fahrzeugherstellern. Unfälle, die durch Maschinenbewegungen verursacht wurden, führten gemessen an Medianwerten zu doppelt so vielen Krankenstandstagen im Vergleich zu nicht maschinenbezogenen Unfällen. Auch hinsichtlich der verletzten Körperteile unterschieden sich Maschinenunfälle von anderen Unfällen: Die Ergebnisse zeigten, dass 80 % der Verletzungen bei „Maschinen“-Unfällen Hände und Finger betreffen, bei „sonstigen“ Unfällen entsprechender Anteil 40 % (Backström und Döös 1995).
Die Gefährdungssituation an automatisierten Anlagen hat sich sowohl anders (hinsichtlich Unfallart, Ereignisablauf und Schweregrad der Verletzung) als auch komplizierter (sowohl in technischer Hinsicht als auch in Bezug auf den Bedarf an Fachkenntnissen) als bei Installationen, in denen herkömmliche Maschinen verwendet werden. Der Begriff automatisierte soll sich hierin auf eine Ausrüstung beziehen, die ohne das direkte Eingreifen eines Menschen entweder eine Maschinenbewegung einleiten oder ihre Richtung oder Funktion ändern kann. Solche Geräte erfordern Sensorvorrichtungen (z. B. Positionssensoren oder Mikroschalter) und/oder irgendeine Form von sequentiellen Steuerungen (z. B. ein Computerprogramm), um ihre Aktivitäten zu steuern und zu überwachen. In den letzten Jahrzehnten, a Programmierbare Steuerung (SPS) wird zunehmend als Steuerungseinheit in Produktionsanlagen eingesetzt. Kleine Computer sind heute das gebräuchlichste Mittel, das zur Steuerung von Produktionsanlagen in der industrialisierten Welt verwendet wird, während andere Steuerungsmittel, wie beispielsweise elektromechanische Einheiten, immer seltener werden. In der schwedischen Fertigungsindustrie stieg der Einsatz von numerisch gesteuerten (NC) Maschinen in den 11er Jahren um 12 bis 1980 % pro Jahr (Hörte und Lindberg 1989). In der modernen Industrieproduktion wird die Verletzung durch „bewegte Maschinenteile“ immer mehr gleichbedeutend mit der Verletzung durch „computergesteuerte Maschinenbewegungen“.
Automatisierte Anlagen finden sich in immer mehr Industriezweigen und sie haben immer mehr Funktionen. Lagerverwaltung, Materialhandhabung, Verarbeitung, Montage und Verpackung werden alle automatisiert. Die Serienfertigung ist der Prozessfertigung gleich geworden. Werden Zuführung, Bearbeitung und Ausschleusung der Werkstücke mechanisiert, muss sich der Bediener bei normaler, ungestörter Produktion nicht mehr im Gefahrenbereich aufhalten. Untersuchungen zur automatisierten Fertigung haben gezeigt, dass Unfälle vor allem beim Umgang mit produktionsrelevanten Störungen passieren. Aber auch bei anderen Aufgaben wie Reinigen, Einstellen, Umrüsten, Kontrollieren und Reparieren können Menschen Maschinenbewegungen behindern.
Wenn die Produktion automatisiert wird und der Prozess nicht mehr unter der direkten Kontrolle des Menschen steht, steigt das Risiko unerwarteter Maschinenbewegungen. Die meisten Bediener, die mit Gruppen oder Linien miteinander verbundener Maschinen arbeiten, haben solche unerwarteten Maschinenbewegungen erlebt. Viele Unfälle in der Automatisierung entstehen durch eben solche Bewegungen. Ein Automatisierungsunfall ist ein Unfall, bei dem die automatische Ausrüstung die zur Verletzung führende Energie kontrolliert (oder kontrolliert haben sollte). Das bedeutet, dass die Kraft, die den Menschen verletzt, von der Maschine selbst kommt (z. B. die Energie einer Maschinenbewegung). In einer Studie von 177 Automatisierungsunfällen in Schweden wurde festgestellt, dass in 84 % der Fälle Verletzungen durch den „unerwarteten Start“ eines Maschinenteils verursacht wurden (Backström und Harms-Ringdahl 1984). Ein typisches Beispiel einer Verletzung durch eine computergesteuerte Maschinenbewegung ist in Abbildung 2 dargestellt.
Abbildung 2. Ein typisches Beispiel einer Verletzung durch eine computergesteuerte Maschinenbewegung
Eine der oben genannten Studien (Backström und Döös 1995) zeigte, dass automatisch gesteuerte Maschinenbewegungen ursächlich mit längeren Krankenständen verbunden waren als Verletzungen durch andere Arten von Maschinenbewegungen, wobei der Medianwert an einem der Arbeitsplätze viermal höher war . Das Verletzungsmuster von Automatisierungsunfällen war ähnlich wie bei anderen Maschinenunfällen (hauptsächlich Hände und Finger), jedoch tendenziell schwerwiegender (Amputationen, Quetschungen und Frakturen).
Die Computersteuerung hat, wie auch die manuelle, Schwächen aus Sicht der Zuverlässigkeit. Es gibt keine Garantie dafür, dass ein Computerprogramm fehlerfrei funktioniert. Die Elektronik mit ihren geringen Signalpegeln kann bei unzureichendem Schutz empfindlich auf Störungen reagieren, und die Folgen daraus resultierender Ausfälle sind nicht immer vorhersehbar. Außerdem bleiben Programmieränderungen oft undokumentiert. Eine Methode, diese Schwäche zu kompensieren, ist beispielsweise der Betrieb von „doppelten“ Systemen, bei denen es zwei unabhängige Ketten von funktionalen Komponenten gibt und ein Verfahren zur Überwachung, so dass beide Ketten den gleichen Wert aufweisen. Wenn die Systeme unterschiedliche Werte anzeigen, deutet dies auf einen Fehler in einem von ihnen hin. Es besteht jedoch die Möglichkeit, dass beide Komponentenketten unter demselben Fehler leiden und beide durch dieselbe Störung außer Betrieb gesetzt werden, wodurch ein falsch positiver Messwert entsteht (da beide Systeme übereinstimmen). Allerdings war es nur in wenigen der untersuchten Fälle möglich, einen Unfall auf einen Computerausfall zurückzuführen (siehe unten), obwohl es üblich ist, dass ein einziger Computer alle Funktionen einer Anlage steuert (sogar das Anhalten von einer Maschine infolge der Aktivierung einer Sicherheitseinrichtung). Alternativ kann überlegt werden, ein bewährtes System mit elektromechanischen Komponenten für Sicherheitsfunktionen bereitzustellen.
Technische Probleme
Generell lässt sich sagen, dass ein einzelner Unfall viele Ursachen hat, darunter technische, individuelle, umweltbedingte und organisatorische. Aus präventiven Gründen wird ein Unfall am besten nicht als isoliertes Ereignis, sondern als ein Ereignis betrachtet Reihenfolge von Ereignissen oder einem Prozess (Backström 1996). Bei Automatisierungsunfällen hat sich gezeigt, dass technische Probleme häufig Teil eines solchen Ablaufs sind und entweder in einem der frühen Stadien des Prozesses oder in der Nähe des Verletzungsereignisses des Unfalls auftreten. Studien, in denen technische Probleme bei Automatisierungsunfällen untersucht wurden, legen nahe, dass diese für 75 bis 85 % der Unfälle verantwortlich sind. Gleichzeitig gibt es im Einzelfall meist auch andere Ursachen, etwa organisatorischer Natur. Nur in einem Zehntel der Fälle konnte festgestellt werden, dass die direkte Quelle der verletzungsauslösenden Energie auf ein technisches Versagen zurückgeführt werden konnte – beispielsweise eine Maschinenbewegung, die trotz Stillstand der Maschine stattfindet. Ähnliche Zahlen wurden in anderen Studien berichtet. Meist führte ein technisches Problem zu Störungen an der Anlage, so dass der Bediener Aufgaben wechseln musste (z. B. um ein schief liegendes Teil neu zu positionieren). Der Unfall ereignete sich dann während der Durchführung der Aufgabe, ausgelöst durch das technische Versagen. Einem Viertel der Automatisierungsunfälle ging eine Störung im Materialfluss voraus, beispielsweise ein Hängenbleiben eines Teils, eine schiefe oder anderweitig fehlerhafte Position (siehe Abbildung 3).
Abbildung 3. Arten von technischen Problemen bei Automatisierungsunfällen (Anzahl der Unfälle = 127)
In einer Studie von 127 Unfällen mit Automatisierung wurden 28 dieser Unfälle, die in Abbildung 4 beschrieben sind, weiter untersucht, um die Arten von technischen Problemen zu bestimmen, die als kausale Faktoren beteiligt waren (Backström und Döös, im Druck). Die in den Unfalluntersuchungen genannten Probleme wurden am häufigsten durch festsitzende, defekte oder verschlissene Bauteile verursacht. In zwei Fällen wurde ein Problem durch einen Computerprogrammfehler verursacht, in einem durch elektromagnetische Störungen. In mehr als der Hälfte der Fälle (17 von 28) waren Störungen schon länger vorhanden, wurden aber nicht behoben. Nur in 5 der 28 Fälle, in denen auf ein technisches Versagen oder eine Abweichung verwiesen wurde, lag der Mangel vor nicht hat sich vorher manifestiert. Einige Fehler wurden repariert, traten aber später wieder auf. Einige Mängel waren bereits bei der Installation vorhanden, andere resultierten aus Verschleiß und Umwelteinflüssen.
Der Anteil der Automatisierungsunfälle, die im Zuge der Behebung einer Produktionsstörung auftreten, liegt den meisten Studien zufolge zwischen einem Drittel und zwei Drittel aller Fälle. Mit anderen Worten besteht allgemeiner Konsens darüber, dass die Bewältigung von Produktionsstörungen eine gefährliche berufliche Tätigkeit ist. Für das unterschiedliche Ausmaß solcher Unfälle gibt es viele Erklärungen, darunter solche, die mit der Art der Produktion und der Einstufung beruflicher Aufgaben zusammenhängen. Bei manchen Störfallstudien wurden nur Probleme und Maschinenstopps im laufenden Produktionsbetrieb betrachtet; in anderen wurde ein breiteres Spektrum von Problemen behandelt – zum Beispiel diejenigen, die mit der Einrichtung einer Arbeit zu tun haben.
Eine sehr wichtige Maßnahme zur Vermeidung von Automatisierungsunfällen ist es, Verfahren zur Ursachenbeseitigung von Produktionsstörungen so vorzubereiten, dass sie sich nicht wiederholen. In einer Fachstudie zu Produktionsstörungen zum Zeitpunkt eines Unfalls (Döös und Backström 1994) wurde festgestellt, dass die häufigste Aufgabe, zu der Störungen führten, das Lösen oder das Korrigieren der Position eines festgefahrenen oder schief liegenden Werkstücks war platziert. Diese Art von Problem löste eine von zwei ziemlich ähnlichen Abfolgen von Ereignissen aus: (1) Das Teil wurde befreit und kam in seine richtige Position, die Maschine erhielt ein automatisches Signal zum Starten, und die Person wurde durch die eingeleitete Maschinenbewegung verletzt, (2 ) es keine Zeit gab, das Teil zu lösen oder neu zu positionieren, bevor die Person durch eine Maschinenbewegung verletzt wurde, die unerwartet, schneller oder mit größerer Kraft als vom Bediener erwartet erfolgte. Weitere Störungsbehandlungen umfassten das Auslösen eines Sensorimpulses, das Befreien eines blockierten Maschinenteils, die Durchführung einfacher Arten der Fehlersuche und die Veranlassung des Wiederanlaufs (siehe Abbildung 4).
Abbildung 4. Art der Störungsbeseitigung zum Zeitpunkt des Unfalls (Anzahl der Unfälle =76)
Arbeitssicherheit
Welche Personengruppen bei Automatisierungsunfällen tendenziell verletzt werden, hängt davon ab, wie die Arbeit organisiert ist, also davon, welche Berufsgruppe die gefährlichen Tätigkeiten ausführt. In der Praxis geht es darum, welche Person am Arbeitsplatz regelmäßig mit Problemen und Störungen betraut wird. In der modernen schwedischen Industrie werden normalerweise aktive Eingriffe von den Personen verlangt, die die Maschine bedienen. Aus diesem Grund wurde in der bereits erwähnten Arbeitsplatzstudie zur Fahrzeugherstellung in Schweden (Backström und Döös, zur Veröffentlichung angenommen) festgestellt, dass 82 % der Personen, die Verletzungen durch automatisierte Maschinen erlitten, Produktionsarbeiter oder Bediener waren. Bediener hatten auch eine höhere relative Unfallhäufigkeit (15 Automatisierungsunfälle pro 1,000 Bediener pro Jahr) als Wartungsarbeiter (6 pro 1,000). Die Ergebnisse von Studien, die darauf hindeuten, dass Wartungsarbeiter stärker betroffen sind, sind zumindest teilweise damit zu erklären, dass Bediener in einigen Unternehmen Bearbeitungsbereiche nicht betreten dürfen. In Organisationen mit einer anderen Art der Aufgabenverteilung können andere Personengruppen – beispielsweise Einrichter – mit der Lösung auftretender Produktionsprobleme beauftragt werden.
Die häufigste Korrekturmaßnahme, die in diesem Zusammenhang ergriffen wird, um das Niveau der Personensicherheit zu erhöhen, besteht darin, die Person vor gefährlichen Maschinenbewegungen zu schützen, indem eine Art Sicherheitsvorrichtung, wie z. B. ein Maschinenschutz, verwendet wird. Das Hauptprinzip ist hier das der „passiven“ Sicherheit – also das Bereitstellen von Schutz, der kein Handeln des Arbeitnehmers erfordert. Ohne eine sehr gute Kenntnis der tatsächlichen Arbeitsanforderungen an der jeweiligen Maschine, die normalerweise nur der Maschinenbediener selbst besitzt, ist es jedoch unmöglich, die Wirksamkeit von Schutzeinrichtungen zu beurteilen.
Es gibt viele Faktoren, die selbst einen scheinbar guten Maschinenschutz außer Kraft setzen können. Um ihre Arbeit auszuführen, müssen Bediener möglicherweise eine Sicherheitsvorrichtung lösen oder umgehen. In einer Studie (Döös und Backström 1993) wurde festgestellt, dass bei 12 von 75 erfassten Automatisierungsunfällen ein solches Ausrücken oder Umgehen stattgefunden hatte. Oft liegt es am Ehrgeiz des Bedieners, weder Produktionsprobleme noch Produktionsverzögerungen hinzunehmen, die mit der vorschriftsmäßigen Behebung von Störungen verbunden sind. Eine Möglichkeit, dieses Problem zu vermeiden, besteht darin, die Schutzvorrichtung unmerklich zu machen, damit sie das Produktionstempo, die Produktqualität oder die Aufgabenerfüllung nicht beeinträchtigt. Aber das ist nicht immer möglich; und bei wiederholten produktionsstörungen können selbst geringfügige unannehmlichkeiten dazu führen, dass sicherheitseinrichtungen nicht eingesetzt werden. Auch hier sollten Routinen zur Verfügung gestellt werden, um die Ursachen von Produktionsstörungen zu beseitigen, damit sich diese nicht wiederholen. Ein weiterer wesentlicher Risikofaktor ist die fehlende Bestätigung, dass Sicherheitseinrichtungen wirklich gemäß den Spezifikationen funktionieren. Fehlerhafte Anschlüsse, im System verbleibende Startsignale, die später zu unerwarteten Starts führen, Luftdruckaufbau und sich lösende Sensoren können zum Ausfall von Schutzeinrichtungen führen.
Zusammenfassung
Wie gezeigt wurde, können technische Problemlösungen neue Probleme hervorrufen. Obwohl Verletzungen durch Maschinenbewegungen verursacht werden, die im Wesentlichen technischer Natur sind, bedeutet dies nicht automatisch, dass das Potenzial für deren Beseitigung in rein technischen Faktoren liegt. Technische Systeme werden weiterhin ausfallen, und Menschen werden die Situationen, die diese Ausfälle hervorrufen, nicht bewältigen. Die Risiken bleiben bestehen und können nur mit unterschiedlichsten Mitteln eingedämmt werden. Als Ergänzung zur rein technischen Entwicklung sind Gesetzgebung und Kontrolle, organisatorische Maßnahmen in den einzelnen Unternehmen (in Form von Schulungen, Sicherheitsrundgängen, Risikoanalysen und Meldungen von Störungen und Beinahe-Unfällen) sowie die Betonung stetiger, kontinuierlicher Verbesserungen erforderlich.
Es scheint so viele potenzielle Gefahren durch sich bewegende Maschinenteile zu geben, wie es verschiedene Arten von Maschinen gibt. Sicherheitsvorkehrungen sind unerlässlich, um Arbeitnehmer vor unnötigen und vermeidbaren maschinenbedingten Verletzungen zu schützen. Daher sollten alle Maschinenteile, Funktionen oder Prozesse, die Verletzungen verursachen können, geschützt werden. Wenn der Betrieb einer Maschine oder der versehentliche Kontakt mit ihr den Bediener oder andere Personen in der Nähe verletzen kann, muss die Gefahr entweder kontrolliert oder beseitigt werden.
Mechanische Bewegungen und Aktionen
Mechanische Gefahren beinhalten typischerweise gefährliche bewegliche Teile in den folgenden drei grundlegenden Bereichen:
Eine Vielzahl von mechanischen Bewegungen und Aktionen, die eine Gefahr für Arbeiter darstellen können, umfassen die Bewegung von rotierenden Elementen, hin- und hergehenden Armen, sich bewegenden Riemen, ineinandergreifenden Zahnrädern, schneidenden Zähnen und allen Teilen, die aufprallen oder abscheren. Diese verschiedenen Arten mechanischer Bewegungen und Aktionen sind grundlegend für fast alle Maschinen, und ihre Erkennung ist der erste Schritt zum Schutz der Arbeitnehmer vor den Gefahren, die sie darstellen können.
Bewegungen
Es gibt drei grundlegende Bewegungsarten: rotierend, hin- und hergehend und transversal.
Drehbewegung kann gefährlich sein; Selbst glatte, langsam rotierende Wellen können Kleidung erfassen und einen Arm oder eine Hand in eine gefährliche Position bringen. Verletzungen durch Kontakt mit rotierenden Teilen können schwerwiegend sein (siehe Abbildung 1).
Abbildung 1. Mechanische Stanzpresse
Manschetten, Kupplungen, Nocken, Kupplungen, Schwungräder, Wellenenden, Spindeln und horizontale oder vertikale Wellen sind einige Beispiele für übliche Drehmechanismen, die gefährlich sein können. Es besteht zusätzliche Gefahr, wenn Bolzen, Kerben, Abschürfungen und vorstehende Keile oder Stellschrauben an rotierenden Maschinenteilen freigelegt werden, wie in Abbildung 2 dargestellt.
Abbildung 2. Beispiele für gefährliche Spritzer auf rotierende Teile
Einlaufender Klemmpunkts entstehen durch rotierende Teile an Maschinen. Es gibt drei Haupttypen von Einlaufspaltpunkten:
Abbildung 3. Übliche Klemmpunkte an rotierenden Teilen
Abbildung 4. Klemmpunkte zwischen rotierenden Elementen und Teilen mit Längsbewegungen
Abbildung 5. Klemmpunkte zwischen rotierenden Maschinenkomponenten
Hin- und Herbewegungen kann gefährlich sein, da ein Arbeiter während der Hin- und Her- oder Auf- und Abbewegung von einem beweglichen Teil und einem feststehenden Teil getroffen oder zwischen diesen eingeklemmt werden kann. Ein Beispiel ist in Abbildung 6 dargestellt.
Abbildung 6. Gefährliche Hin- und Herbewegung
Querbewegung (Bewegung in einer geraden, kontinuierlichen Linie) stellt eine Gefahr dar, da ein Arbeiter von einem sich bewegenden Teil getroffen oder in einer Quetsch- oder Scherstelle erfasst werden kann. Ein Beispiel für eine Querbewegung ist in Abbildung 7 dargestellt.
Abbildung 7. Beispiel einer Querbewegung
Aktionen
Es gibt vier grundlegende Einwirkungsarten: Schneiden, Stanzen, Scheren und Biegen.
Schneidwirkung umfasst eine rotierende, hin- und hergehende oder transversale Bewegung. Schneidvorgänge schaffen Gefahren an der Arbeitsstelle, wo Finger-, Kopf- und Armverletzungen auftreten können und wo umherfliegende Späne oder Abfallmaterial die Augen oder das Gesicht treffen können. Typische Beispiele für Maschinen mit Schnittgefahr sind Bandsägen, Kreissägen, Bohr- oder Bohrmaschinen, Drehmaschinen (Drehbänke) und Fräsmaschinen. (Siehe Abbildung 8.)
Abbildung 8. Beispiele für Schnittgefahren
Punching-Aktion entsteht, wenn ein Schlitten (Stößel) mit Strom versorgt wird, um Metall oder andere Materialien zu stanzen, zu ziehen oder zu stanzen. Die Gefahr dieser Art von Aktion tritt an der Arbeitsstelle auf, wo Bestände von Hand eingeführt, gehalten und entnommen werden. Typische Maschinen, die eine Stanzwirkung verwenden, sind Kraftpressen und Eisenarbeiter. (Siehe Abbildung 9.)
Abbildung 9. Typischer Stanzvorgang
Scherwirkung beinhaltet das Anlegen von Kraft an einen Schieber oder ein Messer, um Metall oder andere Materialien zu trimmen oder zu scheren. Eine Gefährdung tritt an der Betriebsstelle auf, an der das Lager tatsächlich eingeführt, gehalten und entnommen wird. Typische Beispiele für Maschinen, die für Schervorgänge verwendet werden, sind mechanisch, hydraulisch oder pneumatisch angetriebene Scheren. (Siehe Abbildung 10.)
Abbildung 10. Schervorgang
Biegeaktion entsteht, wenn Strom auf einen Schlitten aufgebracht wird, um Metall oder andere Materialien zu formen, zu ziehen oder zu stanzen. Die Gefahr tritt an der Betriebsstelle auf, an der Waren eingeführt, gehalten und entnommen werden. Zu den Geräten, die Biegevorgänge verwenden, gehören Kraftpressen, Abkantpressen und Rohrbiegemaschinen. (Siehe Abbildung 11.)
Abbildung 11. Biegevorgang
Anforderungen an Sicherungsmaßnahmen
Schutzeinrichtungen müssen die folgenden allgemeinen Mindestanforderungen erfüllen, um Arbeitnehmer vor mechanischen Gefahren zu schützen:
Kontakt verhindern. Die Schutzeinrichtung muss verhindern, dass Hände, Arme oder Körperteile oder Kleidung eines Arbeiters mit gefährlichen beweglichen Teilen in Kontakt kommen, indem die Möglichkeit ausgeschlossen wird, dass Bediener oder andere Arbeiter Körperteile in die Nähe gefährlicher beweglicher Teile bringen.
Geben Sie Sicherheit. Arbeiter sollten nicht in der Lage sein, die Schutzvorrichtung einfach zu entfernen oder zu manipulieren. Schutzvorrichtungen und Sicherheitsvorrichtungen sollten aus strapazierfähigem Material bestehen, das den Bedingungen des normalen Gebrauchs standhält und fest an der Maschine befestigt ist.
Vor herabfallenden Gegenständen schützen. Die Schutzeinrichtung sollte sicherstellen, dass keine Gegenstände in bewegliche Teile fallen und das Gerät beschädigen oder zu einem Geschoss werden können, das jemanden treffen und verletzen könnte.
Keine neuen Gefahren schaffen. Eine Schutzeinrichtung verfehlt ihren Zweck, wenn sie selbst eine Gefahr darstellt, wie z. B. eine Scherstelle, eine gezackte Kante oder eine unbearbeitete Oberfläche. Die Kanten von Schutzvorrichtungen sollten beispielsweise so gerollt oder verschraubt werden, dass scharfe Kanten ausgeschlossen sind.
Keine Störungen verursachen. Schutzmaßnahmen, die Arbeitnehmer an der Ausübung ihrer Arbeit hindern, könnten bald außer Kraft gesetzt oder missachtet werden. Wenn möglich, sollten Arbeiter in der Lage sein, Maschinen zu schmieren, ohne Schutzeinrichtungen zu lösen oder zu entfernen. Wenn Sie beispielsweise Ölreservoirs außerhalb der Schutzvorrichtung anordnen, wobei eine Leitung zur Schmierstelle führt, wird die Notwendigkeit verringert, den Gefahrenbereich zu betreten.
Sicherheitstraining
Selbst das ausgeklügeltste Sicherheitssystem kann keinen wirksamen Schutz bieten, wenn die Arbeitnehmer nicht wissen, wie und warum es anzuwenden ist. Spezifische und detaillierte Schulungen sind ein wichtiger Bestandteil aller Bemühungen zur Umsetzung von Schutzmaßnahmen gegen maschinenbezogene Gefahren. Richtiger Schutz kann die Produktivität verbessern und die Effizienz steigern, da er die Befürchtungen der Arbeitnehmer vor Verletzungen mindern kann. Eine Sicherheitsschulung ist für neue Bediener und Wartungs- oder Einrichtungspersonal erforderlich, wenn neue oder geänderte Sicherheitsvorrichtungen in Betrieb genommen werden oder wenn Arbeiter einer neuen Maschine oder einem neuen Betrieb zugewiesen werden; es sollte Anweisungen oder praktisches Training in den folgenden Bereichen beinhalten:
Methoden der Maschinenabsicherung
Es gibt viele Möglichkeiten, Maschinen zu schützen. Die Art des Vorgangs, die Größe oder Form des Materials, die Handhabungsmethode, die physische Anordnung des Arbeitsbereichs, die Art des Materials und die Produktionsanforderungen oder -beschränkungen helfen bei der Bestimmung der geeigneten Sicherungsmethode für die einzelne Maschine. Der Maschinenkonstrukteur oder Sicherheitsexperte muss die effektivste und praktischste verfügbare Schutzeinrichtung wählen.
Schutzmaßnahmen können in fünf allgemeine Klassifikationen eingeteilt werden: (1) Schutzeinrichtungen, (2) Geräte, (3) Trennung, (4) Betrieb und (5) Sonstiges.
Absicherung mit Wachen
Es gibt vier allgemeine Arten von Schutzeinrichtungen (Barrieren, die den Zugang zu Gefahrenbereichen verhindern):
Feste Wachen. Eine feststehende Schutzeinrichtung ist ein fester Bestandteil der Maschine und ist nicht von beweglichen Teilen abhängig, um ihre vorgesehene Funktion zu erfüllen. Es kann aus Blech, Sieb, Drahtgewebe, Stäben, Kunststoff oder jedem anderen Material bestehen, das robust genug ist, um jeglichen Stößen, denen es ausgesetzt ist, zu widerstehen und einen längeren Gebrauch auszuhalten. Feststehende Schutzvorrichtungen sind normalerweise allen anderen Typen vorzuziehen, da sie relativ einfach und dauerhaft sind (siehe Tabelle 1).
Tabelle 1. Maschinenschutzvorrichtungen
Method |
Sicherungsmaßnahmen |
Vorteile |
Einschränkungen |
Behoben |
· Bietet eine Barriere |
· Geeignet für viele spezifische Anwendungen |
· Kann die Sicht beeinträchtigen |
Verriegelt |
· Schaltet die Stromversorgung ab oder unterbricht und verhindert das Starten der Maschine, wenn die Schutzvorrichtung offen ist; sollte erfordern, dass die Maschine gestoppt wird, bevor der Arbeiter in den Gefahrenbereich greifen kann |
· Bietet maximalen Schutz |
· Erfordert sorgfältige Einstellung und Wartung |
Einstellbar |
· Bietet eine Barriere, die angepasst werden kann, um eine Vielzahl von Produktionsvorgängen zu erleichtern |
· Kann für viele spezifische Anwendungen konstruiert werden |
· Bediener kann Gefahrenbereich betreten: Der Schutz ist möglicherweise nicht immer vollständig |
Selbstjustierend |
· Stellt eine Barriere bereit, die sich entsprechend der Größe des Bestands bewegt, der in den Gefahrenbereich gelangt |
· Schutzvorrichtungen von der Stange sind im Handel erhältlich |
· Bietet nicht immer maximalen Schutz |
In Abbildung 12 umschließt eine feststehende Schutzeinrichtung an einer Presse die Gefahrstelle vollständig. Das Material wird durch die Seite des Schutzes in den Matrizenbereich eingeführt, wobei das Abfallmaterial auf der gegenüberliegenden Seite austritt.
Abbildung 12. Fester Schutz an der Power Press
Abbildung 13 zeigt einen festen Gehäuseschutz, der den Riemen und die Riemenscheibe einer Kraftübertragungseinheit abschirmt. Oben befindet sich eine Inspektionsplatte, um die Notwendigkeit zum Entfernen des Schutzes zu minimieren.
Abbildung 13. Feststehende Schutzvorrichtung, die Riemen und Riemenscheiben umschließt
In Abbildung 14 sind feste Gehäuseschutzvorrichtungen an einer Bandsäge dargestellt. Diese Schutzvorrichtungen schützen den Bediener vor den sich drehenden Rädern und dem sich bewegenden Sägeblatt. Normalerweise würden die Schutzvorrichtungen nur zum Klingenwechsel oder zur Wartung geöffnet oder entfernt. Es ist sehr wichtig, dass sie sicher befestigt sind, während die Säge verwendet wird.
Abbildung 14. Feste Schutzvorrichtungen an der Bandsäge
Verriegelte Wachen. Wenn verriegelte Schutzvorrichtungen geöffnet oder entfernt werden, wird der Auslösemechanismus und/oder die Stromversorgung automatisch abgeschaltet oder getrennt, und die Maschine kann nicht laufen oder gestartet werden, bis die Verriegelungsschutzvorrichtung wieder angebracht ist. Das Ersetzen des Verriegelungsschutzes sollte die Maschine jedoch nicht automatisch neu starten. Verriegelte Schutzeinrichtungen können elektrische, mechanische, hydraulische oder pneumatische Energie oder eine beliebige Kombination davon verwenden. Verriegelungen sollten, falls erforderlich, ein „Inchen“ (dh schrittweise fortschreitende Bewegungen) durch Fernsteuerung nicht verhindern.
Ein Beispiel für eine verriegelte Schutzvorrichtung ist in Abbildung 15 dargestellt. In dieser Abbildung ist der Schlagmechanismus einer Pflückmaschine (in der Textilindustrie verwendet) durch eine verriegelte Schutzvorrichtung abgedeckt. Dieser Schutz kann nicht angehoben werden, während die Maschine läuft, noch kann die Maschine mit dem Schutz in angehobener Position neu gestartet werden.
Abbildung 15. Verriegelte Schutzvorrichtung an der Picker-Maschine
Einstellbare Schutzvorrichtungen. Verstellbare Schutzvorrichtungen ermöglichen Flexibilität bei der Aufnahme verschiedener Vorratsgrößen. Abbildung 16 zeigt einen einstellbaren Gehäuseschutz an einer Bandsäge.
Abbildung 16. Verstellbarer Schutz an der Bandsäge
Selbsteinstellende Schutzvorrichtungen. Die Öffnungen selbstjustierender Schutzvorrichtungen werden durch die Bewegung des Schafts bestimmt. Wenn der Bediener das Material in den Gefahrenbereich bewegt, wird die Schutzvorrichtung weggedrückt, wodurch eine Öffnung bereitgestellt wird, die groß genug ist, um nur das Material einzulassen. Nachdem der Schaft entfernt wurde, kehrt die Schutzvorrichtung in die Ruheposition zurück. Diese Schutzeinrichtung schützt den Bediener, indem sie eine Barriere zwischen dem Gefahrenbereich und dem Bediener platziert. Die Schutzvorrichtungen können aus Kunststoff, Metall oder einem anderen festen Material bestehen. Selbsteinstellende Schutzvorrichtungen bieten unterschiedliche Schutzgrade.
Abbildung 17 zeigt eine Radialarmsäge mit selbsteinstellender Schutzhaube. Wenn die Klinge über den Schaft gezogen wird, bewegt sich der Schutz nach oben und bleibt in Kontakt mit dem Schaft.
Abbildung 17. Selbsteinstellende Schutzhaube an Radialarmsäge
Absicherung mit Geräten
Sicherheitsvorrichtungen können die Maschine stoppen, wenn eine Hand oder ein Körperteil versehentlich in den Gefahrenbereich gebracht wird, können die Hände des Bedieners während des Betriebs aus dem Gefahrenbereich zurückhalten oder zurückziehen, können vom Bediener verlangen, beide Hände gleichzeitig an der Maschinensteuerung zu verwenden ( wodurch Hände und Körper außer Gefahr gehalten werden) oder eine mit dem Betriebszyklus der Maschine synchronisierte Barriere bereitstellen, um das Betreten des Gefahrenbereichs während des gefährlichen Teils des Zyklus zu verhindern. Es gibt fünf grundlegende Arten von Sicherheitsvorrichtungen:
Präsenzmelder
Im Folgenden werden drei Arten von Sensoren beschrieben, die die Maschine anhalten oder den Arbeitszyklus oder Betrieb unterbrechen, wenn sich ein Arbeiter im Gefahrenbereich befindet:
Die fotoelektrische (optische) Präsenzmelder verwendet ein System von Lichtquellen und Steuerungen, die den Betriebszyklus der Maschine unterbrechen können. Wenn das Lichtfeld unterbrochen wird, stoppt die Maschine und läuft nicht weiter. Dieses Gerät sollte nur an Maschinen verwendet werden, die gestoppt werden können, bevor der Arbeiter den Gefahrenbereich erreicht. Abbildung 18 zeigt eine fotoelektrische Anwesenheitserkennungsvorrichtung, die mit einer Abkantpresse verwendet wird. Das Gerät kann nach oben oder unten geschwenkt werden, um unterschiedlichen Produktionsanforderungen gerecht zu werden.
Abbildung 18. Photoelektrisches Anwesenheitserkennungsgerät an der Abkantpresse
Die Hochfrequenz-(Kapazitäts-)Präsenzerfassungsgerät verwendet einen Funkstrahl, der Teil des Steuerkreises ist. Wenn das Kapazitätsfeld unterbrochen wird, stoppt die Maschine oder wird nicht aktiviert. Dieses Gerät sollte nur an Maschinen verwendet werden, die angehalten werden können, bevor der Arbeiter den Gefahrenbereich erreichen kann. Dies erfordert, dass die Maschine über eine Reibungskupplung oder andere zuverlässige Mittel zum Stoppen verfügt. Fig. 19 zeigt ein Hochfrequenz-Anwesenheitserfassungsgerät, das an einer Teilumdrehungspresse montiert ist.
Abbildung 19. Hochfrequenz-Anwesenheitssensor an der Motorsäge
Die Elektromechanischer Sensor hat eine Sonde oder Kontaktstange, die sich auf eine vorbestimmte Entfernung absenkt, wenn der Bediener den Maschinenzyklus einleitet. Wenn es ein Hindernis gibt, das sie daran hindert, ihre volle vorbestimmte Strecke abzufahren, betätigt die Steuerschaltung den Maschinenzyklus nicht. Abbildung 20 zeigt eine elektromechanische Sensorvorrichtung an einer Öse. Die Sensorsonde in Kontakt mit dem Finger des Bedieners ist ebenfalls gezeigt.
Abbildung 20. Elektromechanisches Sensorgerät an einer Eye-Letter-Maschine
Rückzugsgeräte
Rückzugsvorrichtungen verwenden eine Reihe von Kabeln, die an den Händen, Handgelenken und/oder Armen des Bedieners befestigt sind, und werden hauptsächlich an Maschinen mit Hubbewegung verwendet. Wenn der Schieber/Stößel oben ist, wird dem Bediener der Zugang zum Betriebspunkt gestattet. Wenn der Schieber/Stößel sich abzusenken beginnt, sichert ein mechanisches Gestänge automatisch das Zurückziehen der Hände vom Betätigungspunkt. Abbildung 21 zeigt eine Pullback-Vorrichtung an einer kleinen Presse.
