56. Unfallverhütung
Kapitel-Editor: Jorma Saari
Einleitung
Jorma Saari
Konzepte der Unfallanalyse
Kirsten Jörgensen
Theorie der Unfallursachen
Abdul Rauf
Menschliche Faktoren in der Unfallmodellierung
Anne-Marie Feyer und Ann M. Williamson
Unfallmodelle: Risikohomöostase
Gerald JS Wilde
Unfallmodellierung
Andrew R. Hale
Unfallablaufmodelle
Ragnar Andersson
Unfallabweichungsmodelle
Urban Kjellén
MAIM: Das Unfallinformationsmodell von Merseyside
Harry S. Shannon und John Davies
Grundsätze der Prävention: Der Ansatz der öffentlichen Gesundheit zur Reduzierung von Verletzungen am Arbeitsplatz
Gordon S. Smith und Mark A. Veazie
Theoretische Grundlagen der Arbeitssicherheit
Reinal Skiba
Grundsätze der Prävention: Sicherheitshinweise
Mark R. Lehto und James M. Miller
Arbeitsbedingte Unfallkosten
Diego Andréoni
Klicken Sie unten auf einen Link, um die Tabelle im Artikelkontext anzuzeigen.
1. Taxonomien zur Klassifizierung von Abweichungen
2. Die Haddon-Matrix gilt für Kraftfahrzeugverletzungen
3. Haddons zehn Gegenmaßnahmenstrategien für den Bau
4. Dem Unfallablauf zugeordnete Sicherheitsinformationen
5. Empfehlungen innerhalb ausgewählter Warnsysteme
Zeigen Sie auf eine Miniaturansicht, um die Bildunterschrift anzuzeigen, klicken Sie, um die Abbildung im Artikelkontext anzuzeigen.
57. Audits, Inspektionen und Untersuchungen
Kapitel-Editor: Jorma Saari
Sicherheitsaudits und Managementaudits
Johan van de Kerckhove
Gefahrenanalyse: Das Unfallursachenmodell
Jop Gröneweg
Hardware-Gefahren
Carsten D. Grönberg
Gefahrenanalyse: Organisatorische Faktoren
Urban Kjellén
Arbeitsplatzinspektion und behördliche Durchsetzung
Anthony Linehan
Analyse und Berichterstattung: Unfalluntersuchung
Michel Monteau
Berichterstattung und Erstellung von Unfallstatistiken
Kirsten Jörgensen
Klicken Sie unten auf einen Link, um die Tabelle im Artikelkontext anzuzeigen.
1. Strata in der Qualitäts- und Sicherheitspolitik
2. Elemente des PAS-Sicherheitsaudits
3. Bewertung von Methoden zur Verhaltenskontrolle
4. Allgemeine Fehlertypen und -definitionen
5. Konzepte des Unfallphänomens
6. Variablen, die einen Unfall charakterisieren
Zeigen Sie auf eine Miniaturansicht, um die Bildunterschrift anzuzeigen, klicken Sie, um die Abbildung im Artikelkontext anzuzeigen.
58. Sicherheitsanwendungen
Kapitel-Editoren: Kenneth Gerecke und Charles T. Pope
Systemanalyse
Manh Trung Ho
Sicherheit von Hand- und tragbaren Elektrowerkzeugen
US-Arbeitsministerium – Arbeitsschutzbehörde; herausgegeben von Kenneth Gerecke
Bewegliche Teile von Maschinen
Tomas Backström und Marianne Döös
Maschinenschutz
US-Arbeitsministerium – Arbeitsschutzbehörde; herausgegeben von Kenneth Gerecke
Präsenzmelder
Paul Schreiber
Geräte zum Steuern, Trennen und Schalten von Energie
René Troxler
Sicherheitsrelevante Anwendungen
Dietmar Reinert und Karlheinz Meffert
Software und Computer: Hybride automatisierte Systeme
Waldemar Karwowski und Jozef Zurada
Grundsätze für die Gestaltung sicherer Steuerungssysteme
Georg Vondracek
Sicherheitsprinzipien für CNC-Werkzeugmaschinen
Toni Retsch, Guido Schmitter und Albert Marty
Sicherheitsprinzipien für Industrieroboter
Toni Retsch, Guido Schmitter und Albert Marty
Elektrische, elektronische und programmierbare elektronische sicherheitsbezogene Steuerungssysteme
Ron Glocke
Technische Anforderungen an sicherheitsbezogene Systeme basierend auf elektrischen, elektronischen und programmierbaren elektronischen Geräten
John Brazendale und Ron Bell
Roll
Bengt Springfeldt
Stürze von Erhebungen
Jean Artau
Enge Räume
Neil McManus
Grundsätze der Prävention: Materialhandhabung und interner Verkehr
Kari Häkkinen
Klicken Sie unten auf einen Link, um die Tabelle im Artikelkontext anzuzeigen.
1. Mögliche Fehlfunktionen eines Zwei-Tasten-Steuerkreises
2. Maschinenschutz
3. Geräte
4. Fütterungs- und Auswurfmethoden
5. Kombinationen von Schaltungsstrukturen in Maschinensteuerungen
6. Sicherheitsintegritätslevel für Schutzsysteme
7. Softwaredesign und -entwicklung
8. Sicherheitsintegritätslevel: Komponenten vom Typ B
9. Integritätsanforderungen: Elektronische Systemarchitekturen
10 Stürze von Erhebungen: Quebec 1982-1987
11Typische Absturzsicherungs- und Absturzsicherungssysteme
12 Unterschiede zwischen Sturzprävention und Sturzsicherung
13 Musterformular zur Beurteilung von Gefährdungsbedingungen
14 Eine Muster-Einreiseerlaubnis
Zeigen Sie auf eine Miniaturansicht, um die Bildunterschrift anzuzeigen, klicken Sie, um die Abbildung im Artikelkontext anzuzeigen.
59. Sicherheitspolitik und Führung
Kapitel-Editor: Jorma Saari
Sicherheitspolitik, Führung und Kultur
Dan Petersen
Sicherheitskultur und -management
Marcel Simard
Organisationsklima und Sicherheit
Nicole Dedobbeleer und François Béland
Partizipatorischer Prozess zur Verbesserung des Arbeitsplatzes
Jorma Saari
Methoden der Sicherheitsentscheidung
Terje Sten
Risikowahrnehmung
Bernhard Zimolong und Rüdiger Trimpop
Risikoakzeptanz
Rüdiger Trimpop und Bernhard Zimolong
Klicken Sie unten auf einen Link, um die Tabelle im Artikelkontext anzuzeigen.
1. Maßnahmen zum Sicherheitsklima
2. Tuttava & andere Programm-/Technikunterschiede
3. Ein Beispiel für bewährte Arbeitspraktiken
4. Leistungsziele einer Druckfarbenfabrik
Zeigen Sie auf eine Miniaturansicht, um die Bildunterschrift anzuzeigen, klicken Sie, um die Abbildung im Artikelkontext anzuzeigen.
60. Sicherheitsprogramme
Kapitelherausgeber: Jorma Saari
Arbeitsschutzforschung: Ein Überblick
Herbert I. Linn und Alfred A. Amendola
Regierungsdienste
Anthony Linehan
Sicherheitsdienste: Berater
Dan Petersen
Implementierung eines Sicherheitsprogramms
Tom B. Leamon
Erfolgreiche Sicherheitsprogramme
Tom B. Leamon
Sicherheitsanreizprogramme
Gerald JS Wilde
Sicherheitsförderung
Thomas W. Planek
Fallstudie: Arbeitsschutzkampagnen auf nationaler Ebene in Indien
KC Gupta
Klicken Sie unten auf einen Link, um die Tabelle im Artikelkontext anzuzeigen.
1. OBM- vs. TQM-Modelle der Mitarbeitermotivation
2. Indische Fabriken: Beschäftigung & Verletzungen
Zeigen Sie auf eine Miniaturansicht, um die Bildunterschrift anzuzeigen, klicken Sie, um die Abbildung im Artikelkontext anzuzeigen.
Es besteht allgemein Einigkeit darüber, dass Steuerungssysteme während des Gebrauchs sicher sein müssen. Vor diesem Hintergrund sind die meisten modernen Steuerungssysteme wie in Abbildung 1 dargestellt aufgebaut.
Abbildung 1. Allgemeiner Aufbau von Steuerungssystemen
Der einfachste Weg, ein Steuerungssystem sicher zu machen, besteht darin, eine undurchdringliche Mauer darum zu errichten, um den Zugang oder Eingriff von Menschen in den Gefahrenbereich zu verhindern. Ein solches System wäre sehr sicher, wenn auch unpraktisch, da es unmöglich wäre, sich Zugang zu verschaffen, um die meisten Test-, Reparatur- und Einstellarbeiten durchzuführen. Da der Zugang zu Gefahrenbereichen unter bestimmten Bedingungen erlaubt sein muss, sind andere Schutzmaßnahmen als nur Mauern, Zäune und dergleichen erforderlich, um Produktion, Installation, Wartung und Instandhaltung zu erleichtern.
Einige dieser Schutzmaßnahmen können wie folgt teilweise oder vollständig in Steuerungssysteme integriert werden:
Diese Arten von Schutzmaßnahmen werden von Bedienern aktiviert. Da der Mensch jedoch oft eine Schwachstelle in Anwendungen darstellt, werden viele Funktionen, wie z. B. die folgenden, automatisch ausgeführt:
Die normale Funktion von Steuerungssystemen ist die wichtigste Voraussetzung für die Produktion. Wird eine Produktionsfunktion durch einen Steuerungsausfall unterbrochen, ist das höchstens lästig, aber nicht gefährlich. Wenn eine sicherheitsrelevante Funktion nicht ausgeführt wird, kann dies zu Produktionsausfall, Sachschäden, Verletzungen oder sogar zum Tod führen. Daher müssen sicherheitsrelevante Steuerungssystemfunktionen zuverlässiger und sicherer sein als normale Steuerungssystemfunktionen. Gemäß der Richtlinie 89/392/EWG des Europäischen Rates (Maschinenrichtlinie) müssen Steuerungen so konstruiert und gebaut sein, dass sie sicher und zuverlässig sind.
Steuerungen bestehen aus einer Anzahl von Komponenten, die miteinander verbunden sind, um eine oder mehrere Funktionen auszuführen. Die Steuerungen sind in Kanäle unterteilt. Ein Kanal ist der Teil einer Steuerung, der eine bestimmte Funktion ausführt (z. B. Start, Stopp, Notstopp). Physikalisch wird der Kanal durch eine Reihe von Komponenten (Transistoren, Dioden, Relais, Gatter usw.) erzeugt, durch die von einer Komponente zur nächsten (meist elektrische) Informationen, die diese Funktion darstellen, vom Eingang zum Ausgang übertragen werden.
Bei der Gestaltung von Steuerkanälen für sicherheitsrelevante Funktionen (also Funktionen, an denen Menschen beteiligt sind) sind folgende Anforderungen zu erfüllen:
Zuverlässigkeit
Zuverlässigkeit ist die Fähigkeit eines Steuerkanals oder einer Komponente, eine erforderliche Funktion unter bestimmten Bedingungen für einen bestimmten Zeitraum auszuführen ohne zu scheitern. (Mit geeigneten Methoden können Wahrscheinlichkeiten für bestimmte Komponenten oder Kontrollkanäle berechnet werden.) Die Zuverlässigkeit muss immer für einen bestimmten Zeitwert angegeben werden. Im Allgemeinen kann die Zuverlässigkeit durch die Formel in Abbildung 2 ausgedrückt werden.
Abbildung 2. Zuverlässigkeitsformel
Zuverlässigkeit komplexer Systeme
Systeme werden aus Komponenten aufgebaut. Sind die Zuverlässigkeiten der Komponenten bekannt, kann die Zuverlässigkeit des Gesamtsystems berechnet werden. In solchen Fällen gilt Folgendes:
Serielle Systeme
Die absolute Zuverlässigkeit Rbis eines seriellen Systems bestehend aus N Komponenten gleicher Zuverlässigkeit RC wird wie in Abbildung 3 berechnet.
Abbildung 3. Zuverlässigkeitsdiagramm von in Reihe geschalteten Komponenten
Die Gesamtzuverlässigkeit ist geringer als die Zuverlässigkeit der am wenigsten zuverlässigen Komponente. Wenn die Anzahl der in Reihe geschalteten Komponenten zunimmt, nimmt die Gesamtzuverlässigkeit der Kette erheblich ab.
Parallele Systeme
Die absolute Zuverlässigkeit Rbis eines parallelen Systems bestehend aus N Komponenten gleicher Zuverlässigkeit RC wird wie in Abbildung 4 berechnet.
Abbildung 4. Zuverlässigkeitsdiagramm parallel geschalteter Komponenten
Die Gesamtzuverlässigkeit kann durch die Parallelschaltung von zwei oder mehr Komponenten erheblich verbessert werden.
Abbildung 5 zeigt ein praktisches Beispiel. Beachten Sie, dass die Schaltung den Motor zuverlässiger abschaltet. Auch wenn das Relais A oder B seinen Kontakt nicht öffnet, wird der Motor trotzdem abgeschaltet.
Abbildung 5. Praktisches Beispiel von Abbildung 4
Die Berechnung der Gesamtzuverlässigkeit eines Kanals ist einfach, wenn alle erforderlichen Komponentenzuverlässigkeiten bekannt und verfügbar sind. Bei komplexen Bauteilen (integrierte Schaltkreise, Mikroprozessoren etc.) ist die Berechnung der Gesamtzuverlässigkeit schwierig bis unmöglich, wenn die notwendigen Informationen nicht vom Hersteller veröffentlicht werden.
Sicherheit
Wenn Fachleute von Sicherheit sprechen und sichere Maschinen fordern, meinen sie die Sicherheit der gesamten Maschine oder Anlage. Diese Sicherheit ist jedoch zu allgemein und für den Konstrukteur von Steuerungen nicht genau genug definiert. Die folgende Definition von Sicherheit kann für Entwickler von Steuerschaltungen praktisch und brauchbar sein: Sicherheit ist die Fähigkeit eines Steuersystems, die erforderliche Funktion innerhalb vorgeschriebener Grenzen für eine bestimmte Dauer auszuführen, selbst wenn erwartete Fehler auftreten. Folglich muss beim Design geklärt werden, wie „sicher“ der sicherheitsgerichtete Kanal sein muss. (Der Konstrukteur kann einen Kanal entwickeln, der gegen den ersten Ausfall, gegen einen beliebigen Ausfall, gegen zwei Ausfälle usw. sicher ist.) Außerdem kann ein Kanal, der eine Funktion erfüllt, die dazu dient, Unfälle zu verhindern, im Wesentlichen zuverlässig sein, muss es aber nicht zwangsläufig sicher vor Ausfällen zu sein. Dies lässt sich am besten an folgenden Beispielen erklären:
Beispiel 1
Das in Abbildung 6 dargestellte Beispiel ist ein sicherheitsrelevanter Steuerkanal, der die erforderliche Sicherheitsfunktion ausführt. Die erste Komponente kann ein Schalter sein, der beispielsweise die Position einer Zugangstür zu einem Gefahrenbereich überwacht. Die letzte Komponente ist ein Motor, der bewegliche mechanische Teile innerhalb des Gefahrenbereichs antreibt.
Abbildung 6. Ein sicherheitsrelevanter Steuerkanal, der die erforderliche Sicherheitsfunktion ausführt
Die geforderte Sicherheitsfunktion ist in diesem Fall eine doppelte: Bei geschlossener Tür darf der Motor laufen. Bei geöffneter Tür muss der Motor abgeschaltet werden. Zuverlässigkeiten kennen R1 zu R.6, lässt sich die Reliabilität R berechnenKnirps. Konstrukteure sollten zuverlässige Komponenten verwenden, um eine ausreichend hohe Zuverlässigkeit des gesamten Steuerungssystems aufrechtzuerhalten (dh die Wahrscheinlichkeit, dass diese Funktion beispielsweise noch in 20 Jahren ausgeführt wird, sollte bei der Konstruktion berücksichtigt werden). Folglich müssen Designer zwei Aufgaben erfüllen: (1) die Schaltung muss die erforderliche Funktion erfüllen, und (2) die Zuverlässigkeit der Komponenten und des gesamten Steuerkanals muss ausreichend sein.
Nun stellt sich folgende Frage: Wird der oben genannte Kanal die geforderten Sicherheitsfunktionen auch dann erfüllen, wenn ein Fehler im System auftritt (z. B. wenn ein Relaiskontakt klemmt oder ein Bauteil ausfällt)? Die Antwort ist nein". Der Grund ist, dass ein einzelner Steuerkanal, der nur aus in Reihe geschalteten Komponenten besteht und mit statischen Signalen arbeitet, nicht gegen einen Ausfall sicher ist. Der Kanal kann nur eine gewisse Zuverlässigkeit haben, die die Wahrscheinlichkeit garantiert, dass die Funktion ausgeführt wird. Sicherheit ist in solchen Situationen immer gemeint Ausfall bezogen.
Beispiel 2
Soll ein Steuerkanal sowohl zuverlässig als auch sicher sein, muss der Aufbau wie in Bild 7 modifiziert werden. Das dargestellte Beispiel ist ein sicherheitsrelevanter Steuerkanal, der aus zwei vollständig getrennten Teilkanälen besteht.
Abbildung 7. Ein sicherheitsrelevanter Steuerkanal mit zwei vollständig getrennten Unterkanälen
Dieses Design ist sicher gegen den ersten Fehler (und mögliche weitere Fehler in demselben Unterkanal), ist aber nicht sicher gegen zwei Fehler, die in zwei verschiedenen Unterkanälen (gleichzeitig oder zu unterschiedlichen Zeiten) auftreten können, da es keine Fehlererkennungsschaltung gibt. Folglich arbeiten zunächst beide Teilkanäle mit hoher Zuverlässigkeit (siehe paralleles System), aber nach dem ersten Ausfall funktioniert nur noch ein Teilkanal und die Zuverlässigkeit nimmt ab. Tritt ein zweiter Fehler im noch funktionierenden Subkanal auf, sind beide ausgefallen und die Sicherheitsfunktion wird nicht mehr ausgeführt.
Beispiel 3
Das in Abbildung 8 dargestellte Beispiel ist ein sicherheitsrelevanter Steuerkanal, der aus zwei völlig getrennten Teilkanälen besteht, die sich gegenseitig überwachen.
Abbildung 8. Ein sicherheitsrelevanter Steuerkanal mit zwei vollständig getrennten Unterkanälen, die sich gegenseitig überwachen
Ein solches Design ist ausfallsicher, da nach einem Ausfall nur ein Teilkanal nicht funktionsfähig ist, während der andere Teilkanal verfügbar bleibt und die Sicherheitsfunktion erfüllt. Darüber hinaus verfügt das Design über eine Fehlererkennungsschaltung. Wenn aufgrund einer Störung beide Teilkanäle nicht in gleicher Weise arbeiten, wird dieser Zustand durch eine „Exklusiv-Oder“-Schaltung erkannt, mit der Folge, dass die Maschine automatisch abgeschaltet wird. Dies ist eine der besten Möglichkeiten, Maschinensteuerungen zu entwerfen – das Entwerfen von sicherheitsrelevanten Unterkanälen. Sie sind gegen einen Ausfall sicher und bieten gleichzeitig genügend Zuverlässigkeit, so dass die Wahrscheinlichkeit, dass zwei Ausfälle gleichzeitig auftreten, minimal ist.
Redundanz
Es ist offensichtlich, dass es verschiedene Verfahren gibt, durch die ein Konstrukteur die Zuverlässigkeit und/oder Sicherheit (gegen Ausfall) verbessern kann. Die vorangegangenen Beispiele zeigen, wie eine Funktion (dh Tür geschlossen, Motor darf laufen; Tür geöffnet, Motor muss gestoppt werden) durch verschiedene Lösungen realisiert werden kann. Einige Verfahren sind sehr einfach (ein Unterkanal) und andere komplizierter (zwei Unterkanäle mit gegenseitiger Überwachung). (Siehe Abbildung 9.)
Abbildung 9. Zuverlässigkeit redundanter Systeme mit oder ohne Fehlererkennung
Es gibt eine gewisse Redundanz in den komplexen Schaltungen und/oder Komponenten im Vergleich zu den einfachen. Redundanz kann wie folgt definiert werden: (1) Redundanz ist das Vorhandensein von mehr Mitteln (Komponenten, Kanäle, höhere Sicherheitsfaktoren, zusätzliche Tests usw.), als für die einfache Erfüllung der gewünschten Funktion wirklich notwendig sind; (2) Redundanz „verbessert“ offensichtlich nicht die Funktion, die ohnehin ausgeführt wird. Redundanz verbessert nur die Zuverlässigkeit und/oder Sicherheit.
Einige Sicherheitsexperten glauben, dass Redundanz nur die Verdoppelung oder Verdreifachung usw. des Systems ist. Dies ist eine sehr eingeschränkte Interpretation, da Redundanz viel umfassender und flexibler interpretiert werden kann. Redundanz kann nicht nur in der Hardware enthalten sein; es kann auch in der Software enthalten sein. Auch eine Verbesserung des Sicherheitsfaktors (z. B. ein stärkeres Seil anstelle eines schwächeren Seils) kann als eine Form der Redundanz angesehen werden.
Entropie
Entropie, ein Begriff, der hauptsächlich in der Thermodynamik und Astronomie vorkommt, kann wie folgt definiert werden: Alles neigt zum Zerfall. Daher ist es absolut sicher, dass alle Komponenten, Subsysteme oder Systeme, unabhängig von der verwendeten Technologie, irgendwann ausfallen werden. Das bedeutet, dass es keine 100 % zuverlässigen und/oder sicheren Systeme, Subsysteme oder Komponenten gibt. Alle sind lediglich mehr oder weniger zuverlässig und sicher, je nach Komplexität der Struktur. Die unvermeidlich früher oder später auftretenden Ausfälle demonstrieren die Wirkung der Entropie.
Das einzige Mittel, das Designern zur Verfügung steht, um der Entropie entgegenzuwirken, ist Redundanz, die erreicht wird, indem (a) mehr Zuverlässigkeit in die Komponenten eingeführt und (b) mehr Sicherheit in der gesamten Schaltungsarchitektur bereitgestellt wird. Nur wenn die Wahrscheinlichkeit, dass die erforderliche Funktion für die erforderliche Zeitdauer ausgeführt wird, ausreichend erhöht wird, können Designer sich einigermaßen gegen Entropie wehren.
Risk Assessment
Je größer das potenzielle Risiko ist, desto höher ist die erforderliche Zuverlässigkeit und/oder Sicherheit (gegen Ausfälle) (und umgekehrt). Dies wird durch die folgenden zwei Fälle veranschaulicht:
Fall 1
Der Zugang zu dem in einer Spritzgießmaschine befestigten Formwerkzeug ist durch eine Tür gesichert. Wenn die Tür geschlossen ist, darf die Maschine arbeiten, und wenn die Tür geöffnet wird, müssen alle gefährlichen Bewegungen gestoppt werden. Unter keinen Umständen (auch bei Ausfall des sicherheitsgerichteten Kanals) dürfen Bewegungen, insbesondere solche, die das Werkzeug bedienen, auftreten.
Fall 2
Der Zugang zu einer automatisch gesteuerten Montagelinie, die kleine Kunststoffkomponenten unter pneumatischem Druck montiert, ist durch eine Tür gesichert. Wenn diese Tür geöffnet wird, muss die Linie angehalten werden.
Im Fall 1 kann es bei einem Ausfall der Türüberwachungssteuerung zu schweren Verletzungen kommen, wenn das Werkzeug unerwartet geschlossen wird. Im Fall 2 kann es bei Ausfall der türüberwachenden Steuerung nur zu leichten Verletzungen oder unerheblichen Schäden kommen.
Es ist offensichtlich, dass im ersten Fall viel mehr Redundanz eingeführt werden muss, um die Zuverlässigkeit und/oder Sicherheit (gegen Ausfall) zu erreichen, die zum Schutz gegen extrem hohe Risiken erforderlich ist. Tatsächlich muss gemäß der europäischen Norm EN 201 das Überwachungssteuersystem der Spritzgießmaschinentür drei Kanäle haben; zwei davon sind elektrisch und gegenseitig überwacht und eine davon ist größtenteils mit Hydraulik und Prüfkreisen ausgestattet. Alle diese drei Überwachungsfunktionen beziehen sich auf dieselbe Tür.
Umgekehrt ist bei Anwendungen wie in Fall 2 beschrieben ein einzelner Kanal, der durch einen Schalter mit positiver Aktion aktiviert wird, dem Risiko angemessen.
Kontrollkategorien
Da alle oben genannten Überlegungen grundsätzlich auf der Informationstheorie basieren und folglich für alle Technologien gelten, spielt es keine Rolle, ob das Steuerungssystem auf elektronischen, elektromechanischen, mechanischen, hydraulischen oder pneumatischen Komponenten (oder einer Mischung davon) basiert. , oder auf einer anderen Technologie. Der Ideenreichtum des Konstrukteurs einerseits und wirtschaftliche Fragen andererseits sind die bestimmenden Faktoren für eine nahezu unendliche Zahl von Lösungsansätzen zur Realisierung sicherheitsrelevanter Kanäle.
Um Verwechslungen vorzubeugen, ist es sinnvoll, bestimmte Sortierkriterien festzulegen. Die typischsten Kanalstrukturen, die in Maschinensteuerungen zur Ausführung sicherheitsbezogener Funktionen verwendet werden, sind kategorisiert nach:
Ihre Kombinationen (nicht alle möglichen Kombinationen sind gezeigt) sind in Tabelle 1 dargestellt.
Tabelle 1. Einige mögliche Kombinationen von Schaltungsstrukturen in Maschinensteuerungen für sicherheitsrelevante Funktionen
Kriterien (Fragen) |
Grundlegende Strategie |
|||||
Durch die Erhöhung der Zuverlässigkeit (wird das Auftreten von Fehlern in eine möglicherweise fernere Zukunft verschoben?) |
Durch geeignete Schaltungsstruktur (Architektur) wird der Fehler zumindest erkannt (Kat. 2) oder Fehlereinfluss auf den Kanal wird beseitigt (Kat. 3) oder der Fehler wird sofort gemeldet (Kat. 4) |
|||||
Kategorien |
||||||
Diese Lösung ist grundsätzlich falsch |
B |
1 |
2 |
3 |
4 |
|
Halten die Schaltungskomponenten den zu erwartenden Einflüssen stand; sind sie nach dem Stand der Technik gebaut? |
Nein |
Ja |
Ja |
Ja |
Ja |
Ja |
Wurden bewährte Komponenten und/oder Methoden verwendet? |
Nein |
Nein |
Ja |
Ja |
Ja |
Ja |
Kann ein Fehler automatisch erkannt werden? |
Nein |
Nein |
Nein |
Ja |
Ja |
Ja |
Verhindert ein Fehler die Ausführung der sicherheitsbezogenen Funktion? |
Ja |
Ja |
Ja |
Ja |
Nein |
Nein |
Wann wird der Fehler erkannt? |
Nie |
Nie |
Nie |
Früh (spätestens am Ende des Intervalls, das nicht länger als ein Maschinenzyklus ist) |
Sofort (wenn das Signal an Dynamik verliert |
|
Bei Konsumgütern |
Zum Einsatz in Maschinen |
Die für eine bestimmte Maschine und ihr sicherheitsbezogenes Steuerungssystem geltende Kategorie wird meistens in den neuen europäischen Normen (EN) festgelegt, es sei denn, die nationale Behörde, der Benutzer und der Hersteller einigen sich darauf, dass eine andere Kategorie angewendet werden sollte. Der Designer entwickelt dann ein Steuerungssystem, das die Anforderungen erfüllt. Überlegungen zum Design eines Steuerkanals können beispielsweise Folgendes umfassen:
Dieser Vorgang ist reversibel. Mit den gleichen Fragen kann entschieden werden, zu welcher Kategorie ein bestehender, zuvor entwickelter Kontrollkanal gehört.
Kategoriebeispiele
Kategorie B
Die hauptsächlich in Konsumgütern eingesetzten Steuerkanalkomponenten müssen den zu erwartenden Einflüssen standhalten und nach dem Stand der Technik ausgelegt sein. Als Beispiel kann ein gut gestalteter Schalter dienen.
Kategorie 1
Typisch für Kategorie 1 ist die Verwendung altbewährter Komponenten und Methoden. Ein Beispiel für Kategorie 1 ist ein Schalter mit positiver Aktion (dh erfordert zwangsläufiges Öffnen von Kontakten). Dieser Schalter ist mit robusten Teilen konstruiert und wird durch relativ hohe Kräfte aktiviert, wodurch eine extrem hohe Zuverlässigkeit nur beim Öffnen des Kontakts erreicht wird. Trotz klebender oder gar verschweißter Kontakte öffnen diese Schalter. (Anmerkung: Bauelemente wie Transistoren und Dioden gelten nicht als altbewährte Bauelemente.) Abbildung 10 soll als Illustration einer Kategorie-1-Steuerung dienen.
Abbildung 10. Ein Schalter mit positiver Aktion
Dieser Kanal verwendet Schalter S mit positiver Aktion. Das Schütz K wird durch die Leuchte L überwacht. Der Bediener wird durch die Meldeleuchte L darauf hingewiesen, dass die Schließerkontakte (NO) haften. Das Schütz K hat zwangsgeführte Kontakte. (Hinweis: Relais oder Schütze mit zwangsgeführten Kontakten haben im Vergleich zu herkömmlichen Relais oder Schützen einen speziellen Käfig aus Isolierstoff, so dass bei geschlossenen Öffnerkontakten alle Schließerkontakte geöffnet werden müssen und umgekehrt umgekehrt. Das bedeutet, dass bei Verwendung von Öffnerkontakten überprüft werden kann, ob die Arbeitskontakte nicht verkleben oder verschweißt sind.)