Abbildung 21. Rückzugsvorrichtung an der Power Press
Rückhaltevorrichtungen
In einigen Ländern wurden Rückhaltevorrichtungen verwendet, die Kabel oder Gurte verwenden, die zwischen einem festen Punkt und den Händen des Bedieners befestigt sind. Diese Vorrichtungen werden im Allgemeinen nicht als akzeptable Schutzmaßnahmen angesehen, da sie vom Bediener leicht umgangen werden können, wodurch es möglich wird, die Hände in den Gefahrenbereich zu bringen. (Siehe Tabelle 2.)
Tabelle 2. Geräte
Method |
Sicherungsmaßnahmen |
Vorteile |
Einschränkungen |
Fotoelektrisch |
· Die Maschine beginnt nicht zu radeln, wenn das Lichtfeld unterbrochen wird |
· Kann dem Bediener eine freiere Bewegung ermöglichen |
· Schützt nicht vor mechanischem Versagen |
Radiofrequenz |
· Der Maschinenzyklus startet nicht, wenn das Kapazitätsfeld unterbrochen wird |
· Kann dem Bediener eine freiere Bewegung ermöglichen |
· Schützt nicht vor mechanischem Versagen |
Elektromechanisch |
· Kontaktschiene oder Sonde fährt eine vorgegebene Strecke zwischen dem Bediener und dem Gefahrenbereich |
· Kann den Zugang am Einsatzort ermöglichen |
· Kontaktschiene oder Sonde müssen für jede Anwendung richtig eingestellt werden; Diese Einstellung muss ordnungsgemäß beibehalten werden |
Pullback |
· Wenn die Maschine zu laufen beginnt, werden die Hände des Bedieners aus dem Gefahrenbereich gezogen |
· Eliminiert die Notwendigkeit für zusätzliche Barrieren oder andere Eingriffe im Gefahrenbereich |
· Begrenzt die Bewegung des Bedieners |
Sicherheitsauslöser: |
· Stoppt die Maschine, wenn sie ausgelöst wird |
· Benutzerfreundlichkeit |
· Alle Bedienelemente müssen manuell aktiviert werden |
Zweihandbedienung |
· Der gleichzeitige Gebrauch beider Hände ist erforderlich, um zu verhindern, dass der Bediener den Gefahrenbereich betritt |
· Die Hände des Bedieners befinden sich an einer vorbestimmten Stelle außerhalb des Gefahrenbereichs |
· Benötigt eine Teilzyklusmaschine mit Bremse |
Zweihandfahrt |
· Die gleichzeitige Verwendung von zwei Händen an separaten Steuerungen verhindert, dass sich die Hände im Gefahrenbereich befinden, wenn der Maschinenzyklus startet |
· Die Hände des Bedieners befinden sich außerhalb des Gefahrenbereichs |
· Der Bediener kann versuchen, nach dem Auslösen der Maschine in den Gefahrenbereich zu greifen |
Tor |
· Bietet eine Barriere zwischen Gefahrenbereich und Bediener oder anderen Personen |
· Kann das Hineingreifen oder Betreten des Gefahrenbereichs verhindern |
· Kann eine häufige Inspektion und regelmäßige Wartung erfordern |
Sicherheitskontrollgeräte
Alle diese Sicherheitskontrollvorrichtungen werden manuell aktiviert und müssen manuell zurückgesetzt werden, um die Maschine neu zu starten:
Abbildung 22. Druckempfindlicher Körperstab in einer Gummimühle
Abbildung 23. Sicherheitsauslösestange an einer Gummimühle
Abbildung 24. Stolperdraht-Sicherheitskabel am Kalander
Abbildung 25. Zweihand-Steuerknöpfe an der Kupplungskraftpresse mit Teilumdrehung
Abbildung 26. Zweihand-Steuertasten an der Kupplungskraftpresse mit voller Umdrehung
Abbildung 27. Kraftpresse mit Tor
Schutz nach Standort oder Entfernung
Um eine Maschine standortspezifisch abzusichern, müssen die Maschine oder ihre gefährlichen beweglichen Teile so aufgestellt werden, dass gefährliche Bereiche nicht zugänglich sind oder während des normalen Betriebs der Maschine keine Gefahr für einen Arbeiter darstellen. Dies kann mit Umzäunungen oder Zäunen erreicht werden, die den Zugang zu Maschinen einschränken, oder indem eine Maschine so aufgestellt wird, dass ein Konstruktionsmerkmal der Anlage, wie z. B. eine Wand, den Arbeiter und anderes Personal schützt. Eine andere Möglichkeit besteht darin, gefährliche Teile so hoch anzuordnen, dass sie außerhalb der normalen Reichweite eines Arbeiters liegen. Eine gründliche Gefahrenanalyse jeder Maschine und der jeweiligen Situation ist unerlässlich, bevor Sie diese Sicherungstechnik anwenden. Die nachfolgend genannten Beispiele sind einige der zahlreichen Anwendungen des Prinzips der Orts-/Entfernungssicherung.
Fütterungsprozess. Der Fütterungsprozess kann örtlich abgesichert werden, wenn ein Sicherheitsabstand zum Schutz der Hände des Arbeiters eingehalten werden kann. Die Abmessungen des bearbeiteten Materials können eine ausreichende Sicherheit bieten. Wenn zum Beispiel beim Betrieb einer Einzelendstanzmaschine das Material mehrere Fuß lang ist und nur an einem Ende des Materials gearbeitet wird, kann der Bediener möglicherweise das gegenüberliegende Ende halten, während die Arbeit durchgeführt wird. Je nach Maschine kann jedoch dennoch ein Schutz für andere Personen erforderlich sein.
Positionierungssteuerung. Die Positionierung der Kontrollstation des Bedieners bietet einen möglichen Ansatz zur Sicherung nach Standort. Bedienelemente dürfen sich in sicherer Entfernung von der Maschine befinden, wenn kein Grund für die Anwesenheit des Bedieners an der Maschine besteht.
Fütterungs- und Auswurfsicherungsmethoden
Bei vielen Zuführ- und Auswurfmethoden müssen die Bediener ihre Hände nicht in den Gefahrenbereich bringen. In einigen Fällen ist nach dem Einrichten der Maschine kein Eingreifen des Bedieners erforderlich, während in anderen Situationen Bediener das Material mit Hilfe eines Zuführmechanismus manuell zuführen können. Darüber hinaus können Ausstoßverfahren entworfen werden, die keine Bedienereingriffe erfordern, nachdem die Maschine zu funktionieren beginnt. Einige Zuführ- und Auswurfmethoden können sogar selbst Gefahren erzeugen, wie z. B. ein Roboter, der die Notwendigkeit eines Bedieners in der Nähe der Maschine beseitigen kann, aber durch die Bewegung seines Arms eine neue Gefahr schaffen kann. (Siehe Tabelle 3.)
Tabelle 3. Fütterungs- und Auswurfmethoden
Method |
Sicherungsmaßnahmen |
Vorteile |
Einschränkungen |
Automatischer Vorschub |
· Material wird von Rollen zugeführt, durch Maschinenmechanismus indexiert usw. |
· Beseitigt die Notwendigkeit des Eingreifens des Bedieners in den Gefahrenbereich |
· Für den Personenschutz sind auch andere Schutzeinrichtungen erforderlich – in der Regel feststehende Schutzeinrichtungen |
Semi-automatische |
· Das Material wird über Rutschen, bewegliche Matrizen und Wählscheiben zugeführt |
· Beseitigt die Notwendigkeit des Eingreifens des Bedieners in den Gefahrenbereich |
· Für den Personenschutz sind auch andere Schutzeinrichtungen erforderlich – in der Regel feststehende Schutzeinrichtungen |
automatische |
· Werkstücke werden durch Luft oder mechanisch ausgeworfen |
· Beseitigt die Notwendigkeit des Eingreifens des Bedieners in den Gefahrenbereich |
· Es besteht die Gefahr, dass Späne oder Fremdkörper aufgewirbelt werden |
Semi-automatische |
· Werkstücke werden mechanisch ausgeworfen |
· Der Bediener muss den Gefahrenbereich nicht betreten, um fertige Arbeiten zu entfernen |
· Für den Bediener sind weitere Schutzvorrichtungen erforderlich |
Roboter |
· Sie führen Arbeiten aus, die normalerweise vom Bediener ausgeführt werden |
· Bediener muss Gefahrenbereich nicht betreten |
· Können selbst Gefahren erzeugen |
Die Verwendung einer der folgenden fünf Zuführungs- und Auswurfmethoden zum Schutz von Maschinen beseitigt nicht die Notwendigkeit von Schutzvorrichtungen und anderen Vorrichtungen, die bei Bedarf verwendet werden müssen, um Schutz vor Gefahren zu bieten.
Automatischer Vorschub. Automatische Zuführungen reduzieren die Exposition des Bedieners während des Arbeitsprozesses und erfordern häufig keine Anstrengung des Bedieners, nachdem die Maschine eingerichtet und in Betrieb ist. Die Kraftpresse in Abbildung 28 hat einen automatischen Zuführmechanismus mit einem durchsichtigen feststehenden Schutzgitter im Gefahrenbereich.
Abbildung 28. Kraftpresse mit automatischem Vorschub
Halbautomatischer Vorschub. Bei der halbautomatischen Zuführung, wie im Fall einer Kraftpresse, verwendet der Bediener einen Mechanismus, um das zu bearbeitende Teil bei jedem Hub unter den Stößel zu legen. Der Bediener muss nicht in den Gefahrenbereich greifen, der Gefahrenbereich ist vollständig umschlossen. Abbildung 29 zeigt eine Schachtzuführung, in die jedes Stück von Hand gelegt wird. Die Verwendung eines Rutschenvorschubs bei einer geneigten Presse hilft nicht nur dabei, das Teil zu zentrieren, wenn es in die Matrize gleitet, sondern kann auch das Problem des Auswurfs vereinfachen.
Abbildung 29. Kraftpresse mit Schachtbeschickung
Automatischer Auswurf. Der automatische Auswurf kann entweder Luftdruck oder eine mechanische Vorrichtung verwenden, um das fertiggestellte Teil aus einer Presse zu entfernen, und kann mit den Betriebssteuerungen verriegelt sein, um den Betrieb zu verhindern, bis der Teileauswurf abgeschlossen ist. Der in Abbildung 30 gezeigte Pan-Shuttle-Mechanismus bewegt sich unter das fertige Teil, während sich der Schlitten in Richtung der oberen Position bewegt. Das Shuttle fängt dann das von den Auswerferstiften von der Rutsche abgestreifte Teil auf und lenkt es in eine Rutsche um. Wenn sich der Stößel nach unten in Richtung des nächsten Rohlings bewegt, bewegt sich der Pfannen-Shuttle vom Werkzeugbereich weg.
Abbildung 30. Shuttle-Auswurfsystem
Halbautomatischer Auswurf. Abbildung 31 zeigt einen halbautomatischen Auswurfmechanismus, der bei einer Kraftpresse verwendet wird. Wenn der Kolben aus dem Matrizenbereich zurückgezogen wird, stößt das mechanisch mit dem Kolben gekoppelte Auswerferbein das fertige Werkstück aus.
Abbildung 31. Halbautomatischer Auswurfmechanismus
Roboter. Roboter sind komplexe Vorrichtungen, die Lager be- und entladen, Teile zusammenbauen, Objekte transportieren oder Arbeiten ausführen, die ansonsten von einem Bediener ausgeführt werden, wodurch der Bediener keinen Gefahren ausgesetzt wird. Sie werden am besten in Hochproduktionsprozessen eingesetzt, die wiederholte Routinen erfordern, wo sie vor anderen Gefahren für Mitarbeiter schützen können. Roboter können Gefahren verursachen, und es müssen geeignete Schutzvorrichtungen verwendet werden. Abbildung 32 zeigt ein Beispiel eines Roboters, der eine Presse beschickt.
Abbildung 32. Verwendung von Schutzgittern zum Schutz der Roboterhülle
Diverse Sicherungshilfen
Obwohl verschiedene Schutzhilfen keinen vollständigen Schutz vor Maschinengefahren bieten, können sie den Bedienern einen zusätzlichen Sicherheitsspielraum bieten. Bei ihrer Anwendung und Verwendung ist ein gesundes Urteilsvermögen erforderlich.
Bewusstseinsbarrieren. Aufmerksamkeitsbarrieren bieten keinen physischen Schutz, sondern dienen nur dazu, Bediener daran zu erinnern, dass sie sich dem Gefahrenbereich nähern. Im Allgemeinen werden Bewusstseinsbarrieren nicht als angemessen angesehen, wenn eine kontinuierliche Exposition gegenüber der Gefahr besteht. Abbildung 33 zeigt ein Seil, das als Wahrnehmungsbarriere an der Rückseite einer elektrischen Tafelschere verwendet wird. Absperrungen hindern Personen nicht physisch am Betreten von Gefahrenbereichen, sondern sensibilisieren lediglich für die Gefahr.
Abbildung 33. Rückansicht des Power-Shear-Quadrats
Shields. Abschirmungen können zum Schutz vor umherfliegenden Partikeln, spritzenden Metallbearbeitungsflüssigkeiten oder Kühlmitteln verwendet werden. Abbildung 34 zeigt zwei mögliche Anwendungen.
Abbildung 34. Anwendungen von Abschirmungen
Werkzeuge halten. Haltewerkzeuge platzieren und Material entfernen. Eine typische Anwendung wäre das Greifen in den Gefahrenbereich einer Abkantpresse oder Abkantpresse. Abbildung 35 zeigt eine Auswahl an Werkzeugen für diesen Zweck. Haltewerkzeuge sollten nicht verwendet werden beantragen müssen von anderen Maschinenschutzvorrichtungen; sie sind lediglich eine Ergänzung zu dem Schutz, den andere Wachen bieten.
Abbildung 35. Haltewerkzeuge
Stöcke oder Blöcke schieben, wie in Abbildung 36 gezeigt, kann verwendet werden, wenn Material in eine Maschine eingeführt wird, wie z. B. ein Sägeblatt. Wenn es notwendig wird, dass sich die Hände in unmittelbarer Nähe der Klinge befinden, kann der Schiebestock oder -block einen Sicherheitsspielraum bieten und Verletzungen verhindern.
Abbildung 36. Verwendung von Schiebestock oder Schiebeblock
Allgemeine Entwicklungen in der Mikroelektronik und in der Sensortechnik lassen hoffen, dass durch die Verfügbarkeit von zuverlässigen, robusten, wartungsarmen und kostengünstigen Präsenz- und Näherungsmeldern eine Verbesserung der Arbeitssicherheit erreicht werden kann. Dieser Artikel beschreibt die Sensorik, die unterschiedlichen Detektionsverfahren, die Bedingungen und Einschränkungen für den Einsatz von Sensorsystemen sowie einige abgeschlossene Studien und Normungsarbeiten in Deutschland.
Präsenzmelder-Kriterien
Die Entwicklung und praktische Erprobung von Präsenzmeldern ist eine der größten zukünftigen Herausforderungen an die technischen Bemühungen zur Verbesserung der Arbeitssicherheit und des Personenschutzes im Allgemeinen. Präsenzmelder sind Sensoren, die das zuverlässig und sicher signalisieren nahe Anwesenheit oder Annäherung einer Person. Außerdem muss diese Warnung schnell erfolgen, damit ein Ausweichen, Bremsen oder Abschalten einer stehenden Maschine erfolgen kann, bevor es zu der prognostizierten Berührung kommt. Ob die Personen groß oder klein sind, welche Haltung sie haben oder wie sie gekleidet sind, sollte keinen Einfluss auf die Zuverlässigkeit des Sensors haben. Zudem muss der Sensor funktionssicher, robust und kostengünstig sein, damit er unter härtesten Bedingungen wie auf Baustellen und im mobilen Einsatz mit minimalem Wartungsaufwand eingesetzt werden kann. Sensoren müssen wie ein Airbag sein, wartungsfrei und immer einsatzbereit. Angesichts des Widerwillens einiger Benutzer, Geräte zu warten, die sie möglicherweise als nicht unbedingt erforderlich erachten, können Sensoren jahrelang ungenutzt bleiben. Eine weitere, viel häufiger nachgefragte Eigenschaft von Präsenzmeldern ist, dass sie auch andere Hindernisse als Menschen erkennen und den Bediener rechtzeitig auf Abwehrmaßnahmen hinweisen und so Reparaturkosten und Sachschäden reduzieren. Dies ist ein nicht zu unterschätzender Grund für die Installation von Präsenzmeldern.
Detektoranwendungen
Unzählige tödliche Unfälle und schwere Verletzungen, die wie unvermeidbare, individuelle Schicksalsschläge erscheinen, können vermieden oder minimiert werden, wenn Präsenzmelder als Präventionsmaßnahme im Bereich der Arbeitssicherheit mehr Akzeptanz finden. Die Zeitungen berichten nur allzu oft über diese Unfälle: Hier wurde eine Person von einem rückwärts fahrenden Lader erfasst, dort übersah der Bediener jemanden, der vom Vorderrad eines Baggers überrollt wurde. Rückwärts fahrende Lkw auf Straßen, Firmengeländen und Baustellen sind die Ursache für viele Unfälle mit Menschen. Die durchrationalisierten Unternehmen von heute stellen keine Beifahrer oder andere Personen mehr zur Verfügung, die dem rückwärtsfahrenden Fahrer als Wegweiser dienen. Diese Beispiele für Verkehrsunfälle lassen sich leicht auf andere mobile Geräte wie Gabelstapler übertragen. Der Einsatz von Sensoren ist jedoch dringend erforderlich, um Unfälle mit semimobilen und rein stationären Anlagen zu verhindern. Ein Beispiel sind die hinteren Bereiche großer Lademaschinen, die von Sicherheitskräften als potenzielle Gefahrenbereiche identifiziert wurden, die durch den Einsatz kostengünstiger Sensoren verbessert werden könnten. Viele Variationen von Präsenzmeldern können innovativ an andere Fahrzeuge und mobile Großgeräte angepasst werden, um vor den in diesem Artikel diskutierten Arten von Unfällen zu schützen, die in der Regel große Schäden und schwere, wenn nicht tödliche Verletzungen verursachen.
Die Tendenz zur Verbreitung innovativer Lösungen scheint zu versprechen, dass Präsenzmelder auch in anderen Anwendungen zur Standard-Sicherheitstechnik werden; Dies ist jedoch nirgendwo der Fall. Der Durchbruch, motiviert durch Unfälle und hohe Sachschäden, wird bei der Überwachung hinter Lieferwagen und schweren Lkw und für die innovativsten Bereiche der „neuen Technologien“ – die mobilen Robotermaschinen der Zukunft – erwartet.
Die Vielfalt der Einsatzgebiete von Präsenzmeldern und die Variabilität der Aufgaben – beispielsweise das Tolerieren von (unter Umständen auch bewegten) Objekten, die zu einem Erfassungsfeld gehören und kein Signal auslösen sollen – erfordern Sensoren, bei denen „ intelligente“ Bewertungstechnologie unterstützt die Mechanismen der Sensorfunktion. Diese zukunftsträchtige Technologie kann aus Methoden der künstlichen Intelligenz (Schreiber und Kuhn 1995) herausgearbeitet werden. Bis heute hat eine begrenzte Universalität die derzeitigen Verwendungen von Sensoren stark eingeschränkt. Es gibt Lichtvorhänge; Lichtleisten; Kontaktmatten; passive Infrarotsensoren; Ultraschall- und Radarbewegungsmelder, die den Doppler-Effekt nutzen; Sensoren, die die verstrichene Zeit von Ultraschall-, Radar- und Lichtimpulsen messen; und Laserscanner. Normale Fernsehkameras, die an Monitore angeschlossen sind, sind in dieser Liste nicht enthalten, da sie keine Präsenzmelder sind. Jedoch sind diejenigen Kameras enthalten, die automatisch aktiviert werden, wenn sie die Anwesenheit einer Person erfassen.
Sensor Technology
Die Hauptthemen der Sensorik sind heute (1) die optimale Nutzung der physikalischen Effekte (Infrarot, Licht, Ultraschall, Radar etc.) und (2) die Selbstüberwachung. Laserscanner werden intensiv für den Einsatz als Navigationsinstrumente für mobile Roboter entwickelt. Dazu müssen zwei teilweise prinzipiell unterschiedliche Aufgaben gelöst werden: die Navigation des Roboters und der Schutz von anwesenden Personen (und Material oder Ausrüstung), damit diese nicht angefahren, überfahren oder gepackt werden (Freund, Dierks und Rossman 1993 ). Zukünftige mobile Roboter können nicht dieselbe Sicherheitsphilosophie der „räumlichen Trennung von Roboter und Mensch“ beibehalten, die für heutige stationäre Industrieroboter strikt gilt. Dabei wird großer Wert auf die zuverlässige Funktion des einzusetzenden Präsenzmelders gelegt.
Der Einsatz „neuer Technik“ ist oft mit Akzeptanzproblemen verbunden, und es ist davon auszugehen, dass der allgemeine Einsatz mobiler Roboter, die sich bewegen und greifen können, bei Menschen in Anlagen, auf öffentlichen Verkehrsflächen oder auch in Wohn- oder Erholungsgebieten erfolgt , werden nur akzeptiert, wenn sie mit sehr hochentwickelten, ausgeklügelten und zuverlässigen Präsenzmeldern ausgestattet sind. Spektakuläre Unfälle müssen unbedingt vermieden werden, um ein mögliches Akzeptanzproblem nicht zu verschärfen. Der derzeitige Aufwand für die Entwicklung derartiger Arbeitsschutzsensoren trägt dieser Überlegung nicht annähernd Rechnung. Um viele Kosten zu sparen, sollten Präsenzmelder gleichzeitig mit den mobilen Robotern und den Navigationssystemen entwickelt und getestet werden, nicht nachträglich.
Bei Kraftfahrzeugen haben Sicherheitsfragen zunehmend an Bedeutung gewonnen. Zur innovativen Insassensicherheit im Automobil gehören Dreipunktgurte, Kindersitze, Airbags und das durch Serien-Crashtests verifizierte Antiblockiersystem. Diese Sicherheitsmaßnahmen machen einen relativ steigenden Anteil der Produktionskosten aus. Der Seitenairbag und die Radarsensorik zur Abstandsmessung zum vorausfahrenden Fahrzeug sind evolutionäre Weiterentwicklungen des Insassenschutzes.
Die äußere Kraftfahrzeugsicherheit, also der Schutz Dritter, findet zunehmend Beachtung. Neuerdings wird vor allem für Lastkraftwagen ein Seitenschutz gefordert, um Motorradfahrer, Fahrradfahrer und Fußgänger vor der Gefahr zu bewahren, unter die Hinterräder zu fallen. Ein nächster logischer Schritt wäre die Überwachung des Bereichs hinter großen Fahrzeugen mit Präsenzmeldern und die Installation von Rückraumwarneinrichtungen. Dies hätte den positiven Nebeneffekt, die notwendigen Mittel bereitzustellen, um höchst leistungsfähige, selbstüberwachende, wartungsfreie und zuverlässig funktionierende, kostengünstige Sensoren für den Arbeitsschutz zu entwickeln, zu testen und verfügbar zu machen. Der mit dem breiten Einsatz von Sensoren bzw. Sensorsystemen einhergehende Erprobungsprozess würde Innovationen in anderen Bereichen erheblich erleichtern, etwa bei Baggern, Schwerlastern und anderen großen mobilen Arbeitsmaschinen, die während ihres Betriebs bis zur Hälfte zurückstehen. Der Evolutionsprozess von stationären Robotern zu mobilen Robotern ist ein weiterer Entwicklungspfad für Präsenzmelder. So könnten beispielsweise die derzeit eingesetzten Sensoren an mobilen Roboter-Materialbewegern oder „fahrerlosen Werkstraktoren“ verbessert werden, die festen Bahnen folgen und daher relativ geringe Sicherheitsanforderungen haben. Der Einsatz von Präsenzmeldern ist der nächste logische Schritt zur Verbesserung der Sicherheit im Bereich Material- und Personentransport.
Erkennungsverfahren
Zur Beurteilung und Lösung der oben genannten Aufgaben können verschiedene physikalische Prinzipien, die in Verbindung mit elektronischen Mess- und Selbstüberwachungsverfahren und teilweise Hochleistungsrechenverfahren zur Verfügung stehen, genutzt werden. Die in Science-Fiction-Filmen übliche scheinbar mühelose und sichere Bedienung automatisierter Maschinen (Roboter) wird in der realen Welt möglicherweise durch den Einsatz von bildgebenden Verfahren und leistungsstarken Mustererkennungsalgorithmen in Kombination mit analogen Entfernungsmessverfahren erreicht von Laserscannern eingesetzt. Die paradoxe Situation, dass alles, was für Menschen einfach erscheint, für Automaten schwierig ist, muss erkannt werden. Zum Beispiel kann eine schwierige Aufgabe wie ausgezeichnetes Schachspiel (das eine Aktivität des Vorderhirns erfordert) leichter von automatisierten Maschinen simuliert und ausgeführt werden als eine einfache Aufgabe wie aufrechtes Gehen oder Ausführen von Hand-Augen- und anderen Bewegungskoordinationen (vermittelt durch Mittel- und Hinterhirn). Einige dieser Prinzipien, Methoden und Verfahren, die auf Sensoranwendungen anwendbar sind, werden unten beschrieben. Daneben gibt es eine Vielzahl von Spezialverfahren für ganz spezielle Aufgabenstellungen, die zum Teil mit einer Kombination verschiedener physikalischer Einwirkungen arbeiten.
Lichtschrankenvorhänge und -stangen. Zu den ersten Präsenzmeldern gehörten Lichtschrankenvorhänge und Lichtschranken. Sie haben eine flache Überwachungsgeometrie; Das heißt, jemand, der die Barriere passiert hat, wird nicht mehr erkannt. Mit diesen Geräten kann beispielsweise die Hand eines Bedieners oder das Vorhandensein von Werkzeugen oder Teilen, die in der Hand eines Bedieners gehalten werden, schnell und zuverlässig erkannt werden. Sie leisten einen wichtigen Beitrag zur Arbeitssicherheit für Maschinen (wie Pressen und Stanzmaschinen), die eine manuelle Materialzuführung erfordern. Die Zuverlässigkeit muss statistisch extrem hoch sein, denn wenn die Hand nur zwei- bis dreimal pro Minute eingreift, werden in wenigen Jahren etwa eine Million Betätigungen ausgeführt. Die gegenseitige Selbstüberwachung von Sender- und Empfängerkomponenten ist technisch so weit entwickelt, dass sie einen Standard für alle anderen Anwesenheitserkennungsverfahren darstellt.
Kontaktmatten (Schaltmatten). Es gibt sowohl passive als auch aktive (Pumpen-) Typen von elektrischen und pneumatischen Kontaktmatten und -böden, die zunächst in großer Zahl in Servicefunktionen (Türöffner) eingesetzt wurden, bis sie durch Bewegungsmelder ersetzt wurden. Die Weiterentwicklung erfolgt durch den Einsatz von Präsenzmeldern in allen möglichen Gefahrenbereichen. Beispielsweise führte die Entwicklung der automatisierten Fertigung mit einem Funktionswandel des Werkers – von der Bedienung der Maschine zur strengen Überwachung ihrer Funktion – zu einer entsprechenden Nachfrage nach entsprechenden Detektoren. Die Standardisierung dieser Anwendung ist weit fortgeschritten (DIN 1995a), und spezielle Einschränkungen (Layout, Größe, maximal zulässige „tote“ Zonen) erforderten den Aufbau von Know-how für die Installation in diesem Anwendungsbereich.
Interessante Einsatzmöglichkeiten von Kontaktmatten ergeben sich in Verbindung mit computergesteuerten Mehrrobotersystemen. Ein Bediener schaltet ein oder zwei Elemente um, damit der Präsenzmelder seine genaue Position erfasst und den Computer informiert, der Robotersteuerungssysteme mit einem eingebauten Kollisionsvermeidungssystem verwaltet. In einem von der Bundesanstalt für Sicherheit (BAU) vorangetriebenen Versuch wurde zu diesem Zweck ein Kontaktmattenboden, bestehend aus kleinen Elektroschaltmatten, unter dem Arbeitsbereich des Roboterarms eingebaut (Freund, Dierks und Rossman 1993). Dieser Präsenzmelder hatte die Form eines Schachbretts. Das jeweils aktivierte Mattenfeld teilte dem Computer die Position des Bedieners mit (Bild 1) und wenn sich der Bediener dem Roboter zu nahe näherte, entfernte er sich. Ohne den Präsenzmelder wäre das Robotersystem nicht in der Lage, die Position des Bedieners zu ermitteln und der Bediener könnte dann nicht geschützt werden.
Abbildung 1. Eine Person (rechts) und zwei Roboter in berechneten Hüllenkörpern
Reflektoren (Bewegungsmelder und Präsenzmelder). So verdienstvoll die bisher diskutierten Sensoren auch sein mögen, sie sind keine Präsenzmelder im weiteren Sinne. Ihre Eignung – vor allem aus Gründen des Arbeitsschutzes – für große Fahrzeuge und mobile Großgeräte setzt zwei wichtige Eigenschaften voraus: (1) die Möglichkeit, einen Bereich von einer Position aus zu überwachen, und (2) die fehlerfreie Funktion ohne zusätzliche Maßnahmen der Teil – zum Beispiel die Verwendung von Reflektorgeräten. Das Erfassen der Anwesenheit einer Person, die den überwachten Bereich betritt und angehalten bleibt, bis diese Person gegangen ist, impliziert auch die Notwendigkeit, eine absolut stillstehende Person zu erfassen. Dies unterscheidet sogenannte Bewegungsmelder von Präsenzmeldern, zumindest in Verbindung mit mobilen Geräten; Bewegungssensoren werden fast immer ausgelöst, wenn das Fahrzeug in Bewegung gesetzt wird.
Bewegungssensoren. Die zwei Grundtypen von Bewegungsmeldern sind: (1) „Passiv-Infrarot-Sensoren“ (PIRS), die auf die kleinste Änderung des Infrarotstrahls im überwachten Bereich reagieren (der kleinste erkennbare Strahl ist ungefähr 10-9 W mit einem Wellenlängenbereich von etwa 7 bis 20 μm); und (2) Ultraschall- und Mikrowellensensoren, die das Doppler-Prinzip verwenden, das die Eigenschaften der Bewegung eines Objekts gemäß den Frequenzänderungen bestimmt. Beispielsweise erhöht der Doppler-Effekt die Frequenz des Horns einer Lokomotive für einen Beobachter, wenn er sich nähert, und verringert die Frequenz, wenn sich die Lokomotive entfernt. Der Dopplereffekt ermöglicht den Bau relativ einfacher Annäherungssensoren, da der Empfänger lediglich die Signalfrequenz benachbarter Frequenzbänder auf das Auftreten der Dopplerfrequenz überwachen muss.
Mitte der 1970er-Jahre setzte sich der Einsatz von Bewegungsmeldern in Servicefunktionsanwendungen wie Türöffner, Diebstahlsicherung und Objektschutz durch. Für den stationären Einsatz war die Erkennung einer sich nähernden Person in Richtung einer Gefahrenstelle ausreichend, um rechtzeitig zu warnen oder eine Maschine abzuschalten. Auf dieser Grundlage wurde die Eignung von Bewegungsmeldern für den Einsatz im Arbeitsschutz, insbesondere mittels PIRS, untersucht (Mester et al. 1980). Da eine bekleidete Person im Allgemeinen eine höhere Temperatur hat als die Umgebung (Kopf 34°C, Hände 31°C), ist das Erkennen einer sich nähernden Person etwas einfacher als das Erkennen von unbelebten Objekten. In begrenztem Umfang können sich Maschinenteile im überwachten Bereich bewegen, ohne dass der Melder auslöst.
Die passive Methode (ohne Sender) hat Vor- und Nachteile. Der Vorteil ist, dass ein PIRS nicht zu Lärm- und Elektrosmogproblemen beiträgt. Für die Diebstahlsicherung und den Objektschutz ist es besonders wichtig, dass der Melder nicht leicht zu finden ist. Ein Sensor, der nur ein Empfänger ist, kann jedoch kaum seine eigene Wirksamkeit überwachen, was für die Arbeitssicherheit unerlässlich ist. Eine Methode zur Überwindung dieses Nachteils bestand darin, kleine modulierte (5 bis 20 Hz) Infrarotstrahler zu testen, die im Überwachungsbereich installiert waren und den Sensor nicht auslösten, deren Strahlen jedoch mit einer fest auf die Modulationsfrequenz eingestellten elektronischen Verstärkung registriert wurden. Diese Modifikation machte ihn von einem „passiven“ Sensor zu einem „aktiven“ Sensor. Auf diese Weise konnte auch die geometrische Genauigkeit des überwachten Bereichs überprüft werden. Spiegel können tote Winkel haben, und die Richtung eines passiven Sensors kann durch die raue Aktivität in einer Anlage abgelenkt werden. Bild 2 zeigt ein Versuchslayout mit einem PIRS mit überwachter Geometrie in Form eines Pyramidenmantels. Wegen ihrer großen Reichweite werden Passiv-Infrarot-Sensoren zum Beispiel in den Durchgängen von Regallagern installiert.
Bild 2. Passiv-Infrarot-Sensor als Annäherungsmelder im Gefahrenbereich
Insgesamt zeigten Tests, dass Bewegungsmelder für den Arbeitsschutz nicht geeignet sind. Ein nächtlicher Museumsboden ist nicht mit Gefahrenzonen am Arbeitsplatz zu vergleichen.
Ultraschall-, Radar- und Lichtimpulsdetektoren. Sensoren, die nach dem Impuls/Echo-Prinzip arbeiten, also Laufzeitmessungen von Ultraschall-, Radar- oder Lichtimpulsen, haben ein großes Potenzial als Präsenzmelder. Mit Laserscannern können Lichtimpulse schnell hintereinander (meist rotatorisch) beispielsweise horizontal überstreichen und mit Hilfe eines Computers ein Abstandsprofil der lichtreflektierenden Objekte auf einer Ebene erhalten. Will man beispielsweise nicht nur eine einzelne Linie, sondern das gesamte, was vor dem mobilen Roboter im Bereich bis zu einer Höhe von 2 Metern liegt, müssen große Datenmengen verarbeitet werden, um die Umgebung abzubilden. Ein zukünftiger „idealer“ Präsenzmelder wird aus einer Kombination der folgenden beiden Verfahren bestehen:
Abbildung 3 zeigt aus dem bereits zitierten BAU-Projekt (Freund, Dierks und Rossman 1993) den Einsatz eines Laserscanners auf einem mobilen Roboter, der auch Navigationsaufgaben (über einen Richtungserkennungsstrahl) und den Kollisionsschutz für Objekte in unmittelbarer Nähe übernimmt Umgebung (über einen Bodenmessstrahl zur Anwesenheitserkennung). Angesichts dieser Eigenschaften hat der mobile Roboter die Fähigkeit aktives automatisiertes freies Fahren (dh die Fähigkeit, um Hindernisse herumzufahren). Technisch wird dies dadurch erreicht, dass neben dem 45°-Winkel nach vorne auch der 180°-Winkel der Scannerrotation nach hinten auf beiden Seiten (nach Backbord und Steuerbord des Roboters) genutzt wird. Diese Strahlen sind mit einem speziellen Spiegel verbunden, der als Lichtvorhang auf dem Boden vor dem mobilen Roboter wirkt (und eine Bodensichtlinie bereitstellt). Kommt von dort eine Laserreflexion, stoppt der Roboter. Während für den Arbeitsschutz zertifizierte Laser- und Lichtscanner auf dem Markt sind, haben diese Präsenzmelder ein großes Entwicklungspotential.
Abbildung 3. Mobiler Roboter mit Laserscanner zur Navigation und Anwesenheitserkennung
Ultraschall- und Radarsensoren, die die verstrichene Zeit vom Signal bis zur Antwort zur Entfernungsbestimmung nutzen, sind technisch weniger anspruchsvoll und damit kostengünstiger herstellbar. Der Sensorbereich ist keulenförmig und hat eine oder mehrere kleinere Seitenkeulen, die symmetrisch angeordnet sind. Die Ausbreitungsgeschwindigkeit des Signals (Schall: 330 m/s; elektromagnetische Welle: 300,000 km/s) bestimmt die erforderliche Geschwindigkeit der eingesetzten Elektronik.
Warneinrichtungen für den rückwärtigen Bereich. Auf der Hannover Messe 1985 zeigte die BAU die Ergebnisse eines ersten Projektes zum Einsatz von Ultraschallsensoren zur Bereichssicherung hinter Großfahrzeugen (Langer und Kurfürst 1985). An der Rückwand eines Versorgungslastwagens wurde ein Modell eines Sensorkopfs aus Polaroid™-Sensoren in Originalgröße aufgebaut. Abbildung 4 zeigt seine Funktionsweise schematisch. Der große Durchmesser dieses Sensors erzeugt relativ kleinwinklige (ca. 18°), weitreichende keulenförmige Messfelder, die nebeneinander angeordnet und auf unterschiedliche maximale Signalbereiche eingestellt sind. In der Praxis lässt sich damit jede gewünschte Überwachungsgeometrie einstellen, die von den Sensoren etwa viermal pro Sekunde auf Anwesenheit oder Zutritt von Personen abgetastet wird. Andere demonstrierte Rückraum-Warnsysteme hatten mehrere parallel angeordnete einzelne Sensoren.
Abbildung 4. Anordnung des Messkopfes und überwachter Bereich auf der Rückseite eines Lastwagens
Diese anschauliche Demonstration war ein großer Erfolg auf der Messe. Dabei zeigte sich, dass die Sicherung des Heckbereichs von Großfahrzeugen und -geräten vielerorts – beispielsweise von Fachausschüssen der gewerblichen Berufsgenossenschaften – untersucht wird (Berufsgenossenschaften), die kommunalen Unfallversicherer (die für Kommunalfahrzeuge zuständig sind), die staatlichen Gewerbeaufsichtsbeamten und die Hersteller von Sensoren, die das Automobil eher als Servicefahrzeug (im Sinne einer Fokussierung auf Parksysteme zum Schutz vor Karosserieschaden). Ein aus den Kreisen berufener Ad-hoc-Ausschuss zur Förderung von Rückraumwarneinrichtungen wurde spontan gebildet und nahm als erste Aufgabe die Erstellung eines Anforderungskatalogs aus Sicht der Arbeitssicherheit auf. Zehn Jahre sind vergangen, in denen viel an der Rückraumüberwachung – der vielleicht wichtigsten Aufgabe von Präsenzmeldern – gearbeitet wurde; aber der große durchbruch fehlt noch.
Viele Projekte wurden mit Ultraschallsensoren durchgeführt, beispielsweise an Rundholzsortierkränen, Hydraulikbaggern, speziellen Kommunalfahrzeugen und anderen Nutzfahrzeugen sowie an Gabelstaplern und Ladern (Schreiber 1990). Rückraumwarneinrichtungen sind besonders wichtig für große Maschinen, die viel zurücksetzen. Ultraschall-Präsenzmelder werden zum Beispiel zum Schutz spezialisierter fahrerloser Fahrzeuge wie Roboter-Fördermaschinen eingesetzt. Im Vergleich zu Gummipuffern haben diese Sensoren einen größeren Erfassungsbereich, der ein Bremsen vor dem Kontakt zwischen der Maschine und einem Objekt ermöglicht. Entsprechende Sensoren für Automobile sind entsprechende Entwicklungen und stellen deutlich weniger strenge Anforderungen.
Inzwischen hat der Normenausschuss Verkehrswesentechnik im DIN die Norm 75031 „Hinderniserkennung beim Rückwärtsfahren“ (DIN 1995b) erarbeitet. Die Anforderungen und Tests wurden für zwei Reichweiten festgelegt: 1.8 m für Versorgungs-Lkw und 3.0 m – ein zusätzlicher Warnbereich – für größere Lkw. Der überwachte Bereich wird durch die Erkennung von zylindrischen Prüfkörpern festgelegt. Auch die 3-m-Reichweite liegt an der Grenze des derzeit technisch Machbaren, da Ultraschallsensoren aufgrund ihrer rauen Arbeitsbedingungen geschlossene Metallmembranen haben müssen. Die Anforderungen an die Selbstüberwachung des Sensorsystems werden gestellt, da die geforderte überwachte Geometrie erst mit einem System aus drei oder mehr Sensoren erreicht werden kann. Bild 5 zeigt eine Rückraumwarneinrichtung bestehend aus drei Ultraschallsensoren (Microsonic GmbH 1996). Gleiches gilt für die Meldeeinrichtung im Führerhaus und die Art des Warnsignals. Die Inhalte der DIN-Norm 75031 sind auch im internationalen technischen ISO-Bericht TR 12155 „Nutzfahrzeuge – Hinderniserkennung beim Rückwärtsfahren“ (ISO 1994) dargelegt. Verschiedene Sensorhersteller haben Prototypen nach dieser Norm entwickelt.
Abbildung 5. Mittelgroßer Lkw, ausgestattet mit einem Warngerät für den hinteren Bereich (Mikrosonic-Foto).
Fazit
Seit Anfang der 1970er Jahre haben mehrere Institutionen und Sensorhersteller an der Entwicklung und Etablierung von „Präsenzmeldern“ gearbeitet. In der Spezialanwendung „Rückraumwarneinrichtungen“ gibt es die DIN-Norm 75031 und den ISO-Report TR 12155. Derzeit führt die Deutsche Post AG einen Großversuch durch. Mehrere Sensorhersteller haben jeweils fünf mittelgroße Lkw mit solchen Geräten ausgestattet. Ein positives Ergebnis dieser Prüfung ist sehr im Sinne des Arbeitsschutzes. Wie eingangs betont wurde, sind Präsenzmelder in den geforderten Stückzahlen eine große Herausforderung für die Sicherheitstechnik in den vielen genannten Anwendungsbereichen. Sie müssen daher kostengünstig realisierbar sein, wenn Schäden an Geräten, Maschinen und Materialien und vor allem oft schwerste Personenschäden der Vergangenheit angehören sollen.
Befehlsgeräte und Geräte zum Trennen und Schalten sind immer im Zusammenhang zu diskutieren technische Systeme, ein Begriff, der in diesem Artikel verwendet wird, um Maschinen, Anlagen und Geräte einzuschließen. Jedes technische System erfüllt eine spezifische und zugewiesene praktische Aufgabe. Damit diese praktische Aufgabe bewältigbar oder überhaupt unter sicheren Bedingungen möglich ist, sind entsprechende Sicherheits-Steuerungs- und Schaltgeräte erforderlich. Solche Vorrichtungen werden verwendet, um den Strom und/oder die Impulse von elektrischen, hydraulischen, pneumatischen und auch potentiellen Energien zu steuern, zu unterbrechen oder zu verzögern.
Isolation und Energiereduktion
Trenneinrichtungen dienen der Energietrennung durch Trennung der Versorgungsleitung zwischen der Energiequelle und der technischen Anlage. Die Trenneinrichtung muss normalerweise eine eindeutig bestimmbare tatsächliche Unterbrechung der Energieversorgung bewirken. Eine Abschaltung der Energieversorgung sollte auch immer mit dem Abbau gespeicherter Energie in allen Teilen des technischen Systems einhergehen. Wird die technische Anlage von mehreren Energiequellen gespeist, müssen alle diese Versorgungsleitungen zuverlässig trennbar sein. Personen, die im Umgang mit der jeweiligen Energieart geschult sind und auf der Energieseite der technischen Anlage tätig sind, schirmen sich mit Trenneinrichtungen von den Gefahren der Energie ab. Aus Sicherheitsgründen prüfen diese Personen immer, ob keine potentiell gefährliche Energie in der technischen Anlage verbleibt, z. B. durch Feststellung der Spannungsfreiheit bei elektrischer Energie. Der gefahrlose Umgang mit bestimmten Isoliermitteln ist nur für geschultes Fachpersonal möglich; in solchen Fällen muss die Trenneinrichtung für Unbefugte unzugänglich gemacht werden. (Siehe Abbildung 1.)
Abbildung 1. Prinzipien elektrischer und pneumatischer Trennvorrichtungen
Der Hauptschalter
Eine Hauptschalteinrichtung trennt die technische Anlage von der Energieversorgung. Anders als die Trenneinrichtung kann sie auch von „Nicht-Energiefachkräften“ gefahrlos bedient werden. Die Hauptschalteinrichtung dient dazu, gerade nicht genutzte technische Anlagen freizuschalten, wenn z. B. deren Betrieb durch unbefugte Dritte behindert wird. Es wird auch verwendet, um eine Abschaltung für Wartungszwecke, Störungsbeseitigung, Reinigung, Neueinstellung und Umrüstung vorzunehmen, sofern diese Arbeiten ohne Energie in der Anlage durchgeführt werden können. Wenn eine Hauptschalteinrichtung auch die Eigenschaften einer Trenneinrichtung besitzt, kann sie natürlich auch deren Funktion übernehmen und/oder teilen. (Siehe Abbildung 2.)
Abbildung 2. Beispielhafte Darstellung von elektrischen und pneumatischen Hauptschaltgeräten
Sicherheits-Trennvorrichtung
Eine Sicherheits-Trenneinrichtung trennt nicht die gesamte technische Anlage von der Energiequelle; vielmehr entzieht es den Teilen des Systems, die für ein bestimmtes betriebsbereites Subsystem kritisch sind, Energie. Bei betrieblichen Teilsystemen können Eingriffe von kurzer Dauer vorgesehen werden, z. B. zum Einrichten oder Umrüsten des Systems, zur Behebung von Störungen, zur regelmäßigen Reinigung sowie zu wesentlichen und vorgesehenen Bewegungs- und Funktionsabläufen, die während des Studiums erforderlich sind B. beim Einrichten, Um-/Umrüsten oder Testläufen. Komplexe Produktionsanlagen und Anlagen können in diesen Fällen nicht einfach mit einem Hauptschaltgerät abgeschaltet werden, da die gesamte technische Anlage nach der Behebung einer Störung nicht dort wieder anlaufen könnte, wo sie aufgehört hat. Außerdem befindet sich die Hauptschalteinrichtung bei den umfangreicheren technischen Anlagen selten an der Stelle, an der eingegriffen werden muss. Somit muss die Sicherheits-Trenneinrichtung eine Reihe von Anforderungen erfüllen, wie z. B. die folgenden:
Sofern die in einer technischen Anlage eingesetzte Hauptschalteinrichtung alle Anforderungen an eine Sicherheits-Trenneinrichtung erfüllen kann, kann sie auch diese Funktion übernehmen. Aber das wird natürlich nur in sehr einfachen technischen Systemen ein zuverlässiger Ausweg sein. (Siehe Abbildung 3.)
Bild 3. Darstellung elementarer Prinzipien einer Sicherheits-Trenneinrichtung
Vorschaltgeräte für betriebliche Subsysteme
Vorschaltgeräte ermöglichen es, Bewegungen und Funktionsabläufe, die für funktionsfähige Teilsysteme des technischen Systems erforderlich sind, sicher auszuführen und zu steuern. Vorschaltgeräte für betriebsbereite Teilsysteme können für die Einrichtung (wenn Testläufe durchgeführt werden sollen) erforderlich sein; zur Regulierung (wenn Störungen im Betrieb der Anlage behoben oder Blockaden beseitigt werden müssen); oder Schulungszwecke (Demonstration von Operationen). In solchen Fällen kann der normale Betrieb des Systems nicht einfach wieder aufgenommen werden, da die eingreifende Person durch Bewegungen und Prozesse gefährdet würde, die durch fehlerhaft eingegebene oder fehlerhaft erzeugte Steuersignale ausgelöst werden. Ein Betriebsgerät für betriebsbereite Teilsysteme muss folgende Anforderungen erfüllen:
Abbildung 4. Betätigungseinrichtungen in den Vorschaltgeräten für bewegliche und stationäre Betriebssubsysteme
Der Notschalter
Notschalter sind dort erforderlich, wo durch den normalen Betrieb technischer Anlagen Gefahren entstehen können, die weder durch geeignete Anlagengestaltung noch durch entsprechende Sicherheitsvorkehrungen verhindert werden können. In betriebsbereiten Teilsystemen ist der Notschalter häufig Teil des Betriebsgeräts des betriebsfähigen Teilsystems. Der Notschalter setzt bei Betätigung im Gefahrenfall Vorgänge um, die das technische System schnellstmöglich in einen sicheren Betriebszustand zurückführen. Bei den Sicherheitsprioritäten steht der Personenschutz im Vordergrund; Die Vermeidung von Sachschäden ist zweitrangig, es sei denn, dass diese auch Personen gefährden könnten. Der Notschalter muss folgende Anforderungen erfüllen:
Abbildung 5. Veranschaulichung der Prinzipien von Bedienfeldern in Notschaltern
Funktionsschalter-Steuergerät
Funktionsschalter-Steuergeräte dienen dazu, die technische Anlage für den Normalbetrieb einzuschalten und die für den Normalbetrieb vorgesehenen Bewegungen und Vorgänge einzuleiten, auszuführen und zu unterbrechen. Das Funktionsschalter-Steuergerät wird ausschließlich im Rahmen des normalen Betriebs des technischen Systems, also während der ungestörten Ausführung aller zugeordneten Funktionen, verwendet. Sie wird von den Personen, die das technische System betreiben, entsprechend genutzt. Die Funktionsschalter-Steuergeräte müssen folgende Anforderungen erfüllen:
Abbildung 6. Schematische Darstellung eines Operations Control Panels
Überwachungsschalter
Überwachungsschalter verhindern das Anlaufen des technischen Systems, solange die überwachten Sicherheitsbedingungen nicht erfüllt sind, und sie unterbrechen den Betrieb, sobald eine Sicherheitsbedingung nicht mehr erfüllt ist. Sie werden beispielsweise eingesetzt, um Türen in Schutzräumen zu überwachen, die korrekte Position von Schutzeinrichtungen zu kontrollieren oder sicherzustellen, dass Geschwindigkeits- oder Wegbegrenzungen nicht überschritten werden. Entsprechend müssen Überwachungsschalter folgende Sicherheits- und Zuverlässigkeitsanforderungen erfüllen:
Abbildung 7. Diagramm eines Schalters mit positiver mechanischer Betätigung und positiver Trennung
Sicherheitssteuerkreise
Einige der oben beschriebenen Sicherheitsschaltgeräte führen die Sicherheitsfunktion nicht direkt aus, sondern durch Abgabe eines Signals, das dann von einem Sicherheitssteuerkreis übertragen und verarbeitet wird und schließlich die Teile der technischen Anlage erreicht, die die eigentliche Sicherheitsfunktion ausüben. Beispielsweise bewirkt die Sicherheits-Trenneinrichtung häufig indirekt die Trennung der Energie an neuralgischen Punkten, während ein Hauptschalter meist direkt die Stromzufuhr zum technischen System unterbricht.
Da Sicherheitssteuerkreise Sicherheitssignale zuverlässig übertragen müssen, sind daher folgende Grundsätze zu beachten:
Die in Sicherheitsschaltkreisen verwendeten Komponenten müssen die Sicherheitsfunktion besonders zuverlässig ausführen. Die Funktionen von Komponenten, die diese Anforderung nicht erfüllen, sind durch eine möglichst diversifizierte Redundanz zu realisieren und zu überwachen.
Mikroprozessoren spielen in den letzten Jahren eine immer größere Rolle im Bereich der Sicherheitstechnik. Da mittlerweile ganze Rechner (dh Zentraleinheit, Speicher und Peripheriekomponenten) als "Single-Chip-Rechner" in einem einzigen Bauteil verfügbar sind, findet die Mikroprozessortechnik nicht nur in komplexen Maschinensteuerungen, sondern auch in relativ einfach aufgebauten Absicherungen Anwendung (z. B. Lichtgitter, Zweihandsteuerungen und Schaltleisten). Die Software, die diese Systeme steuert, umfasst zwischen tausend und mehreren zehntausend Einzelbefehlen und besteht in der Regel aus mehreren hundert Programmzweigen. Die Programme arbeiten in Echtzeit und sind meist in der Assemblersprache der Programmierer geschrieben.
Die Einführung computergesteuerter Systeme im Bereich der Sicherheitstechnik ist bei allen technischen Großgeräten nicht nur mit aufwendigen Forschungs- und Entwicklungsprojekten, sondern auch mit erheblichen Einschränkungen zur Erhöhung der Sicherheit einhergegangen. (Als Beispiele für großtechnische Anwendungen seien hier die Luft- und Raumfahrttechnik, die Militärtechnik und die Atomkrafttechnik genannt.) Das Sammelgebiet der industriellen Massenproduktion ist bisher nur sehr begrenzt behandelt worden. Dies liegt unter anderem daran, dass die für den industriellen Maschinenbau charakteristischen schnellen Innovationszyklen eine nur sehr eingeschränkte Übertragbarkeit von Erkenntnissen aus Forschungsprojekten zur Enderprobung im Großmaßstab erschweren Sicherheitsgeräte. Dies macht die Entwicklung schneller und kostengünstiger Bewertungsverfahren zu einem Desiderat (Reinert und Reuss 1991).
Dieser Artikel untersucht zunächst Maschinen und Anlagen, in denen Computersysteme heute Sicherheitsaufgaben übernehmen, und zeigt anhand von Beispielen von Unfällen, die sich überwiegend im Bereich der Maschinenabsicherung ereignen, die besondere Rolle von Computern in der Sicherheitstechnik auf. Diese Unfälle geben Aufschluss darüber, welche Vorkehrungen zu treffen sind, damit die heute immer häufiger eingesetzten computergesteuerten Sicherheitseinrichtungen nicht zu einem Anstieg der Unfallzahlen führen. Der letzte Abschnitt des Artikels skizziert ein Verfahren, mit dem auch kleine Computersysteme mit vertretbarem Aufwand und in vertretbarer Zeit auf ein angemessenes Maß an technischer Sicherheit gebracht werden können. Die in diesem letzten Teil aufgezeigten Prinzipien werden derzeit in internationale Standardisierungsverfahren eingeführt und werden Auswirkungen auf alle Bereiche der Sicherheitstechnik haben, in denen Computer Anwendung finden.
Beispiele für den Einsatz von Software und Computern im Bereich der Maschinenabsicherung
Die folgenden vier Beispiele verdeutlichen, dass Software und Computer derzeit immer mehr Einzug in sicherheitsrelevante Anwendungen im gewerblichen Bereich halten.
Personen-Notsignalanlagen bestehen in der Regel aus einer zentralen Empfangsstelle und mehreren Personen-Notsignaleinrichtungen. Die Geräte werden von den vor Ort tätigen Personen selbst getragen. Befindet sich eine dieser allein arbeitenden Personen in einer Notsituation, kann sie über das Gerät per Funksignal in der zentralen Empfangsstelle einen Alarm auslösen. Eine solche willensabhängige Alarmauslösung kann auch durch einen willensunabhängigen Auslösemechanismus ergänzt werden, der durch in die Personennotrufgeräte eingebaute Sensoren aktiviert wird. Sowohl die einzelnen Geräte als auch die zentrale Empfangsstation werden häufig von Mikrocomputern gesteuert. Es ist denkbar, dass der Ausfall bestimmter Einzelfunktionen des eingebauten Computers in einer Notfallsituation dazu führen kann, dass der Alarm nicht ausgelöst wird. Es müssen daher Vorkehrungen getroffen werden, um einen solchen Funktionsverlust rechtzeitig zu erkennen und zu beheben.
Druckmaschinen, die heute zum Drucken von Zeitschriften verwendet werden, sind große Maschinen. Die Papierbahnen werden normalerweise von einer separaten Maschine so vorbereitet, dass ein nahtloser Übergang zu einer neuen Papierrolle möglich ist. Die bedruckten Seiten werden von einer Falzmaschine gefalzt und anschließend durch eine Kette weiterer Maschinen bearbeitet. Das Ergebnis sind Paletten, die mit vollständig vernähten Magazinen beladen sind. Obwohl solche Anlagen automatisiert sind, müssen an zwei Stellen manuelle Eingriffe vorgenommen werden: (1) beim Einfädeln der Papierwege und (2) beim Beseitigen von Hindernissen durch Papierrisse an Gefahrenstellen an den rotierenden Walzen. Aus diesem Grund muss während der Verstellung der Pressen eine reduzierte Arbeitsgeschwindigkeit oder ein weg- oder zeitbegrenzter Tippbetrieb steuerungstechnisch gewährleistet sein. Aufgrund der komplexen Steuerungsvorgänge muss jede einzelne Druckstation mit einer eigenen speicherprogrammierbaren Steuerung ausgestattet werden. Ein auftretender Fehler in der Steuerung einer Druckerei bei geöffneten Schutzgittern muss verhindert werden, dass es entweder zu einem unerwarteten Anlauf einer stillstehenden Maschine oder zu einem Betrieb über angemessen reduzierten Drehzahlen kommt.
In großen Fabriken und Lagern bewegen sich fahrerlose, fahrerlose Roboterfahrzeuge auf speziell gekennzeichneten Gleisen. Diese Gleise können jederzeit von Personen begangen oder Materialien und Geräte versehentlich auf den Gleisen zurückgelassen werden, da sie baulich nicht von anderen Verkehrswegen getrennt sind. Aus diesem Grund muss eine Art Kollisionsverhütungsausrüstung verwendet werden, um sicherzustellen, dass das Fahrzeug zum Stillstand gebracht wird, bevor es zu einer gefährlichen Kollision mit einer Person oder einem Objekt kommt. In neueren Anwendungen erfolgt die Kollisionsvermeidung mittels Ultraschall- oder Laserlichttaster in Kombination mit einem Sicherheitsbumper. Da diese Systeme computergesteuert arbeiten, ist es möglich, mehrere permanente Erfassungszonen zu konfigurieren, sodass ein Fahrzeug seine Reaktion abhängig von der spezifischen Erfassungszone, in der sich eine Person befindet, modifizieren kann. Fehler in der Schutzeinrichtung dürfen nicht zu einer gefährlichen Kollision mit einer Person führen.
Guillotinen mit Papierschneidesteuerung werden verwendet, um dicke Papierstapel zu pressen und dann zu schneiden. Sie werden durch eine Zweihandbedienung ausgelöst. Der Benutzer muss nach jedem Schnitt in den Gefahrenbereich der Maschine greifen. Eine immaterielle Schutzeinrichtung, meist ein Lichtgitter, dient in Verbindung mit der Zweihandbedienung und einer sicheren Maschinensteuerung dazu, Verletzungen beim Zuführen von Papier während des Schneidvorgangs zu vermeiden. Nahezu alle heute verwendeten größeren, moderneren Guillotinen werden von Mehrkanal-Mikrocomputersystemen gesteuert. Auch die Zweihandbedienung und das Lichtgitter müssen sicher funktionieren.
Unfälle mit computergesteuerten Systemen
In nahezu allen industriellen Anwendungsbereichen werden Unfälle mit Software und Computern gemeldet (Neumann 1994). Computerausfälle führen in den meisten Fällen nicht zu Personenschäden. Solche Versäumnisse werden ohnehin nur öffentlich gemacht, wenn sie von allgemeinem öffentlichem Interesse sind. Das bedeutet, dass die Fehlfunktionen oder Unfälle im Zusammenhang mit Computern und Software, bei denen Personenschäden im Spiel waren, einen relativ hohen Anteil an allen bekannt gewordenen Fällen ausmachen. Leider werden Unfälle, die kein großes öffentliches Aufsehen erregen, nicht mit der gleichen Intensität auf ihre Ursachen hin untersucht wie größere Unfälle, typischerweise in Großanlagen. Aus diesem Grund beziehen sich die folgenden Beispiele auf vier für computergesteuerte Systeme typische Beschreibungen von Fehlfunktionen oder Unfällen außerhalb des Bereichs der Maschinenabsicherung, die Hinweise darauf geben, was bei sicherheitstechnischen Beurteilungen zu berücksichtigen ist.
Unfälle, die durch zufällige Fehler in der Hardware verursacht werden
Das folgende Missgeschick wurde durch eine Konzentration zufälliger Fehler in der Hardware in Verbindung mit Programmierfehlern verursacht: Ein Reaktor überhitzt in einer Chemiefabrik, woraufhin Überdruckventile geöffnet wurden, wodurch der Inhalt des Reaktors in die Atmosphäre abgelassen werden konnte. Dieses Missgeschick ereignete sich kurz nach einer Warnung, dass der Ölstand in einem Getriebe zu niedrig sei. Eine sorgfältige Untersuchung des Missgeschicks ergab, dass kurz nachdem der Katalysator die Reaktion im Reaktor ausgelöst hatte – wodurch der Reaktor mehr Kühlung benötigt hätte – der Computer aufgrund der Meldung von niedrigem Ölstand im Getriebe alles eingefroren hatte Größen unter seiner Kontrolle auf einen festen Wert. Dadurch blieb der Kaltwasserdurchfluss zu niedrig und der Reaktor überhitzt. Weitere Untersuchungen ergaben, dass die Anzeige eines niedrigen Ölstands durch eine fehlerhafte Komponente signalisiert worden war.
Die Software hatte entsprechend der Spezifikation mit der Auslösung eines Alarms und der Fixierung aller Betriebsvariablen reagiert. Dies war eine Folge der HAZOP-Studie (Hazards and Operability Analysis) (Knowlton 1986), die vor dem Ereignis durchgeführt wurde und die verlangte, dass alle kontrollierten Variablen im Falle eines Ausfalls nicht modifiziert werden. Da der Programmierer die Vorgehensweise im Detail nicht kannte, wurde diese Forderung dahingehend interpretiert, dass die angesteuerten Aktoren (hier Regelventile) nicht verändert werden sollten; Die Möglichkeit eines Temperaturanstiegs wurde nicht beachtet. Der Programmierer hat nicht berücksichtigt, dass sich das System nach dem Empfang eines fehlerhaften Signals in einer dynamischen Situation befinden könnte, die das aktive Eingreifen des Computers erfordert, um ein Missgeschick zu verhindern. Die Situation, die zu dem Missgeschick führte, war zudem so unwahrscheinlich, dass sie in der HAZOP-Studie (Levenson 1986) nicht im Detail analysiert worden war. Dieses Beispiel bietet einen Übergang zu einer zweiten Kategorie von Ursachen für Software- und Computerunfälle. Dies sind die systematischen Fehler, die von Anfang an im System vorhanden sind, sich aber nur in ganz bestimmten Situationen manifestieren, die der Entwickler nicht berücksichtigt hat.
Unfälle durch Betriebsstörungen
Bei Feldversuchen bei der Endkontrolle von Robotern lieh sich ein Techniker die Kassette eines benachbarten Roboters aus und tauschte sie gegen eine andere aus, ohne seinen Kollegen darüber zu informieren. Bei der Rückkehr an seinen Arbeitsplatz legte der Kollege die falsche Kassette ein. Da er neben dem Roboter stand und von ihm einen bestimmten Bewegungsablauf erwartete, der aufgrund des ausgetauschten Programms anders herauskam, kam es zu einer Kollision zwischen Roboter und Mensch. Dieser Unfall beschreibt das klassische Beispiel eines Betriebsausfalls. Die Rolle solcher Ausfälle bei Störungen und Unfällen nimmt derzeit aufgrund der zunehmenden Komplexität bei der Anwendung von computergesteuerten Sicherheitsmechanismen zu.
Unfälle, die durch systematische Fehler in Hard- oder Software verursacht werden
Ein Torpedo mit Sprengkopf sollte zu Übungszwecken von einem Kriegsschiff auf hoher See abgefeuert werden. Aufgrund eines Defekts im Antriebsapparat blieb der Torpedo im Torpedorohr. Der Kapitän beschloss, zum Heimathafen zurückzukehren, um den Torpedo zu bergen. Kurz nachdem das Schiff seinen Heimweg angetreten hatte, explodierte der Torpedo. Eine Analyse des Unfalls ergab, dass die Entwickler des Torpedos gezwungen waren, in den Torpedo einen Mechanismus einzubauen, der verhindern sollte, dass er nach dem Abfeuern zur Startrampe zurückkehrt und damit das Schiff zerstört, das ihn gestartet hat. Der dafür gewählte Mechanismus war folgender: Nach dem Abfeuern des Torpedos wurde mit dem Trägheitsnavigationssystem überprüft, ob sich dessen Kurs um 180° geändert hatte. Sobald der Torpedo spürte, dass er sich um 180 ° gedreht hatte, detonierte der Torpedo sofort, angeblich in sicherer Entfernung von der Startrampe. Dieser Detektionsmechanismus wurde bei dem nicht ordnungsgemäß abgefeuerten Torpedo ausgelöst, so dass der Torpedo explodierte, nachdem das Schiff seinen Kurs um 180° geändert hatte. Dies ist ein typisches Beispiel für einen Unfall, der aufgrund eines Fehlers in den Spezifikationen auftritt. Die Anforderung im Lastenheft, dass der Torpedo bei einer Kursänderung das eigene Schiff nicht zerstören dürfe, sei nicht präzise genug formuliert; die Vorsichtsmaßnahme wurde also falsch programmiert. Der Fehler trat nur in einer bestimmten Situation auf, die der Programmierer nicht als Möglichkeit in Betracht gezogen hatte.
Am 14. September 1993 stürzte ein Airbus A 320 der Lufthansa bei der Landung in Warschau ab (Bild 1). Eine sorgfältige Untersuchung des Unfalls ergab, dass Änderungen in der Landelogik des Bordcomputers nach einem Unfall mit einer Boeing 767 der Lauda Air im Jahr 1991 mitverantwortlich für diese Bruchlandung waren. Was beim Unfall von 1991 passiert war, war, dass die Schubumlenkung, die einen Teil der Motorgase umleitet, um das Flugzeug bei der Landung abzubremsen, noch in der Luft eingesetzt hatte, wodurch die Maschine in einen unkontrollierbaren Sturzflug gezwungen wurde. Aus diesem Grund war in die Airbus-Maschinen eine elektronische Verriegelung der Schubumlenkung eingebaut worden. Dieser Mechanismus ließ die Schubumlenkung erst wirksam werden, nachdem Sensoren an beiden Fahrwerkssätzen das Zusammendrücken der Stoßdämpfer unter dem Druck der aufsetzenden Räder signalisiert hatten. Aufgrund falscher Angaben rechneten die Piloten des Flugzeugs in Warschau mit starkem Seitenwind.
Abbildung 1. Lufthansa Airbus nach dem Unfall in Warschau 1993
Aus diesem Grund brachten sie die Maschine leicht geneigt an und der Airbus setzte nur mit dem rechten Rad auf, wobei das linke Lager weniger als das volle Gewicht beließ. Aufgrund der elektronischen Verriegelung der Schubumlenkung verweigerte der Bordcomputer dem Piloten für die Dauer von neun Sekunden solche Manöver, die dem Flugzeug trotz widriger Umstände eine sichere Landung ermöglicht hätten. Dieser Unfall zeigt sehr deutlich, dass Änderungen an Computersystemen zu neuen und gefährlichen Situationen führen können, wenn die Bandbreite ihrer möglichen Folgen nicht im Voraus berücksichtigt wird.
Auch das folgende Beispiel einer Fehlfunktion zeigt, welche verheerenden Auswirkungen die Änderung eines einzigen Befehls in Computersystemen haben kann. Der Alkoholgehalt des Blutes wird in chemischen Tests mit klarem Blutserum bestimmt, aus dem zuvor die Blutkörperchen abzentrifugiert wurden. Der Alkoholgehalt des Serums ist daher um den Faktor 1.2 höher als der des dickeren Vollbluts. Aus diesem Grund müssen die Alkoholwerte im Serum durch den Faktor 1.2 dividiert werden, um die rechtlich und medizinisch kritischen Promillezahlen zu ermitteln. Bei dem 1984 durchgeführten Ringversuch sollten die in identischen Tests an verschiedenen Forschungseinrichtungen mit Serum ermittelten Blutalkoholwerte miteinander verglichen werden. Da es sich nur um einen Vergleich handelte, wurde außerdem der Befehl zum Teilen durch 1.2 für die Dauer des Experiments an einer der Institutionen aus dem Programm gestrichen. Nach Beendigung des Ringversuchs wurde an dieser Stelle fälschlicherweise ein Befehl zum Multiplizieren mit 1.2 in das Programm eingefügt. Als Folge wurden zwischen August 1,500 und März 1984 rund 1985 falsche Promillewerte berechnet. Dieser Fehler war für die Berufskarrieren von Lkw-Fahrern mit Blutalkoholwerten zwischen 1.0 und 1.3 Promille kritisch, da bei einem Wert von 1.3 Promille eine strafrechtliche Ahndung des Führerscheins über einen längeren Zeitraum die Folge ist.
Unfälle, die durch Einwirkungen von Betriebsbeanspruchungen oder Umweltbelastungen verursacht werden
Als Folge einer durch Abfallansammlung verursachten Störung im Wirkbereich einer CNC (Computer Numeric Control) Stanz- und Nibbelmaschine hat der Anwender den „programmierten Stopp“ veranlasst. Als er versuchte, den Abfall mit den Händen zu entfernen, geriet die Schubstange der Maschine trotz des programmierten Stopps in Bewegung und verletzte den Benutzer schwer. Eine Analyse des Unfalls ergab, dass es sich nicht um einen Programmfehler gehandelt hatte. Der unerwartete Anlauf konnte nicht reproduziert werden. Ähnliche Unregelmäßigkeiten waren in der Vergangenheit bei anderen Maschinen des gleichen Typs beobachtet worden. Daraus lässt sich plausibel ableiten, dass der Unfall durch elektromagnetische Störungen verursacht worden sein muss. Ähnliche Unfälle mit Industrierobotern werden aus Japan berichtet (Neumann 1987).
Eine Fehlfunktion der Raumsonde Voyager 2 am 18. Januar 1986 macht den Einfluss von Umweltbelastungen auf computergesteuerte Systeme noch deutlicher. Sechs Tage vor der größten Annäherung an Uranus bedeckten große Felder aus schwarz-weißen Linien die Bilder von Voyager 2. Eine genaue Analyse ergab, dass ein einziges Bit in einem Befehlswort des Flugdaten-Subsystems den Ausfall verursacht hatte, beobachtet als die Bilder wurden in der Sonde komprimiert. Dieses Bit war höchstwahrscheinlich durch den Einschlag eines kosmischen Teilchens im Programmspeicher verschoben worden. Die fehlerfreie Übertragung der komprimierten Aufnahmen der Sonde erfolgte bereits zwei Tage später mit einem Ersatzprogramm, das den ausgefallenen Speicherpunkt umgehen konnte (Laeser, McLaughlin und Wolff 1987).
Zusammenfassung der vorgestellten Unfälle
Die analysierten Unfälle zeigen, dass bestimmte Risiken, die unter Bedingungen einfacher, elektromechanischer Technik vernachlässigt werden könnten, durch den Einsatz von Computern an Bedeutung gewinnen. Computer erlauben die Verarbeitung komplexer und situationsspezifischer Sicherheitsfunktionen. Eine eindeutige, fehlerfreie, vollständige und prüfbare Spezifikation aller Sicherheitsfunktionen wird aus diesem Grund besonders wichtig. Fehler in Spezifikationen sind schwer zu entdecken und häufig die Ursache für Unfälle in komplexen Systemen. Frei programmierbare Steuerungen werden meist mit der Absicht eingeführt, flexibel und schnell auf sich verändernde Märkte reagieren zu können. Modifikationen haben jedoch – insbesondere in komplexen Systemen – schwer vorhersehbare Nebenwirkungen. Alle Änderungen müssen daher einem streng formalen Änderungsmanagement unterzogen werden, bei dem eine klare Trennung von Sicherheitsfunktionen von nicht sicherheitsrelevanten Teilsystemen dazu beiträgt, die Folgen von Änderungen für die Sicherheitstechnik überschaubar zu halten.