Kategorie 2
Kategorie 2 sieht eine automatische Fehlererkennung vor. Vor jeder gefährlichen Bewegung muss eine automatische Ausfallerkennung generiert werden. Nur wenn der Test positiv ist, darf die Bewegung ausgeführt werden; andernfalls wird die Maschine gestoppt. Für Lichtschranken werden automatische Ausfallerkennungssysteme eingesetzt, um deren Funktionsfähigkeit nachzuweisen. Das Prinzip ist in Bild 1 dargestellt.
Abbildung 11. Schaltung mit Ausfallerkennung
Dieses Steuersystem wird regelmäßig (oder gelegentlich) getestet, indem dem Eingang ein Impuls zugeführt wird. In einem ordnungsgemäß funktionierenden System wird dieser Impuls dann zum Ausgang übertragen und mit einem Impuls von einem Testgenerator verglichen. Wenn beide Impulse vorhanden sind, funktioniert das System offensichtlich. Andernfalls, wenn kein Ausgangsimpuls vorhanden ist, ist das System ausgefallen.
Kategorie 3
Die Schaltung wurde zuvor unter Beispiel 3 im Sicherheitsabschnitt dieses Artikels beschrieben, Abbildung 8.
Die Anforderung, dh automatische Fehlererkennung und die Fähigkeit, die Sicherheitsfunktion auszuführen, auch wenn irgendwo ein Fehler aufgetreten ist, kann durch zweikanalige Kontrollstrukturen und durch gegenseitige Überwachung der beiden Kanäle erfüllt werden.
Nur bei Maschinensteuerungen müssen die gefährlichen Ausfälle untersucht werden. Es sollte beachtet werden, dass es zwei Arten von Fehlern gibt:
Kategorie 4
Kategorie 4 sieht typischerweise das Anlegen eines dynamischen, sich kontinuierlich ändernden Signals am Eingang vor. Das Vorhandensein eines dynamischen Signals auf dem Ausgabemittel Laufen ("1"), und das Fehlen eines dynamischen Signalmittels halt („0“).
Für solche Schaltungen ist es typisch, dass nach dem Ausfall irgendeiner Komponente das dynamische Signal am Ausgang nicht mehr zur Verfügung steht. (Anmerkung: Das statische Potential am Ausgang ist unerheblich.) Solche Schaltungen können als „ausfallsicher“ bezeichnet werden. Alle Fehler werden sofort offengelegt, nicht nach der ersten Änderung (wie bei Schaltungen der Kategorie 3).
Weitere Anmerkungen zu den Kontrollkategorien
Tabelle 1 ist für übliche Maschinensteuerungen entwickelt worden und zeigt nur die prinzipiellen Schaltungsstrukturen; laut Maschinenrichtlinie sollte sie unter der Annahme berechnet werden, dass in einem Maschinenzyklus nur ein Fehler auftritt. Deshalb muss die Sicherheitsfunktion bei zwei gleichzeitigen Ausfällen nicht ausgeführt werden. Es wird davon ausgegangen, dass ein Fehler innerhalb eines Maschinenzyklus erkannt wird. Die Maschine wird angehalten und anschließend repariert. Danach startet die Steuerung wieder, voll funktionsfähig, ohne Ausfälle.
Die erste Absicht des Konstrukteurs sollte darin bestehen, „stehende“ Fehler nicht zuzulassen, die während eines Zyklus nicht erkannt würden, da sie später mit neu auftretenden Fehlern kombiniert werden könnten (Fehlerkumulation). Solche Kombinationen (ein dauerhafter Fehler und ein neuer Fehler) können selbst bei Schaltkreisen der Kategorie 3 zu einer Fehlfunktion führen.
Trotz dieser Taktiken ist es möglich, dass zwei unabhängige Ausfälle gleichzeitig innerhalb desselben Maschinenzyklus auftreten. Es ist nur sehr unwahrscheinlich, insbesondere wenn hochzuverlässige Komponenten verwendet wurden. Für Anwendungen mit sehr hohem Risiko sollten drei oder mehr Unterkanäle verwendet werden. Diese Philosophie basiert auf der Tatsache, dass die mittlere Zeit zwischen Ausfällen viel länger ist als der Maschinenzyklus.
Dies bedeutet jedoch nicht, dass die Tabelle nicht weiter ausgebaut werden kann. Tabelle 1 ist grundsätzlich und strukturell der in EN 2-954 verwendeten Tabelle 1 sehr ähnlich. Es wird jedoch nicht versucht, zu viele Sortierkriterien aufzunehmen. Die Anforderungen werden nach den strengen Gesetzen der Logik definiert, sodass nur eindeutige Antworten (JA oder NEIN) zu erwarten sind. Dies ermöglicht eine genauere Bewertung, Sortierung und Klassifizierung der eingereichten Schaltungen (sicherheitsrelevante Kanäle) und nicht zuletzt eine deutliche Verbesserung der Reproduzierbarkeit der Bewertung.
Ideal wäre es, wenn man Risiken in verschiedene Risikostufen einteilen und dann eine eindeutige Verknüpfung zwischen Risikostufen und Kategorien herstellen könnte, und das alles unabhängig von der eingesetzten Technologie. Dies ist jedoch nicht vollständig möglich. Schon früh nach der Erstellung der Kategorien wurde deutlich, dass selbst bei gleicher Technologie diverse Fragen nicht ausreichend beantwortet wurden. Was ist besser: eine sehr zuverlässige und gut konstruierte Komponente der Kategorie 1 oder ein System, das die Anforderungen der Kategorie 3 mit geringer Zuverlässigkeit erfüllt?
Um dieses Dilemma zu erklären, muss man zwischen zwei Qualitäten unterscheiden: Zuverlässigkeit und Sicherheit (gegen Ausfälle). Sie sind nicht vergleichbar, da diese beiden Qualitäten unterschiedliche Eigenschaften haben:
In Anbetracht des oben Gesagten kann es sein, dass die beste Lösung (aus Sicht des hohen Risikos) darin besteht, hochzuverlässige Komponenten zu verwenden und sie so zu konfigurieren, dass die Schaltung gegen mindestens einen Ausfall (vorzugsweise mehr) sicher ist. Es ist klar, dass eine solche Lösung nicht die wirtschaftlichste ist. In der Praxis ist der Optimierungsprozess meist die Folge all dieser Einflüsse und Überlegungen.
Erfahrungen mit der praktischen Verwendung der Kategorien zeigen, dass es selten möglich ist, ein Steuerungssystem zu entwerfen, das durchgehend nur eine Kategorie verwenden kann. Typisch ist die Kombination aus zwei oder sogar drei Teilen, die jeweils einer anderen Kategorie angehören, wie im folgenden Beispiel dargestellt:
Viele Sicherheitslichtschranken sind in Kategorie 4 ausgelegt, wobei ein Kanal mit einem dynamischen Signal arbeitet. Am Ende dieses Systems befinden sich in der Regel zwei sich gegenseitig überwachende Teilkanäle, die mit statischen Signalen arbeiten. (Dies erfüllt die Anforderungen für Kategorie 3.)
Nach EN 50100 werden solche Lichtschranken klassifiziert als Typ 4 berührungslos wirkende Schutzeinrichtungen, obwohl sie aus zwei Teilen bestehen. Leider gibt es keine Einigung darüber, wie Steuersysteme bezeichnet werden sollen, die aus zwei oder mehr Teilen bestehen, wobei jeder Teil einer anderen Kategorie angehört.
Programmierbare elektronische Systeme (PES)
Die Grundsätze zur Erstellung von Tabelle 1 lassen sich natürlich mit gewissen Einschränkungen auch allgemein auf PES übertragen.
Nur-PES-System
Bei der Verwendung von PESs zur Steuerung werden die Informationen über eine große Anzahl von Komponenten vom Sensor zum Aktivator übertragen. Darüber hinaus durchläuft es sogar Software. (Siehe Abbildung 12).
Abbildung 12. Schaltung eines PES-Systems
Obwohl moderne PES sehr zuverlässig sind, ist die Zuverlässigkeit nicht so hoch, wie es für die Verarbeitung von Sicherheitsfunktionen erforderlich sein könnte. Darüber hinaus sind die üblichen PES-Systeme nicht sicher genug, da sie im Fehlerfall die sicherheitsrelevante Funktion nicht erfüllen. Daher ist die Verwendung von PES zur Verarbeitung von Sicherheitsfunktionen ohne zusätzliche Maßnahmen nicht zulässig.
Sehr risikoarme Anwendungen: Systeme mit einem PES und zusätzlichen Maßnahmen
Bei Verwendung eines einzelnen PES zur Steuerung besteht das System aus den folgenden Hauptteilen:
Eingabeteil
Die Zuverlässigkeit eines Sensors und eines Eingangs eines PES kann verbessert werden, indem sie verdoppelt werden. Eine solche Doppelsystem-Eingabekonfiguration kann weiter durch Software überwacht werden, um zu prüfen, ob beide Subsysteme die gleichen Informationen liefern. Somit können die Fehler im Eingangsteil erkannt werden. Dies ist fast die gleiche Philosophie wie für Kategorie 3 erforderlich. Da die Überwachung jedoch durch Software und nur einmal erfolgt, kann dies als 3- (oder nicht so zuverlässig wie 3) bezeichnet werden.
Mittelteil
Obwohl dieser Teil nicht gut verdoppelt werden kann, kann er getestet werden. Beim Einschalten (oder während des Betriebs) kann eine Überprüfung des gesamten Befehlssatzes durchgeführt werden. In gleichen Abständen kann der Speicher auch durch geeignete Bitmuster überprüft werden. Wenn solche Überprüfungen ohne Fehler durchgeführt werden, funktionieren beide Teile, CPU und Speicher, offensichtlich ordnungsgemäß. Der Mittelteil weist einige typische Merkmale der Kategorie 4 (dynamisches Signal) und andere typische Merkmale der Kategorie 2 (regelmäßige Prüfung in angemessenen Abständen) auf. Das Problem ist, dass diese Tests trotz ihres Umfangs nicht wirklich vollständig sein können, da das One-PES-System sie von Natur aus nicht zulässt.
Ausgangsteil
Ähnlich wie ein Input kann auch der Output (inklusive Aktivatoren) verdoppelt werden. Beide Subsysteme können hinsichtlich des gleichen Ergebnisses überwacht werden. Fehler werden erkannt und die Sicherheitsfunktion wird ausgeführt. Allerdings gibt es die gleichen Schwachstellen wie im Eingabeteil. Folglich wird in diesem Fall die Kategorie 3 gewählt.
In Abbildung 13 wird die gleiche Funktion auf Relais übertragen A und B. Die Steuerkontakte a und b, teilt dann zwei Eingabesystemen mit, ob beide Relais die gleiche Arbeit verrichten (es sei denn, es liegt ein Fehler in einem der Kanäle vor). Die Überwachung erfolgt wieder per Software.
Abbildung 13. Eine PES-Schaltung mit einem Fehlererkennungssystem
Das gesamte System kann als Kategorie 3-/4/2/3- bezeichnet werden, wenn es richtig und umfassend durchgeführt wird. Dennoch können die oben beschriebenen Schwachstellen solcher Systeme nicht vollständig beseitigt werden. Tatsächlich werden verbesserte PES nur dort für sicherheitsrelevante Funktionen eingesetzt, wo die Risiken eher gering sind (Hölscher und Rader 1984).
Anwendungen mit geringem und mittlerem Risiko mit einem PES
Heute ist fast jede Maschine mit einer PES-Steuerung ausgestattet. Um das Problem der unzureichenden Zuverlässigkeit und meist unzureichenden Ausfallsicherheit zu lösen, werden üblicherweise die folgenden Entwurfsmethoden verwendet:
Abbildung 14. Stand der Technik für Stoppkategorie 0
Abbildung 15. Stand der Technik für Stoppkategorie 1
Abbildung 16. Stand der Technik für Stoppkategorie 2
Anwendungen mit hohem Risiko: Systeme mit zwei (oder mehr) PES
Abgesehen von Komplexität und Kosten gibt es keine anderen Faktoren, die Designer daran hindern würden, vollständig verdoppelte PES-Systeme wie Siemens Simatic S5-115F, 3B6 Typ CAR-MIL usw. zu verwenden. Diese umfassen typischerweise zwei identische PES mit homogener Software und gehen von der Verwendung von „bewährten“ PES und „bewährten“ Compilern aus (ein bewährter PES oder Compiler kann als einer angesehen werden, der in vielen praktischen Anwendungen über 3 oder mehr Jahre verwendet wurde hat gezeigt, dass systematische Fehler offensichtlich eliminiert wurden). Obwohl diese doppelten PES-Systeme nicht die Schwachpunkte von Einzel-PES-Systemen haben, bedeutet dies nicht, dass doppelte PES-Systeme alle Probleme lösen. (Siehe Abbildung 17).
Abbildung 17. Anspruchsvolles System mit zwei PES
Systematische Fehler
Systematische Fehler können aus Fehlern in Spezifikationen, Design und anderen Ursachen resultieren und sowohl in der Hardware als auch in der Software vorhanden sein. Doppel-PES-Systeme eignen sich für den Einsatz in sicherheitsgerichteten Anwendungen. Solche Konfigurationen ermöglichen die Erkennung zufälliger Hardwarefehler. Durch Hardwarediversität, wie z. B. die Verwendung zweier unterschiedlicher Typen oder Produkte zweier verschiedener Hersteller, könnten systematische Hardwareausfälle aufgedeckt werden (es ist sehr unwahrscheinlich, dass ein identischer Hardwaresystemausfall in beiden PES auftritt).
Software
Software ist ein neues Element in Sicherheitsbetrachtungen. Software ist entweder richtig oder falsch (in Bezug auf Ausfälle). Einmal richtig, kann Software nicht sofort falsch werden (im Vergleich zu Hardware). Ziel ist es, alle Fehler in der Software zu beseitigen oder zumindest zu identifizieren.
Es gibt verschiedene Wege, dieses Ziel zu erreichen. Einer ist der Überprüfung des Programms (eine zweite Person versucht in einem anschließenden Test, die Fehler zu entdecken). Eine andere Möglichkeit ist Vielfalt der Software, bei der zwei unterschiedliche Programme, geschrieben von zwei Programmierern, dasselbe Problem behandeln. Sind die Ergebnisse (innerhalb gewisser Grenzen) identisch, kann davon ausgegangen werden, dass beide Programmteile korrekt sind. Sind die Ergebnisse unterschiedlich, wird vermutet, dass Fehler vorliegen. (NB, Die Architektur der Hardware natürlich auch berücksichtigt werden.)
Zusammenfassung
Beim Einsatz von PES sind generell die gleichen folgenden Grundüberlegungen zu berücksichtigen (wie in den vorangegangenen Abschnitten beschrieben).
Neu ist, dass für das System mit PES auch Software auf Korrektheit hin bewertet werden sollte. Software ist, wenn sie korrekt ist, zu 100 % zuverlässig. In diesem Stadium der technologischen Entwicklung werden wahrscheinlich nicht die bestmöglichen und bekannten technischen Lösungen verwendet, da die limitierenden Faktoren immer noch wirtschaftlicher Natur sind. Darüber hinaus entwickeln verschiedene Expertengruppen die Standards für Sicherheitsanwendungen von PES weiter (z. B. EC, EWICS). Obwohl bereits verschiedene Normen verfügbar sind (VDE0801, IEC65A usw.), ist diese Angelegenheit so umfassend und komplex, dass keine davon als endgültig angesehen werden kann.
Immer wenn einfache und konventionelle Produktionsmittel wie Werkzeugmaschinen automatisiert werden, entstehen komplexe technische Systeme sowie neue Gefährdungen. Diese Automatisierung wird durch die Verwendung von Computer Numeric Control (CNC)-Systemen auf Werkzeugmaschinen erreicht, die sog CNC-Werkzeugmaschinen (z. B. Fräsmaschinen, Bearbeitungszentren, Bohrer und Schleifmaschinen). Um das Gefährdungspotential automatischer Werkzeuge erkennen zu können, sollten die verschiedenen Betriebsarten der einzelnen Systeme analysiert werden. Bisher durchgeführte Analysen weisen darauf hin, dass zwischen zwei Betriebsarten unterschieden werden sollte: dem Normalbetrieb und dem Sonderbetrieb.
Die Sicherheitsanforderungen an CNC-Werkzeugmaschinen lassen sich oft nicht in konkreten Maßnahmen vorschreiben. Das mag daran liegen, dass es zu wenige gerätespezifische Vorschriften und Normen gibt, die konkrete Lösungen bieten. Sicherheitsanforderungen können nur ermittelt werden, wenn die möglichen Gefährdungen durch eine Gefährdungsanalyse systematisch identifiziert werden, insbesondere wenn diese komplexen technischen Anlagen mit frei programmierbaren Steuerungen ausgestattet sind (wie bei CNC-Werkzeugmaschinen).
Bei neu entwickelten CNC-Werkzeugmaschinen ist der Hersteller verpflichtet, eine Gefährdungsanalyse an der Anlage durchzuführen, um eventuell vorhandene Gefahren zu erkennen und durch konstruktive Lösungen aufzuzeigen, dass alle Gefährdungen für Personen in allen Fällen ausgeschlossen sind unterschiedliche Betriebsarten entfallen. Alle identifizierten Gefährdungen müssen einer Gefährdungsbeurteilung unterzogen werden, wobei jedes Risiko eines Ereignisses vom Schadensumfang und der möglichen Eintrittshäufigkeit abhängt. Die zu bewertende Gefährdung erhält zusätzlich eine Risikokategorie (minimiert, normal, erhöht). Wo das Risiko aufgrund der Gefährdungsbeurteilung nicht akzeptiert werden kann, müssen Lösungen (Sicherheitsmaßnahmen) gefunden werden. Der Zweck dieser Lösungen besteht darin, die Häufigkeit des Auftretens und den Schadensumfang eines ungeplanten und potenziell gefährlichen Zwischenfalls (eines „Ereignisses“) zu verringern.
Die Lösungsansätze für normale und erhöhte Risiken liegen in der indirekten und direkten Sicherheitstechnik; für minimierte risiken sind sie in der sicherheitstechnik zu finden:
Internationale Sicherheitsanforderungen
Die EG-Maschinenrichtlinie (89/392/EWG) von 1989 legt die wichtigsten Sicherheits- und Gesundheitsanforderungen für Maschinen fest. (Im Sinne der Maschinenrichtlinie ist eine Maschine die Gesamtheit miteinander verbundener Teile oder Geräte, von denen mindestens eines bewegt werden kann und dementsprechend eine Funktion hat.) Darüber hinaus werden einzelne Normen von internationalen Normungsgremien erstellt, um dies möglichst zu veranschaulichen Lösungen (z. B. durch Beachtung grundlegender Sicherheitsaspekte oder durch Untersuchung elektrischer Ausrüstungen von Industriemaschinen). Ziel dieser Normen ist es, Schutzziele festzulegen. Diese internationalen Sicherheitsanforderungen geben Herstellern die notwendige Rechtsgrundlage, um diese Anforderungen in den oben genannten Gefahrenanalysen und Risikobewertungen zu spezifizieren.
Betriebsarten
Beim Einsatz von Werkzeugmaschinen wird zwischen Normalbetrieb und Sonderbetrieb unterschieden. Statistiken und Untersuchungen zeigen, dass die Mehrzahl der Vorfälle und Unfälle nicht im Normalbetrieb (dh während der automatischen Erfüllung des betreffenden Auftrags) stattfinden. Bei dieser Art von Maschinen und Anlagen liegt der Schwerpunkt auf speziellen Betriebsarten wie Inbetriebnahme, Einrichten, Programmieren, Testläufen, Kontrollen, Störungsbeseitigung oder Wartung. In diesen Betriebsarten befinden sich Personen in der Regel im Gefahrenbereich. Das Sicherheitskonzept muss das Personal in solchen Situationen vor schädlichen Ereignissen schützen.
Normale Operation
Für automatische Maschinen im Normalbetrieb gilt: (1) die Maschine erfüllt die Aufgabe, für die sie konstruiert und gebaut wurde, ohne weiteres Eingreifen des Bedieners, und (2) angewandt auf eine einfache Drehmaschine bedeutet dies, dass a Das Werkstück wird in die richtige Form gedreht und es entstehen Späne. Wenn das Werkstück manuell gewechselt wird, ist das Wechseln des Werkstücks eine besondere Betriebsart.
Spezielle Betriebsarten
Sonderbetriebsarten sind Arbeitsvorgänge, die einen normalen Betrieb ermöglichen. Darunter fallen beispielsweise Werkstück- oder Werkzeugwechsel, Störungsbeseitigung im Produktionsprozess, Behebung einer Maschinenstörung, Einrichten, Programmieren, Testläufe, Reinigen und Warten. Im Normalbetrieb erfüllen automatische Systeme ihre Aufgaben selbstständig. Aus Sicht der Arbeitssicherheit wird der automatische Normalbetrieb jedoch dann kritisch, wenn der Bediener in Arbeitsabläufe eingreifen muss. Die an solchen Prozessen beteiligten Personen dürfen unter keinen Umständen Gefahren ausgesetzt werden.
Personal
Bei der Absicherung von Werkzeugmaschinen ist sowohl auf die in den verschiedenen Betriebsarten tätigen Personen als auch auf Dritte Rücksicht zu nehmen. Als Dritte gelten auch mittelbar an der Maschine Beteiligte wie Vorgesetzte, Inspektoren, Hilfskräfte für Materialtransporte und Demontagearbeiten, Besucher und andere.
Anforderungen und Sicherheitsmaßnahmen für Maschinenzubehör
Eingriffe bei Arbeiten in Sonderbetriebsarten erfordern den Einsatz von speziellem Zubehör, um ein sicheres Arbeiten zu gewährleisten. Das erster Typ Zu den Zubehörteilen gehören Geräte und Gegenstände, mit denen in den automatischen Prozess eingegriffen werden kann, ohne dass der Bediener einen Gefahrenbereich betreten muss. Zu dieser Art von Zubehör gehören (1) Spänehaken und -zangen, die so konstruiert sind, dass Späne im Bearbeitungsbereich durch die in den Schutzeinrichtungen vorgesehenen Öffnungen entfernt oder weggezogen werden können, und (2) Werkstückspannvorrichtungen, mit denen das Produktionsmaterial kann manuell in einen automatischen Zyklus eingefügt oder daraus entfernt werden
Verschiedene Sonderbetriebsarten – beispielsweise Sanierungsarbeiten oder Wartungsarbeiten – machen es erforderlich, dass Personal in eine Anlage eingreift. Auch für diese Fälle gibt es eine ganze Reihe von Maschinenzubehör, das die Arbeitssicherheit erhöhen soll – zum Beispiel Vorrichtungen zur Handhabung schwerer Schleifscheiben beim Schleifmaschinenwechsel sowie spezielle Krangehänge für die Demontage oder Montage schwerer Komponenten im Einsatz Maschinen werden überholt. Diese Geräte sind die zweiter Typ von Maschinenzubehör zur Erhöhung der Sicherheit bei Arbeiten in Sonderbetrieben. Als zweite Art von Maschinenzubehör können auch spezielle Betriebsleitsysteme angesehen werden. Mit solchem Zubehör können bestimmte Tätigkeiten sicher ausgeführt werden – zum Beispiel kann eine Vorrichtung in den Maschinenachsen aufgebaut werden, wenn Vorschubbewegungen bei geöffneten Schutzeinrichtungen erforderlich sind.
Diese speziellen Betriebsleitsysteme müssen besonderen Sicherheitsanforderungen genügen. Beispielsweise müssen sie sicherstellen, dass nur die angeforderte Beförderung in der angeforderten Weise und nur so lange wie angefordert durchgeführt wird. Die Sonderbetriebsführung muss daher so gestaltet sein, dass Fehlhandlungen nicht in gefährliche Bewegungen oder Zustände übergehen.
Als Ausrüstung, die den Automatisierungsgrad einer Anlage erhöht, kann gelten a dritter Typ von Maschinenzubehör zur Erhöhung der Arbeitssicherheit. Tätigkeiten, die bisher manuell ausgeführt wurden, erledigt die Maschine im Normalbetrieb automatisch, wie z. B. Anlagen wie Portallader, die die Werkstücke an Werkzeugmaschinen automatisch wechseln. Die Absicherung des automatischen Normalbetriebs bereitet wenig Probleme, da der Eingriff einer Bedienperson in den Ablauf unnötig ist und mögliche Eingriffe durch Sicherheitseinrichtungen verhindert werden können.
Anforderungen und Sicherheitsmaßnahmen für die Automatisierung von Werkzeugmaschinen
Leider hat die Automatisierung nicht zur Beseitigung von Unfällen in Produktionsanlagen geführt. Untersuchungen zeigen lediglich eine Verschiebung des Unfallgeschehens vom Normal- zum Sonderbetrieb, vor allem durch die Automatisierung des Normalbetriebs, so dass Eingriffe in den Produktionsablauf nicht mehr erforderlich sind und das Personal somit keiner Gefährdung mehr ausgesetzt ist. Andererseits sind hochautomatisierte Maschinen komplexe Systeme, die im Fehlerfall schwer einzuschätzen sind. Auch die zur Störungsbeseitigung eingesetzten Fachkräfte können dies nicht immer unfallfrei erledigen. Die Menge an Software, die für den Betrieb immer komplexerer Maschinen benötigt wird, nimmt an Umfang und Komplexität zu, was dazu führt, dass immer mehr Elektro- und Inbetriebsetzungsingenieure Unfälle erleiden. Eine fehlerfreie Software gibt es nicht, und Änderungen in der Software führen oft zu Änderungen an anderer Stelle, die weder erwartet noch gewollt waren. Um die Sicherheit nicht zu beeinträchtigen, dürfen gefährliche Fehlverhalten durch Fremdeinwirkung und Bauteilausfälle nicht möglich sein. Diese Bedingung kann nur erfüllt werden, wenn der Sicherheitskreis möglichst einfach aufgebaut und von der übrigen Steuerung getrennt ist. Auch die im Sicherheitskreis verwendeten Elemente oder Baugruppen müssen ausfallsicher sein.
Es ist die Aufgabe des Konstrukteurs, Designs zu entwickeln, die den Sicherheitsanforderungen genügen. Der Konstrukteur kommt nicht umhin, die notwendigen Arbeitsabläufe, einschließlich der speziellen Betriebsweisen, sorgfältig zu berücksichtigen. Welche sicheren Arbeitsverfahren erforderlich sind, muss analysiert und dem Bedienpersonal bekannt gemacht werden. In den meisten Fällen wird eine Steuerung für den Sonderbetrieb erforderlich sein. Die Steuerung beobachtet oder regelt in der Regel eine Bewegung, während gleichzeitig keine andere Bewegung ausgelöst werden muss (da für diese Arbeit keine andere Bewegung benötigt wird und somit auch keine vom Bediener erwartet wird). Die Steuerung muss in den verschiedenen Sonderbetriebsarten nicht notwendigerweise die gleichen Aufgaben übernehmen.
Anforderungen und Sicherheitsmaßnahmen im Normal- und Sonderbetrieb
Normale Operation
Die Festlegung von Sicherheitszielen sollte den technischen Fortschritt nicht behindern, da angepasste Lösungen gewählt werden können. Der Einsatz von CNC-Werkzeugmaschinen stellt höchste Anforderungen an Gefahrenanalyse, Risikobeurteilung und Sicherheitskonzepte. Im Folgenden werden einige Sicherheitsziele und mögliche Lösungen näher beschrieben.
Sicherheitsziel
Mögliche Lösungen
Sicherheitsziel
Mögliche Lösung
Sonderbetrieb
Die Schnittstellen zwischen Normalbetrieb und Sonderbetrieb (z. B. Türverriegelungen, Lichtschranken, Schaltmatten) sind notwendig, damit die Sicherheitssteuerung automatisch die Anwesenheit von Personen erkennen kann. Im Folgenden werden bestimmte Sonderbetriebsarten (z. B. Einrichten, Programmieren) an CNC-Werkzeugmaschinen beschrieben, die Bewegungen erfordern, die direkt am Einsatzort beurteilt werden müssen.
Sicherheitsziele
Mögliche Lösung
Anforderungen an Sicherheitssteuerungen
Zu den Merkmalen einer Sicherheitssteuerung muss gehören, dass die Sicherheitsfunktion im Fehlerfall gewährleistet ist, um Prozesse aus einem gefährlichen Zustand in einen sicheren Zustand zu lenken.
Sicherheitsziele
Mögliche Lösungen
Fazit
Es zeigt sich, dass die zunehmende Unfallhäufigkeit im Normal- und Sonderbetrieb ohne ein klares und unverwechselbares Sicherheitskonzept nicht aufzuhalten ist. Diese Tatsache muss bei der Erstellung von Sicherheitsvorschriften und Richtlinien berücksichtigt werden. Neue Richtlinien in Form von Sicherheitszielen sind notwendig, um fortschrittliche Lösungen zu ermöglichen. Dieses Ziel ermöglicht es Konstrukteuren, die optimale Lösung für einen bestimmten Fall auszuwählen und gleichzeitig die Sicherheitsmerkmale ihrer Maschinen auf relativ einfache Weise zu demonstrieren, indem sie eine Lösung für jedes Sicherheitsziel beschreiben. Diese Lösung kann dann mit anderen bestehenden und akzeptierten Lösungen verglichen werden, und wenn sie besser oder zumindest gleichwertig ist, kann dann eine neue Lösung gewählt werden. So wird der Fortschritt nicht durch eng formulierte Vorschriften behindert.
Hauptmerkmale der EWG-Maschinenrichtlinie
Für jeden einzelnen Staat gilt die Richtlinie des Rates vom 14. Juni 1989 zur Angleichung der Rechtsvorschriften der Mitgliedstaaten über Maschinen (89/392/EWG).
Sicherheitsziele für den Bau und Einsatz von CNC-Werkzeugmaschinen
1. Drehmaschinen
1.1 Normaler Betriebsmodus
1.1.1 Der Arbeitsbereich ist so abzusichern, dass der Gefahrenbereich automatischer Bewegungen weder absichtlich noch unbeabsichtigt erreicht oder betreten werden kann.
1.1.2 Das Werkzeugmagazin ist so abzusichern, dass es unmöglich ist, die Gefahrenbereiche automatischer Bewegungen zu erreichen oder zu betreten, weder beabsichtigt noch unbeabsichtigt.
1.1.3 Das Werkstückmagazin ist so abzusichern, dass es unmöglich ist, die Gefahrenbereiche automatischer Bewegungen zu erreichen oder zu betreten, weder beabsichtigt noch unbeabsichtigt.
1.1.4 Die Späneabfuhr darf nicht zu Personenschäden durch Späne oder bewegliche Teile der Maschine führen.
1.1.5 Personenschäden durch Eingreifen in Antriebssysteme sind zu vermeiden.
1.1.6 Das Hineingreifen in die Gefahrenbereiche sich bewegender Späneförderer muss verhindert werden.
1.1.7 Durch umherfliegende Werkstücke oder Teile davon dürfen weder Bediener noch Dritte verletzt werden.
Dies kann beispielsweise vorkommen
1.1.8 Durch umherfliegende Werkstückspannvorrichtungen darf kein Personenschaden entstehen.
1.1.9 Durch umherfliegende Späne darf kein Personenschaden entstehen.
1.1.10 Durch umherfliegende Werkzeuge oder Teile davon darf kein Personenschaden entstehen.
Dies kann beispielsweise vorkommen
1.2 Besondere Betriebsarten
1.2.1 Werkstückwechsel.
1.2.1.1 Die Werkstückspannung muss so erfolgen, dass keine Körperteile zwischen schließenden Spannvorrichtungen und Werkstück oder zwischen vorlaufender Hülsenspitze und Werkstück eingeklemmt werden können.
1.2.1.2 Das Anlaufen eines Antriebs (Spindeln, Achsen, Pinolen, Revolverköpfe oder Späneförderer) infolge eines fehlerhaften oder ungültigen Befehls muss verhindert werden.
1.2.1.3 Das Werkstück muss von Hand oder mit Werkzeugen gefahrlos manipuliert werden können.
1.2.2 Werkzeugwechsel im Werkzeughalter oder Werkzeugrevolverkopf.
1.2.2.1 Gefährdungen durch fehlerhaftes Verhalten des Systems oder durch Eingabe eines ungültigen Befehls müssen verhindert werden.
1.2.3 Werkzeugwechsel im Werkzeugmagazin.
1.2.3.1 Bewegungen im Werkzeugmagazin infolge eines fehlerhaften oder ungültigen Befehls müssen beim Werkzeugwechsel verhindert werden.
1.2.3.2 Von der Werkzeugbeladestation darf nicht in andere bewegliche Maschinenteile gegriffen werden können.
1.2.3.3 Beim Weiterfahren des Werkzeugmagazins oder beim Suchen darf nicht in Gefahrenbereiche gegriffen werden können. Bei abgenommenen Schutzeinrichtungen für den Normalbetrieb dürfen diese Bewegungen nur der vorgesehenen Art und nur während der angeordneten Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass sich keine Körperteile in diesen Gefahrenbereichen befinden .
1.2.4 Messkontrolle.
1.2.4.1 Das Hineingreifen in den Arbeitsbereich darf erst möglich sein, nachdem alle Bewegungen zum Stillstand gebracht wurden.
1.2.4.2 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
1.2.5 Einrichtung.
1.2.5.1 Werden Bewegungen während des Rüstens bei entfernten Schutzeinrichtungen für den Normalbetrieb ausgeführt, muss der Bediener auf andere Weise abgesichert werden.
1.2.5.2 Aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe dürfen keine gefährlichen Bewegungen oder Bewegungsänderungen eingeleitet werden.
1.2.6 Programmierung.
1.2.6.1 Während der Programmierung dürfen keine Bewegungen eingeleitet werden, die eine Person im Arbeitsbereich gefährden.
1.2.7 Produktionsfehler.
1.2.7.1 Das Anlaufen eines Antriebs aufgrund eines fehlerhaften Befehls bei ungültigem Befehlsvorgabesollwert muss verhindert werden.
1.2.7.2 Durch das Bewegen oder Entfernen des Werkstücks oder Abfalls dürfen keine gefährlichen Bewegungen oder Situationen ausgelöst werden.
1.2.7.3 Müssen Bewegungen bei abgenommenen Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der dafür vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass keine Teile der Körper befinden sich in diesen Gefahrenbereichen.
1.2.8 Fehlerbehebung.
1.2.8.1 Das Hineingreifen in die Gefahrenbereiche automatischer Bewegungen muss verhindert werden.
1.2.8.2 Das Anlaufen eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
1.2.8.3 Eine Bewegung der Maschine bei Manipulation des defekten Teils muss verhindert werden.
1.2.8.4 Personenschäden durch Absplittern oder Herunterfallen eines Maschinenteils müssen verhindert werden.
1.2.8.5 Müssen bei der Fehlersuche Bewegungen bei entfernten Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn dies sichergestellt werden kann keine Körperteile befinden sich in diesen Gefahrenzonen.
1.2.9 Maschinenstörung und Reparatur.
1.2.9.1 Die Maschine ist gegen Anlaufen zu sichern.
1.2.9.2 Die Manipulation der verschiedenen Teile der Maschine muss manuell oder mit Werkzeugen gefahrlos möglich sein.
1.2.9.3 Es darf nicht möglich sein, spannungsführende Teile der Maschine zu berühren.
1.2.9.4 Durch das Austreten von flüssigen oder gasförmigen Medien dürfen keine Personenschäden entstehen.
2. Fräsmaschinen
2.1 Normaler Betriebsmodus
2.1.1 Der Arbeitsbereich ist so abzusichern, dass der Gefahrenbereich automatischer Bewegungen weder absichtlich noch unbeabsichtigt erreicht oder betreten werden kann.
2.1.2 Die Späneabfuhr darf nicht zu Personenschäden durch Späne oder bewegliche Teile der Maschine führen.
2.1.3 Personenschäden durch Eingreifen in Antriebssysteme sind zu vermeiden.
Durch umherfliegende Werkstücke oder Teile davon dürfen keine Personenschäden des Bedienpersonals oder Dritter entstehen.
Dies kann beispielsweise vorkommen
2.1.4 Durch umherfliegende Werkstückspannvorrichtungen darf kein Personenschaden entstehen.
2.1.5 Durch umherfliegende Späne darf kein Personenschaden entstehen.
2.1.6 Durch umherfliegende Werkzeuge oder Teile davon darf kein Personenschaden entstehen.
Dies kann beispielsweise vorkommen
Spezielle Betriebsarten
2.2.1 Werkstückwechsel.
2.2.1.1 Bei kraftbetätigten Spannzeugen dürfen keine Körperteile zwischen den Schließteilen der Spannvorrichtung und dem Werkstück eingeklemmt werden können.
2.2.1.2 Das Anlaufen eines Antriebs (Spindel, Achse) aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
2.2.1.3 Die Manipulation des Werkstücks muss manuell oder mit Werkzeugen gefahrlos möglich sein.
2.2.2 Werkzeugwechsel.
2.2.2.1 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
2.2.2.2 Beim Einsetzen von Werkzeugen dürfen die Finger nicht eingeklemmt werden.
2.2.3 Messkontrolle.
2.2.3.1 Das Hineingreifen in den Arbeitsbereich darf erst möglich sein, nachdem alle Bewegungen zum Stillstand gebracht wurden.
2.2.3.2 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
2.2.4 Einrichtung.
2.2.4.1 Werden Bewegungen während des Rüstens bei entfernten Schutzeinrichtungen für den Normalbetrieb ausgeführt, muss der Bediener auf andere Weise abgesichert werden.
2.2.4.2 Aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe dürfen keine gefährlichen Bewegungen oder Bewegungsänderungen eingeleitet werden.
2.2.5 Programmierung.
2.2.5.1 Während der Programmierung dürfen keine Bewegungen eingeleitet werden, die eine Person im Arbeitsbereich gefährden.
2.2.6 Produktionsfehler.
2.2.6.1 Das Starten des Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
2.2.6.2 Durch das Bewegen oder Entfernen des Werkstücks oder Abfalls dürfen keine gefährlichen Bewegungen oder Situationen ausgelöst werden.
2.2.6.3 Müssen Bewegungen bei abgenommenen Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der dafür vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass keine Teile der Körper befinden sich in diesen Gefahrenbereichen.
2.2.7 Fehlerbehebung.
2.2.7.1 Das Hineingreifen in die Gefahrenbereiche automatischer Bewegungen muss verhindert werden.
2.2.7.2 Das Anlaufen eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
2.2.7.3 Jede Bewegung der Maschine bei Manipulation des defekten Teils muss verhindert werden.
2.2.7.4 Personenschäden durch Absplittern oder Herunterfallen eines Maschinenteils müssen verhindert werden.
2.2.7.5 Müssen bei der Fehlersuche Bewegungen bei entfernten Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn dies sichergestellt werden kann keine Körperteile befinden sich in diesen Gefahrenzonen.
2.2.8 Maschinenstörung und Reparatur.
2.2.8.1 Das Anlaufen der Maschine muss verhindert werden.
2.2.8.2 Die Manipulation der verschiedenen Teile der Maschine muss manuell oder mit Werkzeugen gefahrlos möglich sein.
2.2.8.3 Es darf nicht möglich sein, spannungsführende Teile der Maschine zu berühren.
2.2.8.4 Durch das Austreten von flüssigen oder gasförmigen Medien dürfen keine Personenschäden entstehen.
3. Bearbeitungszentren
3.1 Normaler Betriebsmodus
3.1.1 Der Arbeitsbereich muss so abgesichert sein, dass der Gefahrenbereich automatischer Bewegungen weder absichtlich noch unbeabsichtigt erreicht oder betreten werden kann.
3.1.2 Das Werkzeugmagazin muss so gesichert sein, dass es unmöglich ist, in die Gefahrenbereiche automatischer Bewegungen zu gelangen oder hineinzusteigen.
3.1.3 Das Werkstückmagazin muss so abgesichert sein, dass ein Hineingreifen oder Betreten der Gefahrenbereiche automatischer Bewegungen ausgeschlossen ist.
3.1.4 Die Späneabfuhr darf nicht zu Personenschäden durch Späne oder bewegliche Teile der Maschine führen.
3.1.5 Personenschäden durch Eingreifen in Antriebssysteme sind zu vermeiden.
3.1.6 Das Hineingreifen in Gefahrenbereiche von sich bewegenden Späneförderern (Förderschnecken etc.) muss verhindert werden.
3.1.7 Durch umherfliegende Werkstücke oder Teile davon dürfen weder Bediener noch Dritte verletzt werden.
Dies kann beispielsweise vorkommen
3.1.8 Durch umherfliegende Werkstückspannvorrichtungen darf kein Personenschaden entstehen.
3.1.9 Durch umherfliegende Späne darf kein Personenschaden entstehen.
3.1.10 Durch umherfliegende Werkzeuge oder Teile davon darf kein Personenschaden entstehen.
Dies kann beispielsweise vorkommen
3.2 Besondere Betriebsarten
3.2.1 Werkstückwechsel.
3.2.1.1 Bei kraftbetätigten Spannzeugen dürfen keine Körperteile zwischen den Schließteilen der Spannvorrichtung und dem Werkstück eingeklemmt werden können.
3.2.1.2 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
3.2.1.3 Das Werkstück muss von Hand oder mit Werkzeugen gefahrlos manipuliert werden können.
3.2.1.4 Beim Werkstückwechsel in einer Spannstation dürfen automatische Bewegungsabläufe der Maschine oder des Werkstückmagazins von dieser Stelle aus nicht erreicht oder betreten werden können. Während sich eine Person im Spannbereich aufhält, dürfen keine Bewegungen von der Steuerung eingeleitet werden. Das automatische Einlegen des gespannten Werkstücks in die Maschine oder das Werkstückmagazin darf nur dann erfolgen, wenn auch die Spannstation mit einem dem Normalbetrieb entsprechenden Schutzsystem abgesichert ist.
3.2.2 Werkzeugwechsel in der Spindel.
3.2.2.1 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
3.2.2.2 Beim Einsetzen von Werkzeugen dürfen die Finger nicht eingeklemmt werden.
3.2.3 Werkzeugwechsel im Werkzeugmagazin.
3.2.3.1 Bewegungen im Werkzeugmagazin durch fehlerhafte Befehle oder ungültige Befehlseingaben müssen beim Werkzeugwechsel verhindert werden.
3.2.3.2 Von der Werkzeugbeladestation darf nicht in andere bewegliche Maschinenteile gegriffen werden können.
3.2.3.3 Bei der Weiterbewegung des Werkzeugmagazins oder während der Suche darf nicht in Gefahrenbereiche gegriffen werden können. Bei abgenommenen Schutzeinrichtungen für den normalen Betrieb dürfen diese Bewegungen nur in der vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass sich keine Körperteile in diesen Gefahrenbereichen befinden .
3.2.4 Messkontrolle.
3.2.4.1 Das Hineingreifen in den Arbeitsbereich darf erst möglich sein, nachdem alle Bewegungen zum Stillstand gebracht wurden.
3.2.4.2 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
3.2.5 Einrichtung.
3.2.5.1 Werden Bewegungen während des Rüstens bei entfernten Schutzeinrichtungen für den Normalbetrieb ausgeführt, muss der Bediener auf andere Weise abgesichert werden.
3.2.5.2 Aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe dürfen keine gefährlichen Bewegungen oder Bewegungsänderungen eingeleitet werden.
3.2.6 Programmierung.
3.2.6.1 Während der Programmierung dürfen keine Bewegungen eingeleitet werden, die eine Person im Arbeitsbereich gefährden.
3.2.7 Produktionsfehler.
3.2.7.1 Das Starten eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
3.2.7.2 Durch das Bewegen oder Entfernen des Werkstücks oder Abfalls dürfen keine gefährlichen Bewegungen oder Situationen ausgelöst werden.
3.2.7.3 Müssen Bewegungen bei abgenommenen Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der dafür vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass keine Teile der Körper befinden sich in diesen Gefahrenbereichen.
3.2.8 Fehlerbehebung.
3.2.8.1 Das Hineingreifen in die Gefahrenbereiche automatischer Bewegungen muss verhindert werden.
3.2.8.2 Das Anlaufen eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
3.2.8.3 Jede Bewegung der Maschine bei Manipulation des defekten Teils muss verhindert werden.
3.2.8.4 Personenschäden durch Absplittern oder Herunterfallen eines Maschinenteils müssen verhindert werden.
3.2.8.5 Müssen bei der Fehlersuche Bewegungen bei entfernten Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn dies sichergestellt werden kann keine Körperteile befinden sich in diesen Gefahrenzonen.
3.2.9 Maschinenstörung und Reparatur.
3.2.9.1 Das Anlaufen der Maschine muss verhindert werden.
3.2.9.2 Die Manipulation der verschiedenen Teile der Maschine muss manuell oder mit Werkzeugen gefahrlos möglich sein.
3.2.9.3 Es darf nicht möglich sein, spannungsführende Teile der Maschine zu berühren.
3.2.9.4 Durch das Austreten von flüssigen oder gasförmigen Medien dürfen keine Personenschäden entstehen.
4. Schleifmaschinen
4.1 Normaler Betriebsmodus
4.1.1 Der Arbeitsbereich ist so abzusichern, dass der Gefahrenbereich automatischer Bewegungen weder absichtlich noch unbeabsichtigt erreicht oder betreten werden kann.
4.1.2 Personenschäden durch Eingreifen in Antriebssysteme sind zu vermeiden.
4.1.3 Durch umherfliegende Werkstücke oder Teile davon dürfen weder Bediener noch Dritte verletzt werden.
Dies kann beispielsweise vorkommen
4.1.4 Durch umherfliegende Werkstückspannvorrichtungen darf kein Personenschaden entstehen.
4.1.5 Durch Funkenbildung dürfen keine Personenschäden oder Brände entstehen.
4.1.6 Durch umherfliegende Schleifscheibenteile darf kein Personenschaden entstehen.
Dies kann beispielsweise vorkommen
Spezielle Betriebsarten
4.2.1 Werkstückwechsel.
4.2.1.1 Bei kraftbetätigten Spannzeugen dürfen keine Körperteile zwischen den Schließteilen der Spannvorrichtung und dem Werkstück eingeklemmt werden können.
4.2.1.2 Das Starten eines Vorschubantriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
4.2.1.3 Personenschäden durch die rotierende Schleifscheibe müssen beim Hantieren mit dem Werkstück verhindert werden.
4.2.1.4 Personenschäden durch berstende Schleifscheibe dürfen nicht möglich sein.
4.2.1.5 Die Manipulation des Werkstücks muss manuell oder mit Werkzeugen gefahrlos möglich sein.
4.2.2 Werkzeugwechsel (Schleifscheibenwechsel)
4.2.2.1 Das Anlaufen eines Vorschubantriebs infolge eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
4.2.2.2 Personenschäden durch die rotierende Schleifscheibe dürfen während des Messvorgangs nicht möglich sein.
4.2.2.3 Personenschäden durch berstende Schleifscheibe dürfen nicht möglich sein.
4.2.3 Messkontrolle.
4.2.3.1 Das Starten eines Vorschubantriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
4.2.3.2 Personenschäden durch die rotierende Schleifscheibe dürfen während des Messvorgangs nicht möglich sein.
4.2.3.3 Personenschäden durch berstende Schleifscheibe dürfen nicht möglich sein.
4.2.4. Installieren.
4.2.4.1 Werden Bewegungen während des Rüstens bei entfernten Schutzeinrichtungen für den Normalbetrieb ausgeführt, muss der Bediener auf andere Weise abgesichert werden.
4.2.4.2 Aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe dürfen keine gefährlichen Bewegungen oder Bewegungsänderungen eingeleitet werden.
4.2.5 Programmierung.
4.2.5.1 Während der Programmierung dürfen keine Bewegungen eingeleitet werden, die eine Person im Arbeitsbereich gefährden.
4.2.6 Produktionsfehler.
4.2.6.1 Das Starten eines Vorschubantriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
4.2.6.2 Durch das Bewegen oder Entfernen des Werkstücks oder Abfalls dürfen keine gefährlichen Bewegungen oder Situationen ausgelöst werden.
4.2.6.3 Müssen Bewegungen bei abgenommenen Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der dafür vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn sichergestellt ist, dass keine Teile der Körper befinden sich in diesen Gefahrenbereichen.
4.2.6.4 Personenschäden durch die rotierende Schleifscheibe müssen verhindert werden.
4.2.6.5 Personenschäden durch berstende Schleifscheibe dürfen nicht möglich sein.
4.2.7 Fehlerbehebung.
4.2.7.1 Das Hineingreifen in die Gefahrenbereiche automatischer Bewegungen muss verhindert werden.
4.2.7.2 Das Anlaufen eines Antriebs aufgrund eines fehlerhaften Befehls oder einer ungültigen Befehlseingabe muss verhindert werden.
4.2.7.3 Jede Bewegung der Maschine bei Manipulation des defekten Teils muss verhindert werden.
4.2.7.4 Personenschäden durch Absplittern oder Herunterfallen eines Maschinenteils müssen verhindert werden.
4.2.7.5 Personenschäden durch Berühren des Bedieners oder durch Bersten der rotierenden Schleifscheibe müssen verhindert werden.
4.2.7.6 Müssen bei der Fehlersuche Bewegungen bei entfernten Schutzeinrichtungen für den Normalbetrieb erfolgen, dürfen diese Bewegungen nur in der vorgesehenen Art und nur für die angeordnete Zeit und nur dann durchgeführt werden, wenn dies sichergestellt werden kann keine Körperteile befinden sich in diesen Gefahrenzonen.
4.2.8 Maschinenstörung und Reparatur.
4.2.8.1 Das Anlaufen der Maschine muss verhindert werden.
4.2.8.2 Die Manipulation der verschiedenen Teile der Maschine muss manuell oder mit Werkzeugen gefahrlos möglich sein.
4.2.8.3 Es darf nicht möglich sein, spannungsführende Teile der Maschine zu berühren.
4.2.8.4 Durch das Austreten von flüssigen oder gasförmigen Medien dürfen keine Personenschäden entstehen.
Industrieroboter sind in der gesamten Industrie überall dort zu finden, wo hohe Produktivitätsanforderungen erfüllt werden müssen. Der Einsatz von Robotern erfordert jedoch die Entwicklung, Anwendung und Implementierung geeigneter Sicherheitssteuerungen, um Gefahren für Produktionspersonal, Programmierer, Wartungsspezialisten und Systemingenieure zu vermeiden.
Warum sind Industrieroboter gefährlich?
Eine Definition von Robotern ist „bewegte automatische Maschinen, die frei programmierbar sind und in der Lage sind, mit wenig oder keiner menschlichen Schnittstelle zu arbeiten“. Diese Arten von Maschinen werden derzeit in einer Vielzahl von Anwendungen in Industrie und Medizin, einschließlich Ausbildung, eingesetzt. Industrieroboter werden zunehmend für Schlüsselfunktionen wie neue Fertigungsstrategien (CIM, JIT, Lean Production etc.) in komplexen Anlagen eingesetzt. Aus der Anzahl und Breite der Anwendungen und der Komplexität der Geräte und Installationen resultieren Gefahren wie die folgenden:
Untersuchungen in Japan zeigen, dass mehr als 50 % der Arbeitsunfälle mit Robotern auf Fehler in den elektronischen Schaltungen der Steuerung zurückzuführen sind. In denselben Untersuchungen war „menschliches Versagen“ für weniger als 20 % verantwortlich. Die logische Schlussfolgerung aus dieser Erkenntnis ist, dass Gefährdungen, die durch Systemfehler verursacht werden, nicht durch Verhaltensmaßnahmen des Menschen vermieden werden können. Planer und Betreiber müssen daher technische Sicherheitsmaßnahmen vorsehen und umsetzen (siehe Abbildung 1).
Abbildung 1. Spezielles Bediensystem zum Einrichten eines mobilen Schweißroboters
Unfälle und Betriebsarten
Tödliche Unfälle mit Industrierobotern ereigneten sich bereits Anfang der 1980er Jahre. Statistiken und Untersuchungen zeigen, dass sich die Mehrzahl der Vorfälle und Unfälle nicht im Normalbetrieb ereignen (automatische Auftragserfüllung). Bei der Arbeit mit Industrierobotermaschinen und -anlagen liegt der Schwerpunkt auf speziellen Betriebsarten wie Inbetriebnahme, Einrichten, Programmieren, Testläufen, Kontrollen, Fehlersuche oder Wartung. In diesen Betriebsarten befinden sich Personen in der Regel im Gefahrenbereich. Das Sicherheitskonzept muss das Personal in solchen Situationen vor negativen Ereignissen schützen.
Internationale Sicherheitsanforderungen
Die 1989 EWG-Maschinenrichtlinie (89/392/EWG) (siehe Artikel „Sicherheitsgrundsätze für CNC-Werkzeugmaschinen“ in diesem Kapitel und an anderer Stelle in diesem Kapitel Enzyklopädie)) legt die wichtigsten Sicherheits- und Gesundheitsanforderungen für Maschinen fest. Als Maschine wird die Gesamtheit von miteinander verbundenen Teilen oder Geräten angesehen, von denen mindestens ein Teil oder Gerät sich bewegen kann und dementsprechend eine Funktion hat. Bei Industrierobotern ist zu beachten, dass das gesamte System, nicht nur ein einzelnes Gerät an der Maschine, die Sicherheitsanforderungen erfüllen und mit den entsprechenden Sicherheitseinrichtungen ausgestattet sein muss. Gefahrenanalyse und Risikobewertung sind geeignete Methoden, um festzustellen, ob diese Anforderungen erfüllt sind (siehe Abbildung 2).
Abbildung 2. Blockdiagramm für ein Personensicherheitssystem
Anforderungen und Sicherheitsmaßnahmen im Normalbetrieb
Der Einsatz von Robotertechnik stellt höchste Anforderungen an Gefahrenanalyse, Risikobewertung und Sicherheitskonzepte. Aus diesem Grund können die folgenden Beispiele und Vorschläge nur als Richtlinien dienen:
1. Angesichts des Sicherheitsziels, dass der manuelle oder physische Zugang zu Gefahrenbereichen mit automatischen Bewegungen verhindert werden muss, umfassen folgende Lösungsvorschläge:
2. Angesichts des Sicherheitsziels, dass keine Person durch freigesetzte Energie (umherfliegende Teile oder Energiestrahlen) verletzt werden darf, sind Lösungsvorschläge:
3. Die Schnittstellen zwischen Normalbetrieb und Sonderbetrieb (z. B. Türverriegelungen, Lichtschranken, Schaltmatten) sind notwendig, damit die Sicherheitssteuerung die Anwesenheit von Personen automatisch erkennen kann.
Anforderungen und Sicherheitsmaßnahmen in Sonderbetriebsarten
Bestimmte Sonderbetriebsarten (z. B. Einrichten, Programmieren) an einem Industrieroboter erfordern Bewegungen, die direkt am Einsatzort beurteilt werden müssen. Das relevante Sicherheitsziel ist, dass keine Bewegungen die beteiligten Personen gefährden dürfen. Die Bewegungen sollten sein
Ein Lösungsvorschlag für dieses Ziel könnte die Verwendung von speziellen Betriebssteuerungssystemen beinhalten, die nur kontrollierbare und handhabbare Bewegungen unter Verwendung von quittierbaren Steuerungen zulassen. Damit wird die Bewegungsgeschwindigkeit sicher reduziert (Energieabbau durch Anschluss eines Trenntransformators oder Einsatz von fehlersicheren Zustandsüberwachungseinrichtungen) und der sichere Zustand quittiert, bevor die Steuerung ansprechen darf (siehe Bild 3).
Abbildung 3. Sechsachsiger Industrieroboter in einem Sicherheitskäfig mit Materialtoren
Anforderungen an Sicherheitssteuerungen
Zu den Merkmalen einer Sicherheitssteuerung muss gehören, dass im Fehlerfall die geforderte Sicherheitsfunktion gewährleistet ist. Industrierobotermaschinen sollten fast augenblicklich von einem gefährlichen Zustand in einen sicheren Zustand gelenkt werden. Um dies zu erreichen, sind folgende Sicherheitskontrollmaßnahmen erforderlich:
Vorgeschlagene Lösungen für die Bereitstellung zuverlässiger Sicherheitssteuerungssysteme wären:
Sicherheitsziele für den Bau und Einsatz von Industrierobotern.
Beim Bau und Einsatz von Industrierobotern sind sowohl Hersteller als auch Anwender gefordert, modernste Sicherheitssteuerungen zu installieren. Neben dem Aspekt der rechtlichen Verantwortung kann auch eine moralische Verpflichtung bestehen, dafür zu sorgen, dass Robotertechnologie auch eine sichere Technologie ist.
Normaler Betriebsmodus
Die folgenden Sicherheitsbedingungen sollten bereitgestellt werden, wenn Robotermaschinen im Normalmodus arbeiten:
Spezielle Betriebsmodi
Die folgenden Sicherheitsbedingungen sollten bereitgestellt werden, wenn Robotermaschinen in speziellen Modi arbeiten:
Bei der Behebung einer Störung im Produktionsprozess muss Folgendes verhindert werden:
Beim Aufbau sind folgende sichere Bedingungen zu gewährleisten:
Durch einen fehlerhaften Befehl oder eine falsche Befehlseingabe dürfen keine gefahrbringenden Bewegungen eingeleitet werden.
Während der Programmierung gelten die folgenden Sicherheitsbedingungen:
Ein sicherer Testbetrieb erfordert folgende Vorkehrungen:
Verhindern Sie manuellen oder physischen Zugang zu Bereichen, die aufgrund automatischer Bewegungen gefährlich sind.
Zu den sicheren Verfahren bei der Inspektion von Robotermaschinen gehören:
Die Fehlerbehebung erfordert häufig das Starten der Robotermaschine, während sie sich in einem potenziell gefährlichen Zustand befindet, und es sollten spezielle sichere Arbeitsverfahren wie die folgenden implementiert werden:
Auch die Störungsbeseitigung und Wartungsarbeiten können eine Inbetriebnahme in einem unsicheren Zustand der Maschine erfordern und erfordern daher folgende Vorkehrungen:
Dieser Artikel behandelt den Entwurf und die Implementierung sicherheitsbezogener Steuerungssysteme, die sich mit allen Arten von elektrischen, elektronischen und programmierbaren elektronischen Systemen (einschließlich computergestützter Systeme) befassen. Der Gesamtansatz entspricht dem vorgeschlagenen International Electrotechnical Commission (IEC) Standard 1508 (Funktionale Sicherheit: Sicherheitsbezogen
Systeme und Techniken) (IEC 1993).