Computer arbeiten mit geringem Stromverbrauch. Sie sind daher anfällig für Störungen durch externe Strahlungsquellen. Da die Veränderung eines einzigen Signals unter Millionen zu einer Fehlfunktion führen kann, lohnt es sich, dem Thema Elektromagnetische Verträglichkeit im Zusammenhang mit Computern besondere Aufmerksamkeit zu schenken.
Die Wartung computergesteuerter Systeme wird derzeit immer komplexer und damit unübersichtlicher. Die Software-Ergonomie von Bedien- und Konfigurationssoftware wird daher aus sicherheitstechnischer Sicht immer interessanter.
Kein Computersystem ist zu 100 % testbar. Eine einfache Steuerung mit 32 binären Eingangsports und 1,000 verschiedenen Softwarepfaden benötigt 4.3 × 1012 Tests für eine vollständige Überprüfung. Bei einer Rate von 100 durchgeführten und ausgewerteten Tests pro Sekunde würde ein vollständiger Test 1,362 Jahre dauern.
Verfahren und Maßnahmen zur Verbesserung computergesteuerter Sicherheitseinrichtungen
In den letzten 10 Jahren wurden Verfahren entwickelt, die es ermöglichen, spezifische sicherheitstechnische Herausforderungen im Zusammenhang mit Computern zu meistern. Diese Verfahren beziehen sich auf die in diesem Abschnitt beschriebenen Computerfehler. Die beschriebenen Beispiele von Software und Computern in der Maschinenabsicherung und die analysierten Unfälle zeigen, dass das Schadensausmaß und damit auch das Risiko bei verschiedenen Anwendungen sehr unterschiedlich sind. Es ist daher klar, dass die erforderlichen Vorkehrungen zur Verbesserung von Computern und Software, die in der Sicherheitstechnik verwendet werden, in Bezug auf das Risiko getroffen werden sollten.
Abbildung 2 zeigt ein qualitatives Verfahren, mit dem die durch Sicherheitssysteme erzielbare notwendige Risikominderung unabhängig von Schadensausmaß und -häufigkeit ermittelt werden kann (Bell und Reinert 1992). Die im Abschnitt „Unfälle mit computergesteuerten Systemen“ (oben) analysierten Fehlerarten in Computersystemen können mit den sogenannten Safety Integrity Levels – also den technischen Einrichtungen zur Risikominderung – in Beziehung gesetzt werden.
Abbildung 2. Qualitatives Verfahren zur Risikobestimmung
Abbildung 3 verdeutlicht, dass die Effektivität der jeweils getroffenen Maßnahmen zur Fehlerreduzierung in Software und Computern mit steigendem Risiko steigen muss (DIN 1994; IEC 1993).
Abbildung 3, Wirksamkeit der getroffenen Vorkehrungen gegen Fehler unabhängig vom Risiko
Die Analyse der oben skizzierten Unfälle zeigt, dass das Versagen computergesteuerter Schutzeinrichtungen nicht nur durch zufällige Bauteilfehler verursacht wird, sondern auch durch besondere Betriebsbedingungen, die der Programmierer nicht berücksichtigt hat. Eine weitere Fehlerquelle sind die nicht sofort ersichtlichen Folgen von Programmänderungen im Rahmen der Systemwartung. Daraus folgt, dass in mikroprozessorgesteuerten Sicherheitssystemen Fehler auftreten können, die zwar während der Entwicklung des Systems entstanden sind, aber erst im Betrieb zu einer gefährlichen Situation führen können. Bereits in der Entwicklungsphase sicherheitsrelevanter Systeme müssen daher Vorkehrungen gegen solche Ausfälle getroffen werden. Diese sogenannten Fehlervermeidungsmaßnahmen müssen nicht nur in der Konzeptphase, sondern auch im Prozess der Entwicklung, Installation und Modifikation getroffen werden. Bestimmte Fehler können vermieden werden, wenn sie dabei entdeckt und behoben werden (DIN 1990).
Wie das zuletzt beschriebene Missgeschick verdeutlicht, kann der Ausfall eines einzigen Transistors zum technischen Ausfall hochkomplexer automatisierter Anlagen führen. Da jede einzelne Schaltung aus vielen tausend Transistoren und anderen Komponenten zusammengesetzt ist, müssen zahlreiche Maßnahmen zur Fehlervermeidung ergriffen werden, um auftretende Fehler im Betrieb zu erkennen und eine entsprechende Reaktion im Computersystem einzuleiten. Abbildung 4 beschreibt Fehlerarten in programmierbaren elektronischen Systemen sowie Beispiele für Vorkehrungen, die getroffen werden können, um Fehler in Computersystemen zu vermeiden und zu beherrschen (DIN 1990; IEC 1992).
Abbildung 4. Beispiele für Vorkehrungen zur Kontrolle und Vermeidung von Fehlern in Computersystemen
Möglichkeiten und Perspektiven programmierbarer elektronischer Systeme in der Sicherheitstechnik
Moderne Maschinen und Anlagen werden immer komplexer und müssen immer umfangreichere Aufgaben in immer kürzerer Zeit bewältigen. Aus diesem Grund haben Computersysteme seit Mitte der 1970er Jahre nahezu alle Bereiche der Industrie erobert. Allein diese Zunahme der Komplexität hat maßgeblich zu den steigenden Kosten für die Verbesserung der Sicherheitstechnik in solchen Systemen beigetragen. Obwohl Software und Computer eine große Herausforderung an die Sicherheit am Arbeitsplatz darstellen, ermöglichen sie auch die Umsetzung neuer fehlerfreundlicher Systeme im Bereich der Sicherheitstechnik.
Ein skurriler, aber lehrreicher Vers von Ernst Jandl hilft zu erklären, was mit dem Begriff gemeint ist fehlerfreundlich. „Lichtung: Manche meinen Lechten und Rinks kann man nicht velwechsern, werch ein Illtum“. („Dilkation: Viele glauben, dass Licht und Reft nicht ausgetauscht werden können, was für ein Ello.“) Trotz des Austauschs der Briefe r und l, dieser Satz wird von einem normalen erwachsenen Menschen leicht verstanden. Sogar jemand mit geringen Englischkenntnissen kann es ins Englische übersetzen. Diese Aufgabe ist jedoch für einen Übersetzungscomputer allein nahezu unmöglich.
Dieses Beispiel zeigt, dass ein Mensch wesentlich fehlerfreundlicher reagieren kann als ein Sprachcomputer. Das bedeutet, dass der Mensch, wie alle anderen Lebewesen, Fehler tolerieren kann, indem er sie auf Erfahrung bezieht. Betrachtet man die heute im Einsatz befindlichen Maschinen, so sieht man, dass die Mehrzahl der Maschinen Ausfälle der Anwender nicht mit einem Unfall, sondern mit einem Produktionsrückgang bestrafen. Diese Eigenschaft führt zur Manipulation oder Umgehung von Schutzmaßnahmen. Moderne Computertechnik stellt dem Arbeitsschutz Systeme zur Verfügung, die intelligent – also modifiziert – reagieren können. Solche Systeme ermöglichen somit ein fehlerfreundliches Verhalten in neuartigen Maschinen. Sie warnen den Benutzer zunächst bei einer Fehlbedienung und schalten die Maschine erst dann ab, wenn nur so ein Unfall vermieden werden kann. Die Unfallanalyse zeigt, dass in diesem Bereich ein erhebliches Potenzial zur Reduzierung von Unfällen besteht (Reinert und Reuss 1991).
Ein hybrides automatisiertes System (HAS) zielt darauf ab, die Fähigkeiten künstlich intelligenter Maschinen (basierend auf Computertechnologie) mit den Fähigkeiten der Menschen zu integrieren, die im Rahmen ihrer Arbeitstätigkeiten mit diesen Maschinen interagieren. Die Hauptanliegen der HAS-Nutzung beziehen sich darauf, wie die menschlichen und maschinellen Subsysteme gestaltet werden sollten, um das Wissen und die Fähigkeiten beider Teile des Hybridsystems optimal zu nutzen, und wie die menschlichen Bediener und Maschinenkomponenten miteinander interagieren sollten sicherzustellen, dass sich ihre Funktionen ergänzen. Viele hybride automatisierte Systeme haben sich als Produkte von Anwendungen moderner informations- und steuerungsbasierter Methoden entwickelt, um verschiedene Funktionen von oft komplexen technologischen Systemen zu automatisieren und zu integrieren. HAS wurde ursprünglich mit der Einführung computergestützter Systeme identifiziert, die beim Entwurf und Betrieb von Echtzeit-Steuerungssystemen für Kernkraftwerke, für chemische Verarbeitungsanlagen und für die Fertigungstechnologie für diskrete Teile verwendet werden. HAS sind mittlerweile auch in vielen Dienstleistungsbranchen zu finden, etwa bei Flugsicherungs- und Flugzeugnavigationsverfahren im Bereich der zivilen Luftfahrt sowie bei der Gestaltung und dem Einsatz von intelligenten Fahrzeug- und Autobahnnavigationssystemen im Straßenverkehr.
Mit fortschreitendem Fortschritt in der computergestützten Automatisierung verlagert sich die Natur menschlicher Aufgaben in modernen technologischen Systemen von solchen, die wahrnehmungsmotorische Fähigkeiten erfordern, hin zu solchen, die kognitive Aktivitäten erfordern, die für die Problemlösung, für die Entscheidungsfindung bei der Systemüberwachung usw. erforderlich sind aufsichtsrechtliche Kontrollaufgaben. Beispielsweise fungieren die menschlichen Bediener in computerintegrierten Fertigungssystemen hauptsächlich als Systemüberwacher, Problemlöser und Entscheidungsträger. Die kognitiven Aktivitäten des menschlichen Supervisors in jeder HAS-Umgebung sind (1) das Planen, was für einen bestimmten Zeitraum getan werden sollte, (2) das Entwickeln von Verfahren (oder Schritten), um die Reihe geplanter Ziele zu erreichen, (3) das Überwachen des Fortschritts von (technologischen) Prozessen, (4) „Lernen“ des Systems durch einen menschlich-interaktiven Computer, (5) Eingreifen, wenn sich das System abnormal verhält oder wenn sich die Steuerungsprioritäten ändern, und (6) Lernen durch Feedback vom System über die Auswirkungen von Aufsichtsmaßnahmen (Sheridan 1987).
Hybrides Systemdesign
Die Mensch-Maschine-Interaktionen in einem HAS beinhalten die Nutzung dynamischer Kommunikationsschleifen zwischen den menschlichen Bedienern und intelligenten Maschinen – ein Prozess, der das Erfassen und Verarbeiten von Informationen sowie das Initiieren und Ausführen von Steuerungsaufgaben und die Entscheidungsfindung umfasst – innerhalb einer gegebenen Struktur der Funktionszuordnung dazwischen Menschen und Maschinen. Die Interaktionen zwischen Menschen und Automatisierung sollten zumindest die hohe Komplexität hybrider automatisierter Systeme sowie relevante Eigenschaften der menschlichen Bediener und Aufgabenanforderungen widerspiegeln. Daher kann das hybride automatisierte System formal als Quintupel in der folgenden Formel definiert werden:
HAT = (T, U, C, E, I)
woher T = Aufgabenanforderungen (physisch und kognitiv); U = Benutzereigenschaften (physisch und kognitiv); C = die Automatisierungsmerkmale (Hardware und Software, einschließlich Computerschnittstellen); E = die Umgebung des Systems; I = eine Reihe von Wechselwirkungen zwischen den oben genannten Elementen.
Die Menge der Interaktionen I verkörpert alle möglichen Interaktionen zwischen T, U und C in E unabhängig von ihrer Art oder Stärke der Assoziation. Beispielsweise könnte eine der möglichen Interaktionen die Beziehung der im Computerspeicher gespeicherten Daten zu dem entsprechenden Wissen des menschlichen Bedieners, falls vorhanden, beinhalten. Die Wechselwirkungen I kann elementar (dh beschränkt auf eine Eins-zu-eins-Assoziation) oder komplex sein, wie z. B. Interaktionen zwischen dem menschlichen Bediener, der speziellen Software, die verwendet wird, um die gewünschte Aufgabe zu erfüllen, und der verfügbaren physikalischen Schnittstelle mit dem Computer.
Designer vieler hybrider automatisierter Systeme konzentrieren sich hauptsächlich auf die computergestützte Integration hochentwickelter Maschinen und anderer Geräte als Teile computerbasierter Technologie, wobei sie selten viel Aufmerksamkeit auf die vorrangige Notwendigkeit einer effektiven menschlichen Integration in solche Systeme richten. Daher sind derzeit viele der computerintegrierten (technologischen) Systeme nicht vollständig kompatibel mit den inhärenten Fähigkeiten der menschlichen Bediener, wie sie sich in den Fähigkeiten und Kenntnissen ausdrücken, die für die wirksame Steuerung und Überwachung dieser Systeme erforderlich sind. Eine solche Inkompatibilität tritt auf allen Ebenen der menschlichen, maschinellen und Mensch-Maschine-Funktion auf und kann im Rahmen des Individuums und der gesamten Organisation oder Einrichtung definiert werden. Beispielsweise treten die Probleme der Integration von Menschen und Technologie in fortgeschrittenen Fertigungsunternehmen früh in der HAS-Designphase auf. Diese Probleme können mit dem folgenden Systemintegrationsmodell der Komplexität von Interaktionen konzeptualisiert werden, I, zwischen den Systemdesignern, D, menschliche Operatoren, Hoder potenzielle Systembenutzer und Technologie, T:
Ich (H, T) = F [ Ich (H, D), Ich (D, T)]
woher I steht für relevante Interaktionen, die in einer gegebenen HAS-Struktur stattfinden, während F weist auf funktionale Beziehungen zwischen Designern, menschlichen Bedienern und Technologie hin.
Das obige Systemintegrationsmodell hebt die Tatsache hervor, dass die Interaktionen zwischen den Benutzern und der Technologie durch das Ergebnis der Integration der beiden früheren Interaktionen bestimmt werden – nämlich (1) die zwischen HAS-Designern und potenziellen Benutzern und (2) die zwischen den Designern und die HAS-Technologie (auf der Ebene der Maschinen und ihrer Integration). Es sollte beachtet werden, dass, obwohl typischerweise starke Interaktionen zwischen Designern und Technologie bestehen, nur sehr wenige Beispiele für ebenso starke Wechselbeziehungen zwischen Designern und menschlichen Bedienern gefunden werden können.
Es kann argumentiert werden, dass selbst in den am stärksten automatisierten Systemen die Rolle des Menschen für eine erfolgreiche Systemleistung auf Betriebsebene entscheidend bleibt. Bainbridge (1983) identifizierte eine Reihe von Problemen, die für den Betrieb des HAS relevant sind und auf die Natur der Automatisierung selbst zurückzuführen sind, wie folgt:
Aufgabenverteilung
Eines der wichtigsten Themen für das HAS-Design ist die Bestimmung, wie viele und welche Funktionen oder Verantwortlichkeiten den menschlichen Bedienern und welche und wie viele den Computern zugewiesen werden sollten. Im Allgemeinen gibt es drei grundlegende Klassen von Aufgabenzuweisungsproblemen, die berücksichtigt werden sollten: (1) die Aufgabenzuweisung zwischen Mensch und Computer, (2) die Aufgabenzuweisung zwischen Mensch und Mensch und (3) die Aufgabenzuweisung zwischen Computer und Computer. Idealerweise sollten die Zuweisungsentscheidungen durch ein strukturiertes Zuweisungsverfahren getroffen werden, bevor mit dem grundlegenden Systemdesign begonnen wird. Leider ist ein solches systematisches Vorgehen selten möglich, da die zuzuweisenden Funktionen entweder einer weiteren Prüfung bedürfen oder interaktiv zwischen den Systemkomponenten Mensch und Maschine – also durch Anwendung des Supervisory Control Paradigmas – durchgeführt werden müssen. Die Aufgabenzuweisung in hybriden automatisierten Systemen sollte sich auf das Ausmaß der menschlichen und computergestützten Überwachungsverantwortlichkeiten konzentrieren und sollte die Art der Interaktionen zwischen dem menschlichen Bediener und computergestützten Entscheidungsunterstützungssystemen berücksichtigen. Auch die Mittel der Informationsübertragung zwischen Maschinen und den menschlichen Input-Output-Schnittstellen sowie die Kompatibilität von Software mit menschlichen kognitiven Problemlösungsfähigkeiten sollten berücksichtigt werden.
In traditionellen Ansätzen zum Design und Management hybrider automatisierter Systeme wurden Arbeiter als deterministische Input-Output-Systeme betrachtet, und es gab eine Tendenz, die teleologische Natur menschlichen Verhaltens zu missachten – das heißt, das zielorientierte Verhalten, das auf dem Erwerb von basiert relevanten Informationen und der Auswahl von Zielen (Goodstein et al. 1988). Um erfolgreich zu sein, müssen das Design und die Verwaltung fortschrittlicher hybrider automatisierter Systeme auf einer Beschreibung der menschlichen mentalen Funktionen basieren, die für eine bestimmte Aufgabe benötigt werden. Der „Cognitive Engineering“-Ansatz (weiter unten beschrieben) schlägt vor, dass Mensch-Maschine- (Hybrid-)Systeme in Bezug auf menschliche mentale Prozesse konzipiert, entworfen, analysiert und bewertet werden müssen (dh das mentale Modell des Bedieners der adaptiven Systeme wird berücksichtigt). Konto). Das Folgende sind die Anforderungen des menschenzentrierten Ansatzes für HAS-Design und -Betrieb, wie er von Corbett (1988) formuliert wurde:
Kognitives Human Factors Engineering
Cognitive Human Factors Engineering konzentriert sich darauf, wie menschliche Bediener am Arbeitsplatz Entscheidungen treffen, Probleme lösen, Pläne formulieren und neue Fähigkeiten erlernen (Hollnagel und Woods 1983). Die Rollen der menschlichen Bediener, die in jedem HAS tätig sind, können unter Verwendung des Schemas von Rasmussen (1983) in drei Hauptkategorien eingeteilt werden:
Bei der Gestaltung und Verwaltung eines HAS sollten die kognitiven Merkmale der Arbeiter berücksichtigt werden, um die Kompatibilität des Systembetriebs mit dem internen Modell des Arbeiters sicherzustellen, das seine Funktionen beschreibt. Folglich sollte die Beschreibungsebene des Systems von den kompetenzbasierten zu den regelbasierten und wissensbasierten Aspekten des menschlichen Funktionierens verschoben werden und geeignete Methoden der kognitiven Aufgabenanalyse sollten verwendet werden, um das Bedienermodell eines Systems zu identifizieren. Ein verwandtes Problem bei der Entwicklung eines HAS ist die Gestaltung von Mitteln zur Informationsübertragung zwischen dem menschlichen Bediener und automatisierten Systemkomponenten, sowohl auf physischer als auch auf kognitiver Ebene. Eine solche Informationsübertragung sollte mit den Informationsmodi kompatibel sein, die auf verschiedenen Ebenen des Systembetriebs verwendet werden – d. h. visuell, verbal, taktil oder hybrid. Diese Informationskompatibilität stellt sicher, dass verschiedene Formen der Informationsübertragung eine minimale Inkompatibilität zwischen dem Medium und der Art der Informationen erfordern. Beispielsweise eignet sich eine visuelle Anzeige am besten für die Übertragung räumlicher Informationen, während eine akustische Eingabe verwendet werden kann, um Textinformationen zu übermitteln.
Nicht selten entwickelt der menschliche Bediener ein internes Modell, das den Betrieb und die Funktion des Systems gemäß seiner Erfahrung, Schulung und Anweisungen in Verbindung mit der gegebenen Art von Mensch-Maschine-Schnittstelle beschreibt. Angesichts dieser Realität sollten die Designer eines HAS versuchen, in die Maschinen (oder andere künstliche Systeme) ein Modell der physischen und kognitiven Eigenschaften des menschlichen Bedieners einzubauen – das heißt, das Systembild des Bedieners (Hollnagel und Woods 1983). . Die Designer eines HAS müssen auch die Abstraktionsebene in der Systembeschreibung sowie verschiedene relevante Kategorien des Verhaltens des menschlichen Bedieners berücksichtigen. Diese Abstraktionsebenen zur Modellierung menschlicher Funktionen in der Arbeitsumgebung sind wie folgt (Rasmussen 1983): (1) physische Form (anatomische Struktur), (2) physische Funktionen (physiologische Funktionen), (3) generalisierte Funktionen (psychologische Mechanismen und kognitive und affektive Prozesse), (4) abstrakte Funktionen (Informationsverarbeitung) und (5) funktionaler Zweck (Wertstrukturen, Mythen, Religionen, menschliche Interaktionen). Diese fünf Ebenen müssen von den Designern gleichzeitig berücksichtigt werden, um eine effektive HAS-Leistung sicherzustellen.
Systemsoftware-Design
Da die Computersoftware eine primäre Komponente jeder HAS-Umgebung ist, müssen Softwareentwicklung, einschließlich Design, Testen, Betrieb und Modifikation, sowie Fragen der Softwarezuverlässigkeit auch in den frühen Stadien der HAS-Entwicklung berücksichtigt werden. Auf diese Weise sollte man in der Lage sein, die Kosten für die Erkennung und Beseitigung von Softwarefehlern zu senken. Es ist jedoch schwierig, die Zuverlässigkeit der menschlichen Komponenten eines HAS abzuschätzen, da wir nur eingeschränkt in der Lage sind, die Leistung menschlicher Aufgaben, die damit verbundene Arbeitsbelastung und potenzielle Fehler zu modellieren. Eine zu hohe oder zu geringe mentale Belastung kann zu Informationsüberlastung bzw. Langeweile führen und kann zu einer verminderten menschlichen Leistungsfähigkeit führen, was zu Fehlern und einer zunehmenden Unfallwahrscheinlichkeit führt. Die Designer eines HAS sollten adaptive Schnittstellen verwenden, die Techniken der künstlichen Intelligenz verwenden, um diese Probleme zu lösen. Neben der Mensch-Maschine-Kompatibilität muss auch die Frage der Mensch-Maschine-Anpassungsfähigkeit aneinander betrachtet werden, um die Belastungen zu reduzieren, die durch eine mögliche Überschreitung menschlicher Fähigkeiten entstehen.
Aufgrund der hohen Komplexität vieler hybrider automatisierter Systeme ist die Identifizierung potenzieller Gefahren in Bezug auf Hardware, Software, Betriebsabläufe und Mensch-Maschine-Interaktionen dieser Systeme entscheidend für den Erfolg von Bemühungen zur Reduzierung von Verletzungen und Geräteschäden . Sicherheits- und Gesundheitsgefahren im Zusammenhang mit komplexen hybriden automatisierten Systemen, wie z. B. Computer-Integrated Manufacturing Technology (CIM), sind eindeutig einer der kritischsten Aspekte des Systemdesigns und -betriebs.
Probleme mit der Systemsicherheit
Hybride automatisierte Umgebungen mit ihrem erheblichen Potenzial für unberechenbares Verhalten der Steuerungssoftware unter Systemstörungsbedingungen schaffen eine neue Generation von Unfallrisiken. Da hybride automatisierte Systeme vielseitiger und komplexer werden, können Systemstörungen, einschließlich Start- und Abschaltproblemen und Abweichungen in der Systemsteuerung, die Möglichkeit einer ernsthaften Gefahr für die menschlichen Bediener erheblich erhöhen. Ironischerweise verlassen sich die Bediener in vielen anormalen Situationen normalerweise auf das ordnungsgemäße Funktionieren der automatisierten Sicherheitssubsysteme, eine Praxis, die das Risiko schwerer Verletzungen erhöhen kann. So zeigte beispielsweise eine Untersuchung von Unfällen im Zusammenhang mit Fehlfunktionen technischer Steuerungssysteme, dass etwa ein Drittel der Unfallabläufe einen menschlichen Eingriff in den Regelkreis des gestörten Systems beinhaltete.
Da traditionelle Sicherheitsmaßnahmen nicht einfach an die Bedürfnisse von HAS-Umgebungen angepasst werden können, müssen Strategien zur Verletzungskontrolle und Unfallverhütung angesichts der inhärenten Eigenschaften dieser Systeme überdacht werden. Beispielsweise sind im Bereich der fortschrittlichen Fertigungstechnologie viele Prozesse durch das Vorhandensein erheblicher Mengen an Energieströmen gekennzeichnet, die von den menschlichen Bedienern nicht ohne weiteres vorhergesehen werden können. Darüber hinaus treten Sicherheitsprobleme typischerweise an den Schnittstellen zwischen Teilsystemen auf oder wenn Systemstörungen von einem Teilsystem zum anderen fortschreiten. Gemäß der Internationalen Organisation für Normung (ISO 1991) variieren die Risiken im Zusammenhang mit Gefahren durch industrielle Automatisierung mit den Arten von Industriemaschinen, die in das jeweilige Fertigungssystem integriert sind, und mit der Art und Weise, wie das System installiert, programmiert, betrieben und gewartet wird und repariert. Beispielsweise zeigte ein Vergleich von Unfällen im Zusammenhang mit Robotern in Schweden mit anderen Arten von Unfällen, dass Roboter möglicherweise die gefährlichsten Industriemaschinen sind, die in der fortgeschrittenen Fertigungsindustrie eingesetzt werden. Die geschätzte Unfallrate für Industrieroboter war ein schwerer Unfall pro 45 Roboterjahre, eine höhere Rate als die für Industriepressen, die mit einem Unfall pro 50 Maschinenjahre angegeben wurde. An dieser Stelle sei darauf hingewiesen, dass Industriepressen in den Vereinigten Staaten im Zeitraum 23–1980 etwa 1985 % aller Todesfälle im Zusammenhang mit Metallbearbeitungsmaschinen ausmachten, wobei Kraftpressen in Bezug auf das Schwere-Häufigkeits-Produkt für nicht tödliche Verletzungen an erster Stelle rangierten.
Im Bereich der fortschrittlichen Fertigungstechnologie gibt es viele bewegliche Teile, die für Arbeiter gefährlich sind, da sie ihre Position auf komplexe Weise außerhalb des Sichtfelds der menschlichen Bediener ändern. Die schnellen technologischen Entwicklungen in der computerintegrierten Fertigung machten es erforderlich, die Auswirkungen fortschrittlicher Fertigungstechnologien auf die Arbeitnehmer zu untersuchen. Um die Gefahren zu identifizieren, die von verschiedenen Komponenten einer solchen HAS-Umgebung ausgehen, müssen vergangene Unfälle sorgfältig analysiert werden. Unglücklicherweise lassen sich Unfälle mit Robotereinsatz nur schwer von Berichten über Unfälle im Zusammenhang mit von Menschen bedienten Maschinen isolieren, und daher kann es einen hohen Prozentsatz an nicht erfassten Unfällen geben. Die Arbeitsschutzvorschriften Japans besagen, dass „Industrieroboter derzeit keine zuverlässigen Sicherheitsmittel haben und Arbeiter nicht vor ihnen geschützt werden können, wenn ihre Verwendung nicht geregelt ist“. Beispielsweise zeigten die Ergebnisse der vom Arbeitsministerium Japans (Sugimoto 1987) durchgeführten Erhebung zu Unfällen im Zusammenhang mit Industrierobotern in den 190 untersuchten Fabriken (mit 4,341 Arbeitsrobotern), dass es 300 roboterbedingte Störungen gab, davon 37 Fälle der unsicheren Handlungen führten zu Beinahe-Unfällen, 9 Unfälle mit Verletzungen und 2 tödliche Unfälle. Die Ergebnisse anderer Studien weisen darauf hin, dass computergestützte Automatisierung nicht unbedingt das Gesamtsicherheitsniveau erhöht, da die Systemhardware nicht allein durch Sicherheitsfunktionen in der Computersoftware ausfallsicher gemacht werden kann und Systemsteuerungen nicht immer sehr zuverlässig sind. Darüber hinaus kann man sich in einem komplexen HAS nicht ausschließlich auf Sicherheitserfassungsgeräte verlassen, um gefährliche Bedingungen zu erkennen und geeignete Gefahrenvermeidungsstrategien zu ergreifen.
Auswirkungen der Automatisierung auf die menschliche Gesundheit
Wie oben diskutiert, sind Arbeiteraktivitäten in vielen HAS-Umgebungen im Grunde solche der Überwachung, Überwachung, Systemunterstützung und Wartung. Diese Aktivitäten können auch wie folgt in vier grundlegende Gruppen eingeteilt werden: (1) Programmieraufgaben, dh Codieren der Informationen, die den Maschinenbetrieb führen und lenken, (2) Überwachung der HAS-Produktions- und Steuerkomponenten, (3) Wartung von HAS-Komponenten zur Verhinderung oder Maschinenfehlfunktionen zu lindern und (4) eine Vielzahl von Unterstützungsaufgaben durchzuführen usw. Viele neuere Untersuchungen der Auswirkungen des HAS auf das Wohlbefinden der Arbeiter kamen zu dem Schluss, dass die Verwendung eines HAS im Fertigungsbereich schwere und gefährliche Aufgaben beseitigen kann , kann die Arbeit in einer HAS-Umgebung für die Arbeitnehmer unbefriedigend und stressig sein. Zu den Stressquellen gehörten die ständige Überwachung, die bei vielen HAS-Anwendungen erforderlich ist, der begrenzte Umfang der zugewiesenen Aktivitäten, das geringe Maß an Arbeiterinteraktion, das durch das Systemdesign zulässig ist, und Sicherheitsrisiken im Zusammenhang mit der unvorhersehbaren und unkontrollierbaren Natur der Ausrüstung. Auch wenn einige Mitarbeiter, die an Programmier- und Wartungsaktivitäten beteiligt sind, die Elemente der Herausforderung spüren, die sich positiv auf ihr Wohlbefinden auswirken können, werden diese Auswirkungen oft durch die komplexe und anspruchsvolle Natur dieser Aktivitäten sowie durch den Druck ausgeglichen Anstrengungen des Managements, diese Aktivitäten schnell abzuschließen.
Obwohl in einigen HAS-Umgebungen die menschlichen Bediener während normaler Betriebsbedingungen von traditionellen Energiequellen (Arbeitsfluss und Bewegung der Maschine) getrennt sind, müssen viele Aufgaben in automatisierten Systemen immer noch in direktem Kontakt mit anderen Energiequellen ausgeführt werden. Da die Zahl der unterschiedlichen HAS-Komponenten ständig zunimmt, muss besonderes Augenmerk auf den Komfort und die Sicherheit der Arbeiter und auf die Entwicklung wirksamer Vorkehrungen zur Vermeidung von Verletzungen gelegt werden, insbesondere angesichts der Tatsache, dass die Arbeiter nicht mehr in der Lage sind, mit den Anforderungen Schritt zu halten Ausgereiftheit und Komplexität solcher Systeme.
Um den aktuellen Anforderungen an Verletzungskontrolle und Arbeitssicherheit in computerintegrierten Fertigungssystemen gerecht zu werden, hat das ISO-Komitee für industrielle Automatisierungssysteme eine neue Sicherheitsnorm mit dem Titel „Sicherheit integrierter Fertigungssysteme“ (1991) vorgeschlagen. Diese neue internationale Norm, die in Anbetracht der besonderen Gefahren entwickelt wurde, die in integrierten Fertigungssystemen mit Industriemaschinen und zugehöriger Ausrüstung bestehen, zielt darauf ab, die Möglichkeit von Verletzungen des Personals bei der Arbeit an oder neben einem integrierten Fertigungssystem zu minimieren. Die durch diese Norm identifizierten Hauptquellen potenzieller Gefahren für die menschlichen Bediener in CIM sind in Abbildung 1 dargestellt.
Abbildung 1. Hauptgefahrenquellen in der computerintegrierten Fertigung (CIM) (nach ISO 1991)
Menschliche und Systemfehler
Im Allgemeinen können Gefahren in einem HAS aus dem System selbst, aus seiner Verbindung mit anderen in der physischen Umgebung vorhandenen Geräten oder aus Interaktionen von menschlichem Personal mit dem System entstehen. Ein Unfall ist nur eine von mehreren Folgen von Interaktionen zwischen Mensch und Maschine, die unter gefährlichen Bedingungen auftreten können; Beinahunfälle und Schadensereignisse sind viel häufiger (Zimolong und Duda 1992). Das Auftreten eines Fehlers kann zu einer dieser Folgen führen: (1) der Fehler bleibt unbemerkt, (2) das System kann den Fehler kompensieren, (3) der Fehler führt zu einem Maschinen- und/oder Anlagenstillstand oder (4 ) führt der Fehler zu einem Unfall.
Da nicht jeder menschliche Fehler, der zu einem kritischen Vorfall führt, einen tatsächlichen Unfall verursacht, ist es angemessen, zwischen den Ergebniskategorien wie folgt weiter zu unterscheiden: (1) ein unsicherer Vorfall (d. h. jedes unbeabsichtigte Ereignis, unabhängig davon, ob es zu Verletzungen, Schäden oder Verlust), (2) ein Unfall (dh ein unsicheres Ereignis, das zu Verletzungen, Schäden oder Verlusten führt), (3) ein Schadensereignis (dh ein unsicheres Ereignis, das nur zu einer Art Sachschaden führt), (4) a Beinahe-Unfall oder „Beinahe-Unfall“ (d. h. ein unsicheres Ereignis, bei dem Verletzungen, Schäden oder Verluste zufällig nur knapp vermieden wurden) und (5) das Vorhandensein eines Unfallpotenzials (d. h. unsichere Ereignisse, die zu Verletzungen, Schäden hätten führen können oder Verlust, aber aufgrund der Umstände nicht einmal zu einem Beinahe-Unfall geführt hat).
Man kann drei grundlegende Arten von menschlichem Versagen bei HAS unterscheiden:
Diese von Reason (1990) entwickelte Taxonomie basiert auf einer Modifikation von Rasmussens Fähigkeit-Regel-Wissen-Klassifikation menschlicher Leistung, wie oben beschrieben. Auf der fähigkeitsbasierten Ebene wird die menschliche Leistung durch gespeicherte Muster vorprogrammierter Anweisungen bestimmt, die als analoge Strukturen in einem Raum-Zeit-Bereich dargestellt werden. Die regelbasierte Ebene ist anwendbar, um vertraute Probleme anzugehen, bei denen Lösungen durch gespeicherte Regeln geregelt werden (als „Produktionen“ bezeichnet, da auf sie bei Bedarf zugegriffen oder sie erzeugt werden). Diese Regeln erfordern bestimmte Diagnosen (oder Beurteilungen) oder bestimmte Abhilfemaßnahmen, wenn bestimmte Bedingungen eingetreten sind, die eine angemessene Reaktion erfordern. Auf dieser Ebene sind menschliche Fehler typischerweise mit der Fehlklassifizierung von Situationen verbunden, was entweder zur Anwendung der falschen Regel oder zur falschen Erinnerung an daraus resultierende Urteile oder Verfahren führt. Wissensbasierte Fehler treten in neuartigen Situationen auf, für die Aktionen „online“ (zu einem bestimmten Zeitpunkt) geplant werden müssen, wobei bewusste analytische Prozesse und gespeichertes Wissen verwendet werden. Fehler auf dieser Ebene entstehen durch Ressourcenbeschränkungen und unvollständiges oder falsches Wissen.
Die von Reason (1990) vorgeschlagenen generischen Fehlermodellierungssysteme (GEMS), die versuchen, die Ursprünge der grundlegenden menschlichen Fehlertypen zu lokalisieren, können verwendet werden, um die Gesamttaxonomie des menschlichen Verhaltens in einem HAS abzuleiten. GEMS versucht, zwei unterschiedliche Bereiche der Fehlerforschung zu integrieren: (1) Ausrutscher und Versäumnisse, bei denen Aktionen aufgrund von Ausführungsfehlern und/oder Speicherfehlern von der aktuellen Absicht abweichen, und (2) Fehler, bei denen die Aktionen planmäßig ablaufen können, aber der Plan reicht nicht aus, um das gewünschte Ergebnis zu erzielen.
Gefährdungsbeurteilung und -prävention im CIM
Gemäß ISO (1991) sollte eine Risikobewertung in CIM durchgeführt werden, um alle Risiken zu minimieren und als Grundlage für die Festlegung von Sicherheitszielen und -maßnahmen bei der Entwicklung von Programmen oder Plänen zu dienen, um sowohl ein sicheres Arbeitsumfeld zu schaffen als auch zu gewährleisten auch die Sicherheit und Gesundheit des Personals. Zum Beispiel können Arbeitsgefahren in produktionsbasierten HAS-Umgebungen wie folgt charakterisiert werden: (1) der menschliche Bediener muss möglicherweise den Gefahrenbereich während der Fehlerbehebung, Service- und Wartungsarbeiten betreten, (2) der Gefahrenbereich ist schwer zu bestimmen, wahrzunehmen und zu kontrollieren, (3) die Arbeit kann eintönig sein und (4) die Unfälle, die sich in computerintegrierten Fertigungssystemen ereignen, sind oft schwerwiegend. Jede identifizierte Gefahr sollte auf ihr Risiko hin bewertet werden, und geeignete Sicherheitsmaßnahmen sollten festgelegt und umgesetzt werden, um dieses Risiko zu minimieren. Gefahren sollten auch in Bezug auf alle folgenden Aspekte eines bestimmten Prozesses festgestellt werden: die einzelne Einheit selbst; die Interaktion zwischen einzelnen Einheiten; die Betriebsabschnitte des Systems; und den Betrieb des vollständigen Systems für alle beabsichtigten Betriebsmodi und Bedingungen, einschließlich Bedingungen, unter denen normale Schutzmaßnahmen für Vorgänge wie Programmierung, Überprüfung, Fehlersuche, Wartung oder Reparatur außer Kraft gesetzt sind.
Die Entwurfsphase der ISO (1991) Sicherheitsstrategie für CIM umfasst:
Die Systemsicherheitsspezifikation sollte Folgendes umfassen:
Gemäß ISO (1991) müssen alle notwendigen Anforderungen zur Gewährleistung eines sicheren CIM-Systembetriebs bei der Gestaltung systematischer Sicherheitsplanungsverfahren berücksichtigt werden. Dies umfasst alle Schutzmaßnahmen zur wirksamen Minderung von Gefahren und erfordert:
Das Sicherheitsplanungsverfahren sollte unter anderem die folgenden Sicherheitsaspekte von CIM berücksichtigen:
Systemstörungskontrolle
In vielen HAS-Installationen, die im Bereich der computerintegrierten Fertigung verwendet werden, werden menschliche Bediener typischerweise zum Zweck des Steuerns, Programmierens, Wartens, Voreinstellens, Wartens oder Behebens von Aufgaben benötigt. Störungen in der Anlage führen zu Situationen, die ein Betreten der Gefahrenbereiche durch die Arbeiter erforderlich machen. Insofern ist davon auszugehen, dass Störungen weiterhin der wichtigste Grund für menschliche Eingriffe in CIM bleiben, da die Systeme häufig von außerhalb der Sperrgebiete programmiert werden. Eines der wichtigsten Themen für die CIM-Sicherheit ist die Vermeidung von Störungen, da die meisten Risiken in der Fehlerbehebungsphase des Systems auftreten. Die Vermeidung von Störungen ist das gemeinsame Ziel hinsichtlich Sicherheit und Wirtschaftlichkeit.
Eine Störung in einem CIM-System ist ein Zustand oder eine Funktion eines Systems, die vom geplanten oder gewünschten Zustand abweicht. Neben der Produktivität wirken sich Störungen beim Betrieb eines CIM direkt auf die Sicherheit der am Betrieb der Anlage beteiligten Personen aus. Eine finnische Studie (Kuivanen 1990) zeigte, dass etwa die Hälfte der Störungen in der automatisierten Fertigung die Sicherheit der Arbeiter beeinträchtigen. Die Hauptursachen für Störungen waren Fehler im Systemdesign (34 %), Ausfälle von Systemkomponenten (31 %), menschliches Versagen (20 %) und externe Faktoren (15 %). Die meisten Maschinenausfälle wurden durch das Steuersystem verursacht, und im Steuersystem traten die meisten Fehler in Sensoren auf. Eine effektive Möglichkeit, das Sicherheitsniveau von CIM-Anlagen zu erhöhen, besteht darin, die Anzahl der Störungen zu reduzieren. Obwohl menschliche Handlungen in gestörten Systemen das Auftreten von Unfällen in der HAS-Umgebung verhindern, tragen sie auch dazu bei. So zeigte beispielsweise eine Untersuchung von Unfällen im Zusammenhang mit Fehlfunktionen technischer Steuerungssysteme, dass etwa ein Drittel der Unfallabläufe einen menschlichen Eingriff in den Regelkreis des gestörten Systems beinhaltete.
Die Hauptforschungsthemen in der CIM-Störungsprävention betreffen (1) Hauptursachen von Störungen, (2) unzuverlässige Komponenten und Funktionen, (3) die Auswirkungen von Störungen auf die Sicherheit, (4) die Auswirkungen von Störungen auf die Funktion des Systems, ( 5) Sachschäden und (6) Reparaturen. Die Sicherheit von HAS sollte frühzeitig in der Phase des Systementwurfs unter gebührender Berücksichtigung von Technologie, Personal und Organisation geplant werden und ein integraler Bestandteil des gesamten technischen HAS-Planungsprozesses sein.
HAS-Design: Zukünftige Herausforderungen
Um den größtmöglichen Nutzen aus hybriden automatisierten Systemen, wie oben diskutiert, sicherzustellen, ist eine viel breitere Vision der Systementwicklung erforderlich, die auf der Integration von Menschen, Organisation und Technologie basiert. Drei Haupttypen der Systemintegration sollten hier angewendet werden:
Die Mindestdesignanforderungen für hybride automatisierte Systeme sollten Folgendes umfassen: (1) Flexibilität, (2) dynamische Anpassung, (3) verbesserte Reaktionsfähigkeit und (4) die Notwendigkeit, Menschen zu motivieren und ihre Fähigkeiten, ihr Urteilsvermögen und ihre Erfahrung besser zu nutzen . Das oben Gesagte erfordert auch, dass Organisationsstrukturen, Arbeitspraktiken und Technologien entwickelt werden, die es Menschen auf allen Ebenen des Systems ermöglichen, ihre Arbeitsstrategien an die Vielfalt der Systemsteuerungssituationen anzupassen. Daher müssen die Organisationen, Arbeitsweisen und Technologien von HAS als offene Systeme konzipiert und entwickelt werden (Kidd 1994).
Ein offenes hybrides automatisiertes System (OHAS) ist ein System, das Eingaben von seiner Umgebung empfängt und Ausgaben an diese sendet. Die Idee eines offenen Systems lässt sich nicht nur auf Systemarchitekturen und Organisationsstrukturen anwenden, sondern auch auf Arbeitspraktiken, Mensch-Computer-Schnittstellen und die Beziehung zwischen Menschen und Technologien: Zu nennen sind beispielsweise Planungssysteme, Steuerungssysteme und Entscheidungsunterstützungssysteme. Ein offenes System ist auch dann ein adaptives System, wenn es den Menschen einen großen Freiheitsgrad bei der Definition der Betriebsweise des Systems lässt. Beispielsweise können im Bereich Advanced Manufacturing die Anforderungen an ein offenes hybrides automatisiertes System durch das Konzept von realisiert werden menschen- und computerintegrierte Fertigung (HCIM). Aus dieser Sicht sollte das Design der Technologie die gesamte HCIM-Systemarchitektur berücksichtigen, einschließlich der folgenden: (1) Überlegungen zum Netzwerk von Gruppen, (2) die Struktur jeder Gruppe, (3) die Interaktion zwischen Gruppen, (4) die Art der unterstützenden Software und (5) technische Kommunikations- und Integrationsanforderungen zwischen unterstützenden Softwaremodulen.
Das adaptive hybride automatisierte System schränkt im Gegensatz zum geschlossenen System nicht ein, was die menschlichen Bediener tun können. Die Rolle des Designers eines HAS besteht darin, ein System zu schaffen, das die persönlichen Vorlieben des Benutzers erfüllt und es seinen Benutzern ermöglicht, so zu arbeiten, wie sie es am geeignetsten finden. Eine Voraussetzung für das Zulassen von Benutzereingaben ist die Entwicklung einer adaptiven Entwurfsmethodik – also eines OHAS, der es ermöglicht, computergestützte Technologie für seine Implementierung im Entwurfsprozess zu ermöglichen. Die Notwendigkeit, eine Methodik für adaptives Design zu entwickeln, ist eine der unmittelbaren Voraussetzungen, um das OHAS-Konzept in die Praxis umzusetzen. Es muss auch eine neue Ebene der adaptiven menschlichen Überwachungssteuerungstechnologie entwickelt werden. Eine solche Technologie sollte es dem menschlichen Bediener ermöglichen, das ansonsten unsichtbare Steuersystem der HAS-Funktion „durchzuschauen“ – beispielsweise durch Anwendung eines interaktiven Hochgeschwindigkeits-Videosystems an jedem Punkt der Systemsteuerung und des Betriebs. Schließlich wird auch dringend eine Methodik zur Entwicklung einer intelligenten und hochgradig anpassungsfähigen computergestützten Unterstützung menschlicher Rollen und menschlicher Funktionen in hybriden automatisierten Systemen benötigt.
Es besteht allgemein Einigkeit darüber, dass Steuerungssysteme während des Gebrauchs sicher sein müssen. Vor diesem Hintergrund sind die meisten modernen Steuerungssysteme wie in Abbildung 1 dargestellt aufgebaut.
Abbildung 1. Allgemeiner Aufbau von Steuerungssystemen
Der einfachste Weg, ein Steuerungssystem sicher zu machen, besteht darin, eine undurchdringliche Mauer darum zu errichten, um den Zugang oder Eingriff von Menschen in den Gefahrenbereich zu verhindern. Ein solches System wäre sehr sicher, wenn auch unpraktisch, da es unmöglich wäre, sich Zugang zu verschaffen, um die meisten Test-, Reparatur- und Einstellarbeiten durchzuführen. Da der Zugang zu Gefahrenbereichen unter bestimmten Bedingungen erlaubt sein muss, sind andere Schutzmaßnahmen als nur Mauern, Zäune und dergleichen erforderlich, um Produktion, Installation, Wartung und Instandhaltung zu erleichtern.
Einige dieser Schutzmaßnahmen können wie folgt teilweise oder vollständig in Steuerungssysteme integriert werden:
Diese Arten von Schutzmaßnahmen werden von Bedienern aktiviert. Da der Mensch jedoch oft eine Schwachstelle in Anwendungen darstellt, werden viele Funktionen, wie z. B. die folgenden, automatisch ausgeführt:
Die normale Funktion von Steuerungssystemen ist die wichtigste Voraussetzung für die Produktion. Wird eine Produktionsfunktion durch einen Steuerungsausfall unterbrochen, ist das höchstens lästig, aber nicht gefährlich. Wenn eine sicherheitsrelevante Funktion nicht ausgeführt wird, kann dies zu Produktionsausfall, Sachschäden, Verletzungen oder sogar zum Tod führen. Daher müssen sicherheitsrelevante Steuerungssystemfunktionen zuverlässiger und sicherer sein als normale Steuerungssystemfunktionen. Gemäß der Richtlinie 89/392/EWG des Europäischen Rates (Maschinenrichtlinie) müssen Steuerungen so konstruiert und gebaut sein, dass sie sicher und zuverlässig sind.
Steuerungen bestehen aus einer Anzahl von Komponenten, die miteinander verbunden sind, um eine oder mehrere Funktionen auszuführen. Die Steuerungen sind in Kanäle unterteilt. Ein Kanal ist der Teil einer Steuerung, der eine bestimmte Funktion ausführt (z. B. Start, Stopp, Notstopp). Physikalisch wird der Kanal durch eine Reihe von Komponenten (Transistoren, Dioden, Relais, Gatter usw.) erzeugt, durch die von einer Komponente zur nächsten (meist elektrische) Informationen, die diese Funktion darstellen, vom Eingang zum Ausgang übertragen werden.
Bei der Gestaltung von Steuerkanälen für sicherheitsrelevante Funktionen (also Funktionen, an denen Menschen beteiligt sind) sind folgende Anforderungen zu erfüllen:
Zuverlässigkeit
Zuverlässigkeit ist die Fähigkeit eines Steuerkanals oder einer Komponente, eine erforderliche Funktion unter bestimmten Bedingungen für einen bestimmten Zeitraum auszuführen ohne zu scheitern. (Mit geeigneten Methoden können Wahrscheinlichkeiten für bestimmte Komponenten oder Kontrollkanäle berechnet werden.) Die Zuverlässigkeit muss immer für einen bestimmten Zeitwert angegeben werden. Im Allgemeinen kann die Zuverlässigkeit durch die Formel in Abbildung 2 ausgedrückt werden.
Abbildung 2. Zuverlässigkeitsformel
Zuverlässigkeit komplexer Systeme
Systeme werden aus Komponenten aufgebaut. Sind die Zuverlässigkeiten der Komponenten bekannt, kann die Zuverlässigkeit des Gesamtsystems berechnet werden. In solchen Fällen gilt Folgendes:
Serielle Systeme
Die absolute Zuverlässigkeit Rbis eines seriellen Systems bestehend aus N Komponenten gleicher Zuverlässigkeit RC wird wie in Abbildung 3 berechnet.
Abbildung 3. Zuverlässigkeitsdiagramm von in Reihe geschalteten Komponenten
Die Gesamtzuverlässigkeit ist geringer als die Zuverlässigkeit der am wenigsten zuverlässigen Komponente. Wenn die Anzahl der in Reihe geschalteten Komponenten zunimmt, nimmt die Gesamtzuverlässigkeit der Kette erheblich ab.
Parallele Systeme
Die absolute Zuverlässigkeit Rbis eines parallelen Systems bestehend aus N Komponenten gleicher Zuverlässigkeit RC wird wie in Abbildung 4 berechnet.
Abbildung 4. Zuverlässigkeitsdiagramm parallel geschalteter Komponenten
Die Gesamtzuverlässigkeit kann durch die Parallelschaltung von zwei oder mehr Komponenten erheblich verbessert werden.
Abbildung 5 zeigt ein praktisches Beispiel. Beachten Sie, dass die Schaltung den Motor zuverlässiger abschaltet. Auch wenn das Relais A oder B seinen Kontakt nicht öffnet, wird der Motor trotzdem abgeschaltet.
Abbildung 5. Praktisches Beispiel von Abbildung 4
Die Berechnung der Gesamtzuverlässigkeit eines Kanals ist einfach, wenn alle erforderlichen Komponentenzuverlässigkeiten bekannt und verfügbar sind. Bei komplexen Bauteilen (integrierte Schaltkreise, Mikroprozessoren etc.) ist die Berechnung der Gesamtzuverlässigkeit schwierig bis unmöglich, wenn die notwendigen Informationen nicht vom Hersteller veröffentlicht werden.
Sicherheit
Wenn Fachleute von Sicherheit sprechen und sichere Maschinen fordern, meinen sie die Sicherheit der gesamten Maschine oder Anlage. Diese Sicherheit ist jedoch zu allgemein und für den Konstrukteur von Steuerungen nicht genau genug definiert. Die folgende Definition von Sicherheit kann für Entwickler von Steuerschaltungen praktisch und brauchbar sein: Sicherheit ist die Fähigkeit eines Steuersystems, die erforderliche Funktion innerhalb vorgeschriebener Grenzen für eine bestimmte Dauer auszuführen, selbst wenn erwartete Fehler auftreten. Folglich muss beim Design geklärt werden, wie „sicher“ der sicherheitsgerichtete Kanal sein muss. (Der Konstrukteur kann einen Kanal entwickeln, der gegen den ersten Ausfall, gegen einen beliebigen Ausfall, gegen zwei Ausfälle usw. sicher ist.) Außerdem kann ein Kanal, der eine Funktion erfüllt, die dazu dient, Unfälle zu verhindern, im Wesentlichen zuverlässig sein, muss es aber nicht zwangsläufig sicher vor Ausfällen zu sein. Dies lässt sich am besten an folgenden Beispielen erklären:
Beispiel 1
Das in Abbildung 6 dargestellte Beispiel ist ein sicherheitsrelevanter Steuerkanal, der die erforderliche Sicherheitsfunktion ausführt. Die erste Komponente kann ein Schalter sein, der beispielsweise die Position einer Zugangstür zu einem Gefahrenbereich überwacht. Die letzte Komponente ist ein Motor, der bewegliche mechanische Teile innerhalb des Gefahrenbereichs antreibt.
Abbildung 6. Ein sicherheitsrelevanter Steuerkanal, der die erforderliche Sicherheitsfunktion ausführt
Die geforderte Sicherheitsfunktion ist in diesem Fall eine doppelte: Bei geschlossener Tür darf der Motor laufen. Bei geöffneter Tür muss der Motor abgeschaltet werden. Zuverlässigkeiten kennen R1 zu R.6, lässt sich die Reliabilität R berechnenKnirps. Konstrukteure sollten zuverlässige Komponenten verwenden, um eine ausreichend hohe Zuverlässigkeit des gesamten Steuerungssystems aufrechtzuerhalten (dh die Wahrscheinlichkeit, dass diese Funktion beispielsweise noch in 20 Jahren ausgeführt wird, sollte bei der Konstruktion berücksichtigt werden). Folglich müssen Designer zwei Aufgaben erfüllen: (1) die Schaltung muss die erforderliche Funktion erfüllen, und (2) die Zuverlässigkeit der Komponenten und des gesamten Steuerkanals muss ausreichend sein.
Nun stellt sich folgende Frage: Wird der oben genannte Kanal die geforderten Sicherheitsfunktionen auch dann erfüllen, wenn ein Fehler im System auftritt (z. B. wenn ein Relaiskontakt klemmt oder ein Bauteil ausfällt)? Die Antwort ist nein". Der Grund ist, dass ein einzelner Steuerkanal, der nur aus in Reihe geschalteten Komponenten besteht und mit statischen Signalen arbeitet, nicht gegen einen Ausfall sicher ist. Der Kanal kann nur eine gewisse Zuverlässigkeit haben, die die Wahrscheinlichkeit garantiert, dass die Funktion ausgeführt wird. Sicherheit ist in solchen Situationen immer gemeint Ausfall bezogen.
Beispiel 2
Soll ein Steuerkanal sowohl zuverlässig als auch sicher sein, muss der Aufbau wie in Bild 7 modifiziert werden. Das dargestellte Beispiel ist ein sicherheitsrelevanter Steuerkanal, der aus zwei vollständig getrennten Teilkanälen besteht.
Abbildung 7. Ein sicherheitsrelevanter Steuerkanal mit zwei vollständig getrennten Unterkanälen
Dieses Design ist sicher gegen den ersten Fehler (und mögliche weitere Fehler in demselben Unterkanal), ist aber nicht sicher gegen zwei Fehler, die in zwei verschiedenen Unterkanälen (gleichzeitig oder zu unterschiedlichen Zeiten) auftreten können, da es keine Fehlererkennungsschaltung gibt. Folglich arbeiten zunächst beide Teilkanäle mit hoher Zuverlässigkeit (siehe paralleles System), aber nach dem ersten Ausfall funktioniert nur noch ein Teilkanal und die Zuverlässigkeit nimmt ab. Tritt ein zweiter Fehler im noch funktionierenden Subkanal auf, sind beide ausgefallen und die Sicherheitsfunktion wird nicht mehr ausgeführt.
Beispiel 3
Das in Abbildung 8 dargestellte Beispiel ist ein sicherheitsrelevanter Steuerkanal, der aus zwei völlig getrennten Teilkanälen besteht, die sich gegenseitig überwachen.
Abbildung 8. Ein sicherheitsrelevanter Steuerkanal mit zwei vollständig getrennten Unterkanälen, die sich gegenseitig überwachen
Ein solches Design ist ausfallsicher, da nach einem Ausfall nur ein Teilkanal nicht funktionsfähig ist, während der andere Teilkanal verfügbar bleibt und die Sicherheitsfunktion erfüllt. Darüber hinaus verfügt das Design über eine Fehlererkennungsschaltung. Wenn aufgrund einer Störung beide Teilkanäle nicht in gleicher Weise arbeiten, wird dieser Zustand durch eine „Exklusiv-Oder“-Schaltung erkannt, mit der Folge, dass die Maschine automatisch abgeschaltet wird. Dies ist eine der besten Möglichkeiten, Maschinensteuerungen zu entwerfen – das Entwerfen von sicherheitsrelevanten Unterkanälen. Sie sind gegen einen Ausfall sicher und bieten gleichzeitig genügend Zuverlässigkeit, so dass die Wahrscheinlichkeit, dass zwei Ausfälle gleichzeitig auftreten, minimal ist.
Redundanz
Es ist offensichtlich, dass es verschiedene Verfahren gibt, durch die ein Konstrukteur die Zuverlässigkeit und/oder Sicherheit (gegen Ausfall) verbessern kann. Die vorangegangenen Beispiele zeigen, wie eine Funktion (dh Tür geschlossen, Motor darf laufen; Tür geöffnet, Motor muss gestoppt werden) durch verschiedene Lösungen realisiert werden kann. Einige Verfahren sind sehr einfach (ein Unterkanal) und andere komplizierter (zwei Unterkanäle mit gegenseitiger Überwachung). (Siehe Abbildung 9.)
Abbildung 9. Zuverlässigkeit redundanter Systeme mit oder ohne Fehlererkennung
Es gibt eine gewisse Redundanz in den komplexen Schaltungen und/oder Komponenten im Vergleich zu den einfachen. Redundanz kann wie folgt definiert werden: (1) Redundanz ist das Vorhandensein von mehr Mitteln (Komponenten, Kanäle, höhere Sicherheitsfaktoren, zusätzliche Tests usw.), als für die einfache Erfüllung der gewünschten Funktion wirklich notwendig sind; (2) Redundanz „verbessert“ offensichtlich nicht die Funktion, die ohnehin ausgeführt wird. Redundanz verbessert nur die Zuverlässigkeit und/oder Sicherheit.
Einige Sicherheitsexperten glauben, dass Redundanz nur die Verdoppelung oder Verdreifachung usw. des Systems ist. Dies ist eine sehr eingeschränkte Interpretation, da Redundanz viel umfassender und flexibler interpretiert werden kann. Redundanz kann nicht nur in der Hardware enthalten sein; es kann auch in der Software enthalten sein. Auch eine Verbesserung des Sicherheitsfaktors (z. B. ein stärkeres Seil anstelle eines schwächeren Seils) kann als eine Form der Redundanz angesehen werden.
Entropie
Entropie, ein Begriff, der hauptsächlich in der Thermodynamik und Astronomie vorkommt, kann wie folgt definiert werden: Alles neigt zum Zerfall. Daher ist es absolut sicher, dass alle Komponenten, Subsysteme oder Systeme, unabhängig von der verwendeten Technologie, irgendwann ausfallen werden. Das bedeutet, dass es keine 100 % zuverlässigen und/oder sicheren Systeme, Subsysteme oder Komponenten gibt. Alle sind lediglich mehr oder weniger zuverlässig und sicher, je nach Komplexität der Struktur. Die unvermeidlich früher oder später auftretenden Ausfälle demonstrieren die Wirkung der Entropie.
Das einzige Mittel, das Designern zur Verfügung steht, um der Entropie entgegenzuwirken, ist Redundanz, die erreicht wird, indem (a) mehr Zuverlässigkeit in die Komponenten eingeführt und (b) mehr Sicherheit in der gesamten Schaltungsarchitektur bereitgestellt wird. Nur wenn die Wahrscheinlichkeit, dass die erforderliche Funktion für die erforderliche Zeitdauer ausgeführt wird, ausreichend erhöht wird, können Designer sich einigermaßen gegen Entropie wehren.
Risk Assessment
Je größer das potenzielle Risiko ist, desto höher ist die erforderliche Zuverlässigkeit und/oder Sicherheit (gegen Ausfälle) (und umgekehrt). Dies wird durch die folgenden zwei Fälle veranschaulicht:
Fall 1
Der Zugang zu dem in einer Spritzgießmaschine befestigten Formwerkzeug ist durch eine Tür gesichert. Wenn die Tür geschlossen ist, darf die Maschine arbeiten, und wenn die Tür geöffnet wird, müssen alle gefährlichen Bewegungen gestoppt werden. Unter keinen Umständen (auch bei Ausfall des sicherheitsgerichteten Kanals) dürfen Bewegungen, insbesondere solche, die das Werkzeug bedienen, auftreten.
Fall 2
Der Zugang zu einer automatisch gesteuerten Montagelinie, die kleine Kunststoffkomponenten unter pneumatischem Druck montiert, ist durch eine Tür gesichert. Wenn diese Tür geöffnet wird, muss die Linie angehalten werden.
Im Fall 1 kann es bei einem Ausfall der Türüberwachungssteuerung zu schweren Verletzungen kommen, wenn das Werkzeug unerwartet geschlossen wird. Im Fall 2 kann es bei Ausfall der türüberwachenden Steuerung nur zu leichten Verletzungen oder unerheblichen Schäden kommen.
Es ist offensichtlich, dass im ersten Fall viel mehr Redundanz eingeführt werden muss, um die Zuverlässigkeit und/oder Sicherheit (gegen Ausfall) zu erreichen, die zum Schutz gegen extrem hohe Risiken erforderlich ist. Tatsächlich muss gemäß der europäischen Norm EN 201 das Überwachungssteuersystem der Spritzgießmaschinentür drei Kanäle haben; zwei davon sind elektrisch und gegenseitig überwacht und eine davon ist größtenteils mit Hydraulik und Prüfkreisen ausgestattet. Alle diese drei Überwachungsfunktionen beziehen sich auf dieselbe Tür.
Umgekehrt ist bei Anwendungen wie in Fall 2 beschrieben ein einzelner Kanal, der durch einen Schalter mit positiver Aktion aktiviert wird, dem Risiko angemessen.
Kontrollkategorien
Da alle oben genannten Überlegungen grundsätzlich auf der Informationstheorie basieren und folglich für alle Technologien gelten, spielt es keine Rolle, ob das Steuerungssystem auf elektronischen, elektromechanischen, mechanischen, hydraulischen oder pneumatischen Komponenten (oder einer Mischung davon) basiert. , oder auf einer anderen Technologie. Der Ideenreichtum des Konstrukteurs einerseits und wirtschaftliche Fragen andererseits sind die bestimmenden Faktoren für eine nahezu unendliche Zahl von Lösungsansätzen zur Realisierung sicherheitsrelevanter Kanäle.
Um Verwechslungen vorzubeugen, ist es sinnvoll, bestimmte Sortierkriterien festzulegen. Die typischsten Kanalstrukturen, die in Maschinensteuerungen zur Ausführung sicherheitsbezogener Funktionen verwendet werden, sind kategorisiert nach:
Ihre Kombinationen (nicht alle möglichen Kombinationen sind gezeigt) sind in Tabelle 1 dargestellt.
Tabelle 1. Einige mögliche Kombinationen von Schaltungsstrukturen in Maschinensteuerungen für sicherheitsrelevante Funktionen
Kriterien (Fragen) |
Grundlegende Strategie |
|||||
Durch die Erhöhung der Zuverlässigkeit (wird das Auftreten von Fehlern in eine möglicherweise fernere Zukunft verschoben?) |
Durch geeignete Schaltungsstruktur (Architektur) wird der Fehler zumindest erkannt (Kat. 2) oder Fehlereinfluss auf den Kanal wird beseitigt (Kat. 3) oder der Fehler wird sofort gemeldet (Kat. 4) |
|||||
Kategorien |
||||||
Diese Lösung ist grundsätzlich falsch |
B |
1 |
2 |
3 |
4 |
|
Halten die Schaltungskomponenten den zu erwartenden Einflüssen stand; sind sie nach dem Stand der Technik gebaut? |
Nein |
Ja |
Ja |
Ja |
Ja |
Ja |
Wurden bewährte Komponenten und/oder Methoden verwendet? |
Nein |
Nein |
Ja |
Ja |
Ja |
Ja |
Kann ein Fehler automatisch erkannt werden? |
Nein |
Nein |
Nein |
Ja |
Ja |
Ja |
Verhindert ein Fehler die Ausführung der sicherheitsbezogenen Funktion? |
Ja |
Ja |
Ja |
Ja |
Nein |
Nein |
Wann wird der Fehler erkannt? |
Nie |
Nie |
Nie |
Früh (spätestens am Ende des Intervalls, das nicht länger als ein Maschinenzyklus ist) |
Sofort (wenn das Signal an Dynamik verliert |
|
Bei Konsumgütern |
Zum Einsatz in Maschinen |
Die für eine bestimmte Maschine und ihr sicherheitsbezogenes Steuerungssystem geltende Kategorie wird meistens in den neuen europäischen Normen (EN) festgelegt, es sei denn, die nationale Behörde, der Benutzer und der Hersteller einigen sich darauf, dass eine andere Kategorie angewendet werden sollte. Der Designer entwickelt dann ein Steuerungssystem, das die Anforderungen erfüllt. Überlegungen zum Design eines Steuerkanals können beispielsweise Folgendes umfassen:
Dieser Vorgang ist reversibel. Mit den gleichen Fragen kann entschieden werden, zu welcher Kategorie ein bestehender, zuvor entwickelter Kontrollkanal gehört.
Kategoriebeispiele
Kategorie B
Die hauptsächlich in Konsumgütern eingesetzten Steuerkanalkomponenten müssen den zu erwartenden Einflüssen standhalten und nach dem Stand der Technik ausgelegt sein. Als Beispiel kann ein gut gestalteter Schalter dienen.
Kategorie 1
Typisch für Kategorie 1 ist die Verwendung altbewährter Komponenten und Methoden. Ein Beispiel für Kategorie 1 ist ein Schalter mit positiver Aktion (dh erfordert zwangsläufiges Öffnen von Kontakten). Dieser Schalter ist mit robusten Teilen konstruiert und wird durch relativ hohe Kräfte aktiviert, wodurch eine extrem hohe Zuverlässigkeit nur beim Öffnen des Kontakts erreicht wird. Trotz klebender oder gar verschweißter Kontakte öffnen diese Schalter. (Anmerkung: Bauelemente wie Transistoren und Dioden gelten nicht als altbewährte Bauelemente.) Abbildung 10 soll als Illustration einer Kategorie-1-Steuerung dienen.
Abbildung 10. Ein Schalter mit positiver Aktion
Dieser Kanal verwendet Schalter S mit positiver Aktion. Das Schütz K wird durch die Leuchte L überwacht. Der Bediener wird durch die Meldeleuchte L darauf hingewiesen, dass die Schließerkontakte (NO) haften. Das Schütz K hat zwangsgeführte Kontakte. (Hinweis: Relais oder Schütze mit zwangsgeführten Kontakten haben im Vergleich zu herkömmlichen Relais oder Schützen einen speziellen Käfig aus Isolierstoff, so dass bei geschlossenen Öffnerkontakten alle Schließerkontakte geöffnet werden müssen und umgekehrt umgekehrt. Das bedeutet, dass bei Verwendung von Öffnerkontakten überprüft werden kann, ob die Arbeitskontakte nicht verkleben oder verschweißt sind.)
Kategorie 2
Kategorie 2 sieht eine automatische Fehlererkennung vor. Vor jeder gefährlichen Bewegung muss eine automatische Ausfallerkennung generiert werden. Nur wenn der Test positiv ist, darf die Bewegung ausgeführt werden; andernfalls wird die Maschine gestoppt. Für Lichtschranken werden automatische Ausfallerkennungssysteme eingesetzt, um deren Funktionsfähigkeit nachzuweisen. Das Prinzip ist in Bild 1 dargestellt.
Abbildung 11. Schaltung mit Ausfallerkennung
Dieses Steuersystem wird regelmäßig (oder gelegentlich) getestet, indem dem Eingang ein Impuls zugeführt wird. In einem ordnungsgemäß funktionierenden System wird dieser Impuls dann zum Ausgang übertragen und mit einem Impuls von einem Testgenerator verglichen. Wenn beide Impulse vorhanden sind, funktioniert das System offensichtlich. Andernfalls, wenn kein Ausgangsimpuls vorhanden ist, ist das System ausgefallen.
Kategorie 3
Die Schaltung wurde zuvor unter Beispiel 3 im Sicherheitsabschnitt dieses Artikels beschrieben, Abbildung 8.
Die Anforderung, dh automatische Fehlererkennung und die Fähigkeit, die Sicherheitsfunktion auszuführen, auch wenn irgendwo ein Fehler aufgetreten ist, kann durch zweikanalige Kontrollstrukturen und durch gegenseitige Überwachung der beiden Kanäle erfüllt werden.
Nur bei Maschinensteuerungen müssen die gefährlichen Ausfälle untersucht werden. Es sollte beachtet werden, dass es zwei Arten von Fehlern gibt:
Kategorie 4
Kategorie 4 sieht typischerweise das Anlegen eines dynamischen, sich kontinuierlich ändernden Signals am Eingang vor. Das Vorhandensein eines dynamischen Signals auf dem Ausgabemittel Laufen ("1"), und das Fehlen eines dynamischen Signalmittels halt („0“).
Für solche Schaltungen ist es typisch, dass nach dem Ausfall irgendeiner Komponente das dynamische Signal am Ausgang nicht mehr zur Verfügung steht. (Anmerkung: Das statische Potential am Ausgang ist unerheblich.) Solche Schaltungen können als „ausfallsicher“ bezeichnet werden. Alle Fehler werden sofort offengelegt, nicht nach der ersten Änderung (wie bei Schaltungen der Kategorie 3).
Weitere Anmerkungen zu den Kontrollkategorien
Tabelle 1 ist für übliche Maschinensteuerungen entwickelt worden und zeigt nur die prinzipiellen Schaltungsstrukturen; laut Maschinenrichtlinie sollte sie unter der Annahme berechnet werden, dass in einem Maschinenzyklus nur ein Fehler auftritt. Deshalb muss die Sicherheitsfunktion bei zwei gleichzeitigen Ausfällen nicht ausgeführt werden. Es wird davon ausgegangen, dass ein Fehler innerhalb eines Maschinenzyklus erkannt wird. Die Maschine wird angehalten und anschließend repariert. Danach startet die Steuerung wieder, voll funktionsfähig, ohne Ausfälle.
Die erste Absicht des Konstrukteurs sollte darin bestehen, „stehende“ Fehler nicht zuzulassen, die während eines Zyklus nicht erkannt würden, da sie später mit neu auftretenden Fehlern kombiniert werden könnten (Fehlerkumulation). Solche Kombinationen (ein dauerhafter Fehler und ein neuer Fehler) können selbst bei Schaltkreisen der Kategorie 3 zu einer Fehlfunktion führen.
Trotz dieser Taktiken ist es möglich, dass zwei unabhängige Ausfälle gleichzeitig innerhalb desselben Maschinenzyklus auftreten. Es ist nur sehr unwahrscheinlich, insbesondere wenn hochzuverlässige Komponenten verwendet wurden. Für Anwendungen mit sehr hohem Risiko sollten drei oder mehr Unterkanäle verwendet werden. Diese Philosophie basiert auf der Tatsache, dass die mittlere Zeit zwischen Ausfällen viel länger ist als der Maschinenzyklus.
Dies bedeutet jedoch nicht, dass die Tabelle nicht weiter ausgebaut werden kann. Tabelle 1 ist grundsätzlich und strukturell der in EN 2-954 verwendeten Tabelle 1 sehr ähnlich. Es wird jedoch nicht versucht, zu viele Sortierkriterien aufzunehmen. Die Anforderungen werden nach den strengen Gesetzen der Logik definiert, sodass nur eindeutige Antworten (JA oder NEIN) zu erwarten sind. Dies ermöglicht eine genauere Bewertung, Sortierung und Klassifizierung der eingereichten Schaltungen (sicherheitsrelevante Kanäle) und nicht zuletzt eine deutliche Verbesserung der Reproduzierbarkeit der Bewertung.