Hintergrund
In den 1980er Jahren wurden zunehmend computerbasierte Systeme – allgemein als programmierbare elektronische Systeme (PES) bezeichnet – zur Ausführung von Sicherheitsfunktionen eingesetzt. Treibende Kräfte hinter diesem Trend waren (1) verbesserte Funktionalität und wirtschaftliche Vorteile (insbesondere unter Berücksichtigung des Gesamtlebenszyklus des Geräts oder Systems) und (2) der besondere Nutzen bestimmter Designs, der nur durch den Einsatz von Computertechnologie realisiert werden konnte . Bei der frühen Einführung computergestützter Systeme wurden eine Reihe von Erkenntnissen gewonnen:
Um diese Probleme zu lösen, haben mehrere Gremien Richtlinien veröffentlicht oder mit der Entwicklung begonnen, um die sichere Nutzung der PES-Technologie zu ermöglichen. In Großbritannien hat die Health and Safety Executive (HSE) Richtlinien für programmierbare elektronische Systeme für sicherheitsrelevante Anwendungen entwickelt, und in Deutschland wurde ein Normentwurf (DIN 1990) veröffentlicht. Innerhalb der Europäischen Gemeinschaft wurde im Zusammenhang mit den Anforderungen der Maschinenrichtlinie ein wichtiger Teil der Arbeit an harmonisierten europäischen Normen für sicherheitsbezogene Steuerungssysteme (einschließlich solcher mit PES) begonnen. In den Vereinigten Staaten hat die Instrument Society of America (ISA) einen Standard für PES zur Verwendung in der Prozessindustrie erstellt, und das Center for Chemical Process Safety (CCPS), eine Direktion des American Institute of Chemical Engineers, hat Richtlinien erstellt für den chemischen Prozesssektor.
Derzeit findet innerhalb der IEC eine große Normungsinitiative statt, um eine generisch basierte internationale Norm für elektrische, elektronische und programmierbare elektronische (E/E/PES) sicherheitsbezogene Systeme zu entwickeln, die von den vielen Anwendungssektoren verwendet werden könnte, einschließlich der Prozess-, Medizin-, Transport- und Maschinensektor. Die vorgeschlagene internationale IEC-Norm umfasst sieben Teile unter dem allgemeinen Titel IEC 1508. Funktionale Sicherheit elektrischer/elektronischer/programmierbarer elektronischer sicherheitsbezogener Systeme. Die verschiedenen Teile sind wie folgt:
Nach ihrer Fertigstellung wird diese generisch basierte Internationale Norm eine grundlegende IEC-Sicherheitsveröffentlichung darstellen, die die funktionale Sicherheit für elektrische, elektronische und programmierbare elektronische sicherheitsbezogene Systeme abdeckt und Auswirkungen auf alle IEC-Normen haben wird, die alle Anwendungsbereiche in Bezug auf die zukünftige Gestaltung und Verwendung abdecken elektrische/elektronische/programmierbare elektronische sicherheitsbezogene Systeme. Ein Hauptziel des vorgeschlagenen Standards ist es, die Entwicklung von Standards für die verschiedenen Sektoren zu erleichtern (siehe Abbildung 1).
Abbildung 1. Generische Standards und Anwendungssektorstandards
PES Vorteile und Probleme
Die Einführung von PES für Sicherheitszwecke hatte viele potenzielle Vorteile, aber es wurde erkannt, dass diese nur erreicht werden würden, wenn geeignete Design- und Bewertungsmethoden verwendet würden, weil: (1) viele der Merkmale von PES die Sicherheitsintegrität nicht ermöglichen (dass ist die Sicherheitsleistung der Systeme, die die erforderlichen Sicherheitsfunktionen ausführen), die mit dem gleichen Grad an Zuverlässigkeit vorhergesagt werden können, der traditionell für weniger komplexe hardwarebasierte („festverdrahtete“) Systeme verfügbar war; (2) Es wurde anerkannt, dass Tests für komplexe Systeme zwar notwendig, aber allein nicht ausreichend sind. Dies bedeutete, dass selbst wenn das PES relativ einfache Sicherheitsfunktionen implementierte, der Komplexitätsgrad der programmierbaren Elektronik deutlich höher war als der der festverdrahteten Systeme, die sie ersetzten; und (3) dieser Anstieg der Komplexität bedeutete, dass den Entwurfs- und Bewertungsmethoden viel mehr Beachtung geschenkt werden musste als zuvor, und dass das Maß an persönlicher Kompetenz, das erforderlich war, um ein angemessenes Leistungsniveau der sicherheitsbezogenen Systeme zu erreichen, anschließend höher war.
Zu den Vorteilen computergestützter PES gehören:
Der Einsatz computergestützter Systeme in sicherheitsbezogenen Anwendungen wirft eine Reihe von Problemen auf, die angemessen angegangen werden müssen, wie z. B. die folgenden:
Sicherheitssysteme in Betracht gezogen
Die betrachteten Arten von sicherheitsbezogenen Systemen sind elektrische, elektronische und programmierbare elektronische Systeme (E/E/PES). Das System umfasst alle Elemente, insbesondere Signale, die von Sensoren oder anderen Eingabegeräten an der zu steuernden Ausrüstung ausgehen und über Datenautobahnen oder andere Kommunikationswege zu den Aktuatoren oder anderen Ausgabegeräten übertragen werden (siehe Abbildung 2).
Abbildung 2. Elektrisches, elektronisches und programmierbares elektronisches System (E/E/PES)
Die elektrische, elektronische und programmierbare elektronische Geräte wurde verwendet, um eine Vielzahl von Geräten zu umfassen, und deckt die folgenden drei Hauptklassen ab:
Per Definition dient ein sicherheitsbezogenes System zwei Zwecken:
Dieses Konzept ist in Abbildung 3 dargestellt.
Abbildung 3. Hauptmerkmale sicherheitsbezogener Systeme
Systemfehler
Um einen sicheren Betrieb von sicherheitsbezogenen E/E/PES-Systemen zu gewährleisten, ist es erforderlich, die verschiedenen möglichen Ursachen für sicherheitsbezogene Systemausfälle zu erkennen und dafür zu sorgen, dass jeweils angemessene Vorkehrungen getroffen werden. Fehler werden in zwei Kategorien eingeteilt, wie in Abbildung 4 dargestellt.
Abbildung 4. Fehlerkategorien
Schutz sicherheitsbezogener Systeme
Die Begriffe, die verwendet werden, um die Vorsichtsmaßnahmen anzugeben, die ein sicherheitsbezogenes System zum Schutz vor zufälligen Hardwareausfällen und systematischen Ausfällen erfordert, sind Hardware-Sicherheitsintegritätsmaßnahmen und systematische Sicherheitsintegritätsmaßnahmen beziehungsweise. Vorkehrungen, die ein sicherheitsbezogenes System sowohl gegen zufällige Hardwareausfälle als auch gegen systematische Ausfälle treffen kann, werden genannt Sicherheitsintegrität. Diese Konzepte sind in Abbildung 5 dargestellt.
Abbildung 5. Begriffe zur Sicherheitsleistung
Innerhalb des vorgeschlagenen internationalen Standards IEC 1508 gibt es vier Stufen der Sicherheitsintegrität, die als Sicherheitsintegritätsstufen 1, 2, 3 und 4 bezeichnet werden. Sicherheitsintegritätsstufe 1 ist die niedrigste Sicherheitsintegritätsstufe und Sicherheitsintegritätsstufe 4 ist die höchste. Der Sicherheitsintegritätslevel (ob 1, 2, 3 oder 4) für das sicherheitsbezogene System hängt von der Bedeutung der Rolle ab, die das sicherheitsbezogene System beim Erreichen des erforderlichen Sicherheitsniveaus für die gesteuerte Ausrüstung spielt. Es können mehrere sicherheitsbezogene Systeme erforderlich sein, von denen einige auf pneumatischer oder hydraulischer Technologie basieren können.
Entwurf sicherheitsbezogener Systeme
Eine kürzlich durchgeführte Analyse von 34 Vorfällen mit Steuerungssystemen (HSE) ergab, dass 60 % aller Fehlerfälle „eingebaut“ waren, bevor das sicherheitsbezogene Steuerungssystem in Betrieb genommen wurde (Abbildung 7). Die Betrachtung aller Phasen des Sicherheitslebenszyklus ist notwendig, um adäquate sicherheitsbezogene Systeme herzustellen.
Abbildung 7. Hauptursache (nach Phase) des Ausfalls des Steuerungssystems
Die funktionale Sicherheit sicherheitsbezogener Systeme hängt nicht nur davon ab, sicherzustellen, dass die technischen Anforderungen ordnungsgemäß spezifiziert sind, sondern auch sicherzustellen, dass die technischen Anforderungen effektiv umgesetzt werden und dass die ursprüngliche Designintegrität während der gesamten Lebensdauer der Ausrüstung erhalten bleibt. Dies kann nur verwirklicht werden, wenn ein wirksames Sicherheitsmanagementsystem vorhanden ist und die an einer Tätigkeit beteiligten Personen in Bezug auf die von ihnen zu erfüllenden Aufgaben kompetent sind. Gerade wenn es um komplexe sicherheitsrelevante Systeme geht, ist ein adäquates Sicherheitsmanagementsystem unerlässlich. Dies führt zu einer Strategie, die Folgendes sicherstellt:
Um alle relevanten technischen Anforderungen der funktionalen Sicherheit systematisch zu adressieren, wurde das Konzept des Safety Lifecycle entwickelt. Eine vereinfachte Version des Sicherheitslebenszyklus in der neuen internationalen Norm IEC 1508 ist in Abbildung 8 dargestellt. Die wichtigsten Phasen des Sicherheitslebenszyklus sind:
Abbildung 8. Rolle des Sicherheitslebenszyklus beim Erreichen funktionaler Sicherheit
Sicherheitsstufe
Die Entwurfsstrategie zum Erreichen angemessener Sicherheitsintegritätsniveaus für die sicherheitsbezogenen Systeme ist in Abbildung 9 und Abbildung 10 dargestellt. Ein Sicherheitsintegritätsniveau basiert auf der Rolle, die das sicherheitsbezogene System beim Erreichen des Gesamtniveaus spielt der Sicherheit für die zu kontrollierende Ausrüstung. Der Sicherheitsintegritätslevel gibt die Vorkehrungen an, die bei der Konstruktion sowohl gegen zufällige Hardware- als auch gegen systematische Ausfälle zu berücksichtigen sind.
Abbildung 9. Rolle der Sicherheitsintegritätsstufen im Designprozess
Abbildung 10. Rolle des Sicherheitslebenszyklus im Spezifikations- und Designprozess
Das Konzept der Sicherheit und des Sicherheitsniveaus gilt für die zu steuernde Ausrüstung. Für die sicherheitsbezogenen Systeme gilt das Konzept der funktionalen Sicherheit. Die funktionale Sicherheit der sicherheitsbezogenen Systeme muss erreicht werden, wenn ein angemessenes Sicherheitsniveau für die gefährdenden Geräte erreicht werden soll. Das spezifizierte Sicherheitsniveau für eine bestimmte Situation ist ein Schlüsselfaktor in der Spezifikation der Anforderungen an die Sicherheitsintegrität für die sicherheitsbezogenen Systeme.
Das erforderliche Sicherheitsniveau hängt von vielen Faktoren ab, z. B. der Schwere der Verletzung, der Anzahl der gefährdeten Personen, der Häufigkeit, mit der Personen einer Gefahr ausgesetzt sind, und der Dauer der Exposition. Wichtige Faktoren werden die Wahrnehmung und Ansichten derjenigen sein, die dem gefährlichen Ereignis ausgesetzt sind. Um ein angemessenes Sicherheitsniveau für eine bestimmte Anwendung zu ermitteln, werden eine Reihe von Eingaben berücksichtigt, darunter die folgenden:
Zusammenfassung
Beim Entwerfen und Verwenden von sicherheitsbezogenen Systemen muss berücksichtigt werden, dass es die zu steuernden Geräte sind, die die potenzielle Gefahr erzeugen. Die sicherheitsbezogenen Systeme sind darauf ausgelegt, die Häufigkeit (oder Wahrscheinlichkeit) des gefährlichen Ereignisses und/oder die Folgen des gefährlichen Ereignisses zu reduzieren. Sobald das Sicherheitsniveau für die Ausrüstung festgelegt wurde, kann das Sicherheitsintegritätsniveau für das sicherheitsbezogene System bestimmt werden, und es ist das Sicherheitsintegritätsniveau, das es dem Konstrukteur ermöglicht, die Vorsichtsmaßnahmen anzugeben, die in das Design eingebaut werden müssen sowohl gegen zufällige Hardware als auch gegen systematische Ausfälle eingesetzt werden.
Maschinen, Prozessanlagen und andere Geräte können bei Fehlfunktionen Risiken durch gefährliche Ereignisse wie Brände, Explosionen, Überdosierungen von Strahlung und bewegliche Teile darstellen. Eine der Ursachen für Fehlfunktionen solcher Anlagen, Geräte und Maschinen sind Ausfälle elektromechanischer, elektronischer und programmierbarer elektronischer (E/E/PE) Geräte, die beim Entwurf ihrer Steuerungs- oder Sicherheitssysteme verwendet werden. Diese Ausfälle können entweder durch physische Fehler im Gerät entstehen (z. B. durch zeitlich zufällig auftretenden Verschleiß (zufällige Hardwareausfälle)); oder von systematischen Fehlern (z. B. Fehlern in der Spezifikation und dem Design eines Systems, die dazu führen, dass es aufgrund (1) einer bestimmten Kombination von Eingaben, (2) einer Umgebungsbedingung, (3) falscher oder unvollständiger Eingaben von Sensoren, ( 4) unvollständige oder fehlerhafte Dateneingabe durch Bediener und (5) potenzielle systematische Fehler aufgrund eines schlechten Schnittstellendesigns).
Sicherheitsrelevante Systemausfälle
Dieser Artikel behandelt die funktionale Sicherheit sicherheitsbezogener Steuerungssysteme und betrachtet die technischen Hardware- und Softwareanforderungen, die zum Erreichen der erforderlichen Sicherheitsintegrität erforderlich sind. Der Gesamtansatz entspricht dem vorgeschlagenen International Electrotechnical Commission Standard IEC 1508, Teile 2 und 3 (IEC 1993). Das übergeordnete Ziel des Entwurfs der internationalen Norm IEC 1508, Funktionale Sicherheit: Sicherheitsbezogene Systeme, soll sicherstellen, dass Anlagen und Ausrüstungen sicher automatisiert werden können. Ein Hauptziel bei der Entwicklung des vorgeschlagenen internationalen Standards ist die Vermeidung oder Minimierung der Häufigkeit von:
Der Artikel „Elektrische, elektronische und programmierbare elektronische sicherheitsbezogene Systeme“ beschreibt den allgemeinen Sicherheitsmanagementansatz, der in Teil 1 der IEC 1508 verkörpert ist, um die Sicherheit von Steuerungs- und Schutzsystemen zu gewährleisten, die für die Sicherheit wichtig sind. Dieser Artikel beschreibt das allgemeine konzeptionelle Engineering-Design, das erforderlich ist, um das Unfallrisiko auf ein akzeptables Niveau zu reduzieren, einschließlich der Rolle von Kontroll- oder Schutzsystemen auf der Grundlage von E/E/PE-Technologie.
In Abbildung 1 wird das Risiko von der Ausrüstung, der Prozessanlage oder der Maschine (allgemein bezeichnet als Geräte im Griff (EUC) ohne Schutzvorrichtungen) ist an einem Ende der EUC-Risikoskala markiert, und das angestrebte Risikoniveau, das erforderlich ist, um das erforderliche Sicherheitsniveau zu erreichen, befindet sich am anderen Ende. Dazwischen wird die Kombination aus sicherheitsbezogenen Systemen und externen Risikominderungseinrichtungen gezeigt, die erforderlich ist, um die erforderliche Risikominderung zu erreichen. Diese können unterschiedlicher Art sein – mechanische (z. B. Druckentlastungsventile), hydraulische, pneumatische, physikalische sowie E/E/PE-Systeme. Abbildung 2 betont die Rolle jeder Sicherheitsschicht beim Schutz des EUC im Verlauf des Unfalls.
Abbildung 1. Risikominderung: Allgemeine Konzepte
Abbildung 2. Gesamtmodell: Schutzschichten
Vorausgesetzt, dass eine Gefahren- und Risikoanalyse am EUC durchgeführt wurde, wie in Teil 1 von IEC 1508 gefordert, wurde das Gesamtkonzept für die Sicherheit erstellt und somit die erforderlichen Funktionen und das Ziel des Sicherheitsintegritätslevels (SIL) für jedes E/E/ PE-Steuerungs- oder Schutzsystem wurden definiert. Das Ziel des Sicherheitsintegritätslevels wird in Bezug auf eine Zielausfallmaßnahme definiert (siehe Tabelle 1).
Tabelle 1. Sicherheitsintegritätslevel für Schutzsysteme: Zielausfallmaßnahmen
Sicherheitsintegritätslevel Demand-Betriebsart (Wahrscheinlichkeit des Versagens, seine Designfunktion bei Bedarf auszuführen)
4 10-5 ≤ × 10-4
3 10-4 ≤ × 10-3
2 10-3 ≤ × 10-2
1 10-2 ≤ × 10-1
Schutzsysteme
Dieses Dokument umreißt die technischen Anforderungen, die der Entwickler eines sicherheitsbezogenen E/E/PE-Systems berücksichtigen sollte, um das erforderliche Sicherheitsintegritätslevel-Ziel zu erreichen. Der Schwerpunkt liegt auf einem typischen Schutzsystem, das programmierbare Elektronik verwendet, um eine eingehendere Diskussion der Schlüsselthemen mit wenig Verlust an Allgemeingültigkeit zu ermöglichen. Ein typisches Schutzsystem ist in Abbildung 3 dargestellt, die ein einkanaliges Sicherheitssystem mit einer sekundären Abschaltung darstellt, die über ein Diagnosegerät aktiviert wird. Im Normalbetrieb wird der unsichere Zustand des EUC (z. B. Überdrehzahl in einer Maschine, hohe Temperatur in einer Chemieanlage) vom Sensor erkannt und an die programmierbare Elektronik übermittelt, die den Stellgliedern (über die Ausgangsrelais) den Befehl zum Setzen gibt das System in einen sicheren Zustand (z. B. Ausschalten des Elektromotors der Maschine, Öffnen eines Ventils zum Druckentlasten).
Abbildung 3. Typisches Schutzsystem
Was aber, wenn die Komponenten des Schutzsystems ausfallen? Dies ist die Funktion der Sekundärabschaltung, die durch die Diagnose (Selbstüberprüfung) dieser Konstruktion aktiviert wird. Das System ist jedoch nicht vollständig ausfallsicher, da das Design nur mit einer bestimmten Wahrscheinlichkeit verfügbar ist, wenn es zur Ausführung seiner Sicherheitsfunktion aufgefordert wird (es hat eine bestimmte Ausfallwahrscheinlichkeit oder einen bestimmten Sicherheitsintegritätslevel). Beispielsweise könnte das obige Design in der Lage sein, bestimmte Arten von Ausgangskartenfehlern zu erkennen und zu tolerieren, aber es wäre nicht in der Lage, einem Fehler der Eingangskarte zu widerstehen. Daher ist seine Sicherheitsintegrität viel geringer als die eines Designs mit einer Eingangskarte mit höherer Zuverlässigkeit oder verbesserter Diagnose oder einer Kombination davon.
Andere mögliche Ursachen für Kartenausfälle sind „klassische“ physikalische Fehler in der Hardware, systematische Fehler einschließlich Fehler in der Anforderungsspezifikation, Implementierungsfehler in der Software und unzureichender Schutz vor Umwelteinflüssen (z. B. Feuchtigkeit). Die Diagnose in diesem einkanaligen Design kann möglicherweise nicht alle diese Fehlerarten abdecken, wodurch der in der Praxis erreichte Sicherheitsintegritätslevel eingeschränkt wird. (Die Abdeckung ist ein Maß für den Prozentsatz der Fehler, die ein Design erkennen und sicher handhaben kann.)
Technische Anforderungen
Die Teile 2 und 3 des IEC 1508-Entwurfs bieten einen Rahmen für die Identifizierung der verschiedenen potenziellen Fehlerursachen in Hardware und Software und für die Auswahl von Konstruktionsmerkmalen, die diese potenziellen Fehlerursachen entsprechend dem erforderlichen Sicherheitsintegritätslevel des sicherheitsbezogenen Systems überwinden. Der allgemeine technische Ansatz für das Schutzsystem in Abbildung 3 ist beispielsweise in Abbildung 4 dargestellt. Die Abbildung zeigt die zwei grundlegenden Strategien zur Überwindung von Fehlern und Ausfällen: (1) Fehlervermeidung, wo darauf geachtet wird, dass keine Fehler entstehen; und 2) Fehlertoleranz, wo das Design speziell erstellt wird, um bestimmte Fehler zu tolerieren. Das oben erwähnte einkanalige System ist ein Beispiel für ein (begrenztes) fehlertolerantes Design, bei dem die Diagnose verwendet wird, um bestimmte Fehler zu erkennen und das System in einen sicheren Zustand zu versetzen, bevor ein gefährlicher Fehler auftreten kann.
Abbildung 4. Designspezifikation: Designlösung
Fehlervermeidung
Fehlervermeidung versucht zu verhindern, dass Fehler in ein System eingeführt werden. Der Hauptansatz besteht darin, eine systematische Methode zum Management des Projekts zu verwenden, sodass Sicherheit als definierbare und kontrollierbare Qualität eines Systems behandelt wird, während des Entwurfs und anschließend während des Betriebs und der Wartung. Der qualitätssicherungsähnliche Ansatz basiert auf dem Feedback-Konzept und umfasst: (1) Planung (Definition von Sicherheitszielen, Ermittlung der Mittel und Wege zur Erreichung der Ziele); (2) Messen Leistung gegenüber dem Plan während der Umsetzung und (3) Anwendung Feedback eventuelle Abweichungen zu korrigieren. Design Reviews sind ein gutes Beispiel für eine Technik zur Fehlervermeidung. In IEC 1508 wird dieser „Qualitäts“-Ansatz zur Fehlervermeidung durch die Anforderungen erleichtert, einen Sicherheitslebenszyklus zu verwenden und Sicherheitsmanagementverfahren sowohl für Hardware als auch für Software einzusetzen. Für letztere manifestieren sich diese oft als Software-Qualitätssicherungsverfahren, wie sie in ISO 9000-3 (1990) beschrieben sind.
Darüber hinaus stufen die Teile 2 und 3 der IEC 1508 (in Bezug auf Hardware bzw. Software) bestimmte Techniken oder Maßnahmen ein, die für die Fehlervermeidung während der verschiedenen Phasen des Sicherheitslebenszyklus als nützlich erachtet werden. Tabelle 2 zeigt ein Beispiel aus Teil 3 für die Entwurfs- und Entwicklungsphase von Software. Der Konstrukteur würde die Tabelle verwenden, um bei der Auswahl von Techniken zur Fehlervermeidung zu helfen, abhängig von der erforderlichen Sicherheitsintegritätsstufe. Für jede Technik oder Maßnahme in den Tabellen gibt es eine Empfehlung für jeden Sicherheitsintegritätslevel, 1 bis 4. Das Spektrum der Empfehlungen umfasst „Sehr empfehlenswert“ (HR), „Empfohlen“ (R), „Neutral“ – weder dafür noch dagegen (–) und „Nicht empfohlen“. (NR.).
Tabelle 2. Softwaredesign und -entwicklung
Technik/Maßnahme |
SIL 1 |
SIL 2 |
SIL 3 |
SIL 4 |
1. Formale Methoden wie zB CCS, CSP, HOL, LOTOS |
- |
R |
R |
HR |
2. Semi-formale Methoden |
HR |
HR |
HR |
HR |
3. Strukturiert. Methodik einschließlich beispielsweise JSD, MASCOT, SADT, SSADM und YOURDON |
HR |
HR |
HR |
HR |
4. Modularer Ansatz |
HR |
HR |
HR |
HR |
5. Design- und Codierungsstandards |
R |
HR |
HR |
HR |
HR = sehr empfehlenswert; R = empfohlen; NR = nicht empfohlen;— = neutral: Die Technik/Maßnahme ist weder für noch gegen den SIL.
Hinweis: Eine nummerierte Technik/Maßnahme muss entsprechend dem Sicherheitsintegritätslevel ausgewählt werden.
Fehlertoleranz
IEC 1508 fordert mit steigendem Sicherheitsintegritätsziel immer höhere Fehlertoleranzniveaus. Die Norm erkennt jedoch an, dass Fehlertoleranz wichtiger ist, wenn Systeme (und die Komponenten, aus denen diese Systeme bestehen) komplex sind (in IEC 1508 als Typ B bezeichnet). Für weniger komplexe, „gut bewährte“ Systeme kann der Grad der Fehlertoleranz gelockert werden.
Toleranz gegenüber zufälligen Hardwarefehlern
Tabelle 3 zeigt die Anforderungen an die Fehlertoleranz gegen zufällige Hardwareausfälle in komplexen Hardwarekomponenten (z. B. Mikroprozessoren), wenn sie in einem Schutzsystem wie in Abbildung 3 verwendet werden. Der Konstrukteur muss möglicherweise eine geeignete Kombination aus Diagnose, Fehlertoleranz und manuelle Proof-Checks zur Überwindung dieser Fehlerklasse, abhängig vom geforderten Safety Integrity Level.
Tabelle 3. Sicherheitsintegritätslevel – Fehleranforderungen für Typ-B-Komponenten1
1 Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung entdeckt werden.
2 Bei Komponenten ohne mittlere Online-Diagnoseabdeckung muss das System in der Lage sein, die Sicherheitsfunktion bei Vorliegen eines einzelnen Fehlers auszuführen. Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung aufgedeckt werden.
3 Bei Komponenten mit hoher Online-Diagnoseabdeckung muss das System in der Lage sein, die Sicherheitsfunktion bei Vorliegen eines einzelnen Fehlers auszuführen. Bei Komponenten ohne hohe Online-Diagnoseabdeckung muss das System in der Lage sein, die Sicherheitsfunktion bei Vorhandensein von zwei Fehlern auszuführen. Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung aufgedeckt werden.
4 Die Komponenten müssen in der Lage sein, die Sicherheitsfunktion bei Vorliegen von zwei Fehlern auszuführen. Fehler müssen mit hoher Online-Diagnoseabdeckung erkannt werden. Sicherheitsrelevante unerkannte Fehler müssen durch die Wiederholungsprüfung aufgedeckt werden. Quantitative Hardwareanalysen müssen auf Worst-Case-Annahmen beruhen.
1Komponenten, deren Fehlermodi nicht gut definiert oder testbar sind oder für die es schlechte Fehlerdaten aus der Praxis gibt (z. B. programmierbare elektronische Komponenten).
IEC 1508 unterstützt den Designer durch Bereitstellung von Designspezifikationstabellen (siehe Tabelle 4) mit Designparametern, die mit dem Sicherheitsintegritätslevel für eine Reihe häufig verwendeter Schutzsystemarchitekturen indiziert sind.
Tabelle 4. Anforderungen für Sicherheitsintegritätslevel 2 – Programmierbare elektronische Systemarchitekturen für Schutzsysteme
Konfiguration des PE-Systems |
Diagnoseabdeckung pro Kanal |
Offline-Proof-Test-Intervall (TI) |
Mittlere Zeit bis zur Fehlauslösung |
Single PE, Single I/O, Ext. WD |
High |
6 Monate |
1.6 Jahre |
Doppelte PE, einzelne E/A |
High |
6 Monate |
10 Jahre |
Dual PE, Dual I/O, 2oo2 |
High |
3 Monate |
1,281 Jahre |
Dual PE, Dual I/O, 1oo2 |
Andere |
2 Monate |
1.4 Jahre |
Dual PE, Dual I/O, 1oo2 |
Sneaker |
5 Monate |
1.0 Jahre |
Dual PE, Dual I/O, 1oo2 |
Medium |
18 Monate |
0.8 Jahre |
Dual PE, Dual I/O, 1oo2 |
High |
36 Monate |
0.8 Jahre |
Dual PE, Dual I/O, 1oo2D |
Andere |
2 Monate |
1.9 Jahre |
Dual PE, Dual I/O, 1oo2D |
Sneaker |
4 Monate |
4.7 Jahre |
Dual PE, Dual I/O, 1oo2D |
Medium |
18 Monate |
18 Jahre |
Dual PE, Dual I/O, 1oo2D |
High |
48 + Monate |
168 Jahre |
Triple PE, Triple I/O, IPC, 2oo3 |
Andere |
1 Monat |
20 Jahre |
Triple PE, Triple I/O, IPC, 2oo3 |
Sneaker |
3 Monate |
25 Jahre |
Triple PE, Triple I/O, IPC, 2oo3 |
Medium |
12 Monate |
30 Jahre |
Triple PE, Triple I/O, IPC, 2oo3 |
High |
48 + Monate |
168 Jahre |
Die erste Spalte der Tabelle stellt Architekturen mit unterschiedlichem Grad an Fehlertoleranz dar. Im Allgemeinen haben Architekturen, die am unteren Ende der Tabelle platziert sind, einen höheren Grad an Fehlertoleranz als die am oberen Rand. Ein 1oo2-System (eins von zwei) kann jedem Fehler standhalten, ebenso wie 2oo3.
Die zweite Spalte beschreibt die prozentuale Abdeckung aller internen Diagnosen. Je höher die Diagnosestufe, desto mehr Fehler werden erfasst. In einem Schutzsystem ist dies wichtig, da, sofern die fehlerhafte Komponente (z. B. eine Eingangskarte) innerhalb einer angemessenen Zeit (oft 8 Stunden) repariert wird, die funktionale Sicherheit kaum beeinträchtigt wird. (Hinweis: Dies wäre bei einem kontinuierlichen Kontrollsystem nicht der Fall, da jeder Fehler wahrscheinlich einen unmittelbaren unsicheren Zustand und die Möglichkeit eines Zwischenfalls verursacht.)
Die dritte Spalte zeigt das Intervall zwischen den Wiederholungsprüfungen. Dies sind spezielle Tests, die durchgeführt werden müssen, um das Schutzsystem gründlich zu testen, um sicherzustellen, dass keine latenten Fehler vorhanden sind. Typischerweise werden diese vom Anlagenlieferanten während Anlagenstillstandszeiten durchgeführt.
Die vierte Spalte zeigt die Nebenauslöserate. Eine Fehlauslösung bewirkt, dass die Anlage oder Ausrüstung abgeschaltet wird, wenn keine Prozessabweichung vorliegt. Der Preis für die Sicherheit ist oft eine höhere Fehlauslösungsrate. Ein einfaches redundantes Schutzsystem – 1oo2 – hat bei allen anderen Designfaktoren einen höheren Safety Integrity Level, aber auch eine höhere Nebenauslöserate als ein einkanaliges (1oo1) System.
Wenn eine der Architekturen in der Tabelle nicht verwendet wird oder wenn der Designer eine grundlegendere Analyse durchführen möchte, lässt die IEC 1508 diese Alternative zu. Reliability-Engineering-Techniken wie die Markov-Modellierung können dann verwendet werden, um das Hardwareelement des Sicherheitsintegritätslevels zu berechnen (Johnson 1989; Goble 1992).
Toleranz gegenüber systematischen Ausfällen und Ausfällen aufgrund gemeinsamer Ursache
Diese Fehlerklasse ist in Sicherheitssystemen sehr wichtig und ist der begrenzende Faktor für das Erreichen der Sicherheitsintegrität. In einem redundanten System wird eine Komponente oder ein Teilsystem oder sogar das gesamte System dupliziert, um eine hohe Zuverlässigkeit von weniger zuverlässigen Teilen zu erreichen. Die Zuverlässigkeitsverbesserung tritt auf, weil statistisch gesehen die Wahrscheinlichkeit, dass zwei Systeme gleichzeitig durch zufällige Fehler ausfallen, das Produkt der Zuverlässigkeiten der einzelnen Systeme ist und daher viel geringer ist. Andererseits führen systematische Fehler gemeinsamer Ursache zum zufälligen Ausfall redundanter Systeme, wenn beispielsweise ein Spezifikationsfehler in der Software dazu führt, dass die duplizierten Teile gleichzeitig ausfallen. Ein weiteres Beispiel wäre der Ausfall einer gemeinsamen Stromversorgung eines redundanten Systems.
IEC 1508 enthält Tabellen mit Engineering-Techniken, die nach dem Safety Integrity Level geordnet sind, das als wirksam zum Schutz vor systematischen Ausfällen und Ausfällen aufgrund gemeinsamer Ursache angesehen wird.
Beispiele für Techniken zum Schutz vor systematischen Fehlern sind Vielfalt und analytische Redundanz. Die Grundlage der Diversität besteht darin, dass, wenn ein Designer einen zweiten Kanal in einem redundanten System unter Verwendung einer anderen Technologie oder Softwaresprache implementiert, dann Fehler in den redundanten Kanälen als unabhängig betrachtet werden können (dh eine geringe Wahrscheinlichkeit eines zufälligen Ausfalls). Insbesondere im Bereich softwarebasierter Systeme gibt es jedoch einige Hinweise darauf, dass diese Technik möglicherweise nicht effektiv ist, da die meisten Fehler in der Spezifikation liegen. Analytische Redundanz versucht, redundante Informationen in der Anlage oder Maschine auszunutzen, um Fehler zu identifizieren. Für die anderen Ursachen systematischer Ausfälle – zum Beispiel äußere Belastungen – stellt die Norm Tabellen mit Ratschlägen zu bewährten technischen Verfahren (z. B. Trennung von Signal- und Stromkabeln) zur Verfügung, die mit dem Sicherheitsintegritätslevel indiziert sind.
Schlussfolgerungen
Computerbasierte Systeme bieten viele Vorteile – nicht nur wirtschaftliche, sondern auch das Potenzial zur Verbesserung der Sicherheit. Allerdings ist die Detailgenauigkeit zur Realisierung dieses Potenzials deutlich höher als bei konventionellen Systemkomponenten. Dieser Artikel hat die wichtigsten technischen Anforderungen skizziert, die ein Designer berücksichtigen muss, um diese Technologie erfolgreich zu nutzen.
Von Traktoren und anderen mobilen Maschinen in der Land- und Forstwirtschaft, bei Bau- und Bergbauarbeiten sowie im Materialumschlag können ernsthafte Gefahren ausgehen, wenn die Fahrzeuge seitlich überschlagen, nach vorne oder nach hinten umkippen. Bei Radtraktoren mit hohen Schwerpunkten sind die Risiken erhöht. Andere Fahrzeuge, die eine Überrollgefahr darstellen, sind Raupentraktoren, Lader, Kräne, Obstpflücker, Planierraupen, Muldenkipper, Schürfkübel und Grader. Diese Unfälle ereignen sich normalerweise zu schnell, als dass Fahrer und Beifahrer von der Ausrüstung wegkommen könnten, und sie könnten unter dem Fahrzeug eingeklemmt werden. Zum Beispiel besteht bei Traktoren mit hohem Schwerpunkt eine beträchtliche Wahrscheinlichkeit des Umkippens (und schmale Traktoren haben noch weniger Stabilität als breite). Ein Quecksilber-Motorabschaltschalter zum Abschalten des Stroms beim Erfassen einer seitlichen Bewegung wurde bei Traktoren eingeführt, erwies sich jedoch als zu langsam, um mit den dynamischen Kräften fertig zu werden, die bei der Überschlagsbewegung erzeugt werden (Springfeldt 1993). Daher wurde die Sicherheitseinrichtung aufgegeben.
Die Tatsache, dass solche Geräte häufig auf abschüssigem oder unebenem Boden oder auf weichem Boden und manchmal in unmittelbarer Nähe von Gräben, Gräben oder Ausschachtungen verwendet werden, ist eine wichtige Ursache für das Überschlagen. Wenn Zusatzgeräte hoch oben an einem Traktor angebracht sind, erhöht sich die Wahrscheinlichkeit, dass sie sich beim Bergauffahren nach hinten aufbäumen (oder beim Hinunterfahren nach vorne kippen). Darüber hinaus kann ein Traktor aufgrund des Kontrollverlusts aufgrund des Drucks, der von einem von einem Traktor gezogenen Gerät ausgeübt wird, umkippen (z. B. wenn sich der Schlitten an einem Hang nach unten bewegt und das angehängte Gerät nicht gebremst wird und den Traktor überfährt). Beim Einsatz von Traktoren als Zugfahrzeug entstehen besondere Gefahren, insbesondere wenn der Zughaken des Traktors höher als die Radachse angeordnet ist.
Geschichte
In bestimmten Ländern, in denen es zu vielen tödlichen Überschlägen kam, wurde auf nationaler Ebene auf das Rollover-Problem aufmerksam gemacht. In Schweden und Neuseeland wurden bereits in den 1er Jahren Entwicklung und Erprobung von Überrollschutzstrukturen (ROPS) an Traktoren (Abbildung 1950) durchgeführt, aber diesen Arbeiten folgten nur seitens der schwedischen Behörden Vorschriften; diese Regelungen traten ab dem Jahr 1959 in Kraft (Springfeldt 1993).
Abbildung 1. Übliche ROPS-Typen an Traktoren
Vorgeschlagene Vorschriften, die ROPS für Traktoren vorschreiben, stießen in mehreren Ländern auf Widerstand im Agrarsektor. Gegen Pläne, die Arbeitgeber dazu verpflichten, ROPS an bestehenden Traktoren anzubringen, und sogar gegen den Vorschlag, dass nur neue Traktoren von den Herstellern mit ROPS ausgerüstet werden, wurde heftiger Widerstand geleistet. Schließlich haben viele Länder ROPS erfolgreich für neue Traktoren vorgeschrieben, und später konnten einige Länder verlangen, dass ROPS auch für alte Traktoren nachgerüstet wird. Internationale Normen für Traktoren und Erdbewegungsmaschinen, einschließlich Prüfnormen für ROPS, trugen zu zuverlässigeren Konstruktionen bei. Traktoren wurden mit niedrigeren Schwerpunkten und niedriger platzierten Abschlepphaken konstruiert und hergestellt. Der Allradantrieb hat das Risiko eines Überschlags verringert. Allerdings ist der Anteil an Traktoren mit ROPS in Ländern mit vielen alten Traktoren und ohne Auflagen zur Nachrüstung von ROPS noch eher gering.
Untersuchungen
Überschlagsunfälle, insbesondere solche mit Traktoren, wurden von Forschern in vielen Ländern untersucht. Es gibt jedoch keine zentralisierten internationalen Statistiken in Bezug auf die Anzahl der Unfälle, die durch die in diesem Artikel untersuchten Arten von mobilen Maschinen verursacht wurden. Verfügbare Statistiken auf nationaler Ebene zeigen jedoch, dass die Zahl hoch ist, insbesondere in der Landwirtschaft. Laut einem schottischen Bericht über Traktorüberschlagsunfälle in der Zeit von 1968 bis 1976 hatten 85 % der beteiligten Traktoren zum Zeitpunkt des Unfalls Ausrüstung angebracht, und von diesen hatte die Hälfte gezogene Ausrüstung und die andere Hälfte montierte Ausrüstung. Zwei Drittel der Traktorüberschlagsunfälle im schottischen Bericht ereigneten sich an Hängen (Springfeldt 1993). Später wurde nachgewiesen, dass die Zahl der Unfälle nach der Einführung eines Hangfahrtrainings sowie der Anwendung eines Instruments zur Messung der Hangneigung in Kombination mit einem Indikator für sichere Hanggrenzwerte reduziert werden würde.
In anderen Untersuchungen beobachteten neuseeländische Forscher, dass sich die Hälfte ihrer tödlichen Überschlagsunfälle auf ebenem Boden oder an leichten Hängen ereignete und nur ein Zehntel an steilen Hängen. Auf ebenem Boden achten Traktorfahrer möglicherweise weniger auf Überschlagsgefahren und können das Risiko falsch einschätzen, das von Gräben und unebenem Boden ausgeht. Von den tödlichen Überschlägen bei Traktoren in Neuseeland im Zeitraum 1949–1980 ereigneten sich 80 % bei Radtraktoren und 20 % bei Raupentraktoren (Springfeldt 1993). Studien in Schweden und Neuseeland zeigten, dass etwa 80 % der tödlichen Unfälle mit Traktorüberschlägen durch seitliches Überschlagen von Traktoren auftraten. Die Hälfte der an den Todesfällen in Neuseeland beteiligten Traktoren hatte sich um 180° gedreht.
Untersuchungen zum Zusammenhang zwischen Überschlagstoten in Westdeutschland und dem Modelljahr landwirtschaftlicher Traktoren (Springfeldt 1993) zeigten, dass 1 von 10,000 alten, ungeschützten Traktoren, die vor 1957 hergestellt wurden, an einem Überschlagstoten beteiligt war. Von Traktoren mit vorgeschriebenem Überrollschutz, die 1970 und später hergestellt wurden, war einer von 1 Traktoren in einen tödlichen Überschlag verwickelt. Bei tödlichen Traktorüberschlägen in Westdeutschland im Zeitraum 25,000–1980 wurden zwei Drittel der Opfer aus ihrem geschützten Bereich geschleudert und anschließend von dem Traktor überrollt oder erfasst (Springfeldt 1985). Bei nicht tödlichen Überschlägen wurde ein Viertel der Fahrer vom Fahrersitz geschleudert, aber nicht überfahren. Es ist offensichtlich, dass das Todesrisiko steigt, wenn der Fahrer aus dem geschützten Bereich geschleudert wird (ähnlich wie bei Autounfällen). Die meisten beteiligten Traktoren hatten einen Zwei-Säulen-Bug (Bild 1993 C), der das Herausschleudern des Fahrers nicht verhindert. In einigen Fällen war der ROPS gebrochen oder stark verformt.
Die relativen Häufigkeiten von Verletzungen pro 100,000 Traktoren in verschiedenen Zeiträumen in einigen Ländern und die Verringerung der Todesrate wurden von Springfeldt (1993) berechnet. Die Wirksamkeit von ROPS bei der Verringerung von Verletzungen bei Traktorüberschlagunfällen wurde in Schweden nachgewiesen, wo die Zahl der Todesfälle pro 100,000 Traktoren über einen Zeitraum von drei Jahrzehnten (17–0.3) von etwa 1960 auf 1990 reduziert wurde (Abbildung 2). Am Ende des Zeitraums waren schätzungsweise etwa 98 % der Traktoren mit ROPS ausgestattet, hauptsächlich in Form einer bruchsicheren Kabine (Abbildung 1 A). In Norwegen wurden die Todesfälle in einem ähnlichen Zeitraum von etwa 24 auf 4 pro 100,000 Traktoren reduziert. Schlechtere Ergebnisse wurden jedoch in Finnland und Neuseeland erzielt.
Abbildung 2. Verletzungen durch Überschläge pro 100,000 Traktoren in Schweden zwischen 1957 und 1990
Vermeidung von Verletzungen durch Überschläge
Bei Traktoren ist die Gefahr des Umkippens am größten; In der Land- und Forstwirtschaft lässt sich jedoch nur wenig gegen das Umkippen von Traktoren tun. Durch die Montage von ROPS an Traktoren und Erdbewegungsmaschinen mit potenzieller Überrollgefahr kann das Risiko von Personenschäden verringert werden, vorausgesetzt, dass die Fahrer bei Überrollvorgängen auf ihren Sitzen bleiben (Springfeldt 1993). Die Häufigkeit von tödlichen Überschlägen hängt weitgehend vom Anteil der geschützten Maschinen im Einsatz und den verwendeten ROPS-Typen ab. Ein Bug (Abbildung 1 C) bietet viel weniger Schutz als ein Fahrerhaus oder ein Rahmen (Springfeldt 1993). Die effektivste Struktur ist eine bruchsichere Kabine, die es dem Fahrer ermöglicht, während eines Überschlags geschützt im Inneren zu bleiben. (Ein weiterer Grund für die Wahl einer Kabine ist der Wetterschutz.) Das wirksamste Mittel, um den Fahrer bei einem Überschlag im Schutz des Überrollschutzes zu halten, ist ein Sicherheitsgurt, vorausgesetzt, dass der Fahrer den Gurt beim Bedienen der Ausrüstung anlegt. In einigen Ländern gibt es Hinweisschilder am Fahrersitz, die darauf hinweisen, dass das Lenkrad bei einem Überschlag festgehalten werden muss. Eine zusätzliche Sicherheitsmaßnahme besteht darin, die Fahrerkabine oder den Innenraum und den ROPS so zu gestalten, dass Gefahren wie scharfe Kanten oder Vorsprünge vermieden werden.
In allen Ländern verursachen Überschläge mobiler Maschinen, hauptsächlich Traktoren, schwere Verletzungen. Es gibt jedoch erhebliche Unterschiede zwischen den Ländern hinsichtlich der technischen Spezifikationen für die Konstruktion von Maschinen sowie der Verwaltungsverfahren für Prüfungen, Tests, Inspektionen und Vermarktung. Die internationale Vielfalt, die die Sicherheitsbemühungen in diesem Zusammenhang kennzeichnet, lässt sich u. a. durch folgende Überlegungen erklären:
Sicherheitsbestimmungen
Die Art der Vorschriften für ROPS-Anforderungen und der Umsetzungsgrad der Vorschriften in einem Land haben einen starken Einfluss auf Überschlagsunfälle, insbesondere auf tödliche. Vor diesem Hintergrund wurde die Entwicklung sichererer Maschinen durch Richtlinien, Vorschriften und Normen gefördert, die von internationalen und nationalen Organisationen herausgegeben wurden. Darüber hinaus haben viele Länder strenge Vorschriften für ROPS eingeführt, die zu einer starken Reduzierung von Überschlagsverletzungen geführt haben.
Europäischen Wirtschaftsgemeinschaft
Ab 1974 erließ die Europäische Wirtschaftsgemeinschaft (EWG) Richtlinien zur Betriebserlaubnis für land- und forstwirtschaftliche Zugmaschinen auf Rädern und ab 1977 weitere Sonderrichtlinien zu ROPS einschließlich deren Anbau an Traktoren (Springfeldt 1993; EWG 1974, 1977, 1979, 1982, 1987). Die Richtlinien schreiben ein Verfahren für die Typgenehmigung und Zertifizierung durch den Hersteller von Traktoren vor, und ROPS muss durch eine EWG-Typgenehmigungsprüfung überprüft werden. Die Richtlinien wurden von allen Mitgliedsländern akzeptiert.
Einige EWG-Richtlinien zu ROPS bei Traktoren wurden zum 31. Dezember 1995 aufgehoben und durch die allgemeine Maschinenrichtlinie ersetzt, die für Maschinen gilt, die aufgrund ihrer Mobilität Gefahren darstellen (EWG 1991). Radtraktoren sowie einige Erdbewegungsmaschinen mit einer Leistung von mehr als 15 kW (nämlich Raupen und Radlader, Baggerlader, Planierraupen, Schürfkübel, Grader und knickgelenkte Dumper) müssen mit einem ROPS ausgestattet sein. Im Falle eines Überschlags muss der ROPS dem Fahrer und den Bedienern ein angemessenes Durchbiegungsbegrenzungsvolumen bieten (dh Raum, der die Bewegung der Körper der Insassen ermöglicht, bevor sie bei einem Unfall mit Innenelementen in Kontakt kommen). Es liegt in der Verantwortung der Hersteller oder ihrer autorisierten Vertreter, geeignete Tests durchzuführen.
Organisation für wirtschaftliche Zusammenarbeit und Entwicklung
1973 und 1987 genehmigte die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) Standardcodes für die Prüfung von Traktoren (Springfeldt 1993; OECD 1987). Sie geben Ergebnisse von Traktortests wieder und beschreiben die Testausrüstung und die Testbedingungen. Die Vorschriften erfordern das Testen vieler Maschinenteile und -funktionen, beispielsweise der Festigkeit von ROPS. Die OECD Tractor Codes beschreiben ein statisches und ein dynamisches Verfahren zum Testen von ROPS bei bestimmten Traktortypen. Ein Überrollschutz kann ausschließlich zum Schutz des Fahrers im Falle eines Überschlags des Traktors ausgelegt sein. Es muss für jedes Traktormodell, an dem der ROPS angebracht werden soll, erneut getestet werden. Die Codes verlangen auch, dass es möglich sein muss, einen mehr oder weniger temporären Wetterschutz für den Fahrer an der Struktur anzubringen. Die Tractor Codes wurden seit 1988 von allen OECD-Mitgliedsorganisationen akzeptiert, aber in der Praxis akzeptieren die Vereinigten Staaten und Japan auch ROPS, die die Code-Anforderungen nicht erfüllen, wenn Sicherheitsgurte vorhanden sind (Springfeldt 1993).
Internationale Arbeitsorganisation
1965 hat die Internationale Arbeitsorganisation (ILO) in ihrem Handbuch, Sicherheit und Gesundheit in der landwirtschaftlichen Arbeit, verlangte, dass eine Kabine oder ein Rahmen mit ausreichender Festigkeit angemessen an Traktoren befestigt werden muss, um einen zufriedenstellenden Schutz für den Fahrer und die Insassen in der Kabine im Falle eines Traktorüberschlags zu bieten (Springfeldt 1993; ILO 1965). Gemäß den ILO-Verhaltenskodizes sollten land- und forstwirtschaftliche Zugmaschinen mit ROPS ausgestattet sein, um den Fahrer und jeden Beifahrer im Falle eines Überschlags, fallender Gegenstände oder verschobener Lasten zu schützen (ILO 1976).
Der Einbau von ROPS sollte sich nicht nachteilig auswirken
Internationale und nationale Normen
1981 veröffentlichte die Internationale Organisation für Normung (ISO) eine Norm für Traktoren und Maschinen für die Land- und Forstwirtschaft (ISO 1981). Die Norm beschreibt ein statisches Prüfverfahren für ROPS und legt Abnahmebedingungen fest. Der Standard wurde von den Mitgliedsorganisationen in 22 Ländern genehmigt; Kanada und die Vereinigten Staaten haben das Dokument jedoch aus technischen Gründen missbilligt. Eine 1974 von der Society of Automotive Engineers (SAE) in Nordamerika herausgegebene Standard- und empfohlene Praxis enthält Leistungsanforderungen für ROPS an landwirtschaftlichen Traktoren mit Rädern und Industrietraktoren, die im Bauwesen, gummibereiften Schürfzügen, Frontladern, Planierraupen und Raupenladern verwendet werden und Motorgrader (SAE 1974 und 1975). Die Inhalte der Norm wurden in den Vereinigten Staaten und in den kanadischen Provinzen Alberta und British Columbia als Vorschriften übernommen.
Regeln und Compliance
OECD-Kodizes und internationale Standards betreffen den Entwurf und die Konstruktion von ROPS sowie die Kontrolle ihrer Stärke, haben jedoch nicht die Befugnis, zu fordern, dass diese Art von Schutz in die Praxis umgesetzt wird (OECD 1987; ISO 1981). Die Europäische Wirtschaftsgemeinschaft hat auch vorgeschlagen, Traktoren und Erdbewegungsmaschinen mit einem Schutz auszustatten (EWG 1974-1987). Das Ziel der EWG-Richtlinien ist es, eine Einheitlichkeit zwischen den nationalen Stellen bezüglich der Sicherheit neuer Maschinen in der Herstellungsphase zu erreichen. Die Mitgliedsländer sind verpflichtet, die Richtlinien zu befolgen und entsprechende Rezepte auszustellen. Ab 1996 beabsichtigen die Mitgliedsländer der EWG, Verordnungen zu erlassen, die die Ausrüstung neuer Traktoren und Erdbewegungsmaschinen mit ROPS vorschreiben.
1959 verlangte Schweden als erstes Land ROPS für neue Traktoren (Springfeldt 1993). Entsprechende Vorschriften traten zehn Jahre später in Dänemark und Finnland in Kraft. Später, in den 1970er und 1980er Jahren, traten in Großbritannien, Westdeutschland, Neuseeland, den Vereinigten Staaten, Spanien, Norwegen, der Schweiz und anderen Ländern verbindliche Anforderungen für ROPS für neue Traktoren in Kraft. In all diesen Ländern mit Ausnahme der Vereinigten Staaten wurden die Regeln einige Jahre später auf alte Traktoren ausgedehnt, aber diese Regeln waren nicht immer verbindlich. In Schweden müssen alle Traktoren mit einer Schutzkabine ausgestattet sein, eine Vorschrift, die in Großbritannien nur für alle von Landarbeitern eingesetzten Traktoren gilt (Springfeldt 1993). In Dänemark, Norwegen und Finnland müssen alle Traktoren mindestens mit einem Rahmen versehen sein, während in den Vereinigten Staaten und den australischen Bundesstaaten Bögen akzeptiert werden. In den Vereinigten Staaten müssen Traktoren Sicherheitsgurte haben.
In den Vereinigten Staaten müssen Flurförderzeuge, die vor 1972 hergestellt wurden und bei Bauarbeiten eingesetzt werden, mit ROPS ausgestattet sein, die Mindestleistungsstandards erfüllen (US Bureau of National Affairs 1975). Zu den von der Anforderung abgedeckten Maschinen gehören einige Schürfkübel, Frontlader, Planierraupen, Planierraupen, Lader und Motorgrader. Die Nachrüstung von ROPS wurde an Maschinen durchgeführt, die etwa drei Jahre zuvor hergestellt wurden.
Sumarmig
In Ländern mit obligatorischen ROPS-Anforderungen für neue Traktoren und der Nachrüstung von ROPS bei alten Traktoren ist die Zahl der Überschlagsverletzungen, insbesondere der tödlichen, zurückgegangen. Es ist offensichtlich, dass eine bruchsichere Kabine die effektivste Art von ROPS ist. Ein Bogen bietet einen schlechten Schutz im Falle eines Überschlags. Viele Länder haben zumindest für neue Traktoren und ab 1996 für Erdbewegungsmaschinen wirksame ROPS vorgeschrieben. Trotz dieser Tatsache scheinen einige Behörden ROPS-Typen zu akzeptieren, die nicht den Anforderungen entsprechen, die von der OECD und der ISO verkündet wurden. Es wird erwartet, dass eine allgemeinere Harmonisierung der ROPS-Regelungen schrittweise auf der ganzen Welt, einschließlich der Entwicklungsländer, erreicht wird.
Stürze aus der Höhe sind schwere Unfälle, die in vielen Branchen und Berufen vorkommen. Stürze aus der Höhe führen unter folgenden Umständen zu Verletzungen, die durch den Kontakt zwischen der stürzenden Person und der Verletzungsquelle entstehen:
Aus dieser Definition lässt sich schließen, dass Stürze unvermeidlich sind, weil die Schwerkraft immer vorhanden ist. Stürze sind irgendwie vorhersehbare Unfälle, die in allen Industriezweigen und Berufen vorkommen und einen hohen Schweregrad haben. In diesem Artikel werden Strategien diskutiert, um die Anzahl der Stürze zu reduzieren oder zumindest die Schwere der Verletzungen zu verringern, wenn es zu Stürzen kommt.
Die Höhe des Falls
Die Schwere der durch Stürze verursachten Verletzungen hängt eng mit der Fallhöhe zusammen. Doch das stimmt nur bedingt: Die Freifallenergie ist das Produkt aus fallender Masse mal Fallhöhe, und die Schwere der Verletzungen ist direkt proportional zur beim Aufprall übertragenen Energie. Statistiken zu Sturzunfällen bestätigen diesen starken Zusammenhang, zeigen aber auch, dass Stürze aus einer Höhe von weniger als 3 m tödlich sein können. Eine detaillierte Studie zu tödlichen Stürzen im Bauwesen zeigt, dass 10 % der durch Stürze verursachten Todesfälle aus einer Höhe von weniger als 3 m auftraten (siehe Abbildung 1). Zwei Fragen sollen diskutiert werden: die gesetzliche 3-m-Grenze und wo und wie ein bestimmter Sturz aufgefangen wurde.
Abbildung 1. Durch Stürze verursachte Todesfälle und Fallhöhe in der US-Bauindustrie, 1985-1993
In vielen Ländern schreiben Vorschriften eine Absturzsicherung vor, wenn der Arbeiter einem Sturz aus mehr als 3 m ausgesetzt ist. Die vereinfachte Interpretation ist, dass Stürze von weniger als 3 m ungefährlich sind. Die 3-m-Grenze ist in der Tat das Ergebnis eines gesellschaftlichen, politischen und praktischen Konsenses, der besagt, dass es nicht zwingend erforderlich ist, sich bei Arbeiten in Stockwerkshöhe gegen Absturz zu schützen. Auch wenn die gesetzlich vorgeschriebene 3-m-Grenze für Absturzsicherungen existiert, sollte Absturzsicherungen immer in Betracht gezogen werden. Die Fallhöhe ist nicht der einzige Faktor, der die Schwere von Sturzunfällen und die Todesfälle durch Stürze erklärt; wo und wie die stürzende Person zum Liegen kam, muss ebenfalls berücksichtigt werden. Dies führt zu einer Analyse der Industriesektoren mit einer höheren Inzidenz von Stürzen aus der Höhe.
Wo Stürze auftreten
Stürze aus der Höhe werden häufig mit der Bauindustrie in Verbindung gebracht, da sie einen hohen Prozentsatz aller Todesfälle ausmachen. Beispielsweise werden in den Vereinigten Staaten 33 % aller Todesfälle im Bauwesen durch Stürze aus der Höhe verursacht; im Vereinigten Königreich sind es 52 %. Auch in anderen Industriezweigen kommt es zu Stürzen aus Höhenlagen. Bergbau und die Herstellung von Transportausrüstung haben eine hohe Sturzrate aus der Höhe. In Quebec, wo es sich bei vielen Bergwerken um steile, schmale Untertageminen handelt, sind 20 % aller Unfälle auf Stürze aus der Höhe zurückzuführen. Die Herstellung, Nutzung und Wartung von Transportmitteln wie Flugzeugen, Lastkraftwagen und Eisenbahnwaggons sind Tätigkeiten mit einer hohen Sturzunfallrate (Tabelle 1). Das Verhältnis wird je nach Industrialisierungsgrad, Klima usw. von Land zu Land unterschiedlich sein; Stürze aus der Höhe kommen jedoch in allen Sektoren mit ähnlichen Folgen vor.
Tabelle 1. Stürze aus Erhebungen: Quebec 1982-1987
Stürze aus der Höhe Stürze aus der Höhe bei allen Unfällen
pro 1,000 Arbeiter
Bau 14.9 10.1 %
Schwerindustrie 7.1 3.6 %
Nach Berücksichtigung der Fallhöhe ist die nächste wichtige Frage, wie der Fall aufgefangen wird. Ein Sturz in heiße Flüssigkeiten, elektrifizierte Schienen oder in einen Steinbrecher kann tödlich sein, selbst wenn die Fallhöhe weniger als 3 m beträgt.