Ideal wäre es, wenn man Risiken in verschiedene Risikostufen einteilen und dann eine eindeutige Verknüpfung zwischen Risikostufen und Kategorien herstellen könnte, und das alles unabhängig von der eingesetzten Technologie. Dies ist jedoch nicht vollständig möglich. Schon früh nach der Erstellung der Kategorien wurde deutlich, dass selbst bei gleicher Technologie diverse Fragen nicht ausreichend beantwortet wurden. Was ist besser: eine sehr zuverlässige und gut konstruierte Komponente der Kategorie 1 oder ein System, das die Anforderungen der Kategorie 3 mit geringer Zuverlässigkeit erfüllt?
Um dieses Dilemma zu erklären, muss man zwischen zwei Qualitäten unterscheiden: Zuverlässigkeit und Sicherheit (gegen Ausfälle). Sie sind nicht vergleichbar, da diese beiden Qualitäten unterschiedliche Eigenschaften haben:
In Anbetracht des oben Gesagten kann es sein, dass die beste Lösung (aus Sicht des hohen Risikos) darin besteht, hochzuverlässige Komponenten zu verwenden und sie so zu konfigurieren, dass die Schaltung gegen mindestens einen Ausfall (vorzugsweise mehr) sicher ist. Es ist klar, dass eine solche Lösung nicht die wirtschaftlichste ist. In der Praxis ist der Optimierungsprozess meist die Folge all dieser Einflüsse und Überlegungen.
Erfahrungen mit der praktischen Verwendung der Kategorien zeigen, dass es selten möglich ist, ein Steuerungssystem zu entwerfen, das durchgehend nur eine Kategorie verwenden kann. Typisch ist die Kombination aus zwei oder sogar drei Teilen, die jeweils einer anderen Kategorie angehören, wie im folgenden Beispiel dargestellt:
Viele Sicherheitslichtschranken sind in Kategorie 4 ausgelegt, wobei ein Kanal mit einem dynamischen Signal arbeitet. Am Ende dieses Systems befinden sich in der Regel zwei sich gegenseitig überwachende Teilkanäle, die mit statischen Signalen arbeiten. (Dies erfüllt die Anforderungen für Kategorie 3.)
Nach EN 50100 werden solche Lichtschranken klassifiziert als Typ 4 berührungslos wirkende Schutzeinrichtungen, obwohl sie aus zwei Teilen bestehen. Leider gibt es keine Einigung darüber, wie Steuersysteme bezeichnet werden sollen, die aus zwei oder mehr Teilen bestehen, wobei jeder Teil einer anderen Kategorie angehört.
Programmierbare elektronische Systeme (PES)
Die Grundsätze zur Erstellung von Tabelle 1 lassen sich natürlich mit gewissen Einschränkungen auch allgemein auf PES übertragen.
Nur-PES-System
Bei der Verwendung von PESs zur Steuerung werden die Informationen über eine große Anzahl von Komponenten vom Sensor zum Aktivator übertragen. Darüber hinaus durchläuft es sogar Software. (Siehe Abbildung 12).
Abbildung 12. Schaltung eines PES-Systems
Obwohl moderne PES sehr zuverlässig sind, ist die Zuverlässigkeit nicht so hoch, wie es für die Verarbeitung von Sicherheitsfunktionen erforderlich sein könnte. Darüber hinaus sind die üblichen PES-Systeme nicht sicher genug, da sie im Fehlerfall die sicherheitsrelevante Funktion nicht erfüllen. Daher ist die Verwendung von PES zur Verarbeitung von Sicherheitsfunktionen ohne zusätzliche Maßnahmen nicht zulässig.
Sehr risikoarme Anwendungen: Systeme mit einem PES und zusätzlichen Maßnahmen
Bei Verwendung eines einzelnen PES zur Steuerung besteht das System aus den folgenden Hauptteilen:
Eingabeteil
Die Zuverlässigkeit eines Sensors und eines Eingangs eines PES kann verbessert werden, indem sie verdoppelt werden. Eine solche Doppelsystem-Eingabekonfiguration kann weiter durch Software überwacht werden, um zu prüfen, ob beide Subsysteme die gleichen Informationen liefern. Somit können die Fehler im Eingangsteil erkannt werden. Dies ist fast die gleiche Philosophie wie für Kategorie 3 erforderlich. Da die Überwachung jedoch durch Software und nur einmal erfolgt, kann dies als 3- (oder nicht so zuverlässig wie 3) bezeichnet werden.
Mittelteil
Obwohl dieser Teil nicht gut verdoppelt werden kann, kann er getestet werden. Beim Einschalten (oder während des Betriebs) kann eine Überprüfung des gesamten Befehlssatzes durchgeführt werden. In gleichen Abständen kann der Speicher auch durch geeignete Bitmuster überprüft werden. Wenn solche Überprüfungen ohne Fehler durchgeführt werden, funktionieren beide Teile, CPU und Speicher, offensichtlich ordnungsgemäß. Der Mittelteil weist einige typische Merkmale der Kategorie 4 (dynamisches Signal) und andere typische Merkmale der Kategorie 2 (regelmäßige Prüfung in angemessenen Abständen) auf. Das Problem ist, dass diese Tests trotz ihres Umfangs nicht wirklich vollständig sein können, da das One-PES-System sie von Natur aus nicht zulässt.
Ausgangsteil
Ähnlich wie ein Input kann auch der Output (inklusive Aktivatoren) verdoppelt werden. Beide Subsysteme können hinsichtlich des gleichen Ergebnisses überwacht werden. Fehler werden erkannt und die Sicherheitsfunktion wird ausgeführt. Allerdings gibt es die gleichen Schwachstellen wie im Eingabeteil. Folglich wird in diesem Fall die Kategorie 3 gewählt.
In Abbildung 13 wird die gleiche Funktion auf Relais übertragen A und B. Die Steuerkontakte a und b, teilt dann zwei Eingabesystemen mit, ob beide Relais die gleiche Arbeit verrichten (es sei denn, es liegt ein Fehler in einem der Kanäle vor). Die Überwachung erfolgt wieder per Software.
Abbildung 13. Eine PES-Schaltung mit einem Fehlererkennungssystem
Das gesamte System kann als Kategorie 3-/4/2/3- bezeichnet werden, wenn es richtig und umfassend durchgeführt wird. Dennoch können die oben beschriebenen Schwachstellen solcher Systeme nicht vollständig beseitigt werden. Tatsächlich werden verbesserte PES nur dort für sicherheitsrelevante Funktionen eingesetzt, wo die Risiken eher gering sind (Hölscher und Rader 1984).
Anwendungen mit geringem und mittlerem Risiko mit einem PES
Heute ist fast jede Maschine mit einer PES-Steuerung ausgestattet. Um das Problem der unzureichenden Zuverlässigkeit und meist unzureichenden Ausfallsicherheit zu lösen, werden üblicherweise die folgenden Entwurfsmethoden verwendet:
Abbildung 14. Stand der Technik für Stoppkategorie 0
Abbildung 15. Stand der Technik für Stoppkategorie 1
Abbildung 16. Stand der Technik für Stoppkategorie 2
Anwendungen mit hohem Risiko: Systeme mit zwei (oder mehr) PES
Abgesehen von Komplexität und Kosten gibt es keine anderen Faktoren, die Designer daran hindern würden, vollständig verdoppelte PES-Systeme wie Siemens Simatic S5-115F, 3B6 Typ CAR-MIL usw. zu verwenden. Diese umfassen typischerweise zwei identische PES mit homogener Software und gehen von der Verwendung von „bewährten“ PES und „bewährten“ Compilern aus (ein bewährter PES oder Compiler kann als einer angesehen werden, der in vielen praktischen Anwendungen über 3 oder mehr Jahre verwendet wurde hat gezeigt, dass systematische Fehler offensichtlich eliminiert wurden). Obwohl diese doppelten PES-Systeme nicht die Schwachpunkte von Einzel-PES-Systemen haben, bedeutet dies nicht, dass doppelte PES-Systeme alle Probleme lösen. (Siehe Abbildung 17).
Abbildung 17. Anspruchsvolles System mit zwei PES
Systematische Fehler
Systematische Fehler können aus Fehlern in Spezifikationen, Design und anderen Ursachen resultieren und sowohl in der Hardware als auch in der Software vorhanden sein. Doppel-PES-Systeme eignen sich für den Einsatz in sicherheitsgerichteten Anwendungen. Solche Konfigurationen ermöglichen die Erkennung zufälliger Hardwarefehler. Durch Hardwarediversität, wie z. B. die Verwendung zweier unterschiedlicher Typen oder Produkte zweier verschiedener Hersteller, könnten systematische Hardwareausfälle aufgedeckt werden (es ist sehr unwahrscheinlich, dass ein identischer Hardwaresystemausfall in beiden PES auftritt).
Software
Software ist ein neues Element in Sicherheitsbetrachtungen. Software ist entweder richtig oder falsch (in Bezug auf Ausfälle). Einmal richtig, kann Software nicht sofort falsch werden (im Vergleich zu Hardware). Ziel ist es, alle Fehler in der Software zu beseitigen oder zumindest zu identifizieren.
Es gibt verschiedene Wege, dieses Ziel zu erreichen. Einer ist der Überprüfung des Programms (eine zweite Person versucht in einem anschließenden Test, die Fehler zu entdecken). Eine andere Möglichkeit ist Vielfalt der Software, bei der zwei unterschiedliche Programme, geschrieben von zwei Programmierern, dasselbe Problem behandeln. Sind die Ergebnisse (innerhalb gewisser Grenzen) identisch, kann davon ausgegangen werden, dass beide Programmteile korrekt sind. Sind die Ergebnisse unterschiedlich, wird vermutet, dass Fehler vorliegen. (NB, Die Architektur der Hardware natürlich auch berücksichtigt werden.)
Zusammenfassung
Beim Einsatz von PES sind generell die gleichen folgenden Grundüberlegungen zu berücksichtigen (wie in den vorangegangenen Abschnitten beschrieben).
Neu ist, dass für das System mit PES auch Software auf Korrektheit hin bewertet werden sollte. Software ist, wenn sie korrekt ist, zu 100 % zuverlässig. In diesem Stadium der technologischen Entwicklung werden wahrscheinlich nicht die bestmöglichen und bekannten technischen Lösungen verwendet, da die limitierenden Faktoren immer noch wirtschaftlicher Natur sind. Darüber hinaus entwickeln verschiedene Expertengruppen die Standards für Sicherheitsanwendungen von PES weiter (z. B. EC, EWICS). Obwohl bereits verschiedene Normen verfügbar sind (VDE0801, IEC65A usw.), ist diese Angelegenheit so umfassend und komplex, dass keine davon als endgültig angesehen werden kann.
Immer wenn einfache und konventionelle Produktionsmittel wie Werkzeugmaschinen automatisiert werden, entstehen komplexe technische Systeme sowie neue Gefährdungen. Diese Automatisierung wird durch die Verwendung von Computer Numeric Control (CNC)-Systemen auf Werkzeugmaschinen erreicht, die sog CNC-Werkzeugmaschinen (z. B. Fräsmaschinen, Bearbeitungszentren, Bohrer und Schleifmaschinen). Um das Gefährdungspotential automatischer Werkzeuge erkennen zu können, sollten die verschiedenen Betriebsarten der einzelnen Systeme analysiert werden. Bisher durchgeführte Analysen weisen darauf hin, dass zwischen zwei Betriebsarten unterschieden werden sollte: dem Normalbetrieb und dem Sonderbetrieb.
Die Sicherheitsanforderungen an CNC-Werkzeugmaschinen lassen sich oft nicht in konkreten Maßnahmen vorschreiben. Das mag daran liegen, dass es zu wenige gerätespezifische Vorschriften und Normen gibt, die konkrete Lösungen bieten. Sicherheitsanforderungen können nur ermittelt werden, wenn die möglichen Gefährdungen durch eine Gefährdungsanalyse systematisch identifiziert werden, insbesondere wenn diese komplexen technischen Anlagen mit frei programmierbaren Steuerungen ausgestattet sind (wie bei CNC-Werkzeugmaschinen).
Bei neu entwickelten CNC-Werkzeugmaschinen ist der Hersteller verpflichtet, eine Gefährdungsanalyse an der Anlage durchzuführen, um eventuell vorhandene Gefahren zu erkennen und durch konstruktive Lösungen aufzuzeigen, dass alle Gefährdungen für Personen in allen Fällen ausgeschlossen sind unterschiedliche Betriebsarten entfallen. Alle identifizierten Gefährdungen müssen einer Gefährdungsbeurteilung unterzogen werden, wobei jedes Risiko eines Ereignisses vom Schadensumfang und der möglichen Eintrittshäufigkeit abhängt. Die zu bewertende Gefährdung erhält zusätzlich eine Risikokategorie (minimiert, normal, erhöht). Wo das Risiko aufgrund der Gefährdungsbeurteilung nicht akzeptiert werden kann, müssen Lösungen (Sicherheitsmaßnahmen) gefunden werden. Der Zweck dieser Lösungen besteht darin, die Häufigkeit des Auftretens und den Schadensumfang eines ungeplanten und potenziell gefährlichen Zwischenfalls (eines „Ereignisses“) zu verringern.
Die Lösungsansätze für normale und erhöhte Risiken liegen in der indirekten und direkten Sicherheitstechnik; für minimierte risiken sind sie in der sicherheitstechnik zu finden:
Internationale Sicherheitsanforderungen
Die EG-Maschinenrichtlinie (89/392/EWG) von 1989 legt die wichtigsten Sicherheits- und Gesundheitsanforderungen für Maschinen fest. (Im Sinne der Maschinenrichtlinie ist eine Maschine die Gesamtheit miteinander verbundener Teile oder Geräte, von denen mindestens eines bewegt werden kann und dementsprechend eine Funktion hat.) Darüber hinaus werden einzelne Normen von internationalen Normungsgremien erstellt, um dies möglichst zu veranschaulichen Lösungen (z. B. durch Beachtung grundlegender Sicherheitsaspekte oder durch Untersuchung elektrischer Ausrüstungen von Industriemaschinen). Ziel dieser Normen ist es, Schutzziele festzulegen. Diese internationalen Sicherheitsanforderungen geben Herstellern die notwendige Rechtsgrundlage, um diese Anforderungen in den oben genannten Gefahrenanalysen und Risikobewertungen zu spezifizieren.
Betriebsarten
Beim Einsatz von Werkzeugmaschinen wird zwischen Normalbetrieb und Sonderbetrieb unterschieden. Statistiken und Untersuchungen zeigen, dass die Mehrzahl der Vorfälle und Unfälle nicht im Normalbetrieb (dh während der automatischen Erfüllung des betreffenden Auftrags) stattfinden. Bei dieser Art von Maschinen und Anlagen liegt der Schwerpunkt auf speziellen Betriebsarten wie Inbetriebnahme, Einrichten, Programmieren, Testläufen, Kontrollen, Störungsbeseitigung oder Wartung. In diesen Betriebsarten befinden sich Personen in der Regel im Gefahrenbereich. Das Sicherheitskonzept muss das Personal in solchen Situationen vor schädlichen Ereignissen schützen.
Normale Operation
Für automatische Maschinen im Normalbetrieb gilt: (1) die Maschine erfüllt die Aufgabe, für die sie konstruiert und gebaut wurde, ohne weiteres Eingreifen des Bedieners, und (2) angewandt auf eine einfache Drehmaschine bedeutet dies, dass a Das Werkstück wird in die richtige Form gedreht und es entstehen Späne. Wenn das Werkstück manuell gewechselt wird, ist das Wechseln des Werkstücks eine besondere Betriebsart.
Spezielle Betriebsarten
Sonderbetriebsarten sind Arbeitsvorgänge, die einen normalen Betrieb ermöglichen. Darunter fallen beispielsweise Werkstück- oder Werkzeugwechsel, Störungsbeseitigung im Produktionsprozess, Behebung einer Maschinenstörung, Einrichten, Programmieren, Testläufe, Reinigen und Warten. Im Normalbetrieb erfüllen automatische Systeme ihre Aufgaben selbstständig. Aus Sicht der Arbeitssicherheit wird der automatische Normalbetrieb jedoch dann kritisch, wenn der Bediener in Arbeitsabläufe eingreifen muss. Die an solchen Prozessen beteiligten Personen dürfen unter keinen Umständen Gefahren ausgesetzt werden.
Personal
Bei der Absicherung von Werkzeugmaschinen ist sowohl auf die in den verschiedenen Betriebsarten tätigen Personen als auch auf Dritte Rücksicht zu nehmen. Als Dritte gelten auch mittelbar an der Maschine Beteiligte wie Vorgesetzte, Inspektoren, Hilfskräfte für Materialtransporte und Demontagearbeiten, Besucher und andere.
Anforderungen und Sicherheitsmaßnahmen für Maschinenzubehör
Eingriffe bei Arbeiten in Sonderbetriebsarten erfordern den Einsatz von speziellem Zubehör, um ein sicheres Arbeiten zu gewährleisten. Das erster Typ Zu den Zubehörteilen gehören Geräte und Gegenstände, mit denen in den automatischen Prozess eingegriffen werden kann, ohne dass der Bediener einen Gefahrenbereich betreten muss. Zu dieser Art von Zubehör gehören (1) Spänehaken und -zangen, die so konstruiert sind, dass Späne im Bearbeitungsbereich durch die in den Schutzeinrichtungen vorgesehenen Öffnungen entfernt oder weggezogen werden können, und (2) Werkstückspannvorrichtungen, mit denen das Produktionsmaterial kann manuell in einen automatischen Zyklus eingefügt oder daraus entfernt werden
Verschiedene Sonderbetriebsarten – beispielsweise Sanierungsarbeiten oder Wartungsarbeiten – machen es erforderlich, dass Personal in eine Anlage eingreift. Auch für diese Fälle gibt es eine ganze Reihe von Maschinenzubehör, das die Arbeitssicherheit erhöhen soll – zum Beispiel Vorrichtungen zur Handhabung schwerer Schleifscheiben beim Schleifmaschinenwechsel sowie spezielle Krangehänge für die Demontage oder Montage schwerer Komponenten im Einsatz Maschinen werden überholt. Diese Geräte sind die zweiter Typ von Maschinenzubehör zur Erhöhung der Sicherheit bei Arbeiten in Sonderbetrieben. Als zweite Art von Maschinenzubehör können auch spezielle Betriebsleitsysteme angesehen werden. Mit solchem Zubehör können bestimmte Tätigkeiten sicher ausgeführt werden – zum Beispiel kann eine Vorrichtung in den Maschinenachsen aufgebaut werden, wenn Vorschubbewegungen bei geöffneten Schutzeinrichtungen erforderlich sind.
Diese speziellen Betriebsleitsysteme müssen besonderen Sicherheitsanforderungen genügen. Beispielsweise müssen sie sicherstellen, dass nur die angeforderte Beförderung in der angeforderten Weise und nur so lange wie angefordert durchgeführt wird. Die Sonderbetriebsführung muss daher so gestaltet sein, dass Fehlhandlungen nicht in gefährliche Bewegungen oder Zustände übergehen.
Als Ausrüstung, die den Automatisierungsgrad einer Anlage erhöht, kann gelten a dritter Typ von Maschinenzubehör zur Erhöhung der Arbeitssicherheit. Tätigkeiten, die bisher manuell ausgeführt wurden, erledigt die Maschine im Normalbetrieb automatisch, wie z. B. Anlagen wie Portallader, die die Werkstücke an Werkzeugmaschinen automatisch wechseln. Die Absicherung des automatischen Normalbetriebs bereitet wenig Probleme, da der Eingriff einer Bedienperson in den Ablauf unnötig ist und mögliche Eingriffe durch Sicherheitseinrichtungen verhindert werden können.
Anforderungen und Sicherheitsmaßnahmen für die Automatisierung von Werkzeugmaschinen
Leider hat die Automatisierung nicht zur Beseitigung von Unfällen in Produktionsanlagen geführt. Untersuchungen zeigen lediglich eine Verschiebung des Unfallgeschehens vom Normal- zum Sonderbetrieb, vor allem durch die Automatisierung des Normalbetriebs, so dass Eingriffe in den Produktionsablauf nicht mehr erforderlich sind und das Personal somit keiner Gefährdung mehr ausgesetzt ist. Andererseits sind hochautomatisierte Maschinen komplexe Systeme, die im Fehlerfall schwer einzuschätzen sind. Auch die zur Störungsbeseitigung eingesetzten Fachkräfte können dies nicht immer unfallfrei erledigen. Die Menge an Software, die für den Betrieb immer komplexerer Maschinen benötigt wird, nimmt an Umfang und Komplexität zu, was dazu führt, dass immer mehr Elektro- und Inbetriebsetzungsingenieure Unfälle erleiden. Eine fehlerfreie Software gibt es nicht, und Änderungen in der Software führen oft zu Änderungen an anderer Stelle, die weder erwartet noch gewollt waren. Um die Sicherheit nicht zu beeinträchtigen, dürfen gefährliche Fehlverhalten durch Fremdeinwirkung und Bauteilausfälle nicht möglich sein. Diese Bedingung kann nur erfüllt werden, wenn der Sicherheitskreis möglichst einfach aufgebaut und von der übrigen Steuerung getrennt ist. Auch die im Sicherheitskreis verwendeten Elemente oder Baugruppen müssen ausfallsicher sein.
Es ist die Aufgabe des Konstrukteurs, Designs zu entwickeln, die den Sicherheitsanforderungen genügen. Der Konstrukteur kommt nicht umhin, die notwendigen Arbeitsabläufe, einschließlich der speziellen Betriebsweisen, sorgfältig zu berücksichtigen. Welche sicheren Arbeitsverfahren erforderlich sind, muss analysiert und dem Bedienpersonal bekannt gemacht werden. In den meisten Fällen wird eine Steuerung für den Sonderbetrieb erforderlich sein. Die Steuerung beobachtet oder regelt in der Regel eine Bewegung, während gleichzeitig keine andere Bewegung ausgelöst werden muss (da für diese Arbeit keine andere Bewegung benötigt wird und somit auch keine vom Bediener erwartet wird). Die Steuerung muss in den verschiedenen Sonderbetriebsarten nicht notwendigerweise die gleichen Aufgaben übernehmen.
Anforderungen und Sicherheitsmaßnahmen im Normal- und Sonderbetrieb
Normale Operation
Die Festlegung von Sicherheitszielen sollte den technischen Fortschritt nicht behindern, da angepasste Lösungen gewählt werden können. Der Einsatz von CNC-Werkzeugmaschinen stellt höchste Anforderungen an Gefahrenanalyse, Risikobeurteilung und Sicherheitskonzepte. Im Folgenden werden einige Sicherheitsziele und mögliche Lösungen näher beschrieben.
Sicherheitsziel
Mögliche Lösungen
Sicherheitsziel
Mögliche Lösung
Sonderbetrieb
Die Schnittstellen zwischen Normalbetrieb und Sonderbetrieb (z. B. Türverriegelungen, Lichtschranken, Schaltmatten) sind notwendig, damit die Sicherheitssteuerung automatisch die Anwesenheit von Personen erkennen kann. Im Folgenden werden bestimmte Sonderbetriebsarten (z. B. Einrichten, Programmieren) an CNC-Werkzeugmaschinen beschrieben, die Bewegungen erfordern, die direkt am Einsatzort beurteilt werden müssen.
Sicherheitsziele
Mögliche Lösung
Anforderungen an Sicherheitssteuerungen
Zu den Merkmalen einer Sicherheitssteuerung muss gehören, dass die Sicherheitsfunktion im Fehlerfall gewährleistet ist, um Prozesse aus einem gefährlichen Zustand in einen sicheren Zustand zu lenken.
Sicherheitsziele
Mögliche Lösungen
Fazit
Es zeigt sich, dass die zunehmende Unfallhäufigkeit im Normal- und Sonderbetrieb ohne ein klares und unverwechselbares Sicherheitskonzept nicht aufzuhalten ist. Diese Tatsache muss bei der Erstellung von Sicherheitsvorschriften und Richtlinien berücksichtigt werden. Neue Richtlinien in Form von Sicherheitszielen sind notwendig, um fortschrittliche Lösungen zu ermöglichen. Dieses Ziel ermöglicht es Konstrukteuren, die optimale Lösung für einen bestimmten Fall auszuwählen und gleichzeitig die Sicherheitsmerkmale ihrer Maschinen auf relativ einfache Weise zu demonstrieren, indem sie eine Lösung für jedes Sicherheitsziel beschreiben. Diese Lösung kann dann mit anderen bestehenden und akzeptierten Lösungen verglichen werden, und wenn sie besser oder zumindest gleichwertig ist, kann dann eine neue Lösung gewählt werden. So wird der Fortschritt nicht durch eng formulierte Vorschriften behindert.
Hauptmerkmale der EWG-Maschinenrichtlinie
Für jeden einzelnen Staat gilt die Richtlinie des Rates vom 14. Juni 1989 zur Angleichung der Rechtsvorschriften der Mitgliedstaaten über Maschinen (89/392/EWG).
Sicherheitsziele für den Bau und Einsatz von CNC-Werkzeugmaschinen
1. Drehmaschinen
1.1 Normaler Betriebsmodus
1.1.1 Der Arbeitsbereich ist so abzusichern, dass der Gefahrenbereich automatischer Bewegungen weder absichtlich noch unbeabsichtigt erreicht oder betreten werden kann.
1.1.2 Das Werkzeugmagazin ist so abzusichern, dass es unmöglich ist, die Gefahrenbereiche automatischer Bewegungen zu erreichen oder zu betreten, weder beabsichtigt noch unbeabsichtigt.
1.1.3 Das Werkstückmagazin ist so abzusichern, dass es unmöglich ist, die Gefahrenbereiche automatischer Bewegungen zu erreichen oder zu betreten, weder beabsichtigt noch unbeabsichtigt.
1.1.4 Die Späneabfuhr darf nicht zu Personenschäden durch Späne oder bewegliche Teile der Maschine führen.
1.1.5 Personenschäden durch Eingreifen in Antriebssysteme sind zu vermeiden.
1.1.6 Das Hineingreifen in die Gefahrenbereiche sich bewegender Späneförderer muss verhindert werden.
1.1.7 Durch umherfliegende Werkstücke oder Teile davon dürfen weder Bediener noch Dritte verletzt werden.
Dies kann beispielsweise vorkommen
1.1.8 Durch umherfliegende Werkstückspannvorrichtungen darf kein Personenschaden entstehen.
1.1.9 Durch umherfliegende Späne darf kein Personenschaden entstehen.
1.1.10 Durch umherfliegende Werkzeuge oder Teile davon darf kein Personenschaden entstehen.
Dies kann beispielsweise vorkommen
1.2 Besondere Betriebsarten
1.2.1 Werkstückwechsel.
1.2.1.1 Die Werkstückspannung muss so erfolgen, dass keine Körperteile zwischen schließenden Spannvorrichtungen und Werkstück oder zwischen vorlaufender Hülsenspitze und Werkstück eingeklemmt werden können.
1.2.1.2 Das Anlaufen eines Antriebs (Spindeln, Achsen, Pinolen, Revolverköpfe oder Späneförderer) infolge eines fehlerhaften oder ungültigen Befehls muss verhindert werden.
1.2.1.3 Das Werkstück muss von Hand oder mit Werkzeugen gefahrlos manipuliert werden können.
1.2.2 Werkzeugwechsel im Werkzeughalter oder Werkzeugrevolverkopf.
1.2.2.1 Gefährdungen durch fehlerhaftes Verhalten des Systems oder durch Eingabe eines ungültigen Befehls müssen verhindert werden.
1.2.3 Werkzeugwechsel im Werkzeugmagazin.
1.2.3.1 Bewegungen im Werkzeugmagazin infolge eines fehlerhaften oder ungültigen Befehls müssen beim Werkzeugwechsel verhindert werden.
1.2.3.2 Von der Werkzeugbeladestation darf nicht in andere bewegliche Maschinenteile gegriffen werden können.
1.2.3.3 Beim Weiterfahren des Werkzeugmagazins oder beim Suchen darf nicht in Gefahrenbereiche gegriffen werden können. Bei abgenommenen Schutzeinrichtungen für den Normalbetrieb dürfen diese Bewegungen nur der vorgesehenen Art und nur während der angeordneten Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass sich keine Körperteile in diesen Gefahrenbereichen befinden .
1.2.4 Messkontrolle.
1.2.4.1 Das Hineingreifen in den Arbeitsbereich darf erst möglich sein, nachdem alle Bewegungen zum Stillstand gebracht wurden.
1.2.4.2 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
1.2.5 Einrichtung.
1.2.5.1 Werden Bewegungen während des Rüstens bei entfernten Schutzeinrichtungen für den Normalbetrieb ausgeführt, muss der Bediener auf andere Weise abgesichert werden.
1.2.5.2 Aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe dürfen keine gefährlichen Bewegungen oder Bewegungsänderungen eingeleitet werden.
1.2.6 Programmierung.
1.2.6.1 Während der Programmierung dürfen keine Bewegungen eingeleitet werden, die eine Person im Arbeitsbereich gefährden.
1.2.7 Produktionsfehler.
1.2.7.1 Das Anlaufen eines Antriebs aufgrund eines fehlerhaften Befehls bei ungültigem Befehlsvorgabesollwert muss verhindert werden.
1.2.7.2 Durch das Bewegen oder Entfernen des Werkstücks oder Abfalls dürfen keine gefährlichen Bewegungen oder Situationen ausgelöst werden.
1.2.7.3 Müssen Bewegungen bei abgenommenen Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der dafür vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass keine Teile der Körper befinden sich in diesen Gefahrenbereichen.
1.2.8 Fehlerbehebung.
1.2.8.1 Das Hineingreifen in die Gefahrenbereiche automatischer Bewegungen muss verhindert werden.
1.2.8.2 Das Anlaufen eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
1.2.8.3 Eine Bewegung der Maschine bei Manipulation des defekten Teils muss verhindert werden.
1.2.8.4 Personenschäden durch Absplittern oder Herunterfallen eines Maschinenteils müssen verhindert werden.
1.2.8.5 Müssen bei der Fehlersuche Bewegungen bei entfernten Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn dies sichergestellt werden kann keine Körperteile befinden sich in diesen Gefahrenzonen.
1.2.9 Maschinenstörung und Reparatur.
1.2.9.1 Die Maschine ist gegen Anlaufen zu sichern.
1.2.9.2 Die Manipulation der verschiedenen Teile der Maschine muss manuell oder mit Werkzeugen gefahrlos möglich sein.
1.2.9.3 Es darf nicht möglich sein, spannungsführende Teile der Maschine zu berühren.
1.2.9.4 Durch das Austreten von flüssigen oder gasförmigen Medien dürfen keine Personenschäden entstehen.
2. Fräsmaschinen
2.1 Normaler Betriebsmodus
2.1.1 Der Arbeitsbereich ist so abzusichern, dass der Gefahrenbereich automatischer Bewegungen weder absichtlich noch unbeabsichtigt erreicht oder betreten werden kann.
2.1.2 Die Späneabfuhr darf nicht zu Personenschäden durch Späne oder bewegliche Teile der Maschine führen.
2.1.3 Personenschäden durch Eingreifen in Antriebssysteme sind zu vermeiden.
Durch umherfliegende Werkstücke oder Teile davon dürfen keine Personenschäden des Bedienpersonals oder Dritter entstehen.
Dies kann beispielsweise vorkommen
2.1.4 Durch umherfliegende Werkstückspannvorrichtungen darf kein Personenschaden entstehen.
2.1.5 Durch umherfliegende Späne darf kein Personenschaden entstehen.
2.1.6 Durch umherfliegende Werkzeuge oder Teile davon darf kein Personenschaden entstehen.
Dies kann beispielsweise vorkommen
Spezielle Betriebsarten
2.2.1 Werkstückwechsel.
2.2.1.1 Bei kraftbetätigten Spannzeugen dürfen keine Körperteile zwischen den Schließteilen der Spannvorrichtung und dem Werkstück eingeklemmt werden können.
2.2.1.2 Das Anlaufen eines Antriebs (Spindel, Achse) aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
2.2.1.3 Die Manipulation des Werkstücks muss manuell oder mit Werkzeugen gefahrlos möglich sein.
2.2.2 Werkzeugwechsel.
2.2.2.1 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
2.2.2.2 Beim Einsetzen von Werkzeugen dürfen die Finger nicht eingeklemmt werden.
2.2.3 Messkontrolle.
2.2.3.1 Das Hineingreifen in den Arbeitsbereich darf erst möglich sein, nachdem alle Bewegungen zum Stillstand gebracht wurden.
2.2.3.2 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
2.2.4 Einrichtung.
2.2.4.1 Werden Bewegungen während des Rüstens bei entfernten Schutzeinrichtungen für den Normalbetrieb ausgeführt, muss der Bediener auf andere Weise abgesichert werden.
2.2.4.2 Aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe dürfen keine gefährlichen Bewegungen oder Bewegungsänderungen eingeleitet werden.
2.2.5 Programmierung.
2.2.5.1 Während der Programmierung dürfen keine Bewegungen eingeleitet werden, die eine Person im Arbeitsbereich gefährden.
2.2.6 Produktionsfehler.
2.2.6.1 Das Starten des Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
2.2.6.2 Durch das Bewegen oder Entfernen des Werkstücks oder Abfalls dürfen keine gefährlichen Bewegungen oder Situationen ausgelöst werden.
2.2.6.3 Müssen Bewegungen bei abgenommenen Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der dafür vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass keine Teile der Körper befinden sich in diesen Gefahrenbereichen.
2.2.7 Fehlerbehebung.
2.2.7.1 Das Hineingreifen in die Gefahrenbereiche automatischer Bewegungen muss verhindert werden.
2.2.7.2 Das Anlaufen eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
2.2.7.3 Jede Bewegung der Maschine bei Manipulation des defekten Teils muss verhindert werden.
2.2.7.4 Personenschäden durch Absplittern oder Herunterfallen eines Maschinenteils müssen verhindert werden.
2.2.7.5 Müssen bei der Fehlersuche Bewegungen bei entfernten Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn dies sichergestellt werden kann keine Körperteile befinden sich in diesen Gefahrenzonen.
2.2.8 Maschinenstörung und Reparatur.
2.2.8.1 Das Anlaufen der Maschine muss verhindert werden.
2.2.8.2 Die Manipulation der verschiedenen Teile der Maschine muss manuell oder mit Werkzeugen gefahrlos möglich sein.
2.2.8.3 Es darf nicht möglich sein, spannungsführende Teile der Maschine zu berühren.
2.2.8.4 Durch das Austreten von flüssigen oder gasförmigen Medien dürfen keine Personenschäden entstehen.
3. Bearbeitungszentren
3.1 Normaler Betriebsmodus
3.1.1 Der Arbeitsbereich muss so abgesichert sein, dass der Gefahrenbereich automatischer Bewegungen weder absichtlich noch unbeabsichtigt erreicht oder betreten werden kann.
3.1.2 Das Werkzeugmagazin muss so gesichert sein, dass es unmöglich ist, in die Gefahrenbereiche automatischer Bewegungen zu gelangen oder hineinzusteigen.
3.1.3 Das Werkstückmagazin muss so abgesichert sein, dass ein Hineingreifen oder Betreten der Gefahrenbereiche automatischer Bewegungen ausgeschlossen ist.
3.1.4 Die Späneabfuhr darf nicht zu Personenschäden durch Späne oder bewegliche Teile der Maschine führen.
3.1.5 Personenschäden durch Eingreifen in Antriebssysteme sind zu vermeiden.
3.1.6 Das Hineingreifen in Gefahrenbereiche von sich bewegenden Späneförderern (Förderschnecken etc.) muss verhindert werden.
3.1.7 Durch umherfliegende Werkstücke oder Teile davon dürfen weder Bediener noch Dritte verletzt werden.
Dies kann beispielsweise vorkommen
3.1.8 Durch umherfliegende Werkstückspannvorrichtungen darf kein Personenschaden entstehen.
3.1.9 Durch umherfliegende Späne darf kein Personenschaden entstehen.
3.1.10 Durch umherfliegende Werkzeuge oder Teile davon darf kein Personenschaden entstehen.
Dies kann beispielsweise vorkommen
3.2 Besondere Betriebsarten
3.2.1 Werkstückwechsel.
3.2.1.1 Bei kraftbetätigten Spannzeugen dürfen keine Körperteile zwischen den Schließteilen der Spannvorrichtung und dem Werkstück eingeklemmt werden können.