Ursachen von Stürzen
Bisher hat sich gezeigt, dass es in allen Wirtschaftsbereichen zu Stürzen kommt, auch wenn die Fallhöhe weniger als 3 m beträgt. Aber warum do Menschen fallen? Es gibt viele menschliche Faktoren, die an einem Sturz beteiligt sein können. Eine breite Gruppierung von Faktoren ist sowohl konzeptionell einfach als auch in der Praxis nützlich:
Möglichkeiten zu stürzen werden durch Umweltfaktoren bestimmt und führen zu den häufigsten Stürzen, nämlich Stolpern oder Ausrutschen, die zu Stürzen aus der Klassenstufe führen. Andere sinkende Möglichkeiten beziehen sich auf Aktivitäten über der Klasse.
Verbindlichkeiten zu stürzen sind eine oder mehrere der vielen akuten und chronischen Erkrankungen. Die spezifischen Sturzerkrankungen betreffen in der Regel das Nervensystem, das Kreislaufsystem, den Bewegungsapparat oder eine Kombination dieser Systeme.
Tendenzen zu fallen, entstehen durch die universellen, intrinsischen Verschlechterungsveränderungen, die normales Altern oder Seneszenz charakterisieren. Beim Sturz ist die Fähigkeit, eine aufrechte Haltung oder posturale Stabilität aufrechtzuerhalten, die Funktion, die aufgrund kombinierter Neigungen, Verpflichtungen und Gelegenheiten versagt.
Posturale Stabilität
Stürze werden durch das Versagen der posturalen Stabilität verursacht, um eine Person in einer aufrechten Position zu halten. Posturale Stabilität ist ein System, das aus vielen schnellen Anpassungen an externe, störende Kräfte, insbesondere die Schwerkraft, besteht. Diese Anpassungen sind größtenteils Reflexaktionen, die von einer großen Anzahl von Reflexbögen unterstützt werden, von denen jeder seinen sensorischen Input, seine internen integrativen Verbindungen und seinen motorischen Output hat. Sensorische Eingaben sind: Sehen, die Innenohrmechanismen, die die Position im Raum erkennen, der somatosensorische Apparat, der Druckreize auf der Haut erkennt, und die Position der tragenden Gelenke. Dabei scheint die visuelle Wahrnehmung eine besonders wichtige Rolle zu spielen. Über die normalen, integrativen Strukturen und Funktionen des Rückenmarks oder des Gehirns ist sehr wenig bekannt. Die motorische Leistungskomponente des Reflexbogens ist die Muskelreaktion.
Vision
Der wichtigste sensorische Input ist das Sehen. Zwei visuelle Funktionen sind mit Haltungsstabilität und Gangkontrolle verbunden:
Zwei weitere visuelle Funktionen sind wichtig:
Ursachen der posturalen Instabilität
Die drei sensorischen Eingaben sind interaktiv und miteinander verknüpft. Das Fehlen einer Eingabe – und/oder das Vorhandensein falscher Eingaben – führt zu Haltungsinstabilität und sogar zu Stürzen. Was könnte Instabilität verursachen?
Vision
Innenohr
Somatosensorischer Apparat (Druckreize auf der Haut und Stellung der tragenden Gelenke)
Motorleistung
Haltungsstabilität und Gangkontrolle sind sehr komplexe Reflexe des Menschen. Jegliche Störungen der Eingänge können zu Stürzen führen. Alle in diesem Abschnitt beschriebenen Störungen sind am Arbeitsplatz üblich. Daher ist Stürzen irgendwie natürlich und Prävention muss daher überwiegen.
Strategie für Absturzsicherung
Wie bereits erwähnt, sind Sturzrisiken erkennbar. Daher sind Stürze vermeidbar. Abbildung 2 zeigt eine sehr häufige Situation, in der ein Messgerät abgelesen werden muss. Die erste Abbildung zeigt eine traditionelle Situation: Ein Manometer ist oben auf einem Tank ohne Zugangsmöglichkeit installiert. Bei der zweiten improvisiert der Arbeiter eine Zugangsmöglichkeit, indem er auf mehrere Kisten klettert: eine gefährliche Situation. Im dritten benutzt der Arbeiter eine Leiter; das ist eine Verbesserung. Die Leiter ist jedoch nicht dauerhaft am Tank befestigt; Es ist daher wahrscheinlich, dass die Leiter woanders in der Anlage verwendet wird, wenn eine Ablesung erforderlich ist. Eine Situation wie diese ist möglich, wenn an der Leiter oder am Tank eine Absturzsicherung angebracht ist und der Arbeiter einen Ganzkörpergurt trägt und ein an einem Anker befestigtes Verbindungsmittel verwendet. Die Absturzgefahr besteht weiterhin.
Abbildung 2. Installationen zum Ablesen eines Messgeräts
In der vierten Abbildung wird ein verbesserter Zugang durch eine Treppe, eine Plattform und Geländer bereitgestellt; Die Vorteile sind eine Verringerung des Sturzrisikos und eine Erhöhung der Lesefreundlichkeit (Komfort), wodurch die Dauer jeder Lesung verkürzt und eine stabile Arbeitshaltung bereitgestellt wird, die ein genaueres Lesen ermöglicht.
Die richtige Lösung ist in der letzten Abbildung dargestellt. Während der Planungsphase der Anlagen wurden Wartungs- und Betriebsaktivitäten berücksichtigt. Der Pegel wurde so installiert, dass er ebenerdig abgelesen werden konnte. Stürze aus der Höhe sind nicht möglich, die Gefahr ist also beseitigt.
Diese Strategie legt den Schwerpunkt auf die Verhinderung von Stürzen durch die Verwendung geeigneter Zugangsmittel (z. B. Gerüste, Leitern, Treppen) (Bouchard 1991). Wenn der Sturz nicht verhindert werden kann, müssen Fallschutzsysteme verwendet werden (Abbildung 3). Um wirksam zu sein, müssen Absturzsicherungssysteme geplant werden. Der Anschlagpunkt ist ein Schlüsselfaktor und muss vorkonstruiert werden. Absturzsicherungssysteme müssen effizient, zuverlässig und komfortabel sein; zwei Beispiele finden sich in Arteau, Lan und Corbeil (noch zu veröffentlichen) und Lan, Arteau und Corbeil (noch zu veröffentlichen). Beispiele für typische Absturzsicherungs- und Absturzsicherungssysteme sind in Tabelle 2 aufgeführt. Absturzsicherungssysteme und -komponenten sind detailliert in Sulowski 1991 aufgeführt.
Abbildung 3. Strategie zur Sturzprävention
Tabelle 2. Typische Absturzsicherungs- und Absturzsicherungssysteme
Sturzpräventionssysteme |
Fallschutzsysteme |
|
Kollektiver Schutz |
Geländer Geländer |
Sicherheitsnetz |
Individueller Schutz |
Reisebeschränkungssystem (TRS) |
Auffanggurt, Verbindungsmittel, Falldämpferverankerung usw. |
Die Betonung der Prävention ist keine ideologische Entscheidung, sondern eine praktische Entscheidung. Tabelle 3 zeigt die Unterschiede zwischen Absturzsicherung und Absturzsicherung, der herkömmlichen PSA-Lösung.
Tabelle 3. Unterschiede zwischen Sturzprävention und Sturzsicherung
abwehr |
Festnahme |
|
Fallereignis |
Nein |
Ja |
Typische Ausstattung |
Relings |
Auffanggurt, Verbindungsmittel, Falldämpfer und Verankerung (Auffangsystem) |
Auslegungslast (Kraft) |
1 bis 1.5 kN horizontal aufgebracht und 0.45 kN vertikal aufgebracht – beides an beliebiger Stelle der Oberschiene |
Mindestbruchfestigkeit des Anschlagpunktes 18 bis 22 kN |
Laden |
Statisch |
Dynamisch |
Für den Arbeitgeber und den Konstrukteur ist es einfacher, Absturzsicherungssysteme zu bauen, da ihre Mindestanforderungen an die Bruchfestigkeit 10- bis 20-mal geringer sind als die von Absturzsicherungssystemen. Beispielsweise beträgt die Mindestbruchfestigkeit eines Geländers etwa 1 kN, das Gewicht eines großen Mannes, und die Mindestbruchfestigkeit des Anschlagpunkts eines einzelnen Absturzsicherungssystems könnte 20 kN betragen, das Gewicht von zwei kleinen Autos oder 1 Kubikmeter Beton. Bei Vorbeugung kommt es nicht zum Sturz, somit besteht keine Verletzungsgefahr. Bei der Absturzsicherung kommt es zum Sturz und selbst bei Auffangen besteht ein Restrisiko der Verletzung.
Enge Räume sind in der gesamten Industrie allgegenwärtig, da es immer wieder zu tödlichen und nicht tödlichen Unfällen kommt. Der Begriff begrenzter Raum wurde traditionell verwendet, um bestimmte Strukturen wie Tanks, Gefäße, Gruben, Abwasserkanäle, Trichter usw. zu kennzeichnen. Jedoch ist eine Definition, die auf einer derartigen Beschreibung basiert, zu restriktiv und entzieht sich einer einfachen Extrapolation auf Strukturen, in denen Unfälle aufgetreten sind. Potenziell könnte jede Struktur, in der Menschen arbeiten, ein beengter Raum sein oder werden. Enge Räume können sehr groß oder sehr klein sein. Was der Begriff eigentlich beschreibt, ist eine Umgebung, in der ein breites Spektrum gefährlicher Bedingungen auftreten kann. Diese Bedingung umfasst persönliche Einschließung sowie strukturelle, verfahrenstechnische, mechanische, Schüttgut- oder flüssige Material-, atmosphärische, physikalische, chemische, biologische, Sicherheits- und ergonomische Gefahren. Viele der durch diese Gefahren erzeugten Bedingungen sind nicht nur auf enge Räume beschränkt, sondern werden durch die Beteiligung der Grenzflächen des begrenzten Raums verschlimmert.
Geschlossene Räume sind erheblich gefährlicher als normale Arbeitsbereiche. Scheinbar geringfügige Änderungen der Bedingungen können den Status dieser Arbeitsbereiche sofort von harmlos zu lebensbedrohlich ändern. Diese Zustände können vorübergehend und subtil sein und sind daher schwer zu erkennen und zu behandeln. Arbeiten unter beengten Platzverhältnissen fallen in der Regel bei Bau, Inspektion, Wartung, Umbau und Sanierung an. Diese Arbeiten sind nicht routinemäßig, von kurzer Dauer, wiederholen sich nicht und sind unvorhersehbar (häufig außerhalb der Schicht oder wenn das Gerät außer Betrieb ist).
Unfälle auf engstem Raum
Unfälle in beengten Räumen unterscheiden sich von Unfällen in normalen Arbeitsbereichen. Ein scheinbar geringfügiger Fehler oder ein Versehen bei der Vorbereitung des Raums, der Auswahl oder Wartung der Ausrüstung oder der Arbeitstätigkeit kann einen Unfall auslösen. Denn die Fehlertoleranz ist in diesen Situationen geringer als bei normalen Tätigkeiten am Arbeitsplatz.
Die Berufe von Opfern von Unfällen auf engstem Raum umfassen das Berufsspektrum. Während die meisten erwartungsgemäß Arbeiter sind, gehören zu den Opfern auch Ingenieure und Techniker, Vorgesetzte und Manager sowie Notfallpersonal. Sicherheits- und Arbeitshygienepersonal war auch an Unfällen in beengten Räumen beteiligt. Die einzigen Daten zu Unfällen in beengten Räumen liegen aus den Vereinigten Staaten vor, und diese decken nur tödliche Unfälle ab (NIOSH 1994). Weltweit fordern diese Unfälle jährlich etwa 200 Opfer in Industrie, Landwirtschaft und Haushalt (Reese und Mills 1986). Dies ist bestenfalls eine Vermutung, die auf unvollständigen Daten basiert, aber sie scheint heute anwendbar zu sein. Etwa zwei Drittel der Unfälle resultierten aus gefährlichen atmosphärischen Bedingungen auf engstem Raum. Bei etwa 70 % von ihnen bestand der Gefährdungszustand bereits vor Betreten und Arbeitsbeginn. Manchmal verursachen diese Unfälle mehrere Todesfälle, von denen einige das Ergebnis des ursprünglichen Vorfalls und eines anschließenden Rettungsversuchs sind. Die höchst belastenden Bedingungen, unter denen der Rettungsversuch stattfindet, setzen die potenziellen Retter oft einem erheblich größeren Risiko aus als das ursprüngliche Opfer.
Die Ursachen und Folgen von Unfällen mit Arbeiten außerhalb von Bauwerken, die gefährliche Atmosphären einschließen, sind denen in geschlossenen Räumen ähnlich. Explosionen oder Brände in eingeschlossener Atmosphäre verursachten etwa die Hälfte der tödlichen Schweiß- und Schneidunfälle in den Vereinigten Staaten. Etwa 16 % dieser Unfälle betrafen „leere“ 205-l-Fässer oder -Container (45 gal UK, 55 gal US) (OSHA 1988).
Identifizierung von beengten Räumen
Eine Überprüfung tödlicher Unfälle in geschlossenen Räumen zeigt, dass die beste Verteidigung gegen unnötige Begegnungen informierte und geschulte Arbeitskräfte und ein Programm zur Gefahrenerkennung und -bewältigung sind. Die Entwicklung von Fähigkeiten, die es Vorgesetzten und Arbeitern ermöglichen, potenziell gefährliche Bedingungen zu erkennen, ist ebenfalls von wesentlicher Bedeutung. Ein Beitrag zu diesem Programm ist eine genaue, aktuelle Bestandsaufnahme von beengten Räumen. Dazu gehören Art des Raums, Standort, Eigenschaften, Inhalt, gefährliche Bedingungen und so weiter. Beengte Räume entziehen sich in vielen Fällen einer Bestandsaufnahme, da sich ihre Anzahl und Art ständig ändern. Auf der anderen Seite sind beengte Räume in Prozessabläufen leicht identifizierbar, bleiben aber fast immer geschlossen und unzugänglich. Unter bestimmten Bedingungen kann ein Raum an einem Tag als geschlossener Raum betrachtet werden und würde am nächsten Tag nicht mehr als geschlossener Raum betrachtet werden.
Ein Vorteil bei der Kennzeichnung beengter Räume ist die Möglichkeit, diese zu kennzeichnen. Ein Etikett kann Arbeitnehmern ermöglichen, den Begriff in Beziehung zu setzen begrenzter Raum an Einrichtungen und Bauten an ihrem Arbeitsort. Der Nachteil des Etikettierungsprozesses beinhaltet: (1) das Etikett könnte in einer Landschaft verschwinden, die mit anderen Warnetiketten gefüllt ist; (2) Organisationen, die viele enge Räume haben, könnten große Schwierigkeiten haben, sie zu kennzeichnen; (3) die Etikettierung würde unter Umständen, in denen die Belegung geschlossener Räume dynamisch ist, wenig Nutzen bringen; und (4) das Vertrauen auf Bezeichnungen zur Identifizierung verursacht Abhängigkeit. Beengte Räume könnten übersehen werden.
Gefährdungsbeurteilung
Der komplexeste und schwierigste Aspekt im Prozess des beengten Raums ist die Gefährdungsbeurteilung. Die Gefahrenbewertung identifiziert sowohl gefährliche als auch potenziell gefährliche Bedingungen und bewertet die Höhe und Akzeptanz des Risikos. Die Schwierigkeit bei der Gefährdungsbeurteilung tritt auf, da viele der Gefährdungsbedingungen akute oder traumatische Verletzungen hervorrufen können, schwer zu erkennen und einzuschätzen sind und sich häufig mit sich ändernden Bedingungen ändern. Die Beseitigung oder Minderung von Gefahren während der Vorbereitung des Zugangsbereichs ist daher für die Minimierung des Risikos während der Arbeit unerlässlich.
Die Gefährdungsbeurteilung kann eine qualitative Schätzung des Grades an Besorgnis liefern, der mit einer bestimmten Situation zu einem bestimmten Zeitpunkt verbunden ist (Tabelle 1). Die Breite der Bedenken innerhalb jeder Kategorie reicht von minimal bis zu einem gewissen Maximum. Ein Vergleich zwischen den Kategorien ist nicht angebracht, da der maximale Grad der Besorgnis sehr unterschiedlich sein kann.
Tabelle 1. Musterformular für die Bewertung gefährlicher Bedingungen
Gefährlicher Zustand |
Echte oder potenzielle Folgen |
||
Sneaker |
Moderat |
High |
|
Heiße Arbeit |
|||
Atmosphärische Gefahren |
|||
Sauerstoffmangel |
|||
Sauerstoffanreicherung |
|||
chemisch |
|||
und mit einander verheirateten |
|||
Feuer Explosion |
|||
Verschlucken/Hautkontakt |
|||
Physikalische Mittel |
|||
Geräusche/Vibrationen |
|||
Hitze-/Kältestress |
|||
Nichtionisierende Strahlung |
|||
laser |
|||
Persönliche Gefangenschaft |
|||
Mechanische Gefahr |
|||
Prozessgefährdung |
|||
Sicherheitsrisiken |
|||
strukturell |
|||
Eintauchen / Eintauchen |
|||
Verschränkung |
|||
elektrisch |
|||
fallen |
|||
ausrutschen/stolpern |
|||
Sichtbarkeit/Lichtstärke |
|||
explosiv/implosiv |
|||
heiße/kalte Oberflächen |
NA = nicht anwendbar. Die Bedeutung bestimmter Begriffe wie z giftige Substanz, Sauerstoffmangel, Sauerstoffanreicherung, mechanische Gefährdung, usw., erfordern eine weitere Spezifizierung gemäß Standards, die in einer bestimmten Gerichtsbarkeit existieren.
Jeder Eintrag in Tabelle 1 kann erweitert werden, um Details zu gefährlichen Bedingungen bereitzustellen, bei denen Bedenken bestehen. Es können auch Einzelheiten bereitgestellt werden, um Kategorien aus der weiteren Betrachtung auszuschließen, wenn keine Bedenken bestehen.
Grundlegend für den Erfolg der Gefahrenerkennung und -bewertung ist die Qualifizierte Person. Die qualifizierte Person gilt aufgrund ihrer Erfahrung, Ausbildung und/oder Fachausbildung als befähigt, die Exposition gegenüber gefährlichen Stoffen oder anderen unsicheren Bedingungen vorherzusehen, zu erkennen und zu bewerten und Kontrollmaßnahmen und/oder Schutzmaßnahmen festzulegen. Das heißt, von der qualifizierten Person wird erwartet, dass sie weiß, was im Zusammenhang mit einer bestimmten Situation erforderlich ist, bei der es um die Arbeit in einem geschlossenen Raum geht.
Eine Gefährdungsbeurteilung sollte für jedes der folgenden Segmente im Betriebszyklus des geschlossenen Raums durchgeführt werden (sofern zutreffend): ungestörter Raum, Vorbereitung vor dem Betreten, Inspektionsarbeiten vor der Arbeit (McManus, Manuskript) und Notfallmaßnahmen. In jedem dieser Segmente kam es zu tödlichen Unfällen. Der ungestörte Raum bezieht sich auf den Status quo, der zwischen der Schließung nach einem Eintrag und dem Beginn der Vorbereitung für den nächsten hergestellt wurde. Vorbereitungen vor dem Betreten sind Maßnahmen, die ergriffen werden, um den Raum für den Zugang und die Arbeit sicher zu machen. Die Inspektion vor der Arbeit ist das erstmalige Betreten und Prüfen des Raums, um sicherzustellen, dass er für den Beginn der Arbeiten sicher ist. (Diese Vorgehensweise ist in einigen Gerichtsbarkeiten vorgeschrieben.) Arbeitsaktivitäten sind die einzelnen Aufgaben, die von den Bewerbern ausgeführt werden müssen. Notfalleinsatz ist die Aktivität, falls die Rettung von Arbeitern erforderlich ist oder ein anderer Notfall eintritt. Gefahren, die zu Beginn der Arbeitstätigkeit verbleiben oder von ihr erzeugt werden, bestimmen die Art möglicher Unfälle, für die Notfallvorsorge und -maßnahmen erforderlich sind.
Die Durchführung der Gefährdungsbeurteilung für jedes Segment ist unerlässlich, da sich der Fokus ständig ändert. Beispielsweise könnte die Besorgnis über eine bestimmte Erkrankung nach der Vorbereitung vor der Einreise verschwinden; Der Zustand könnte jedoch erneut auftreten oder sich als Folge einer Aktivität, die entweder innerhalb oder außerhalb des begrenzten Raums stattfindet, neu entwickeln. Aus diesem Grund wäre es unangemessen, den Grad der Besorgnis hinsichtlich eines gefährlichen Zustands für alle Zeiten nur auf der Grundlage einer Bewertung der Voröffnungs- oder sogar Öffnungsbedingungen zu bewerten.
Instrumentelle und andere Überwachungsmethoden werden verwendet, um den Zustand einiger physikalischer, chemischer und biologischer Stoffe zu bestimmen, die in und um den geschlossenen Raum herum vorhanden sind. Eine Überwachung könnte vor dem Betreten, während des Betretens oder während der Arbeitstätigkeit erforderlich sein. Lockout/Tagout und andere prozedurale Techniken werden verwendet, um Energiequellen zu deaktivieren. Die Isolierung durch Blindstopfen, Stopfen und Kappen sowie doppelte Block-and-Bleed- oder andere Ventilkonfigurationen verhindert das Eindringen von Substanzen durch die Rohrleitungen. Eine Belüftung mit Ventilatoren und Ejektoren ist oft erforderlich, um eine sichere Umgebung für die Arbeit mit und ohne zugelassenen Atemschutz zu schaffen. Die Beurteilung und Kontrolle anderer Bedingungen hängt vom Urteil der qualifizierten Person ab.
Der letzte Teil des Prozesses ist der kritische. Die Sachkundige Person muss entscheiden, ob die mit dem Betreten und Arbeiten verbundenen Risiken vertretbar sind. Sicherheit lässt sich am besten durch Kontrolle gewährleisten. Wenn gefährliche und potenziell gefährliche Bedingungen kontrolliert werden können, ist die Entscheidung nicht schwer zu treffen. Je geringer das Maß an wahrgenommener Kontrolle ist, desto größer ist der Bedarf an Eventualitäten. Die einzige andere Alternative ist, die Einreise zu verbieten.
Zugangskontrolle
Die traditionellen Methoden zur Verwaltung von Aktivitäten in beengten Räumen vor Ort sind die Zutrittserlaubnis und die qualifizierte Person vor Ort. Bei beiden Systemen sind klare Befugnisse, Verantwortlichkeiten und Rechenschaftspflichten zwischen der qualifizierten Person und den Teilnehmern, Bereitschaftspersonal, Einsatzkräften und dem Management vor Ort erforderlich.
Die Funktion eines Einfuhrdokuments besteht darin, zu informieren und zu dokumentieren. Tabelle 2 (unten) bietet eine formale Grundlage für die Durchführung der Gefährdungsbeurteilung und die Dokumentation der Ergebnisse. Aufbereitet, um nur für einen bestimmten Umstand relevante Informationen aufzunehmen, wird dies zur Grundlage für die Einreiseerlaubnis oder Einreisebescheinigung. Am wirksamsten ist die Einreiseerlaubnis als Zusammenfassung, die durchgeführte Maßnahmen dokumentiert und ausnahmsweise auf die Notwendigkeit weiterer Vorsorgemaßnahmen hinweist. Die Einreisegenehmigung sollte von einer qualifizierten Person ausgestellt werden, die auch befugt ist, die Genehmigung zu widerrufen, wenn sich die Bedingungen ändern. Der Aussteller der Genehmigung sollte von der Aufsichtshierarchie unabhängig sein, um einen potenziellen Druck zur Beschleunigung der Arbeitsausführung zu vermeiden. Die Genehmigung legt die zu befolgenden Verfahren sowie die Bedingungen fest, unter denen der Eintritt und die Arbeit fortgesetzt werden können, und zeichnet Testergebnisse und andere Informationen auf. Die unterschriebene Genehmigung wird am Eingang oder Portal des Raums oder wie vom Unternehmen oder der Aufsichtsbehörde angegeben ausgehängt. Sie bleibt ausgestellt, bis sie entweder aufgehoben, durch eine neue Genehmigung ersetzt oder die Arbeiten abgeschlossen sind. Die Befahrungserlaubnis wird nach Abschluss der Arbeiten aktenkundig und ist entsprechend den Auflagen der Ordnungsbehörde zur Aufbewahrung aufzubewahren.
Das Genehmigungssystem funktioniert am besten, wenn gefährliche Bedingungen aus früheren Erfahrungen bekannt sind und Kontrollmaßnahmen erprobt wurden und sich als wirksam erwiesen haben. Das Genehmigungssystem ermöglicht eine effiziente Aufteilung der Expertenressourcen. Die Beschränkungen der Erlaubnis treten ein, wenn bisher nicht erkannte Gefahren vorliegen. Wenn die Qualifizierte Person nicht ohne Weiteres verfügbar ist, können diese unadressiert bleiben.
Die Gelangensbestätigung bietet einen alternativen Mechanismus für die Einreisekontrolle. Dies erfordert eine qualifizierte Person vor Ort, die praktisches Fachwissen in der Erkennung, Bewertung und Bewertung sowie Kontrolle von Gefahren bereitstellt. Ein zusätzlicher Vorteil ist die Fähigkeit, kurzfristig auf Bedenken zu reagieren und unvorhergesehene Gefahren anzugehen. Einige Gerichtsbarkeiten verlangen, dass die qualifizierte Person vor Beginn der Arbeiten eine persönliche Sichtprüfung des Raums durchführt. Nach der Bewertung des Raums und der Umsetzung von Kontrollmaßnahmen stellt die qualifizierte Person ein Zertifikat aus, das den Zustand des Raums und die Bedingungen beschreibt, unter denen die Arbeiten fortgesetzt werden können (NFPA 1993). Dieser Ansatz eignet sich ideal für Betriebe mit zahlreichen beengten Räumen oder wo sich die Bedingungen oder die Konfiguration von Räumen schnell ändern können.
Tabelle 2. Muster einer Einreiseerlaubnis
ABC-UNTERNEHMEN
GESCHLOSSENER RAUM – EINTRITTSERLAUBNIS
1. BESCHREIBENDE INFORMATIONEN
Abteilung:
Standort:
Gebäude/Laden:
Ausstattung/Räume:
Teil:
Datum: Gutachter:
Dauer: Qualifikation:
2. ANGRENZENDE RÄUME
Raum:
Beschreibung:
Inhaltsübersicht:
Verarbeiten:
3. BEDINGUNGEN VOR DER ARBEIT
Atmosphärische Gefahren
Sauerstoffmangel Ja Nein Gesteuert
Konzentration: (akzeptables Minimum: %)
Sauerstoffanreicherung Ja Nein Gesteuert
Konzentration: (akzeptables Maximum: %)
Chemical Ja Nein Gesteuert
Stoffkonzentration (akzeptabler Standard: )
Biologisch Ja Nein Gesteuert
Stoffkonzentration (akzeptabler Standard: )
Feuer Explosion Ja Nein Gesteuert
Stoffkonzentration (akzeptables Maximum: % LFL)
Gefahr durch Verschlucken/Hautkontakt Ja Nein Gesteuert
Physikalische Agenten
Geräusche/Vibrationen Ja Nein Gesteuert
Pegel: (akzeptables Maximum: dBA)
Hitze-/Kältestress Ja Nein Gesteuert
Temperatur: (akzeptabler Bereich: )
Nichtionisierende Strahlung Ja Nein Gesteuert
Typ Level (akzeptables Maximum: )
Laser Ja Nein Gesteuert
Typ Level (akzeptables Maximum: )
Persönliche Gefangenschaft
(Siehe Korrekturmaßnahme.) Ja Nein Gesteuert
Mechanische Gefahr
(Siehe Verfahren.) Ja Nein Gesteuert
Prozessgefahr
(Siehe Verfahren.) Ja Nein Gesteuert
ABC-UNTERNEHMEN
GESCHLOSSENER RAUM – EINTRITTSERLAUBNIS
Sicherheitsrisiken
Strukturelle Gefahr
(Siehe Korrekturmaßnahme.) Ja Nein Gesteuert
Eintauchen/Eintauchen
(Siehe Korrekturmaßnahme.) Ja Nein Gesteuert
Verstrickung
(Siehe Korrekturmaßnahme.) Ja Nein Gesteuert
Boardelektronik
(Siehe Verfahren.) Ja Nein Gesteuert
Fallen
(Siehe Korrekturmaßnahme.) Ja Nein Gesteuert
Ausrutschen/Ausrutschen
(Siehe Korrekturmaßnahme.) Ja Nein Gesteuert
Sichtbarkeit/Lichtstärke Ja Nein Gesteuert
Level: (Akzeptabler Bereich: Lux)
Explosiv/Implosiv
(Siehe Korrekturmaßnahme.) Ja Nein Gesteuert
Heiße/kalte Oberflächen
(Siehe Korrekturmaßnahme.) Ja Nein Gesteuert
Geben Sie bei Einträgen in hervorgehobenen Kästchen, Ja oder Kontrolliert, zusätzliche Details an und verweisen Sie auf Schutzmaßnahmen. Für Gefahren, für die Tests durchgeführt werden können, siehe Testanforderungen. Geben Sie das Datum der letzten Kalibrierung an. Akzeptables Maximum, Minimum, Bereich oder Standard hängt von der Gerichtsbarkeit ab.