3.2.1.2 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
3.2.1.3 Das Werkstück muss von Hand oder mit Werkzeugen gefahrlos manipuliert werden können.
3.2.1.4 Beim Werkstückwechsel in einer Spannstation dürfen automatische Bewegungsabläufe der Maschine oder des Werkstückmagazins von dieser Stelle aus nicht erreicht oder betreten werden können. Während sich eine Person im Spannbereich aufhält, dürfen keine Bewegungen von der Steuerung eingeleitet werden. Das automatische Einlegen des gespannten Werkstücks in die Maschine oder das Werkstückmagazin darf nur dann erfolgen, wenn auch die Spannstation mit einem dem Normalbetrieb entsprechenden Schutzsystem abgesichert ist.
3.2.2 Werkzeugwechsel in der Spindel.
3.2.2.1 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
3.2.2.2 Beim Einsetzen von Werkzeugen dürfen die Finger nicht eingeklemmt werden.
3.2.3 Werkzeugwechsel im Werkzeugmagazin.
3.2.3.1 Bewegungen im Werkzeugmagazin durch fehlerhafte Befehle oder ungültige Befehlseingaben müssen beim Werkzeugwechsel verhindert werden.
3.2.3.2 Von der Werkzeugbeladestation darf nicht in andere bewegliche Maschinenteile gegriffen werden können.
3.2.3.3 Bei der Weiterbewegung des Werkzeugmagazins oder während der Suche darf nicht in Gefahrenbereiche gegriffen werden können. Bei abgenommenen Schutzeinrichtungen für den normalen Betrieb dürfen diese Bewegungen nur in der vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass sich keine Körperteile in diesen Gefahrenbereichen befinden .
3.2.4 Messkontrolle.
3.2.4.1 Das Hineingreifen in den Arbeitsbereich darf erst möglich sein, nachdem alle Bewegungen zum Stillstand gebracht wurden.
3.2.4.2 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
3.2.5 Einrichtung.
3.2.5.1 Werden Bewegungen während des Rüstens bei entfernten Schutzeinrichtungen für den Normalbetrieb ausgeführt, muss der Bediener auf andere Weise abgesichert werden.
3.2.5.2 Aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe dürfen keine gefährlichen Bewegungen oder Bewegungsänderungen eingeleitet werden.
3.2.6 Programmierung.
3.2.6.1 Während der Programmierung dürfen keine Bewegungen eingeleitet werden, die eine Person im Arbeitsbereich gefährden.
3.2.7 Produktionsfehler.
3.2.7.1 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
3.2.7.2 Durch das Bewegen oder Entfernen des Werkstücks oder Abfalls dürfen keine gefährlichen Bewegungen oder Situationen ausgelöst werden.
3.2.7.3 Müssen Bewegungen bei abgenommenen Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der dafür vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass keine Teile der Körper befinden sich in diesen Gefahrenbereichen.
3.2.8 Fehlerbehebung.
3.2.8.1 Das Hineingreifen in die Gefahrenbereiche automatischer Bewegungen muss verhindert werden.
3.2.8.2 Das Anlaufen eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
3.2.8.3 Jede Bewegung der Maschine bei Manipulation des defekten Teils muss verhindert werden.
3.2.8.4 Personenschäden durch Absplittern oder Herunterfallen eines Maschinenteils müssen verhindert werden.
3.2.8.5 Müssen bei der Fehlersuche Bewegungen bei entfernten Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn dies sichergestellt werden kann keine Körperteile befinden sich in diesen Gefahrenzonen.
3.2.9 Maschinenstörung und Reparatur.
3.2.9.1 Das Anlaufen der Maschine muss verhindert werden.
3.2.9.2 Die Manipulation der verschiedenen Teile der Maschine muss manuell oder mit Werkzeugen gefahrlos möglich sein.
3.2.9.3 Es darf nicht möglich sein, spannungsführende Teile der Maschine zu berühren.
3.2.9.4 Durch das Austreten von flüssigen oder gasförmigen Medien dürfen keine Personenschäden entstehen.
4. Schleifmaschinen
4.1 Normaler Betriebsmodus
4.1.1 Der Arbeitsbereich ist so abzusichern, dass der Gefahrenbereich automatischer Bewegungen weder absichtlich noch unbeabsichtigt erreicht oder betreten werden kann.
4.1.2 Personenschäden durch Eingreifen in Antriebssysteme sind zu vermeiden.
4.1.3 Durch umherfliegende Werkstücke oder Teile davon dürfen weder Bediener noch Dritte verletzt werden.
Dies kann beispielsweise vorkommen
4.1.4 Durch umherfliegende Werkstückspannvorrichtungen darf kein Personenschaden entstehen.
4.1.5 Durch Funkenbildung dürfen keine Personenschäden oder Brände entstehen.
4.1.6 Durch umherfliegende Schleifscheibenteile darf kein Personenschaden entstehen.
Dies kann beispielsweise vorkommen
Spezielle Betriebsarten
4.2.1 Werkstückwechsel.
4.2.1.1 Bei kraftbetätigten Spannzeugen dürfen keine Körperteile zwischen den Schließteilen der Spannvorrichtung und dem Werkstück eingeklemmt werden können.
4.2.1.2 Das Starten eines Vorschubantriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
4.2.1.3 Personenschäden durch die rotierende Schleifscheibe müssen beim Hantieren mit dem Werkstück verhindert werden.
4.2.1.4 Personenschäden durch berstende Schleifscheibe dürfen nicht möglich sein.
4.2.1.5 Die Manipulation des Werkstücks muss manuell oder mit Werkzeugen gefahrlos möglich sein.
4.2.2 Werkzeugwechsel (Schleifscheibenwechsel)
4.2.2.1 Das Anlaufen eines Vorschubantriebs infolge eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
4.2.2.2 Personenschäden durch die rotierende Schleifscheibe dürfen während des Messvorgangs nicht möglich sein.
4.2.2.3 Personenschäden durch berstende Schleifscheibe dürfen nicht möglich sein.
4.2.3 Messkontrolle.
4.2.3.1 Das Starten eines Vorschubantriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
4.2.3.2 Personenschäden durch die rotierende Schleifscheibe dürfen während des Messvorgangs nicht möglich sein.
4.2.3.3 Personenschäden durch berstende Schleifscheibe dürfen nicht möglich sein.
4.2.4. Installieren.
4.2.4.1 Werden Bewegungen während des Rüstens bei entfernten Schutzeinrichtungen für den Normalbetrieb ausgeführt, muss der Bediener auf andere Weise abgesichert werden.
4.2.4.2 Aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe dürfen keine gefährlichen Bewegungen oder Bewegungsänderungen eingeleitet werden.
4.2.5 Programmierung.
4.2.5.1 Während der Programmierung dürfen keine Bewegungen eingeleitet werden, die eine Person im Arbeitsbereich gefährden.
4.2.6 Produktionsfehler.
4.2.6.1 Das Starten eines Vorschubantriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
4.2.6.2 Durch das Bewegen oder Entfernen des Werkstücks oder Abfalls dürfen keine gefährlichen Bewegungen oder Situationen ausgelöst werden.
4.2.6.3 Müssen Bewegungen bei abgenommenen Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der dafür vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass keine Teile der Körper befinden sich in diesen Gefahrenbereichen.
4.2.6.4 Personenschäden durch die rotierende Schleifscheibe müssen verhindert werden.
4.2.6.5 Personenschäden durch berstende Schleifscheibe dürfen nicht möglich sein.
4.2.7 Fehlerbehebung.
4.2.7.1 Das Hineingreifen in die Gefahrenbereiche automatischer Bewegungen muss verhindert werden.
4.2.7.2 Das Anlaufen eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
4.2.7.3 Jede Bewegung der Maschine bei Manipulation des defekten Teils muss verhindert werden.
4.2.7.4 Personenschäden durch Absplittern oder Herunterfallen eines Maschinenteils müssen verhindert werden.
4.2.7.5 Personenschäden durch Berühren des Bedieners oder durch Bersten der rotierenden Schleifscheibe müssen verhindert werden.
4.2.7.6 Müssen bei der Fehlersuche Bewegungen bei entfernten Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn dies sichergestellt werden kann keine Körperteile befinden sich in diesen Gefahrenzonen.
4.2.8 Maschinenstörung und Reparatur.
4.2.8.1 Das Anlaufen der Maschine muss verhindert werden.
4.2.8.2 Die Manipulation der verschiedenen Teile der Maschine muss manuell oder mit Werkzeugen gefahrlos möglich sein.
4.2.8.3 Es darf nicht möglich sein, spannungsführende Teile der Maschine zu berühren.
4.2.8.4 Durch das Austreten von flüssigen oder gasförmigen Medien dürfen keine Personenschäden entstehen.
Industrieroboter sind in der gesamten Industrie überall dort zu finden, wo hohe Produktivitätsanforderungen erfüllt werden müssen. Der Einsatz von Robotern erfordert jedoch die Entwicklung, Anwendung und Implementierung geeigneter Sicherheitssteuerungen, um Gefahren für Produktionspersonal, Programmierer, Wartungsspezialisten und Systemingenieure zu vermeiden.
Warum sind Industrieroboter gefährlich?
Eine Definition von Robotern ist „bewegte automatische Maschinen, die frei programmierbar sind und in der Lage sind, mit wenig oder keiner menschlichen Schnittstelle zu arbeiten“. Diese Arten von Maschinen werden derzeit in einer Vielzahl von Anwendungen in Industrie und Medizin, einschließlich Ausbildung, eingesetzt. Industrieroboter werden zunehmend für Schlüsselfunktionen wie neue Fertigungsstrategien (CIM, JIT, Lean Production etc.) in komplexen Anlagen eingesetzt. Aus der Anzahl und Breite der Anwendungen und der Komplexität der Geräte und Installationen resultieren Gefahren wie die folgenden:
Untersuchungen in Japan zeigen, dass mehr als 50 % der Arbeitsunfälle mit Robotern auf Fehler in den elektronischen Schaltungen der Steuerung zurückzuführen sind. In denselben Untersuchungen war „menschliches Versagen“ für weniger als 20 % verantwortlich. Die logische Schlussfolgerung aus dieser Erkenntnis ist, dass Gefährdungen, die durch Systemfehler verursacht werden, nicht durch Verhaltensmaßnahmen des Menschen vermieden werden können. Planer und Betreiber müssen daher technische Sicherheitsmaßnahmen vorsehen und umsetzen (siehe Abbildung 1).
Abbildung 1. Spezielles Bediensystem zum Einrichten eines mobilen Schweißroboters
Unfälle und Betriebsarten
Tödliche Unfälle mit Industrierobotern ereigneten sich bereits Anfang der 1980er Jahre. Statistiken und Untersuchungen zeigen, dass sich die Mehrzahl der Vorfälle und Unfälle nicht im Normalbetrieb ereignen (automatische Auftragserfüllung). Bei der Arbeit mit Industrierobotermaschinen und -anlagen liegt der Schwerpunkt auf speziellen Betriebsarten wie Inbetriebnahme, Einrichten, Programmieren, Testläufen, Kontrollen, Fehlersuche oder Wartung. In diesen Betriebsarten befinden sich Personen in der Regel im Gefahrenbereich. Das Sicherheitskonzept muss das Personal in solchen Situationen vor negativen Ereignissen schützen.
Internationale Sicherheitsanforderungen
Die 1989 EWG-Maschinenrichtlinie (89/392/EWG) (siehe Artikel „Sicherheitsgrundsätze für CNC-Werkzeugmaschinen“ in diesem Kapitel und an anderer Stelle in diesem Kapitel Enzyklopädie)) legt die wichtigsten Sicherheits- und Gesundheitsanforderungen für Maschinen fest. Als Maschine wird die Gesamtheit von miteinander verbundenen Teilen oder Geräten angesehen, von denen mindestens ein Teil oder Gerät sich bewegen kann und dementsprechend eine Funktion hat. Bei Industrierobotern ist zu beachten, dass das gesamte System, nicht nur ein einzelnes Gerät an der Maschine, die Sicherheitsanforderungen erfüllen und mit den entsprechenden Sicherheitseinrichtungen ausgestattet sein muss. Gefahrenanalyse und Risikobewertung sind geeignete Methoden, um festzustellen, ob diese Anforderungen erfüllt sind (siehe Abbildung 2).
Abbildung 2. Blockdiagramm für ein Personensicherheitssystem
Anforderungen und Sicherheitsmaßnahmen im Normalbetrieb
Der Einsatz von Robotertechnik stellt höchste Anforderungen an Gefahrenanalyse, Risikobewertung und Sicherheitskonzepte. Aus diesem Grund können die folgenden Beispiele und Vorschläge nur als Richtlinien dienen:
1. Angesichts des Sicherheitsziels, dass der manuelle oder physische Zugang zu Gefahrenbereichen mit automatischen Bewegungen verhindert werden muss, umfassen folgende Lösungsvorschläge:
2. Angesichts des Sicherheitsziels, dass keine Person durch freigesetzte Energie (umherfliegende Teile oder Energiestrahlen) verletzt werden darf, sind Lösungsvorschläge:
3. Die Schnittstellen zwischen Normalbetrieb und Sonderbetrieb (z. B. Türverriegelungen, Lichtschranken, Schaltmatten) sind notwendig, damit die Sicherheitssteuerung die Anwesenheit von Personen automatisch erkennen kann.
Anforderungen und Sicherheitsmaßnahmen in Sonderbetriebsarten
Bestimmte Sonderbetriebsarten (z. B. Einrichten, Programmieren) an einem Industrieroboter erfordern Bewegungen, die direkt am Einsatzort beurteilt werden müssen. Das relevante Sicherheitsziel ist, dass keine Bewegungen die beteiligten Personen gefährden dürfen. Die Bewegungen sollten sein
Ein Lösungsvorschlag für dieses Ziel könnte die Verwendung von speziellen Betriebssteuerungssystemen beinhalten, die nur kontrollierbare und handhabbare Bewegungen unter Verwendung von quittierbaren Steuerungen zulassen. Damit wird die Bewegungsgeschwindigkeit sicher reduziert (Energieabbau durch Anschluss eines Trenntransformators oder Einsatz von fehlersicheren Zustandsüberwachungseinrichtungen) und der sichere Zustand quittiert, bevor die Steuerung ansprechen darf (siehe Bild 3).
Abbildung 3. Sechsachsiger Industrieroboter in einem Sicherheitskäfig mit Materialtoren
Anforderungen an Sicherheitssteuerungen
Zu den Merkmalen einer Sicherheitssteuerung muss gehören, dass im Fehlerfall die geforderte Sicherheitsfunktion gewährleistet ist. Industrierobotermaschinen sollten fast augenblicklich von einem gefährlichen Zustand in einen sicheren Zustand gelenkt werden. Um dies zu erreichen, sind folgende Sicherheitskontrollmaßnahmen erforderlich:
Vorgeschlagene Lösungen für die Bereitstellung zuverlässiger Sicherheitssteuerungssysteme wären:
Sicherheitsziele für den Bau und Einsatz von Industrierobotern.
Beim Bau und Einsatz von Industrierobotern sind sowohl Hersteller als auch Anwender gefordert, modernste Sicherheitssteuerungen zu installieren. Neben dem Aspekt der rechtlichen Verantwortung kann auch eine moralische Verpflichtung bestehen, dafür zu sorgen, dass Robotertechnologie auch eine sichere Technologie ist.
Normaler Betriebsmodus
Die folgenden Sicherheitsbedingungen sollten bereitgestellt werden, wenn Robotermaschinen im Normalmodus arbeiten:
Spezielle Betriebsmodi
Die folgenden Sicherheitsbedingungen sollten bereitgestellt werden, wenn Robotermaschinen in speziellen Modi arbeiten:
Bei der Behebung einer Störung im Produktionsprozess muss Folgendes verhindert werden:
Beim Aufbau sind folgende sichere Bedingungen zu gewährleisten:
Durch einen fehlerhaften Befehl oder eine falsche Befehlseingabe dürfen keine gefahrbringenden Bewegungen eingeleitet werden.
Während der Programmierung gelten die folgenden Sicherheitsbedingungen:
Ein sicherer Testbetrieb erfordert folgende Vorkehrungen:
Verhindern Sie manuellen oder physischen Zugang zu Bereichen, die aufgrund automatischer Bewegungen gefährlich sind.
Zu den sicheren Verfahren bei der Inspektion von Robotermaschinen gehören:
Die Fehlerbehebung erfordert häufig das Starten der Robotermaschine, während sie sich in einem potenziell gefährlichen Zustand befindet, und es sollten spezielle sichere Arbeitsverfahren wie die folgenden implementiert werden:
Auch die Störungsbeseitigung und Wartungsarbeiten können eine Inbetriebnahme in einem unsicheren Zustand der Maschine erfordern und erfordern daher folgende Vorkehrungen:
Dieser Artikel behandelt den Entwurf und die Implementierung sicherheitsbezogener Steuerungssysteme, die sich mit allen Arten von elektrischen, elektronischen und programmierbaren elektronischen Systemen (einschließlich computergestützter Systeme) befassen. Der Gesamtansatz entspricht dem vorgeschlagenen International Electrotechnical Commission (IEC) Standard 1508 (Funktionale Sicherheit: Sicherheitsbezogen
Systeme und Techniken) (IEC 1993).
Hintergrund
In den 1980er Jahren wurden zunehmend computerbasierte Systeme – allgemein als programmierbare elektronische Systeme (PES) bezeichnet – zur Ausführung von Sicherheitsfunktionen eingesetzt. Treibende Kräfte hinter diesem Trend waren (1) verbesserte Funktionalität und wirtschaftliche Vorteile (insbesondere unter Berücksichtigung des Gesamtlebenszyklus des Geräts oder Systems) und (2) der besondere Nutzen bestimmter Designs, der nur durch den Einsatz von Computertechnologie realisiert werden konnte . Bei der frühen Einführung computergestützter Systeme wurden eine Reihe von Erkenntnissen gewonnen:
Um diese Probleme zu lösen, haben mehrere Gremien Richtlinien veröffentlicht oder mit der Entwicklung begonnen, um die sichere Nutzung der PES-Technologie zu ermöglichen. In Großbritannien hat die Health and Safety Executive (HSE) Richtlinien für programmierbare elektronische Systeme für sicherheitsrelevante Anwendungen entwickelt, und in Deutschland wurde ein Normentwurf (DIN 1990) veröffentlicht. Innerhalb der Europäischen Gemeinschaft wurde im Zusammenhang mit den Anforderungen der Maschinenrichtlinie ein wichtiger Teil der Arbeit an harmonisierten europäischen Normen für sicherheitsbezogene Steuerungssysteme (einschließlich solcher mit PES) begonnen. In den Vereinigten Staaten hat die Instrument Society of America (ISA) einen Standard für PES zur Verwendung in der Prozessindustrie erstellt, und das Center for Chemical Process Safety (CCPS), eine Direktion des American Institute of Chemical Engineers, hat Richtlinien erstellt für den chemischen Prozesssektor.
Derzeit findet innerhalb der IEC eine große Normungsinitiative statt, um eine generisch basierte internationale Norm für elektrische, elektronische und programmierbare elektronische (E/E/PES) sicherheitsbezogene Systeme zu entwickeln, die von den vielen Anwendungssektoren verwendet werden könnte, einschließlich der Prozess-, Medizin-, Transport- und Maschinensektor. Die vorgeschlagene internationale IEC-Norm umfasst sieben Teile unter dem allgemeinen Titel IEC 1508. Funktionale Sicherheit elektrischer/elektronischer/programmierbarer elektronischer sicherheitsbezogener Systeme. Die verschiedenen Teile sind wie folgt:
Nach ihrer Fertigstellung wird diese generisch basierte Internationale Norm eine grundlegende IEC-Sicherheitsveröffentlichung darstellen, die die funktionale Sicherheit für elektrische, elektronische und programmierbare elektronische sicherheitsbezogene Systeme abdeckt und Auswirkungen auf alle IEC-Normen haben wird, die alle Anwendungsbereiche in Bezug auf die zukünftige Gestaltung und Verwendung abdecken elektrische/elektronische/programmierbare elektronische sicherheitsbezogene Systeme. Ein Hauptziel des vorgeschlagenen Standards ist es, die Entwicklung von Standards für die verschiedenen Sektoren zu erleichtern (siehe Abbildung 1).
Abbildung 1. Generische Standards und Anwendungssektorstandards
PES Vorteile und Probleme
Die Einführung von PES für Sicherheitszwecke hatte viele potenzielle Vorteile, aber es wurde erkannt, dass diese nur erreicht werden würden, wenn geeignete Design- und Bewertungsmethoden verwendet würden, weil: (1) viele der Merkmale von PES die Sicherheitsintegrität nicht ermöglichen (dass ist die Sicherheitsleistung der Systeme, die die erforderlichen Sicherheitsfunktionen ausführen), die mit dem gleichen Grad an Zuverlässigkeit vorhergesagt werden können, der traditionell für weniger komplexe hardwarebasierte („festverdrahtete“) Systeme verfügbar war; (2) Es wurde anerkannt, dass Tests für komplexe Systeme zwar notwendig, aber allein nicht ausreichend sind. Dies bedeutete, dass selbst wenn das PES relativ einfache Sicherheitsfunktionen implementierte, der Komplexitätsgrad der programmierbaren Elektronik deutlich höher war als der der festverdrahteten Systeme, die sie ersetzten; und (3) dieser Anstieg der Komplexität bedeutete, dass den Entwurfs- und Bewertungsmethoden viel mehr Beachtung geschenkt werden musste als zuvor, und dass das Maß an persönlicher Kompetenz, das erforderlich war, um ein angemessenes Leistungsniveau der sicherheitsbezogenen Systeme zu erreichen, anschließend höher war.
Zu den Vorteilen computergestützter PES gehören:
Der Einsatz computergestützter Systeme in sicherheitsbezogenen Anwendungen wirft eine Reihe von Problemen auf, die angemessen angegangen werden müssen, wie z. B. die folgenden:
Sicherheitssysteme in Betracht gezogen
Die betrachteten Arten von sicherheitsbezogenen Systemen sind elektrische, elektronische und programmierbare elektronische Systeme (E/E/PES). Das System umfasst alle Elemente, insbesondere Signale, die von Sensoren oder anderen Eingabegeräten an der zu steuernden Ausrüstung ausgehen und über Datenautobahnen oder andere Kommunikationswege zu den Aktuatoren oder anderen Ausgabegeräten übertragen werden (siehe Abbildung 2).
Abbildung 2. Elektrisches, elektronisches und programmierbares elektronisches System (E/E/PES)
Die elektrische, elektronische und programmierbare elektronische Geräte wurde verwendet, um eine Vielzahl von Geräten zu umfassen, und deckt die folgenden drei Hauptklassen ab:
Per Definition dient ein sicherheitsbezogenes System zwei Zwecken:
Dieses Konzept ist in Abbildung 3 dargestellt.
Abbildung 3. Hauptmerkmale sicherheitsbezogener Systeme
Systemfehler
Um einen sicheren Betrieb von sicherheitsbezogenen E/E/PES-Systemen zu gewährleisten, ist es erforderlich, die verschiedenen möglichen Ursachen für sicherheitsbezogene Systemausfälle zu erkennen und dafür zu sorgen, dass jeweils angemessene Vorkehrungen getroffen werden. Fehler werden in zwei Kategorien eingeteilt, wie in Abbildung 4 dargestellt.
Abbildung 4. Fehlerkategorien
Schutz sicherheitsbezogener Systeme
Die Begriffe, die verwendet werden, um die Vorsichtsmaßnahmen anzugeben, die ein sicherheitsbezogenes System zum Schutz vor zufälligen Hardwareausfällen und systematischen Ausfällen erfordert, sind Hardware-Sicherheitsintegritätsmaßnahmen und systematische Sicherheitsintegritätsmaßnahmen beziehungsweise. Vorkehrungen, die ein sicherheitsbezogenes System sowohl gegen zufällige Hardwareausfälle als auch gegen systematische Ausfälle treffen kann, werden genannt Sicherheitsintegrität. Diese Konzepte sind in Abbildung 5 dargestellt.
Abbildung 5. Begriffe zur Sicherheitsleistung
Innerhalb des vorgeschlagenen internationalen Standards IEC 1508 gibt es vier Stufen der Sicherheitsintegrität, die als Sicherheitsintegritätsstufen 1, 2, 3 und 4 bezeichnet werden. Sicherheitsintegritätsstufe 1 ist die niedrigste Sicherheitsintegritätsstufe und Sicherheitsintegritätsstufe 4 ist die höchste. Der Sicherheitsintegritätslevel (ob 1, 2, 3 oder 4) für das sicherheitsbezogene System hängt von der Bedeutung der Rolle ab, die das sicherheitsbezogene System beim Erreichen des erforderlichen Sicherheitsniveaus für die gesteuerte Ausrüstung spielt. Es können mehrere sicherheitsbezogene Systeme erforderlich sein, von denen einige auf pneumatischer oder hydraulischer Technologie basieren können.
Entwurf sicherheitsbezogener Systeme
Eine kürzlich durchgeführte Analyse von 34 Vorfällen mit Steuerungssystemen (HSE) ergab, dass 60 % aller Fehlerfälle „eingebaut“ waren, bevor das sicherheitsbezogene Steuerungssystem in Betrieb genommen wurde (Abbildung 7). Die Betrachtung aller Phasen des Sicherheitslebenszyklus ist notwendig, um adäquate sicherheitsbezogene Systeme herzustellen.
Abbildung 7. Hauptursache (nach Phase) des Ausfalls des Steuerungssystems
Die funktionale Sicherheit sicherheitsbezogener Systeme hängt nicht nur davon ab, sicherzustellen, dass die technischen Anforderungen ordnungsgemäß spezifiziert sind, sondern auch sicherzustellen, dass die technischen Anforderungen effektiv umgesetzt werden und dass die ursprüngliche Designintegrität während der gesamten Lebensdauer der Ausrüstung erhalten bleibt. Dies kann nur verwirklicht werden, wenn ein wirksames Sicherheitsmanagementsystem vorhanden ist und die an einer Tätigkeit beteiligten Personen in Bezug auf die von ihnen zu erfüllenden Aufgaben kompetent sind. Gerade wenn es um komplexe sicherheitsrelevante Systeme geht, ist ein adäquates Sicherheitsmanagementsystem unerlässlich. Dies führt zu einer Strategie, die Folgendes sicherstellt:
Um alle relevanten technischen Anforderungen der funktionalen Sicherheit systematisch zu adressieren, wurde das Konzept des Safety Lifecycle entwickelt. Eine vereinfachte Version des Sicherheitslebenszyklus in der neuen internationalen Norm IEC 1508 ist in Abbildung 8 dargestellt. Die wichtigsten Phasen des Sicherheitslebenszyklus sind:
Abbildung 8. Rolle des Sicherheitslebenszyklus beim Erreichen funktionaler Sicherheit
Sicherheitsstufe
Die Entwurfsstrategie zum Erreichen angemessener Sicherheitsintegritätsniveaus für die sicherheitsbezogenen Systeme ist in Abbildung 9 und Abbildung 10 dargestellt. Ein Sicherheitsintegritätsniveau basiert auf der Rolle, die das sicherheitsbezogene System beim Erreichen des Gesamtniveaus spielt der Sicherheit für die zu kontrollierende Ausrüstung. Der Sicherheitsintegritätslevel gibt die Vorkehrungen an, die bei der Konstruktion sowohl gegen zufällige Hardware- als auch gegen systematische Ausfälle zu berücksichtigen sind.
Abbildung 9. Rolle der Sicherheitsintegritätsstufen im Designprozess
Abbildung 10. Rolle des Sicherheitslebenszyklus im Spezifikations- und Designprozess
Das Konzept der Sicherheit und des Sicherheitsniveaus gilt für die zu steuernde Ausrüstung. Für die sicherheitsbezogenen Systeme gilt das Konzept der funktionalen Sicherheit. Die funktionale Sicherheit der sicherheitsbezogenen Systeme muss erreicht werden, wenn ein angemessenes Sicherheitsniveau für die gefährdenden Geräte erreicht werden soll. Das spezifizierte Sicherheitsniveau für eine bestimmte Situation ist ein Schlüsselfaktor in der Spezifikation der Anforderungen an die Sicherheitsintegrität für die sicherheitsbezogenen Systeme.
Das erforderliche Sicherheitsniveau hängt von vielen Faktoren ab, z. B. der Schwere der Verletzung, der Anzahl der gefährdeten Personen, der Häufigkeit, mit der Personen einer Gefahr ausgesetzt sind, und der Dauer der Exposition. Wichtige Faktoren werden die Wahrnehmung und Ansichten derjenigen sein, die dem gefährlichen Ereignis ausgesetzt sind. Um ein angemessenes Sicherheitsniveau für eine bestimmte Anwendung zu ermitteln, werden eine Reihe von Eingaben berücksichtigt, darunter die folgenden:
Zusammenfassung
Beim Entwerfen und Verwenden von sicherheitsbezogenen Systemen muss berücksichtigt werden, dass es die zu steuernden Geräte sind, die die potenzielle Gefahr erzeugen. Die sicherheitsbezogenen Systeme sind darauf ausgelegt, die Häufigkeit (oder Wahrscheinlichkeit) des gefährlichen Ereignisses und/oder die Folgen des gefährlichen Ereignisses zu reduzieren. Sobald das Sicherheitsniveau für die Ausrüstung festgelegt wurde, kann das Sicherheitsintegritätsniveau für das sicherheitsbezogene System bestimmt werden, und es ist das Sicherheitsintegritätsniveau, das es dem Konstrukteur ermöglicht, die Vorsichtsmaßnahmen anzugeben, die in das Design eingebaut werden müssen sowohl gegen zufällige Hardware als auch gegen systematische Ausfälle eingesetzt werden.
Maschinen, Prozessanlagen und andere Geräte können bei Fehlfunktionen Risiken durch gefährliche Ereignisse wie Brände, Explosionen, Überdosierungen von Strahlung und bewegliche Teile darstellen. Eine der Ursachen für Fehlfunktionen solcher Anlagen, Geräte und Maschinen sind Ausfälle elektromechanischer, elektronischer und programmierbarer elektronischer (E/E/PE) Geräte, die beim Entwurf ihrer Steuerungs- oder Sicherheitssysteme verwendet werden. Diese Ausfälle können entweder durch physische Fehler im Gerät entstehen (z. B. durch zeitlich zufällig auftretenden Verschleiß (zufällige Hardwareausfälle)); oder von systematischen Fehlern (z. B. Fehlern in der Spezifikation und dem Design eines Systems, die dazu führen, dass es aufgrund (1) einer bestimmten Kombination von Eingaben, (2) einer Umgebungsbedingung, (3) falscher oder unvollständiger Eingaben von Sensoren, ( 4) unvollständige oder fehlerhafte Dateneingabe durch Bediener und (5) potenzielle systematische Fehler aufgrund eines schlechten Schnittstellendesigns).
Sicherheitsrelevante Systemausfälle
Dieser Artikel behandelt die funktionale Sicherheit sicherheitsbezogener Steuerungssysteme und betrachtet die technischen Hardware- und Softwareanforderungen, die zum Erreichen der erforderlichen Sicherheitsintegrität erforderlich sind. Der Gesamtansatz entspricht dem vorgeschlagenen International Electrotechnical Commission Standard IEC 1508, Teile 2 und 3 (IEC 1993). Das übergeordnete Ziel des Entwurfs der internationalen Norm IEC 1508, Funktionale Sicherheit: Sicherheitsbezogene Systeme, soll sicherstellen, dass Anlagen und Ausrüstungen sicher automatisiert werden können. Ein Hauptziel bei der Entwicklung des vorgeschlagenen internationalen Standards ist die Vermeidung oder Minimierung der Häufigkeit von:
Der Artikel „Elektrische, elektronische und programmierbare elektronische sicherheitsbezogene Systeme“ beschreibt den allgemeinen Sicherheitsmanagementansatz, der in Teil 1 der IEC 1508 verkörpert ist, um die Sicherheit von Steuerungs- und Schutzsystemen zu gewährleisten, die für die Sicherheit wichtig sind. Dieser Artikel beschreibt das allgemeine konzeptionelle Engineering-Design, das erforderlich ist, um das Unfallrisiko auf ein akzeptables Niveau zu reduzieren, einschließlich der Rolle von Kontroll- oder Schutzsystemen auf der Grundlage von E/E/PE-Technologie.
In Abbildung 1 wird das Risiko von der Ausrüstung, der Prozessanlage oder der Maschine (allgemein bezeichnet als Geräte im Griff (EUC) ohne Schutzvorrichtungen) ist an einem Ende der EUC-Risikoskala markiert, und das angestrebte Risikoniveau, das erforderlich ist, um das erforderliche Sicherheitsniveau zu erreichen, befindet sich am anderen Ende. Dazwischen wird die Kombination aus sicherheitsbezogenen Systemen und externen Risikominderungseinrichtungen gezeigt, die erforderlich ist, um die erforderliche Risikominderung zu erreichen. Diese können unterschiedlicher Art sein – mechanische (z. B. Druckentlastungsventile), hydraulische, pneumatische, physikalische sowie E/E/PE-Systeme. Abbildung 2 betont die Rolle jeder Sicherheitsschicht beim Schutz des EUC im Verlauf des Unfalls.
Abbildung 1. Risikominderung: Allgemeine Konzepte
Abbildung 2. Gesamtmodell: Schutzschichten
Vorausgesetzt, dass eine Gefahren- und Risikoanalyse am EUC durchgeführt wurde, wie in Teil 1 von IEC 1508 gefordert, wurde das Gesamtkonzept für die Sicherheit erstellt und somit die erforderlichen Funktionen und das Ziel des Sicherheitsintegritätslevels (SIL) für jedes E/E/ PE-Steuerungs- oder Schutzsystem wurden definiert. Das Ziel des Sicherheitsintegritätslevels wird in Bezug auf eine Zielausfallmaßnahme definiert (siehe Tabelle 1).
Tabelle 1. Sicherheitsintegritätslevel für Schutzsysteme: Zielausfallmaßnahmen
Sicherheitsintegritätslevel Demand-Betriebsart (Wahrscheinlichkeit des Versagens, seine Designfunktion bei Bedarf auszuführen)
4 10-5 ≤ × 10-4
3 10-4 ≤ × 10-3
2 10-3 ≤ × 10-2
1 10-2 ≤ × 10-1
Schutzsysteme
Dieses Dokument umreißt die technischen Anforderungen, die der Entwickler eines sicherheitsbezogenen E/E/PE-Systems berücksichtigen sollte, um das erforderliche Sicherheitsintegritätslevel-Ziel zu erreichen. Der Schwerpunkt liegt auf einem typischen Schutzsystem, das programmierbare Elektronik verwendet, um eine eingehendere Diskussion der Schlüsselthemen mit wenig Verlust an Allgemeingültigkeit zu ermöglichen. Ein typisches Schutzsystem ist in Abbildung 3 dargestellt, die ein einkanaliges Sicherheitssystem mit einer sekundären Abschaltung darstellt, die über ein Diagnosegerät aktiviert wird. Im Normalbetrieb wird der unsichere Zustand des EUC (z. B. Überdrehzahl in einer Maschine, hohe Temperatur in einer Chemieanlage) vom Sensor erkannt und an die programmierbare Elektronik übermittelt, die den Stellgliedern (über die Ausgangsrelais) den Befehl zum Setzen gibt das System in einen sicheren Zustand (z. B. Ausschalten des Elektromotors der Maschine, Öffnen eines Ventils zum Druckentlasten).