4. Arbeitsablauf
Beschreibung:
Heiße Arbeit
(Siehe Schutzmaßnahme.) Ja Nein Gesteuert
Atmosphärische Gefahr
Sauerstoffmangel
(Siehe Anforderung für zusätzliche Tests. Ergebnisse aufzeichnen.
Siehe Anforderung an Schutzmaßnahmen.)
Konzentration: Ja Nein Gesteuert
(Akzeptables Minimum: %)
Sauerstoffanreicherung
(Siehe Anforderung für zusätzliche Tests. Ergebnisse aufzeichnen.
Siehe Anforderung an Schutzmaßnahmen.)
Konzentration: Ja Nein Gesteuert
(Akzeptables Maximum: %)
Chemical
(Siehe Anforderung für zusätzliche Tests. Ergebnisse aufzeichnen. Siehe Anforderung
für Schutzmaßnahmen.)
Stoffkonzentration Ja Nein Gesteuert
(Akzeptabler Standard: )
Biologisch
(Siehe Anforderung für zusätzliche Tests. Ergebnisse aufzeichnen. Siehe Anforderung
für Schutzmaßnahmen.)
Stoffkonzentration Ja Nein Gesteuert
(Akzeptabler Standard: )
Feuer Explosion
(Siehe Anforderung für zusätzliche Tests. Ergebnisse aufzeichnen. Siehe Anforderung
für Schutzmaßnahmen.)
Stoffkonzentration Ja Nein Gesteuert
(Akzeptabler Standard: )
Gefahr durch Verschlucken/Hautkontakt Ja Nein Gesteuert
(Siehe Anforderung an Schutzmaßnahmen.)
ABC-UNTERNEHMEN
GESCHLOSSENER RAUM – EINTRITTSERLAUBNIS
Physikalische Agenten
Geräusche/Vibrationen
(Siehe Anforderung für Schutzmaßnahmen. Siehe Anforderung für
zusätzliche Prüfung. Ergebnisse notieren.)
Ebene: Ja Nein Gesteuert
(Akzeptables Maximum: dBA)
Hitze-/Kältestress
(Siehe Anforderung für Schutzmaßnahmen. Siehe Anforderung für
zusätzliche Prüfung. Ergebnisse notieren.)
Temperatur: Ja Nein Gesteuert
(Akzeptable Reichweite: )
Nichtionisierende Strahlung
(Siehe Anforderung für Schutzmaßnahmen. Siehe Anforderung für
zusätzliche Prüfung. Ergebnisse notieren.)
Typ Ebene Ja Nein Gesteuert
(Akzeptables Maximum: )
Laser
(Siehe Anforderung an Schutzmaßnahmen.) Ja Nein Gesteuert
Mechanische Gefahr
(Siehe Anforderung an Schutzmaßnahmen.) Ja Nein Gesteuert
Prozessgefahr
(Siehe Anforderung an Schutzmaßnahmen.) Ja Nein Gesteuert
Sicherheitsrisiken
Strukturelle Gefahr
(Siehe Anforderung an Schutzmaßnahmen.) Ja Nein Gesteuert
Eintauchen/Eintauchen
(Siehe Anforderung an Schutzmaßnahmen.) Ja Nein Gesteuert
Verstrickung
(Siehe Anforderung an Schutzmaßnahmen.) Ja Nein Gesteuert
Boardelektronik
(Siehe Anforderung an Schutzmaßnahmen.) Ja Nein Gesteuert
Fallen
(Siehe Anforderung an Schutzmaßnahmen.) Ja Nein Gesteuert
Ausrutschen/Ausrutschen
(Siehe Anforderung an Schutzmaßnahmen.) Ja Nein Gesteuert
Sichtbarkeit/Lichtstärke
(Siehe Anforderung an Schutzmaßnahmen.) Ja Nein Gesteuert
Explosiv/Implosiv
(Siehe Anforderung an Schutzmaßnahmen.) Ja Nein Gesteuert
Heiße/kalte Oberflächen
(Siehe Anforderung an Schutzmaßnahmen.) Ja Nein Gesteuert
Geben Sie für Einträge in hervorgehobenen Feldern, Ja oder Möglich, zusätzliche Details an und verweisen Sie auf Schutzmaßnahmen
Maße. Für Gefahren, für die Tests durchgeführt werden können, siehe Testanforderungen. Geben Sie das Datum an
letzte Kalibrierung.
Schutzmaßnahmen
Persönliche Schutzausrüstung (bitte angeben)
Kommunikationsausrüstung und -verfahren (bitte angeben)
Alarmsysteme (bitte angeben)
Rettungsausrüstung (bitte angeben)
Belüftung (angeben)
Beleuchtung (bitte angeben)
Andere (angeben)
(Fortsetzung auf der nächsten Seite)
ABC-UNTERNEHMEN
GESCHLOSSENER RAUM – EINTRITTSERLAUBNIS
Prüfanforderungen
Geben Sie die Testanforderungen und -häufigkeit an
Personal
Eingangsbetreuer
Ursprünglicher Vorgesetzter
Autorisierte Teilnehmer
Testpersonal
Teilnehmer
Materialhandhabung und innerbetrieblicher Verkehr tragen zu einem Großteil der Unfälle in vielen Branchen bei. Je nach Branche beträgt der Anteil der Arbeitsunfälle, die der Materialhandhabung zugeschrieben werden, zwischen 20 und 50 %. Die Beherrschung von Risiken bei der Materialhandhabung ist das wichtigste Sicherheitsproblem bei Hafenarbeiten, in der Bauindustrie, in der Lagerhaltung, in Sägewerken, im Schiffsbau und in anderen ähnlichen Schwerindustrien. In vielen Prozessindustrien, wie der chemischen Produktindustrie, der Zellstoff- und Papierindustrie und der Stahl- und Gießereiindustrie, ereignen sich immer noch viele Unfälle während der Handhabung von Endprodukten entweder manuell oder durch Gabelstapler und Kräne.
Dieses hohe Unfallpotential bei fördertechnischen Tätigkeiten ist auf mindestens drei grundlegende Eigenschaften zurückzuführen:
Unfälle bei der Materialhandhabung
Jedes Mal, wenn Menschen oder Maschinen Lasten bewegen, besteht ein Unfallrisiko. Die Höhe des Risikos wird durch die technologischen und organisatorischen Eigenschaften der Anlage, der Umgebung und der getroffenen Unfallverhütungsmaßnahmen bestimmt. Aus Sicherheitsgründen ist es sinnvoll, die Materialhandhabung als System darzustellen, in dem die verschiedenen Elemente miteinander verknüpft sind (Abbildung 1). Wenn Änderungen an irgendeinem Element des Systems vorgenommen werden – Ausrüstung, Waren, Verfahren, Umgebung, Menschen, Management und Organisation – ändert sich wahrscheinlich auch das Verletzungsrisiko.
Abbildung 1. Ein Fördersystem
Die häufigsten an Unfällen beteiligten Arten des Materialumschlags und des innerbetrieblichen Verkehrs sind die manuelle Handhabung, der Transport und das Bewegen von Hand (Karren, Fahrräder usw.), Lastkraftwagen, Gabelstapler, Kräne und Hebezeuge, Förderbänder und der Schienenverkehr.
Bei Materialtransport und -handhabung am Arbeitsplatz treten häufig mehrere Arten von Unfällen auf. Die folgende Liste zeigt die häufigsten Typen:
Elemente fördertechnischer Systeme
Für jedes Element eines Fördersystems stehen mehrere Gestaltungsmöglichkeiten zur Verfügung, entsprechend wird das Unfallrisiko beeinflusst. Für jedes Element müssen mehrere Sicherheitskriterien berücksichtigt werden. Es ist wichtig, dass der Systemansatz während der gesamten Lebensdauer des Systems verwendet wird – während des Entwurfs des neuen Systems, während des normalen Betriebs des Systems und bei der Nachverfolgung früherer Unfälle und Störungen, um Verbesserungen in das System einzuführen.
Allgemeine Grundsätze der Prävention
Bestimmte praktische Grundsätze der Prävention gelten allgemein als anwendbar auf die Sicherheit im Umgang mit Materialien. Diese Prinzipien können sowohl auf manuelle als auch auf mechanische Materialhandhabungssysteme im Allgemeinen und immer dann angewendet werden, wenn eine Fabrik, ein Lager oder eine Baustelle in Betracht gezogen wird. Viele verschiedene Prinzipien müssen auf dasselbe Projekt angewendet werden, um optimale Sicherheitsergebnisse zu erzielen. Normalerweise kann keine Einzelmaßnahme Unfälle vollständig verhindern. Umgekehrt sind nicht alle dieser allgemeinen Prinzipien erforderlich, und einige von ihnen funktionieren möglicherweise nicht in einer bestimmten Situation. Sicherheitsexperten und Materialhandhabungsspezialisten sollten die relevantesten Punkte berücksichtigen, um ihre Arbeit in jedem spezifischen Fall zu leiten. Die wichtigste Frage ist, die Prinzipien optimal zu handhaben, um sichere und praktikable Fördersysteme zu schaffen, anstatt sich auf ein einzelnes technisches Prinzip unter Ausschluss anderer festzulegen.
Die folgenden 22 Prinzipien können für Sicherheitszwecke bei der Entwicklung und Bewertung von Fördersystemen in ihrem geplanten, gegenwärtigen oder historischen Stadium verwendet werden. Alle Prinzipien gelten sowohl für proaktive als auch für nachträgliche Sicherheitsaktivitäten. In der folgenden Liste wird keine strenge Prioritätsreihenfolge impliziert, aber eine grobe Unterteilung kann vorgenommen werden: Die ersten Prinzipien gelten eher für die anfängliche Gestaltung neuer Anlagenlayouts und Materialhandhabungsprozesse, während die letzten aufgelisteten Prinzipien eher auf die gerichtet sind Betrieb vorhandener Förderanlagen.
Zweiundzwanzig Grundsätze zur Verhütung von Unfällen bei der Materialhandhabung
Die Themen Führung und Kultur sind die zwei wichtigsten Überlegungen unter den Bedingungen, die notwendig sind, um Exzellenz in Sicherheit zu erreichen. Die Sicherheitspolitik kann als wichtig angesehen werden oder nicht, je nachdem, wie der Arbeitnehmer davon ausgeht, ob die Verpflichtung des Managements und die Unterstützung der Politik tatsächlich jeden Tag umgesetzt werden. Das Management schreibt oft die Sicherheitsrichtlinie und stellt dann nicht sicher, dass sie von Managern und Vorgesetzten jeden Tag bei der Arbeit durchgesetzt wird.
Sicherheitskultur und Sicherheitsergebnisse
Früher glaubten wir, dass es bestimmte „wesentliche Elemente“ eines „Sicherheitsprogramms“ gibt. In den Vereinigten Staaten geben Aufsichtsbehörden Richtlinien zu diesen Elementen heraus (Richtlinien, Verfahren, Schulungen, Inspektionen, Untersuchungen usw.). Einige Provinzen in Kanada geben an, dass es 20 wesentliche Elemente gibt, während einige Organisationen im Vereinigten Königreich vorschlagen, dass 30 wesentliche Elemente in Sicherheitsprogrammen berücksichtigt werden sollten. Bei näherer Betrachtung der Gründe für die verschiedenen Listen wesentlicher Elemente wird deutlich, dass die jeweiligen Listen lediglich die Meinung eines Schriftstellers aus der Vergangenheit widerspiegeln (z. B. Heinrich oder Bird). In ähnlicher Weise spiegeln Vorschriften zur Sicherheitsprogrammierung oft die Meinung einiger früher Autoren wider. Hinter diesen Meinungen steht selten Forschung, was zu Situationen führt, in denen die wesentlichen Elemente in einer Organisation funktionieren und in einer anderen nicht. Wenn wir uns tatsächlich die Forschung zur Wirksamkeit von Sicherheitssystemen ansehen, beginnen wir zu verstehen, dass es, obwohl es viele wesentliche Elemente gibt, die auf Sicherheitsergebnisse anwendbar sind, die Wahrnehmung der Kultur durch den Arbeitnehmer ist, die bestimmt, ob ein einzelnes Element effektiv ist oder nicht . Es gibt eine Reihe von in den Referenzen zitierten Studien, die zu dem Schluss führen, dass es keine „must haves“ und keine „essentielle“ Elemente in einem Sicherheitssystem gibt.
Dies wirft einige ernsthafte Probleme auf, da Sicherheitsvorschriften dazu neigen, Organisationen einfach anzuweisen, „ein Sicherheitsprogramm zu haben“, das aus fünf, sieben oder einer beliebigen Anzahl von Elementen besteht, wenn es offensichtlich ist, dass viele der vorgeschriebenen Aktivitäten nicht funktionieren und Zeit verschwenden werden , Aufwand und Ressourcen, die verwendet werden könnten, um die proaktiven Aktivitäten durchzuführen, die Verluste verhindern. Nicht welche Elemente verwendet werden, bestimmt die Sicherheitsergebnisse; vielmehr bestimmt die Kultur, in der diese Elemente verwendet werden, den Erfolg. In einer positiven Sicherheitskultur funktionieren fast alle Elemente; In einer negativen Kultur wird wahrscheinlich keines der Elemente zu Ergebnissen führen.
Baukultur
Wenn die Kultur der Organisation so wichtig ist, sollten die Bemühungen im Sicherheitsmanagement in erster Linie darauf abzielen, eine Kultur aufzubauen, damit die eingeführten Sicherheitsaktivitäten zu Ergebnissen führen. KULTUR kann grob definiert werden als „so wie es hier ist“. Die Sicherheitskultur ist positiv, wenn die Mitarbeiter ehrlich davon überzeugt sind, dass Sicherheit ein Schlüsselwert der Organisation ist, und erkennen können, dass sie ganz oben auf der Prioritätenliste der Organisation steht. Diese Wahrnehmung durch die Belegschaft kann nur erreicht werden, wenn sie die Führung als glaubwürdig wahrnimmt; wenn die Worte der Sicherheitspolitik werden täglich gelebt; wenn Entscheidungen des Managements über finanzielle Ausgaben zeigen, dass Geld für Menschen ausgegeben wird (und um mehr Geld zu verdienen); wenn die vom Management bereitgestellten Maßnahmen und Belohnungen die Leistung des mittleren Managers und der Aufsicht auf ein zufriedenstellendes Niveau zwingen; wenn Arbeitnehmer eine Rolle bei der Problemlösung und Entscheidungsfindung spielen; wenn ein hohes Maß an Zuversicht und Vertrauen zwischen dem Management und den Arbeitnehmern besteht; wenn es Offenheit der Kommunikation gibt; und wenn Arbeitnehmer positive Anerkennung für ihre Arbeit erhalten.
In einer positiven Sicherheitskultur wie der oben beschriebenen wird fast jedes Element des Sicherheitssystems effektiv sein. Tatsächlich braucht eine Organisation mit der richtigen Kultur kaum ein „Sicherheitsprogramm“, denn Sicherheit wird als normaler Teil des Managementprozesses behandelt. Um eine positive Sicherheitskultur zu erreichen, müssen bestimmte Kriterien erfüllt sein
1. Es muss ein System vorhanden sein, das regelmäßige tägliche proaktive Aufsichts- (oder Team-) Aktivitäten gewährleistet.
2. Das System muss aktiv sicherstellen, dass Aufgaben und Aktivitäten des mittleren Managements in diesen Bereichen durchgeführt werden:
3. Die oberste Leitung muss sichtbar demonstrieren und unterstützen, dass Sicherheit einen hohen Stellenwert in der Organisation hat.
4. Jeder Arbeitnehmer, der sich dafür entscheidet, sollte in der Lage sein, sich aktiv an sinnvollen sicherheitsbezogenen Aktivitäten zu beteiligen.
5. Das Sicherheitssystem muss flexibel sein und Entscheidungen auf allen Ebenen ermöglichen.
6. Die Sicherheitsbemühungen müssen von der Belegschaft positiv bewertet werden.
Diese sechs Kriterien lassen sich unabhängig vom Führungsstil der Organisation, ob autoritär oder partizipativ, und mit ganz unterschiedlichen Sicherheitsansätzen erfüllen.
Kultur- und Sicherheitspolitik
Eine Sicherheitsrichtlinie bringt selten etwas, wenn ihr nicht Systeme folgen, die die Richtlinie zum Leben erwecken. Wenn die Richtlinie beispielsweise besagt, dass Vorgesetzte für die Sicherheit verantwortlich sind, bedeutet dies nichts, es sei denn, Folgendes ist vorhanden:
Diese Kriterien gelten auf jeder Ebene der Organisation; Aufgaben müssen definiert werden, es muss ein gültiges Maß für die Leistung (Aufgabenerfüllung) und eine von der Leistung abhängige Belohnung geben. Daher treibt die Sicherheitspolitik nicht die Leistung der Sicherheit voran; Rechenschaftspflicht tut. Verantwortlichkeit ist der Schlüssel zur Baukultur. Erst wenn die Arbeiter sehen, wie die Vorgesetzten und das Management ihre Sicherheitsaufgaben täglich erfüllen, glauben sie, dass das Management glaubwürdig ist und dass das Top-Management es wirklich ernst gemeint hat, als es die Sicherheitsrichtlinien unterzeichnet hat.
Führung und Sicherheit
Aus dem Obigen geht hervor, dass Führung für die Sicherheitsergebnisse entscheidend ist, da Führung die Kultur bildet, die bestimmt, was bei den Sicherheitsbemühungen der Organisation funktioniert und was nicht. Eine gute Führungskraft macht deutlich, was in Bezug auf Ergebnisse erwünscht ist, und macht auch deutlich, was in der Organisation getan wird, um die Ergebnisse zu erzielen. Führung ist unendlich wichtiger als Richtlinien, denn Führungskräfte senden durch ihre Handlungen und Entscheidungen klare Botschaften an die gesamte Organisation, welche Richtlinien wichtig sind und welche nicht. Organisationen erklären manchmal über Richtlinien, dass Gesundheit und Sicherheit Schlüsselwerte sind, und konstruieren dann Maßnahmen und Belohnungsstrukturen, die das Gegenteil fördern.
Die Führung bestimmt durch ihre Handlungen, Systeme, Maßnahmen und Belohnungen eindeutig, ob Sicherheit in der Organisation erreicht wird oder nicht. Noch nie war dies für jeden Arbeiter in der Industrie so offensichtlich wie in den 1990er Jahren. Noch nie wurde so viel Engagement für Gesundheit und Sicherheit bekundet wie in den letzten zehn Jahren. Gleichzeitig gab es nie mehr Downsizing oder „Right-Sizing“ und mehr Druck zur Produktionssteigerung und Kostensenkung, was zu mehr Stress, mehr erzwungenen Überstunden, mehr Arbeit für weniger Arbeiter, mehr Zukunftsangst und weniger führte Arbeitsplatzsicherheit wie nie zuvor. Right-Sizing hat mittlere Manager und Vorgesetzte dezimiert und weniger Arbeitern (den Schlüsselpersonen in Sachen Sicherheit) mehr Arbeit auferlegt. Auf allen Ebenen der Organisation herrscht ein allgemeines Gefühl der Überlastung. Überlastung verursacht mehr Unfälle, mehr körperliche Ermüdung, mehr psychische Erschöpfung, mehr Belastungsansprüche, mehr sich wiederholende Bewegungszustände und mehr kumulative Traumastörungen. In vielen Organisationen hat sich auch die Beziehung zwischen dem Unternehmen und dem Arbeitnehmer verschlechtert, wo früher gegenseitige Gefühle des Vertrauens und der Sicherheit herrschten. In der früheren Umgebung hat ein Arbeitnehmer möglicherweise weiterhin „unter Schmerzen gearbeitet“. Wenn Arbeitnehmer jedoch um ihren Arbeitsplatz fürchten und sehen, dass die Führungsriegen so dünn sind, dass sie nicht überwacht werden, haben sie allmählich das Gefühl, dass sich die Organisation nicht mehr um sie kümmert, was zu einer Verschlechterung der Sicherheitskultur führt.
Lückenanalyse
Viele Unternehmen durchlaufen einen einfachen Prozess, der als Lückenanalyse bekannt ist und aus drei Schritten besteht: (1) Bestimmen, wo Sie sein möchten; (2) zu bestimmen, wo Sie sich gerade befinden, und (3) zu bestimmen, wie Sie von Ihrem Standort zu Ihrem gewünschten Ziel gelangen oder wie Sie „die Kluft überbrücken“ können.
Bestimmen, wo Sie sein möchten. Wie soll das Sicherheitssystem Ihrer Organisation aussehen? Es wurden sechs Kriterien vorgeschlagen, anhand derer das Sicherheitssystem einer Organisation bewertet werden kann. Wenn diese abgelehnt werden, müssen Sie das Sicherheitssystem Ihrer Organisation anhand einiger anderer Kriterien messen. Vielleicht möchten Sie sich zum Beispiel die sieben Klimavariablen der Organisationseffektivität ansehen, wie sie von Dr. Rensis Likert (1967) aufgestellt wurden, der zeigte, dass je besser eine Organisation in bestimmten Dingen ist, desto wahrscheinlicher ist es, dass sie wirtschaftlich erfolgreich ist. und damit in Sicherheit. Diese Klimavariablen sind wie folgt:
Es gibt andere Kriterien, anhand derer man sich selbst beurteilen kann, wie z. B. das von Zembroski (1991) vorgeschlagene Kriterium zur Bestimmung der Wahrscheinlichkeit von Katastrophenereignissen.
Bestimmen, wo Sie jetzt sind. Das ist vielleicht das Schwierigste. Ursprünglich wurde angenommen, dass die Wirksamkeit von Sicherheitssystemen durch Messen der Anzahl von Verletzungen oder einer Teilmenge von Verletzungen (registrierbare Verletzungen, Verletzungen mit Ausfallzeit, Häufigkeitsraten usw.) bestimmt werden könnte. Aufgrund der geringen Anzahl dieser Daten haben sie in der Regel keine oder nur geringe statistische Aussagekraft. In den 1950er und 1960er Jahren erkannten die Ermittler dies und versuchten, die Wirksamkeit von Sicherheitssystemen durch Audits zu beurteilen. Es wurde versucht, im Voraus zu bestimmen, was in einer Organisation getan werden muss, um Ergebnisse zu erzielen, und dann durch Messung festzustellen, ob diese Dinge getan wurden oder nicht.
Jahrelang wurde angenommen, dass Auditergebnisse Sicherheitsergebnisse vorhersagten; Je besser das Audit-Ergebnis in diesem Jahr, desto niedriger die Unfallbilanz im nächsten Jahr. Wir wissen jetzt (aus einer Vielzahl von Untersuchungen), dass Auditergebnisse nicht sehr gut (wenn überhaupt) mit der Sicherheitsbilanz korrelieren. Die Untersuchung legt nahe, dass die meisten Audits (extern und manchmal intern erstellt) tendenziell viel besser mit der Einhaltung gesetzlicher Vorschriften korrelieren als mit der Sicherheitsbilanz. Dies ist in einer Reihe von Studien und Publikationen dokumentiert.
Eine Reihe von Studien, die Audit-Ergebnisse und die Verletzungsaufzeichnungen in großen Unternehmen über Zeiträume hinweg korrelieren (um festzustellen, ob die Verletzungsaufzeichnungen statistisch gültig sind), haben eine Nullkorrelation und in einigen Fällen eine negative Korrelation zwischen Auditergebnissen und dem festgestellt Verletzungsbilanz. Audits in diesen Studien korrelieren tendenziell positiv mit der Einhaltung gesetzlicher Vorschriften.
Bridging the Gap
Es scheint nur wenige gültige Sicherheitskennzahlen zu geben (d. h. sie korrelieren wirklich mit der tatsächlichen Unfallbilanz in großen Unternehmen über lange Zeiträume), die verwendet werden können, um „die Lücke zu schließen“:
Die vielleicht wichtigste Maßnahme ist die Wahrnehmungsumfrage, mit der der aktuelle Status der Sicherheitskultur einer Organisation bewertet wird. Kritische Sicherheitsprobleme werden identifiziert und alle Meinungsverschiedenheiten zwischen Management und Mitarbeitern hinsichtlich der Wirksamkeit von Sicherheitsprogrammen des Unternehmens werden deutlich aufgezeigt.
Die Umfrage beginnt mit einer kurzen Reihe demografischer Fragen, die verwendet werden können, um Diagramme und Tabellen zur Darstellung der Ergebnisse zu organisieren (siehe Abbildung 1). Typischerweise werden die Teilnehmer nach ihrer Mitarbeiterstufe, ihrem allgemeinen Arbeitsort und vielleicht ihrer Handelsgruppe gefragt. Zu keinem Zeitpunkt werden den Mitarbeitern Fragen gestellt, die eine Identifizierung durch die Personen, die die Ergebnisse auswerten, ermöglichen würden.
Abbildung 1. Beispiel für Ergebnisse einer Wahrnehmungsumfrage
Der zweite Teil der Umfrage besteht aus mehreren Fragen. Die Fragen wurden entwickelt, um die Wahrnehmung der Mitarbeiter in Bezug auf verschiedene Sicherheitskategorien aufzudecken. Jede Frage kann die Punktzahl von mehr als einer Kategorie beeinflussen. Für jede Kategorie wird eine kumulative prozentuale positive Reaktion berechnet. Die Prozentsätze für die Kategorien werden grafisch dargestellt (siehe Abbildung 1), um die Ergebnisse in absteigender Reihenfolge der positiven Wahrnehmung durch die Linienarbeiter anzuzeigen. Die Kategorien auf der rechten Seite der Grafik werden von den Mitarbeitern am wenigsten positiv wahrgenommen und sind daher am stärksten verbesserungswürdig.
Zusammenfassung
In den letzten Jahren wurde viel darüber gelernt, was die Wirksamkeit eines Sicherheitssystems bestimmt. Es ist anerkannt, dass Kultur der Schlüssel ist. Die Wahrnehmung der Mitarbeiter von der Kultur der Organisation diktiert ihr Verhalten, und somit bestimmt die Kultur, ob irgendein Element des Sicherheitsprogramms effektiv sein wird oder nicht.
Kultur wird nicht durch schriftliche Richtlinien, sondern durch Führung etabliert; durch alltägliche Handlungen und Entscheidungen; und durch die vorhandenen Systeme, die sicherstellen, dass Sicherheitsaktivitäten (Leistung) von Managern, Vorgesetzten und Arbeitsteams durchgeführt werden. Eine Kultur kann positiv aufgebaut werden durch Rechenschaftssysteme, die Leistung sicherstellen, und durch Systeme, die die Beteiligung der Arbeitnehmer zulassen, fördern und fördern. Darüber hinaus kann die Kultur durch Wahrnehmungsumfragen valide bewertet und verbessert werden, sobald die Organisation feststellt, wo sie gerne sein möchte.
Sicherheitskultur ist ein neues Konzept unter Sicherheitsfachleuten und akademischen Forschern. Sicherheitskultur kann so betrachtet werden, dass sie verschiedene andere Konzepte umfasst, die sich auf kulturelle Aspekte der Arbeitssicherheit beziehen, wie etwa Sicherheitseinstellungen und -verhalten sowie das Sicherheitsklima eines Arbeitsplatzes, auf die häufiger Bezug genommen wird und die ziemlich gut dokumentiert sind.
Es stellt sich die Frage, ob Sicherheitskultur nur ein neues Wort ist, das verwendet wird, um alte Begriffe zu ersetzen, oder neue inhaltliche Inhalte bringt, die unser Verständnis der Sicherheitsdynamik in Organisationen erweitern können. Der erste Abschnitt dieses Artikels beantwortet diese Frage, indem er das Konzept der Sicherheitskultur definiert und seine potenziellen Dimensionen untersucht.
Eine weitere Frage, die zur Sicherheitskultur gestellt werden kann, betrifft ihre Beziehung zur Sicherheitsleistung von Unternehmen. Es wird akzeptiert, dass ähnliche Unternehmen, die in eine bestimmte Risikokategorie eingeordnet sind, sich häufig hinsichtlich ihrer tatsächlichen Sicherheitsleistung unterscheiden. Ist die Sicherheitskultur ein Faktor der Sicherheitseffektivität, und wenn ja, welche Art von Sicherheitskultur wird erfolgreich zu einer erwünschten Wirkung beitragen? Diese Frage wird im zweiten Abschnitt des Artikels behandelt, indem einige relevante empirische Beweise für die Auswirkungen der Sicherheitskultur auf die Sicherheitsleistung überprüft werden.
Der dritte Abschnitt befasst sich mit der praktischen Frage des Managements der Sicherheitskultur, um Managern und anderen organisatorischen Führungskräften dabei zu helfen, eine Sicherheitskultur aufzubauen, die zur Reduzierung von Arbeitsunfällen beiträgt.
Sicherheitskultur: Konzept und Realitäten
Der Begriff der Sicherheitskultur ist noch nicht sehr genau definiert und bezieht sich auf eine Vielzahl von Phänomenen. Einige davon wurden bereits teilweise dokumentiert, wie etwa die Einstellungen und das Verhalten von Managern oder Arbeitern gegenüber Risiken und Sicherheit (Andriessen 1978; Cru und Dejours 1983; Dejours 1992; Dodier 1985; Eakin 1992; Eyssen, Eakin-Hoffman und Spengler 1980 ; Haas 1977). Diese Studien sind wichtig, um Beweise über die soziale und organisatorische Natur der Sicherheitseinstellungen und -verhaltensweisen von Einzelpersonen zu präsentieren (Simard 1988). Indem sie sich jedoch auf bestimmte organisatorische Akteure wie Manager oder Arbeitnehmer konzentrieren, gehen sie nicht auf die umfassendere Frage des Sicherheitskulturkonzepts ein, das Organisationen charakterisiert.