Abbildung 3. Typisches Schutzsystem
Was aber, wenn die Komponenten des Schutzsystems ausfallen? Dies ist die Funktion der Sekundärabschaltung, die durch die Diagnose (Selbstüberprüfung) dieser Konstruktion aktiviert wird. Das System ist jedoch nicht vollständig ausfallsicher, da das Design nur mit einer bestimmten Wahrscheinlichkeit verfügbar ist, wenn es zur Ausführung seiner Sicherheitsfunktion aufgefordert wird (es hat eine bestimmte Ausfallwahrscheinlichkeit oder einen bestimmten Sicherheitsintegritätslevel). Beispielsweise könnte das obige Design in der Lage sein, bestimmte Arten von Ausgangskartenfehlern zu erkennen und zu tolerieren, aber es wäre nicht in der Lage, einem Fehler der Eingangskarte zu widerstehen. Daher ist seine Sicherheitsintegrität viel geringer als die eines Designs mit einer Eingangskarte mit höherer Zuverlässigkeit oder verbesserter Diagnose oder einer Kombination davon.
Andere mögliche Ursachen für Kartenausfälle sind „klassische“ physikalische Fehler in der Hardware, systematische Fehler einschließlich Fehler in der Anforderungsspezifikation, Implementierungsfehler in der Software und unzureichender Schutz vor Umwelteinflüssen (z. B. Feuchtigkeit). Die Diagnose in diesem einkanaligen Design kann möglicherweise nicht alle diese Fehlerarten abdecken, wodurch der in der Praxis erreichte Sicherheitsintegritätslevel eingeschränkt wird. (Die Abdeckung ist ein Maß für den Prozentsatz der Fehler, die ein Design erkennen und sicher handhaben kann.)
Technische Anforderungen
Die Teile 2 und 3 des IEC 1508-Entwurfs bieten einen Rahmen für die Identifizierung der verschiedenen potenziellen Fehlerursachen in Hardware und Software und für die Auswahl von Konstruktionsmerkmalen, die diese potenziellen Fehlerursachen entsprechend dem erforderlichen Sicherheitsintegritätslevel des sicherheitsbezogenen Systems überwinden. Der allgemeine technische Ansatz für das Schutzsystem in Abbildung 3 ist beispielsweise in Abbildung 4 dargestellt. Die Abbildung zeigt die zwei grundlegenden Strategien zur Überwindung von Fehlern und Ausfällen: (1) Fehlervermeidung, wo darauf geachtet wird, dass keine Fehler entstehen; und 2) Fehlertoleranz, wo das Design speziell erstellt wird, um bestimmte Fehler zu tolerieren. Das oben erwähnte einkanalige System ist ein Beispiel für ein (begrenztes) fehlertolerantes Design, bei dem die Diagnose verwendet wird, um bestimmte Fehler zu erkennen und das System in einen sicheren Zustand zu versetzen, bevor ein gefährlicher Fehler auftreten kann.
Abbildung 4. Designspezifikation: Designlösung
Fehlervermeidung
Fehlervermeidung versucht zu verhindern, dass Fehler in ein System eingeführt werden. Der Hauptansatz besteht darin, eine systematische Methode zum Management des Projekts zu verwenden, sodass Sicherheit als definierbare und kontrollierbare Qualität eines Systems behandelt wird, während des Entwurfs und anschließend während des Betriebs und der Wartung. Der qualitätssicherungsähnliche Ansatz basiert auf dem Feedback-Konzept und umfasst: (1) Planung (Definition von Sicherheitszielen, Ermittlung der Mittel und Wege zur Erreichung der Ziele); (2) Messen Leistung gegenüber dem Plan während der Umsetzung und (3) Anwendung Feedback eventuelle Abweichungen zu korrigieren. Design Reviews sind ein gutes Beispiel für eine Technik zur Fehlervermeidung. In IEC 1508 wird dieser „Qualitäts“-Ansatz zur Fehlervermeidung durch die Anforderungen erleichtert, einen Sicherheitslebenszyklus zu verwenden und Sicherheitsmanagementverfahren sowohl für Hardware als auch für Software einzusetzen. Für letztere manifestieren sich diese oft als Software-Qualitätssicherungsverfahren, wie sie in ISO 9000-3 (1990) beschrieben sind.
Darüber hinaus stufen die Teile 2 und 3 der IEC 1508 (in Bezug auf Hardware bzw. Software) bestimmte Techniken oder Maßnahmen ein, die für die Fehlervermeidung während der verschiedenen Phasen des Sicherheitslebenszyklus als nützlich erachtet werden. Tabelle 2 zeigt ein Beispiel aus Teil 3 für die Entwurfs- und Entwicklungsphase von Software. Der Konstrukteur würde die Tabelle verwenden, um bei der Auswahl von Techniken zur Fehlervermeidung zu helfen, abhängig von der erforderlichen Sicherheitsintegritätsstufe. Für jede Technik oder Maßnahme in den Tabellen gibt es eine Empfehlung für jeden Sicherheitsintegritätslevel, 1 bis 4. Das Spektrum der Empfehlungen umfasst „Sehr empfehlenswert“ (HR), „Empfohlen“ (R), „Neutral“ – weder dafür noch dagegen (–) und „Nicht empfohlen“. (NR.).
Tabelle 2. Softwaredesign und -entwicklung
Technik/Maßnahme |
SIL 1 |
SIL 2 |
SIL 3 |
SIL 4 |
1. Formale Methoden wie zB CCS, CSP, HOL, LOTOS |
- |
R |
R |
HR |
2. Semi-formale Methoden |
HR |
HR |
HR |
HR |
3. Strukturiert. Methodik einschließlich beispielsweise JSD, MASCOT, SADT, SSADM und YOURDON |
HR |
HR |
HR |
HR |
4. Modularer Ansatz |
HR |
HR |
HR |
HR |
5. Design- und Codierungsstandards |
R |
HR |
HR |
HR |
HR = sehr empfehlenswert; R = empfohlen; NR = nicht empfohlen;— = neutral: Die Technik/Maßnahme ist weder für noch gegen den SIL.
Hinweis: Eine nummerierte Technik/Maßnahme muss entsprechend dem Sicherheitsintegritätslevel ausgewählt werden.
Fehlertoleranz
IEC 1508 fordert mit steigendem Sicherheitsintegritätsziel immer höhere Fehlertoleranzniveaus. Die Norm erkennt jedoch an, dass Fehlertoleranz wichtiger ist, wenn Systeme (und die Komponenten, aus denen diese Systeme bestehen) komplex sind (in IEC 1508 als Typ B bezeichnet). Für weniger komplexe, „gut bewährte“ Systeme kann der Grad der Fehlertoleranz gelockert werden.
Toleranz gegenüber zufälligen Hardwarefehlern
Tabelle 3 zeigt die Anforderungen an die Fehlertoleranz gegen zufällige Hardwareausfälle in komplexen Hardwarekomponenten (z. B. Mikroprozessoren), wenn sie in einem Schutzsystem wie in Abbildung 3 verwendet werden. Der Konstrukteur muss möglicherweise eine geeignete Kombination aus Diagnose, Fehlertoleranz und manuelle Proof-Checks zur Überwindung dieser Fehlerklasse, abhängig vom geforderten Safety Integrity Level.
Tabelle 3. Sicherheitsintegritätslevel – Fehleranforderungen für Typ-B-Komponenten1
1 Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung entdeckt werden.
2 Bei Komponenten ohne mittlere Online-Diagnoseabdeckung muss das System in der Lage sein, die Sicherheitsfunktion bei Vorliegen eines einzelnen Fehlers auszuführen. Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung aufgedeckt werden.
3 Bei Komponenten mit hoher Online-Diagnoseabdeckung muss das System in der Lage sein, die Sicherheitsfunktion bei Vorliegen eines einzelnen Fehlers auszuführen. Bei Komponenten ohne hohe Online-Diagnoseabdeckung muss das System in der Lage sein, die Sicherheitsfunktion bei Vorhandensein von zwei Fehlern auszuführen. Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung aufgedeckt werden.
4 Die Komponenten müssen in der Lage sein, die Sicherheitsfunktion bei Vorliegen von zwei Fehlern auszuführen. Fehler müssen mit hoher Online-Diagnoseabdeckung erkannt werden. Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung aufgedeckt werden. Quantitative Hardwareanalysen müssen auf Worst-Case-Annahmen beruhen.
1Komponenten, deren Fehlermodi nicht gut definiert oder testbar sind oder für die es schlechte Fehlerdaten aus der Praxis gibt (z. B. programmierbare elektronische Komponenten).
IEC 1508 unterstützt den Designer durch Bereitstellung von Designspezifikationstabellen (siehe Tabelle 4) mit Designparametern, die mit dem Sicherheitsintegritätslevel für eine Reihe häufig verwendeter Schutzsystemarchitekturen indiziert sind.
Tabelle 4. Anforderungen für Sicherheitsintegritätslevel 2 – Programmierbare elektronische Systemarchitekturen für Schutzsysteme
Konfiguration des PE-Systems |
Diagnoseabdeckung pro Kanal |
Offline-Proof-Test-Intervall (TI) |
Mittlere Zeit bis zur Fehlauslösung |
Single PE, Single I/O, Ext. WD |
Hoch |
6 Monate |
1.6 Jahre |
Doppelte PE, einzelne E/A |
Hoch |
6 Monate |
10 Jahre |
Dual PE, Dual I/O, 2oo2 |
Hoch |
3 Monate |
1,281 Jahre |
Dual PE, Dual I/O, 1oo2 |
Keine |
2 Monate |
1.4 Jahre |
Dual PE, Dual I/O, 1oo2 |
Niedrig |
5 Monate |
1.0 Jahre |
Dual PE, Dual I/O, 1oo2 |
Verwendung |
18 Monate |
0.8 Jahre |
Dual PE, Dual I/O, 1oo2 |
Hoch |
36 Monate |
0.8 Jahre |
Dual PE, Dual I/O, 1oo2D |
Keine |
2 Monate |
1.9 Jahre |
Dual PE, Dual I/O, 1oo2D |
Niedrig |
4 Monate |
4.7 Jahre |
Dual PE, Dual I/O, 1oo2D |
Verwendung |
18 Monate |
18 Jahre |
Dual PE, Dual I/O, 1oo2D |
Hoch |
48 + Monate |
168 Jahre |
Triple PE, Triple I/O, IPC, 2oo3 |
Keine |
1 Monat |
20 Jahre |
Triple PE, Triple I/O, IPC, 2oo3 |
Niedrig |
3 Monate |
25 Jahre |
Triple PE, Triple I/O, IPC, 2oo3 |
Verwendung |
12 Monate |
30 Jahre |
Triple PE, Triple I/O, IPC, 2oo3 |
Hoch |
48 + Monate |
168 Jahre |
Die erste Spalte der Tabelle stellt Architekturen mit unterschiedlichem Grad an Fehlertoleranz dar. Im Allgemeinen haben Architekturen, die am unteren Ende der Tabelle platziert sind, einen höheren Grad an Fehlertoleranz als die am oberen Rand. Ein 1oo2-System (eins von zwei) kann jedem Fehler standhalten, ebenso wie 2oo3.
Die zweite Spalte beschreibt die prozentuale Abdeckung aller internen Diagnosen. Je höher die Diagnosestufe, desto mehr Fehler werden erfasst. In einem Schutzsystem ist dies wichtig, da, sofern die fehlerhafte Komponente (z. B. eine Eingangskarte) innerhalb einer angemessenen Zeit (oft 8 Stunden) repariert wird, die funktionale Sicherheit kaum beeinträchtigt wird. (Hinweis: Dies wäre bei einem kontinuierlichen Kontrollsystem nicht der Fall, da jeder Fehler wahrscheinlich einen unmittelbaren unsicheren Zustand und die Möglichkeit eines Zwischenfalls verursacht.)
Die dritte Spalte zeigt das Intervall zwischen den Wiederholungsprüfungen. Dies sind spezielle Tests, die durchgeführt werden müssen, um das Schutzsystem gründlich zu testen, um sicherzustellen, dass keine latenten Fehler vorhanden sind. Typischerweise werden diese vom Anlagenlieferanten während Anlagenstillstandszeiten durchgeführt.
Die vierte Spalte zeigt die Nebenauslöserate. Eine Fehlauslösung bewirkt, dass die Anlage oder Ausrüstung abgeschaltet wird, wenn keine Prozessabweichung vorliegt. Der Preis für die Sicherheit ist oft eine höhere Fehlauslösungsrate. Ein einfaches redundantes Schutzsystem – 1oo2 – hat bei allen anderen Designfaktoren einen höheren Safety Integrity Level, aber auch eine höhere Nebenauslöserate als ein einkanaliges (1oo1) System.
Wenn eine der Architekturen in der Tabelle nicht verwendet wird oder wenn der Designer eine grundlegendere Analyse durchführen möchte, lässt die IEC 1508 diese Alternative zu. Reliability-Engineering-Techniken wie die Markov-Modellierung können dann verwendet werden, um das Hardwareelement des Sicherheitsintegritätslevels zu berechnen (Johnson 1989; Goble 1992).
Toleranz gegenüber systematischen Ausfällen und Ausfällen aufgrund gemeinsamer Ursache
Diese Fehlerklasse ist in Sicherheitssystemen sehr wichtig und ist der begrenzende Faktor für das Erreichen der Sicherheitsintegrität. In einem redundanten System wird eine Komponente oder ein Teilsystem oder sogar das gesamte System dupliziert, um eine hohe Zuverlässigkeit von weniger zuverlässigen Teilen zu erreichen. Die Zuverlässigkeitsverbesserung tritt auf, weil statistisch gesehen die Wahrscheinlichkeit, dass zwei Systeme gleichzeitig durch zufällige Fehler ausfallen, das Produkt der Zuverlässigkeiten der einzelnen Systeme ist und daher viel geringer ist. Andererseits führen systematische Fehler gemeinsamer Ursache zum zufälligen Ausfall redundanter Systeme, wenn beispielsweise ein Spezifikationsfehler in der Software dazu führt, dass die duplizierten Teile gleichzeitig ausfallen. Ein weiteres Beispiel wäre der Ausfall einer gemeinsamen Stromversorgung eines redundanten Systems.
IEC 1508 enthält Tabellen mit Engineering-Techniken, die nach dem Safety Integrity Level geordnet sind, das als wirksam zum Schutz vor systematischen Ausfällen und Ausfällen aufgrund gemeinsamer Ursache angesehen wird.
Beispiele für Techniken zum Schutz vor systematischen Fehlern sind Vielfalt und analytische Redundanz. Die Grundlage der Diversität besteht darin, dass, wenn ein Designer einen zweiten Kanal in einem redundanten System unter Verwendung einer anderen Technologie oder Softwaresprache implementiert, dann Fehler in den redundanten Kanälen als unabhängig betrachtet werden können (dh eine geringe Wahrscheinlichkeit eines zufälligen Ausfalls). Insbesondere im Bereich softwarebasierter Systeme gibt es jedoch einige Hinweise darauf, dass diese Technik möglicherweise nicht effektiv ist, da die meisten Fehler in der Spezifikation liegen. Analytische Redundanz versucht, redundante Informationen in der Anlage oder Maschine auszunutzen, um Fehler zu identifizieren. Für die anderen Ursachen systematischer Ausfälle – zum Beispiel äußere Belastungen – stellt die Norm Tabellen mit Ratschlägen zu bewährten technischen Verfahren (z. B. Trennung von Signal- und Stromkabeln) zur Verfügung, die mit dem Sicherheitsintegritätslevel indiziert sind.
Schlussfolgerungen
Computerbasierte Systeme bieten viele Vorteile – nicht nur wirtschaftliche, sondern auch das Potenzial zur Verbesserung der Sicherheit. Allerdings ist die Detailgenauigkeit zur Realisierung dieses Potenzials deutlich höher als bei konventionellen Systemkomponenten. Dieser Artikel hat die wichtigsten technischen Anforderungen skizziert, die ein Designer berücksichtigen muss, um diese Technologie erfolgreich zu nutzen.
Von Traktoren und anderen mobilen Maschinen in der Land- und Forstwirtschaft, bei Bau- und Bergbauarbeiten sowie im Materialumschlag können ernsthafte Gefahren ausgehen, wenn die Fahrzeuge seitlich überschlagen, nach vorne oder nach hinten umkippen. Bei Radtraktoren mit hohen Schwerpunkten sind die Risiken erhöht. Andere Fahrzeuge, die eine Überrollgefahr darstellen, sind Raupentraktoren, Lader, Kräne, Obstpflücker, Planierraupen, Muldenkipper, Schürfkübel und Grader. Diese Unfälle ereignen sich normalerweise zu schnell, als dass Fahrer und Beifahrer von der Ausrüstung wegkommen könnten, und sie könnten unter dem Fahrzeug eingeklemmt werden. Zum Beispiel besteht bei Traktoren mit hohem Schwerpunkt eine beträchtliche Wahrscheinlichkeit des Umkippens (und schmale Traktoren haben noch weniger Stabilität als breite). Ein Quecksilber-Motorabschaltschalter zum Abschalten des Stroms beim Erfassen einer seitlichen Bewegung wurde bei Traktoren eingeführt, erwies sich jedoch als zu langsam, um mit den dynamischen Kräften fertig zu werden, die bei der Überschlagsbewegung erzeugt werden (Springfeldt 1993). Daher wurde die Sicherheitseinrichtung aufgegeben.
Die Tatsache, dass solche Geräte häufig auf abschüssigem oder unebenem Boden oder auf weichem Boden und manchmal in unmittelbarer Nähe von Gräben, Gräben oder Ausschachtungen verwendet werden, ist eine wichtige Ursache für das Überschlagen. Wenn Zusatzgeräte hoch oben an einem Traktor angebracht sind, erhöht sich die Wahrscheinlichkeit, dass sie sich beim Bergauffahren nach hinten aufbäumen (oder beim Hinunterfahren nach vorne kippen). Darüber hinaus kann ein Traktor aufgrund des Kontrollverlusts aufgrund des Drucks, der von einem von einem Traktor gezogenen Gerät ausgeübt wird, umkippen (z. B. wenn sich der Schlitten an einem Hang nach unten bewegt und das angehängte Gerät nicht gebremst wird und den Traktor überfährt). Beim Einsatz von Traktoren als Zugfahrzeug entstehen besondere Gefahren, insbesondere wenn der Zughaken des Traktors höher als die Radachse angeordnet ist.
Geschichte
In bestimmten Ländern, in denen es zu vielen tödlichen Überschlägen kam, wurde auf nationaler Ebene auf das Rollover-Problem aufmerksam gemacht. In Schweden und Neuseeland wurden bereits in den 1er Jahren Entwicklung und Erprobung von Überrollschutzstrukturen (ROPS) an Traktoren (Abbildung 1950) durchgeführt, aber diesen Arbeiten folgten nur seitens der schwedischen Behörden Vorschriften; diese Regelungen traten ab dem Jahr 1959 in Kraft (Springfeldt 1993).
Abbildung 1. Übliche ROPS-Typen an Traktoren
Vorgeschlagene Vorschriften, die ROPS für Traktoren vorschreiben, stießen in mehreren Ländern auf Widerstand im Agrarsektor. Gegen Pläne, die Arbeitgeber dazu verpflichten, ROPS an bestehenden Traktoren anzubringen, und sogar gegen den Vorschlag, dass nur neue Traktoren von den Herstellern mit ROPS ausgerüstet werden, wurde heftiger Widerstand geleistet. Schließlich haben viele Länder ROPS erfolgreich für neue Traktoren vorgeschrieben, und später konnten einige Länder verlangen, dass ROPS auch für alte Traktoren nachgerüstet wird. Internationale Normen für Traktoren und Erdbewegungsmaschinen, einschließlich Prüfnormen für ROPS, trugen zu zuverlässigeren Konstruktionen bei. Traktoren wurden mit niedrigeren Schwerpunkten und niedriger platzierten Abschlepphaken konstruiert und hergestellt. Der Allradantrieb hat das Risiko eines Überschlags verringert. Allerdings ist der Anteil an Traktoren mit ROPS in Ländern mit vielen alten Traktoren und ohne Auflagen zur Nachrüstung von ROPS noch eher gering.
Untersuchungen
Überschlagsunfälle, insbesondere solche mit Traktoren, wurden von Forschern in vielen Ländern untersucht. Es gibt jedoch keine zentralisierten internationalen Statistiken in Bezug auf die Anzahl der Unfälle, die durch die in diesem Artikel untersuchten Arten von mobilen Maschinen verursacht wurden. Verfügbare Statistiken auf nationaler Ebene zeigen jedoch, dass die Zahl hoch ist, insbesondere in der Landwirtschaft. Laut einem schottischen Bericht über Traktorüberschlagsunfälle in der Zeit von 1968 bis 1976 hatten 85 % der beteiligten Traktoren zum Zeitpunkt des Unfalls Ausrüstung angebracht, und von diesen hatte die Hälfte gezogene Ausrüstung und die andere Hälfte montierte Ausrüstung. Zwei Drittel der Traktorüberschlagsunfälle im schottischen Bericht ereigneten sich an Hängen (Springfeldt 1993). Später wurde nachgewiesen, dass die Zahl der Unfälle nach der Einführung eines Hangfahrtrainings sowie der Anwendung eines Instruments zur Messung der Hangneigung in Kombination mit einem Indikator für sichere Hanggrenzwerte reduziert werden würde.
In anderen Untersuchungen beobachteten neuseeländische Forscher, dass sich die Hälfte ihrer tödlichen Überschlagsunfälle auf ebenem Boden oder an leichten Hängen ereignete und nur ein Zehntel an steilen Hängen. Auf ebenem Boden achten Traktorfahrer möglicherweise weniger auf Überschlagsgefahren und können das Risiko falsch einschätzen, das von Gräben und unebenem Boden ausgeht. Von den tödlichen Überschlägen bei Traktoren in Neuseeland im Zeitraum 1949–1980 ereigneten sich 80 % bei Radtraktoren und 20 % bei Raupentraktoren (Springfeldt 1993). Studien in Schweden und Neuseeland zeigten, dass etwa 80 % der tödlichen Unfälle mit Traktorüberschlägen durch seitliches Überschlagen von Traktoren auftraten. Die Hälfte der an den Todesfällen in Neuseeland beteiligten Traktoren hatte sich um 180° gedreht.
Untersuchungen zum Zusammenhang zwischen Überschlagstoten in Westdeutschland und dem Modelljahr landwirtschaftlicher Traktoren (Springfeldt 1993) zeigten, dass 1 von 10,000 alten, ungeschützten Traktoren, die vor 1957 hergestellt wurden, an einem Überschlagstoten beteiligt war. Von Traktoren mit vorgeschriebenem Überrollschutz, die 1970 und später hergestellt wurden, war einer von 1 Traktoren in einen tödlichen Überschlag verwickelt. Bei tödlichen Traktorüberschlägen in Westdeutschland im Zeitraum 25,000–1980 wurden zwei Drittel der Opfer aus ihrem geschützten Bereich geschleudert und anschließend von dem Traktor überrollt oder erfasst (Springfeldt 1985). Bei nicht tödlichen Überschlägen wurde ein Viertel der Fahrer vom Fahrersitz geschleudert, aber nicht überfahren. Es ist offensichtlich, dass das Todesrisiko steigt, wenn der Fahrer aus dem geschützten Bereich geschleudert wird (ähnlich wie bei Autounfällen). Die meisten beteiligten Traktoren hatten einen Zwei-Säulen-Bug (Bild 1993 C), der das Herausschleudern des Fahrers nicht verhindert. In einigen Fällen war der ROPS gebrochen oder stark verformt.
Die relativen Häufigkeiten von Verletzungen pro 100,000 Traktoren in verschiedenen Zeiträumen in einigen Ländern und die Verringerung der Todesrate wurden von Springfeldt (1993) berechnet. Die Wirksamkeit von ROPS bei der Verringerung von Verletzungen bei Traktorüberschlagunfällen wurde in Schweden nachgewiesen, wo die Zahl der Todesfälle pro 100,000 Traktoren über einen Zeitraum von drei Jahrzehnten (17–0.3) von etwa 1960 auf 1990 reduziert wurde (Abbildung 2). Am Ende des Zeitraums waren schätzungsweise etwa 98 % der Traktoren mit ROPS ausgestattet, hauptsächlich in Form einer bruchsicheren Kabine (Abbildung 1 A). In Norwegen wurden die Todesfälle in einem ähnlichen Zeitraum von etwa 24 auf 4 pro 100,000 Traktoren reduziert. Schlechtere Ergebnisse wurden jedoch in Finnland und Neuseeland erzielt.
Abbildung 2. Verletzungen durch Überschläge pro 100,000 Traktoren in Schweden zwischen 1957 und 1990
Vermeidung von Verletzungen durch Überschläge
Bei Traktoren ist die Gefahr des Umkippens am größten; In der Land- und Forstwirtschaft lässt sich jedoch nur wenig gegen das Umkippen von Traktoren tun. Durch die Montage von ROPS an Traktoren und Erdbewegungsmaschinen mit potenzieller Überrollgefahr kann das Risiko von Personenschäden verringert werden, vorausgesetzt, dass die Fahrer bei Überrollvorgängen auf ihren Sitzen bleiben (Springfeldt 1993). Die Häufigkeit von tödlichen Überschlägen hängt weitgehend vom Anteil der geschützten Maschinen im Einsatz und den verwendeten ROPS-Typen ab. Ein Bug (Abbildung 1 C) bietet viel weniger Schutz als ein Fahrerhaus oder ein Rahmen (Springfeldt 1993). Die effektivste Struktur ist eine bruchsichere Kabine, die es dem Fahrer ermöglicht, während eines Überschlags geschützt im Inneren zu bleiben. (Ein weiterer Grund für die Wahl einer Kabine ist der Wetterschutz.) Das wirksamste Mittel, um den Fahrer bei einem Überschlag im Schutz des Überrollschutzes zu halten, ist ein Sicherheitsgurt, vorausgesetzt, dass der Fahrer den Gurt beim Bedienen der Ausrüstung anlegt. In einigen Ländern gibt es Hinweisschilder am Fahrersitz, die darauf hinweisen, dass das Lenkrad bei einem Überschlag festgehalten werden muss. Eine zusätzliche Sicherheitsmaßnahme besteht darin, die Fahrerkabine oder den Innenraum und den ROPS so zu gestalten, dass Gefahren wie scharfe Kanten oder Vorsprünge vermieden werden.
In allen Ländern verursachen Überschläge mobiler Maschinen, hauptsächlich Traktoren, schwere Verletzungen. Es gibt jedoch erhebliche Unterschiede zwischen den Ländern hinsichtlich der technischen Spezifikationen für die Konstruktion von Maschinen sowie der Verwaltungsverfahren für Prüfungen, Tests, Inspektionen und Vermarktung. Die internationale Vielfalt, die die Sicherheitsbemühungen in diesem Zusammenhang kennzeichnet, lässt sich u. a. durch folgende Überlegungen erklären:
Sicherheitsbestimmungen
Die Art der Vorschriften für ROPS-Anforderungen und der Umsetzungsgrad der Vorschriften in einem Land haben einen starken Einfluss auf Überschlagsunfälle, insbesondere auf tödliche. Vor diesem Hintergrund wurde die Entwicklung sichererer Maschinen durch Richtlinien, Vorschriften und Normen gefördert, die von internationalen und nationalen Organisationen herausgegeben wurden. Darüber hinaus haben viele Länder strenge Vorschriften für ROPS eingeführt, die zu einer starken Reduzierung von Überschlagsverletzungen geführt haben.
Europäischen Wirtschaftsgemeinschaft
Ab 1974 erließ die Europäische Wirtschaftsgemeinschaft (EWG) Richtlinien zur Betriebserlaubnis für land- und forstwirtschaftliche Zugmaschinen auf Rädern und ab 1977 weitere Sonderrichtlinien zu ROPS einschließlich deren Anbau an Traktoren (Springfeldt 1993; EWG 1974, 1977, 1979, 1982, 1987). Die Richtlinien schreiben ein Verfahren für die Typgenehmigung und Zertifizierung durch den Hersteller von Traktoren vor, und ROPS muss durch eine EWG-Typgenehmigungsprüfung überprüft werden. Die Richtlinien wurden von allen Mitgliedsländern akzeptiert.
Einige EWG-Richtlinien zu ROPS bei Traktoren wurden zum 31. Dezember 1995 aufgehoben und durch die allgemeine Maschinenrichtlinie ersetzt, die für Maschinen gilt, die aufgrund ihrer Mobilität Gefahren darstellen (EWG 1991). Radtraktoren sowie einige Erdbewegungsmaschinen mit einer Leistung von mehr als 15 kW (nämlich Raupen und Radlader, Baggerlader, Planierraupen, Schürfkübel, Grader und knickgelenkte Dumper) müssen mit einem ROPS ausgestattet sein. Im Falle eines Überschlags muss der ROPS dem Fahrer und den Bedienern ein angemessenes Durchbiegungsbegrenzungsvolumen bieten (dh Raum, der die Bewegung der Körper der Insassen ermöglicht, bevor sie bei einem Unfall mit Innenelementen in Kontakt kommen). Es liegt in der Verantwortung der Hersteller oder ihrer autorisierten Vertreter, geeignete Tests durchzuführen.
Organisation für wirtschaftliche Zusammenarbeit und Entwicklung
1973 und 1987 genehmigte die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) Standardcodes für die Prüfung von Traktoren (Springfeldt 1993; OECD 1987). Sie geben Ergebnisse von Traktortests wieder und beschreiben die Testausrüstung und die Testbedingungen. Die Vorschriften erfordern das Testen vieler Maschinenteile und -funktionen, beispielsweise der Festigkeit von ROPS. Die OECD Tractor Codes beschreiben ein statisches und ein dynamisches Verfahren zum Testen von ROPS bei bestimmten Traktortypen. Ein Überrollschutz kann ausschließlich zum Schutz des Fahrers im Falle eines Überschlags des Traktors ausgelegt sein. Es muss für jedes Traktormodell, an dem der ROPS angebracht werden soll, erneut getestet werden. Die Codes verlangen auch, dass es möglich sein muss, einen mehr oder weniger temporären Wetterschutz für den Fahrer an der Struktur anzubringen. Die Tractor Codes wurden seit 1988 von allen OECD-Mitgliedsorganisationen akzeptiert, aber in der Praxis akzeptieren die Vereinigten Staaten und Japan auch ROPS, die die Code-Anforderungen nicht erfüllen, wenn Sicherheitsgurte vorhanden sind (Springfeldt 1993).
Internationale Arbeitsorganisation
1965 hat die Internationale Arbeitsorganisation (ILO) in ihrem Handbuch, Sicherheit und Gesundheit in der landwirtschaftlichen Arbeit, verlangte, dass eine Kabine oder ein Rahmen mit ausreichender Festigkeit angemessen an Traktoren befestigt werden muss, um einen zufriedenstellenden Schutz für den Fahrer und die Insassen in der Kabine im Falle eines Traktorüberschlags zu bieten (Springfeldt 1993; ILO 1965). Gemäß den ILO-Verhaltenskodizes sollten land- und forstwirtschaftliche Zugmaschinen mit ROPS ausgestattet sein, um den Fahrer und jeden Beifahrer im Falle eines Überschlags, fallender Gegenstände oder verschobener Lasten zu schützen (ILO 1976).
Der Einbau von ROPS sollte sich nicht nachteilig auswirken
Internationale und nationale Normen
1981 veröffentlichte die Internationale Organisation für Normung (ISO) eine Norm für Traktoren und Maschinen für die Land- und Forstwirtschaft (ISO 1981). Die Norm beschreibt ein statisches Prüfverfahren für ROPS und legt Abnahmebedingungen fest. Der Standard wurde von den Mitgliedsorganisationen in 22 Ländern genehmigt; Kanada und die Vereinigten Staaten haben das Dokument jedoch aus technischen Gründen missbilligt. Eine 1974 von der Society of Automotive Engineers (SAE) in Nordamerika herausgegebene Standard- und empfohlene Praxis enthält Leistungsanforderungen für ROPS an landwirtschaftlichen Traktoren mit Rädern und Industrietraktoren, die im Bauwesen, gummibereiften Schürfzügen, Frontladern, Planierraupen und Raupenladern verwendet werden und Motorgrader (SAE 1974 und 1975). Die Inhalte der Norm wurden in den Vereinigten Staaten und in den kanadischen Provinzen Alberta und British Columbia als Vorschriften übernommen.
Regeln und Compliance
OECD-Kodizes und internationale Standards betreffen den Entwurf und die Konstruktion von ROPS sowie die Kontrolle ihrer Stärke, haben jedoch nicht die Befugnis, zu fordern, dass diese Art von Schutz in die Praxis umgesetzt wird (OECD 1987; ISO 1981). Die Europäische Wirtschaftsgemeinschaft hat auch vorgeschlagen, Traktoren und Erdbewegungsmaschinen mit einem Schutz auszustatten (EWG 1974-1987). Das Ziel der EWG-Richtlinien ist es, eine Einheitlichkeit zwischen den nationalen Stellen bezüglich der Sicherheit neuer Maschinen in der Herstellungsphase zu erreichen. Die Mitgliedsländer sind verpflichtet, die Richtlinien zu befolgen und entsprechende Rezepte auszustellen. Ab 1996 beabsichtigen die Mitgliedsländer der EWG, Verordnungen zu erlassen, die die Ausrüstung neuer Traktoren und Erdbewegungsmaschinen mit ROPS vorschreiben.
1959 verlangte Schweden als erstes Land ROPS für neue Traktoren (Springfeldt 1993). Entsprechende Vorschriften traten zehn Jahre später in Dänemark und Finnland in Kraft. Später, in den 1970er und 1980er Jahren, traten in Großbritannien, Westdeutschland, Neuseeland, den Vereinigten Staaten, Spanien, Norwegen, der Schweiz und anderen Ländern verbindliche Anforderungen für ROPS für neue Traktoren in Kraft. In all diesen Ländern mit Ausnahme der Vereinigten Staaten wurden die Regeln einige Jahre später auf alte Traktoren ausgedehnt, aber diese Regeln waren nicht immer verbindlich. In Schweden müssen alle Traktoren mit einer Schutzkabine ausgestattet sein, eine Vorschrift, die in Großbritannien nur für alle von Landarbeitern eingesetzten Traktoren gilt (Springfeldt 1993). In Dänemark, Norwegen und Finnland müssen alle Traktoren mindestens mit einem Rahmen versehen sein, während in den Vereinigten Staaten und den australischen Bundesstaaten Bögen akzeptiert werden. In den Vereinigten Staaten müssen Traktoren Sicherheitsgurte haben.
In den Vereinigten Staaten müssen Flurförderzeuge, die vor 1972 hergestellt wurden und bei Bauarbeiten eingesetzt werden, mit ROPS ausgestattet sein, die Mindestleistungsstandards erfüllen (US Bureau of National Affairs 1975). Zu den von der Anforderung abgedeckten Maschinen gehören einige Schürfkübel, Frontlader, Planierraupen, Planierraupen, Lader und Motorgrader. Die Nachrüstung von ROPS wurde an Maschinen durchgeführt, die etwa drei Jahre zuvor hergestellt wurden.
Sumarmig
In Ländern mit obligatorischen ROPS-Anforderungen für neue Traktoren und der Nachrüstung von ROPS bei alten Traktoren ist die Zahl der Überschlagsverletzungen, insbesondere der tödlichen, zurückgegangen. Es ist offensichtlich, dass eine bruchsichere Kabine die effektivste Art von ROPS ist. Ein Bogen bietet einen schlechten Schutz im Falle eines Überschlags. Viele Länder haben zumindest für neue Traktoren und ab 1996 für Erdbewegungsmaschinen wirksame ROPS vorgeschrieben. Trotz dieser Tatsache scheinen einige Behörden ROPS-Typen zu akzeptieren, die nicht den Anforderungen entsprechen, die von der OECD und der ISO verkündet wurden. Es wird erwartet, dass eine allgemeinere Harmonisierung der ROPS-Regelungen schrittweise auf der ganzen Welt, einschließlich der Entwicklungsländer, erreicht wird.
HAFTUNGSAUSSCHLUSS: Die ILO übernimmt keine Verantwortung für auf diesem Webportal präsentierte Inhalte, die in einer anderen Sprache als Englisch präsentiert werden, der Sprache, die für die Erstproduktion und Peer-Review von Originalinhalten verwendet wird. Bestimmte Statistiken wurden seitdem nicht aktualisiert die Produktion der 4. Auflage der Encyclopaedia (1998)."