Eine Forschungsrichtung, die dem ganzheitlichen Ansatz des Sicherheitskulturkonzepts näher kommt, stellen Studien zum Sicherheitsklima dar, die sich in den 1980er Jahren entwickelt haben. Das Konzept des Sicherheitsklimas bezieht sich auf die Wahrnehmung der Arbeitnehmer von ihrer Arbeitsumgebung, insbesondere auf das Ausmaß der Sicherheitsbedenken und -aktivitäten des Managements und ihre eigene Beteiligung an der Kontrolle von Risiken bei der Arbeit (Brown und Holmes 1986; Dedobbeleer und Béland 1991; Zohar 1980). Theoretisch wird davon ausgegangen, dass Arbeitnehmer solche Wahrnehmungen entwickeln und nutzen, um festzustellen, was ihrer Meinung nach innerhalb des organisatorischen Umfelds von ihnen erwartet wird, und sich entsprechend zu verhalten. Obwohl als ein konzipiert Krankengymnastik Aus psychologischer Sicht geben die Wahrnehmungen, die das Sicherheitsklima bilden, eine wertvolle Einschätzung der allgemeinen Reaktion von Arbeitnehmern auf eine organisatorisch gesellschaftlich und kulturell konstruiertes Attribut, in diesem Fall durch das Management der Arbeitssicherheit am Arbeitsplatz. Obwohl das Sicherheitsklima die Sicherheitskultur nicht vollständig erfasst, kann es folglich als Informationsquelle über die Sicherheitskultur eines Arbeitsplatzes angesehen werden.
Sicherheitskultur ist ein Konzept, das (1) die Werte, Überzeugungen und Prinzipien umfasst, die als Grundlage für das Sicherheitsmanagementsystem dienen, und (2) auch eine Reihe von Praktiken und Verhaltensweisen umfasst, die diese Grundprinzipien veranschaulichen und verstärken. Diese Überzeugungen und Praktiken sind Bedeutungen die von Organisationsmitgliedern bei ihrer Suche nach Strategien zur Behandlung von Themen wie Gefahren am Arbeitsplatz, Unfällen und Sicherheit am Arbeitsplatz erstellt wurden. Diese Bedeutungen (Überzeugungen und Praktiken) werden nicht nur bis zu einem gewissen Grad von den Mitgliedern des Arbeitsplatzes geteilt, sondern dienen auch als primäre Quelle für motiviertes und koordiniertes Handeln in Bezug auf die Frage der Sicherheit am Arbeitsplatz. Daraus lässt sich ableiten, dass Kultur sowohl von konkreten Arbeitsschutzstrukturen (das Vorhandensein einer Sicherheitsabteilung, eines gemeinsamen Sicherheits- und Gesundheitsausschusses usw.) als auch von bestehenden Arbeitsschutzprogrammen (bestehend aus Aktivitäten zur Gefahrenerkennung und -kontrolle wie z Arbeitsplatzinspektionen, Unfalluntersuchungen, Arbeitssicherheitsanalysen usw.).
Petersen (1993) argumentiert, dass die Sicherheitskultur „das Herzstück dessen ist, wie Elemente oder Werkzeuge von Sicherheitssystemen ... verwendet werden“, indem er das folgende Beispiel anführt:
Zwei Unternehmen verfolgten im Rahmen ihrer Sicherheitsprogramme eine ähnliche Vorgehensweise bei der Untersuchung von Unfällen und Zwischenfällen. Ähnliche Vorfälle ereigneten sich in beiden Unternehmen und Ermittlungen wurden eingeleitet. Im ersten Unternehmen stellte der Vorgesetzte fest, dass sich die beteiligten Arbeiter unsicher verhalten hatten, warnte sie sofort vor dem Sicherheitsverstoß und aktualisierte ihre persönlichen Sicherheitsunterlagen. Die verantwortliche Führungskraft hat diesen Vorgesetzten für die Durchsetzung der Arbeitssicherheit anerkannt. In dem zweiten Unternehmen berücksichtigte der Vorgesetzte die Umstände des Vorfalls, nämlich, dass er sich ereignete, als der Bediener nach einer Zeit mechanischer Wartungsprobleme, die die Produktion verlangsamt hatten, unter starkem Druck stand, die Produktionstermine einzuhalten, und in einem Kontext, in dem die Aufmerksamkeit der Mitarbeiter auf sich zog wurde aus Sicherheitspraktiken gezogen, da die Arbeitnehmer aufgrund der jüngsten Kürzungen der Unternehmen um ihre Arbeitsplatzsicherheit besorgt waren. Vertreter des Unternehmens erkannten das Problem der vorbeugenden Wartung an und hielten ein Treffen mit allen Mitarbeitern ab, bei dem sie die aktuelle finanzielle Situation besprachen und die Arbeiter aufforderten, die Sicherheit aufrechtzuerhalten und gleichzeitig an der Verbesserung der Produktion im Hinblick auf die Rentabilität des Unternehmens zu arbeiten.
„Warum“, fragte Petersen, „hat ein Unternehmen den Mitarbeiter beschuldigt, die Vorfalluntersuchungsformulare ausgefüllt und sich wieder an die Arbeit gemacht, während das andere Unternehmen feststellte, dass es sich auf allen Ebenen der Organisation mit Fehlern befassen muss?“ Der Unterschied liegt in den Sicherheitskulturen, nicht in den Sicherheitsprogrammen selbst, obwohl die kulturelle Art und Weise, wie dieses Programm in die Praxis umgesetzt wird, und die Werte und Überzeugungen, die den tatsächlichen Praktiken Bedeutung verleihen, weitgehend bestimmen, ob das Programm einen ausreichenden realen Inhalt und eine ausreichende Wirkung hat.
Aus diesem Beispiel geht hervor, dass die Geschäftsleitung ein Schlüsselakteur ist, dessen Grundsätze und Maßnahmen im Arbeitsschutz maßgeblich zur Etablierung der Unternehmenssicherheitskultur beitragen. In beiden Fällen reagierten die Vorgesetzten entsprechend dem, was sie als „richtige Vorgehensweise“ empfanden, eine Wahrnehmung, die durch die konsequenten Maßnahmen des Top-Managements verstärkt wurde. Offensichtlich bevorzugte das Top-Management im ersten Fall einen „vorschriftsmäßigen“ oder einen bürokratischen und hierarchischen Sicherheitskontrollansatz, während der Ansatz im zweiten Fall umfassender und dem Engagement der Manager und der Arbeitnehmer förderlich war. Beteiligung an, Sicherheit am Arbeitsplatz. Auch andere kulturelle Ansätze sind möglich. Zum Beispiel hat Eakin (1992) gezeigt, dass es in sehr kleinen Unternehmen üblich ist, dass der oberste Manager die Verantwortung für die Sicherheit vollständig an die Arbeiter delegiert.
Diese Beispiele werfen die wichtige Frage nach der Dynamik einer Sicherheitskultur und den Prozessen des Aufbaus, der Pflege und der Veränderung der Organisationskultur in Bezug auf Arbeitssicherheit auf. Einer dieser Prozesse ist die Führung, die von Top-Managern und anderen Organisationsleitern wie Gewerkschaftsfunktionären demonstriert wird. Der Ansatz der Organisationskultur hat zu neuerlichen Studien über Führung in Organisationen beigetragen, indem er die Bedeutung der persönlichen Rolle sowohl von natürlichen als auch von Organisationsführern bei der Demonstration der Verpflichtung zu Werten und der Schaffung gemeinsamer Bedeutungen zwischen Organisationsmitgliedern aufgezeigt hat (Nadler und Tushman 1990; Schein 1985). Petersens Beispiel des ersten Unternehmens veranschaulicht eine Situation, in der die Führung des Top-Managements rein strukturell war und lediglich darauf abzielte, die Einhaltung des Sicherheitsprogramms und der Regeln zu etablieren und zu stärken. Im zweiten Unternehmen demonstrierten Top-Manager einen breiteren Führungsansatz und kombinierten eine strukturelle Rolle bei der Entscheidung, Zeit für die Durchführung der notwendigen vorbeugenden Wartung einzuräumen, mit einer persönlichen Rolle bei Treffen mit Mitarbeitern, um Sicherheit und Produktion in einer schwierigen finanziellen Situation zu besprechen. Schließlich scheinen in Eakins Studie leitende Manager einiger kleiner Unternehmen überhaupt keine Führungsrolle zu spielen.
Andere organisatorische Akteure, die eine sehr wichtige Rolle in der kulturellen Dynamik der Arbeitssicherheit spielen, sind mittlere Führungskräfte und Vorgesetzte. Simard und Marchand (1994) zeigen in ihrer Studie mit mehr als tausend Vorgesetzten der ersten Linie, dass eine große Mehrheit der Vorgesetzten in die Arbeitssicherheit involviert ist, obwohl die kulturellen Muster ihrer Beteiligung unterschiedlich sein können. An manchen Arbeitsplätzen ist das vorherrschende Muster das, was sie „hierarchische Beteiligung“ nennen und eher kontrollorientiert ist; in anderen Organisationen ist das Muster „partizipative Beteiligung“, weil Vorgesetzte ihre Mitarbeiter sowohl ermutigen als auch zulassen, sich an Aktivitäten zur Unfallverhütung zu beteiligen; und in einer kleinen Minderheit von Organisationen ziehen sich die Vorgesetzten zurück und überlassen die Sicherheit den Arbeitern. Es ist leicht zu erkennen, dass diese Stile des Sicherheitsmanagements auf der Aufsichtsebene mit dem übereinstimmen, was zuvor über die Führungsmuster der oberen Führungsebene in der Arbeitssicherheit gesagt wurde. Empirisch zeigt die Studie von Simard und Marchand jedoch, dass der Zusammenhang nicht perfekt ist, ein Umstand, der Petersens Hypothese stützt, dass ein großes Problem vieler Führungskräfte darin besteht, eine starke, am Menschen orientierte Sicherheitskultur in der Mitte aufzubauen Aufsichtsführung. Ein Teil dieses Problems kann darauf zurückzuführen sein, dass die meisten Manager auf niedrigerer Ebene immer noch überwiegend produktionsorientiert sind und dazu neigen, Arbeiter für Arbeitsunfälle und andere Sicherheitsmängel verantwortlich zu machen (DeJoy 1987 und 1994; Taylor 1981).
Diese Betonung des Managements sollte nicht so gesehen werden, als würde die Bedeutung der Arbeitnehmer in der Dynamik der Sicherheitskultur am Arbeitsplatz außer Acht gelassen. Die Motivation und das Verhalten von Arbeitnehmern in Bezug auf die Sicherheit am Arbeitsplatz werden von der Wahrnehmung beeinflusst, die sie von der Priorität haben, die der Arbeitssicherheit von ihren Vorgesetzten und Top-Managern eingeräumt wird (Andriessen 1978). Dieses Top-Down-Einflussmuster wurde in zahlreichen Verhaltensexperimenten nachgewiesen, bei denen das positive Feedback von Managern genutzt wurde, um die Einhaltung formaler Sicherheitsregeln zu verstärken (McAfee und Winn 1989; Näsänen und Saari 1987). Arbeitnehmer bilden auch spontan Arbeitsgruppen, wenn die Arbeitsorganisation geeignete Bedingungen bietet, die es ihnen ermöglichen, sich am formellen oder informellen Sicherheitsmanagement und der Regulierung des Arbeitsplatzes zu beteiligen (Cru und Dejours 1983; Dejours 1992; Dwyer 1992). Dieses letztere Verhaltensmuster der Arbeitnehmer, das mehr auf die Sicherheitsinitiativen von Arbeitsgruppen und ihre Fähigkeit zur Selbstregulierung ausgerichtet ist, kann vom Management positiv genutzt werden, um die Beteiligung und Sicherheit der Arbeitnehmer beim Aufbau einer Sicherheitskultur am Arbeitsplatz zu entwickeln.
Sicherheitskultur und Sicherheitsleistung
Es gibt immer mehr empirische Belege für den Einfluss der Sicherheitskultur auf die Sicherheitsleistung. Zahlreiche Studien haben Merkmale von Unternehmen mit niedrigen Unfallraten untersucht und diese im Allgemeinen mit ähnlichen Unternehmen mit überdurchschnittlichen Unfallraten verglichen. Ein ziemlich konsistentes Ergebnis dieser Studien, die sowohl in Industrie- als auch in Entwicklungsländern durchgeführt wurden, betont die Bedeutung des Sicherheitsengagements und der Führung von Führungskräften für die Sicherheitsleistung (Chew 1988; Hunt und Habeck 1993; Shannon et al. 1992; Smith et al . 1978). Darüber hinaus zeigen die meisten Studien, dass in Unternehmen mit geringeren Unfallzahlen die persönliche Einbindung der obersten Führungskräfte in die Arbeitssicherheit mindestens ebenso wichtig ist wie deren Entscheidungen bei der Gestaltung des Sicherheitsmanagementsystems (Funktionen, die den Einsatz finanzieller und fachlicher Ressourcen beinhalten würden und die Erstellung von Richtlinien und Programmen usw.). Nach Smith et al. (1978) wirkt die aktive Beteiligung von Führungskräften als Motivator für alle Managementebenen, indem sie ihr Interesse durch Beteiligung aufrechterhält, und für die Mitarbeiter, indem sie das Engagement der Unternehmensleitung für ihr Wohlergehen demonstriert. Die Ergebnisse vieler Studien deuten darauf hin, dass eine der besten Möglichkeiten, die humanistischen Werte und die menschenorientierte Philosophie zu demonstrieren und zu fördern, darin besteht, dass die Geschäftsleitung an weithin sichtbaren Aktivitäten wie Arbeitssicherheitsbegehungen und Treffen mit Mitarbeitern teilnimmt.
Zahlreiche Studien über die Beziehung zwischen Sicherheitskultur und Sicherheitsleistung zeigen das Sicherheitsverhalten von Vorgesetzten der ersten Linie, indem sie zeigen, dass die Beteiligung von Vorgesetzten an einem partizipativen Ansatz für das Sicherheitsmanagement im Allgemeinen mit niedrigeren Unfallraten verbunden ist (Chew 1988; Mattila, Hyttinen und Rantanen 1994 ; Simard und Marchand 1994; Smith et al. 1978). Ein solches Verhaltensmuster von Vorgesetzten zeigt sich in häufigen formellen und informellen Interaktionen und Kommunikationen mit Arbeitnehmern über Arbeit und Sicherheit, die Aufmerksamkeit auf die Überwachung der Sicherheitsleistung der Arbeitnehmer und das Geben positiver Rückmeldungen sowie die Entwicklung der Einbeziehung der Arbeitnehmer in Unfallverhütungsaktivitäten . Darüber hinaus sind die Merkmale einer effektiven Sicherheitsaufsicht dieselben wie die einer allgemein effizienten Betriebs- und Produktionsaufsicht, was die Hypothese stützt, dass ein enger Zusammenhang zwischen einem effizienten Sicherheitsmanagement und einem guten allgemeinen Management besteht.
Es gibt Hinweise darauf, dass eine sicherheitsorientierte Belegschaft ein positiver Faktor für die Sicherheitsleistung des Unternehmens ist. Die Wahrnehmung und Vorstellung des Sicherheitsverhaltens von Arbeitern sollte jedoch nicht nur auf Sorgfalt und die Einhaltung von Sicherheitsregeln des Managements reduziert werden, obwohl zahlreiche Verhaltensexperimente gezeigt haben, dass ein höheres Maß an Konformität der Arbeiter mit Sicherheitspraktiken die Unfallraten senkt (Saari 1990). In der Tat sind die Befähigung und aktive Beteiligung der Belegschaft auch als Faktoren erfolgreicher Arbeitsschutzprogramme dokumentiert. Auf Arbeitsplatzebene belegen einige Studien, dass effektiv funktionierende gemeinsame Gesundheits- und Sicherheitsausschüsse (bestehend aus Mitgliedern, die in Arbeitssicherheit gut ausgebildet sind, bei der Erfüllung ihres Mandats zusammenarbeiten und von ihren Interessengruppen unterstützt werden) wesentlich zur Sicherheitsleistung des Unternehmens beitragen (Chew 1988; Rees 1988; Tuohy und Simard 1992). In ähnlicher Weise haben Arbeitsgruppen auf Betriebsebene, die vom Management ermutigt werden, Teamsicherheit und Selbstregulierung zu entwickeln, im Allgemeinen eine bessere Sicherheitsleistung als Arbeitsgruppen, die Autoritarismus und sozialer Desintegration unterliegen (Dwyer 1992; Lanier 1992).
Aus den oben genannten wissenschaftlichen Erkenntnissen lässt sich schließen, dass eine bestimmte Art von Sicherheitskultur der Sicherheitsleistung förderlicher ist. Kurz gesagt, diese Sicherheitskultur kombiniert die Führung und Unterstützung des Top-Managements, das Engagement des unteren Managements und die Beteiligung der Mitarbeiter an der Arbeitssicherheit. Tatsächlich ist eine solche Sicherheitskultur eine, die in Bezug auf die zwei Hauptdimensionen des Konzepts der Sicherheitskultur hoch punktet, nämlich Sicherheitsauftrag und Sicherheitsbeteiligung, wie in Abbildung 1 gezeigt.
Abbildung 1. Typologie von Sicherheitskulturen
Sicherheitsauftrag verweist auf den Stellenwert der Arbeitssicherheit im Unternehmensleitbild. Die Literatur zur Organisationskultur betont die Bedeutung einer expliziten und gemeinsamen Definition einer Mission, die aus den Schlüsselwerten der Organisation erwächst und diese unterstützt (Denison 1990). Folglich spiegelt die Dimension Safety Mission wider, inwieweit Arbeitssicherheit und Gesundheitsschutz vom Top-Management als Schlüsselwerte des Unternehmens anerkannt werden und inwieweit Führungskräfte der oberen Ebene ihre Führung nutzen, um die Verinnerlichung dieses Werts in Managementsystemen zu fördern und Praktiken. Es kann dann die Hypothese aufgestellt werden, dass sich ein starkes Sicherheitsbewusstsein (+) positiv auf die Sicherheitsleistung auswirkt, da es die einzelnen Mitarbeiter des Arbeitsplatzes zu zielgerichtetem Verhalten in Bezug auf die Arbeitssicherheit motiviert und die Koordination durch die Definition eines gemeinsamen Ziels erleichtert sowie ein äußeres Kriterium für orientierendes Verhalten.
Sicherheitsbeteiligung Hier kommen Vorgesetzte und Mitarbeiter zusammen, um die Teamsicherheit auf Betriebsebene zu entwickeln. Die Literatur zur Organisationskultur unterstützt das Argument, dass ein hohes Maß an Engagement und Partizipation zur Leistung beiträgt, weil sie bei den Organisationsmitgliedern ein Gefühl der Eigenverantwortung und Verantwortung schaffen, was zu einem größeren freiwilligen Engagement führt, das die Koordination des Verhaltens erleichtert und die Notwendigkeit expliziter bürokratischer Kontrollsysteme verringert (Denison 1990). Darüber hinaus zeigen einige Studien, dass Beteiligung eine Managerstrategie für effektive Leistung sowie eine Arbeitnehmerstrategie für ein besseres Arbeitsumfeld sein kann (Lawler 1986; Walton 1986).
Gemäß Abbildung 1 sollten Arbeitsplätze, die ein hohes Maß an diesen beiden Dimensionen vereinen, durch das gekennzeichnet sein, was wir ein nennen Integrierte Sicherheitskultur, was bedeutet, dass Arbeitssicherheit als Schlüsselwert in die Organisationskultur und in das Verhalten aller Organisationsmitglieder integriert wird, wodurch das Engagement von den Top-Managern bis hin zu den einfachen Mitarbeitern gestärkt wird. Die oben erwähnten empirischen Beweise stützen die Hypothese, dass diese Art von Sicherheitskultur Arbeitsplätze im Vergleich zu anderen Arten von Sicherheitskulturen zu der besten Sicherheitsleistung führen sollte.
Das Management einer integrierten Sicherheitskultur
Die Verwaltung einer integrierten Sicherheitskultur erfordert zunächst den Willen der Geschäftsleitung, sie in die Organisationskultur des Unternehmens einzubauen. Das ist keine einfache Aufgabe. Es geht weit über die Verabschiedung einer offiziellen Unternehmenspolitik hinaus, die den zentralen Wert und die Priorität der Arbeitssicherheit und der Philosophie ihres Managements betont, obwohl die Integration der Sicherheit am Arbeitsplatz in die Grundwerte der Organisation tatsächlich ein Eckpfeiler beim Aufbau einer integrierten Sicherheit ist Kultur. Tatsächlich sollte sich das Top-Management bewusst sein, dass eine solche Richtlinie der Ausgangspunkt eines großen organisatorischen Veränderungsprozesses ist, da die meisten Organisationen noch nicht gemäß einer integrierten Sicherheitskultur funktionieren. Natürlich variieren die Details der Änderungsstrategie je nachdem, was die bestehende Sicherheitskultur am Arbeitsplatz bereits ist (siehe Zellen A, B und C von Abbildung 1). Eines der zentralen Anliegen ist jedenfalls, dass sich das Top-Management einer solchen Politik entsprechend verhält (also lebt, was es predigt). Dies ist Teil der persönlichen Führung, die Top-Manager bei der Umsetzung und Durchsetzung einer solchen Richtlinie zeigen sollten. Ein weiteres wichtiges Thema ist, dass die Geschäftsleitung die Strukturierung oder Umstrukturierung verschiedener formaler Managementsysteme erleichtert, um den Aufbau einer integrierten Sicherheitskultur zu unterstützen. Wenn beispielsweise die bestehende Sicherheitskultur bürokratisch ist, sollte die Rolle des Sicherheitspersonals und des gemeinsamen Gesundheits- und Sicherheitsausschusses neu ausgerichtet werden, um die Entwicklung der Sicherheitsbeteiligung von Vorgesetzten und Arbeitsteams zu unterstützen. Ebenso sollte das Leistungsbeurteilungssystem angepasst werden, um die Verantwortlichkeit der unteren Führungsebene und die Leistung der Arbeitsgruppen im Arbeitsschutz anzuerkennen.
Manager auf niedrigerer Ebene und insbesondere Vorgesetzte spielen ebenfalls eine entscheidende Rolle bei der Verwaltung einer integrierten Sicherheitskultur. Genauer gesagt, sie sollten für die Sicherheitsleistung ihrer Arbeitsteams verantwortlich sein und sie sollten Arbeitnehmer ermutigen, sich aktiv an der Arbeitssicherheit zu beteiligen. Laut Petersen (1993) neigen die meisten Manager auf niedrigerer Ebene dazu, Sicherheit zynisch zu sehen, weil sie mit der Realität gemischter Botschaften des oberen Managements sowie der Förderung verschiedener Programme konfrontiert sind, die mit wenig nachhaltiger Wirkung kommen und gehen. Daher erfordert der Aufbau einer integrierten Sicherheitskultur häufig eine Änderung des Sicherheitsverhaltensmusters der Vorgesetzten.
Einer neueren Studie von Simard und Marchand (1995) zufolge ist ein systematischer Ansatz zur Verhaltensänderung von Vorgesetzten die effizienteste Strategie, um Veränderungen herbeizuführen. Ein solcher Ansatz besteht aus kohärenten, aktiven Schritten, die darauf abzielen, drei Hauptprobleme des Veränderungsprozesses zu lösen: (1) den Widerstand des Einzelnen gegen Veränderungen, (2) die Anpassung bestehender formaler Managementsysteme, um den Veränderungsprozess zu unterstützen, und (3 ) die Gestaltung der informellen politischen und kulturellen Dynamik der Organisation. Die beiden letztgenannten Probleme können, wie im vorangegangenen Absatz erwähnt, durch die persönliche und strukturelle Führung der oberen Manager angegangen werden. An gewerkschaftlich organisierten Arbeitsplätzen sollte diese Führung jedoch die politische Dynamik der Organisation formen, um einen Konsens mit den Gewerkschaftsführern bezüglich der Entwicklung eines partizipativen Sicherheitsmanagements auf Betriebsebene zu erzielen. Das Problem des Widerstands der Vorgesetzten gegenüber Veränderungen sollte nicht durch einen Befehl-und-Kontrolle-Ansatz bewältigt werden, sondern durch einen konsultativen Ansatz, der den Vorgesetzten hilft, sich am Veränderungsprozess zu beteiligen und ein Gefühl der Eigenverantwortung zu entwickeln. Techniken wie die Fokusgruppe und der Ad-hoc-Ausschuss, die es Vorgesetzten und Arbeitsteams ermöglichen, ihre Bedenken hinsichtlich des Sicherheitsmanagements zu äußern und sich an einem Problemlösungsprozess zu beteiligen, werden häufig verwendet, kombiniert mit einer angemessenen Schulung der Vorgesetzten in partizipativem und effektivem Aufsichtsmanagement .
Es ist nicht einfach, eine wirklich integrierte Sicherheitskultur an einem Arbeitsplatz zu konzipieren, an dem es keinen gemeinsamen Gesundheits- und Sicherheitsausschuss oder Arbeitssicherheitsbeauftragten gibt. Viele Industrie- und einige Entwicklungsländer haben jedoch inzwischen Gesetze und Vorschriften, die Betriebe ermutigen oder vorschreiben, solche Komitees und Delegierte einzurichten. Das Risiko besteht darin, dass diese Komitees und Delegierten zu einem bloßen Ersatz für eine echte Mitarbeiterbeteiligung und -ermächtigung in der Arbeitssicherheit auf Betriebsebene werden und dadurch dazu dienen, eine bürokratische Sicherheitskultur zu stärken. Um die Entwicklung einer integrierten Sicherheitskultur zu unterstützen, sollten gemeinsame Ausschüsse und Delegierte einen dezentralisierten und partizipativen Sicherheitsmanagementansatz fördern, beispielsweise durch (1) die Organisation von Aktivitäten, die das Bewusstsein der Mitarbeiter für Gefahren am Arbeitsplatz und risikofreudiges Verhalten schärfen, (2 ) Entwicklung von Verfahren und Schulungsprogrammen, die Vorgesetzte und Arbeitsteams in die Lage versetzen, viele Sicherheitsprobleme auf Betriebsebene zu lösen, (3) Teilnahme an der Bewertung der Sicherheitsleistung am Arbeitsplatz und (4) Bekräftigendes Feedback an Vorgesetzte und Arbeitnehmer.
Ein weiteres wirksames Mittel zur Förderung einer integrierten Sicherheitskultur bei den Mitarbeitern ist die Durchführung einer Meinungsumfrage. Die Arbeiter wissen im Allgemeinen, wo viele der Sicherheitsprobleme liegen, aber da sie niemand nach ihrer Meinung fragt, widersetzen sie sich der Beteiligung am Sicherheitsprogramm. Eine anonyme Meinungsumfrage ist ein Mittel, um diese Pattsituation zu durchbrechen und das Sicherheitsengagement der Mitarbeiter zu fördern, während der Geschäftsleitung Feedback gegeben wird, das zur Verbesserung des Managements des Sicherheitsprogramms verwendet werden kann. Eine solche Erhebung kann unter Verwendung einer Interviewmethode in Kombination mit einem Fragebogen durchgeführt werden, der allen oder einer statistisch validen Stichprobe von Mitarbeitern verabreicht wird (Bailey 1993; Petersen 1993). Die Nachbereitung der Umfrage ist entscheidend für den Aufbau einer integrierten Sicherheitskultur. Sobald die Daten verfügbar sind, sollte das Top-Management mit dem Änderungsprozess fortfahren, indem es Ad-hoc-Arbeitsgruppen mit Beteiligung aller Ebenen der Organisation, einschließlich der Arbeitnehmer, einrichtet. Dies wird eine eingehendere Diagnose der in der Umfrage identifizierten Probleme ermöglichen und Wege zur Verbesserung der Aspekte des Sicherheitsmanagements empfehlen, die dies erfordern. Eine solche Meinungsumfrage kann alle ein bis zwei Jahre wiederholt werden, um regelmäßig die Verbesserung ihres Sicherheitsmanagementsystems und ihrer Kultur zu bewerten.
Wir leben in einer Ära neuer Technologien und komplexerer Produktionssysteme, in der Schwankungen in der Weltwirtschaft, Kundenanforderungen und Handelsvereinbarungen die Beziehungen einer Arbeitsorganisation beeinflussen (Moravec 1994). Die Industrie steht vor neuen Herausforderungen bei der Einrichtung und Aufrechterhaltung eines gesunden und sicheren Arbeitsumfelds. In mehreren Studien wurden die Sicherheitsbemühungen des Managements, das Engagement und die Beteiligung des Managements an der Sicherheit sowie die Qualität des Managements als Schlüsselelemente des Sicherheitssystems hervorgehoben (Mattila, Hyttinen und Rantanen 1994; Dedobbeleer und Béland 1989; Smith 1989; Heinrich, Petersen and Roos 1980; Simonds und Shafai-Sahrai 1977; Komaki 1986; Smith et al. 1978).
Laut Hansen (1993a) reicht das Engagement des Managements für Sicherheit nicht aus, wenn es sich um einen passiven Zustand handelt; nur eine aktive, sichtbare führung, die ein leistungsklima schafft, kann ein unternehmen erfolgreich an einen sicheren arbeitsplatz führen. Rogers (1961) wies darauf hin, dass „wenn der Administrator oder Militär- oder Industrieführer ein solches Klima innerhalb der Organisation schafft, die Mitarbeiter selbstbewusster, kreativer, besser in der Lage sind, sich an neue Probleme anzupassen, und grundsätzlich kooperativer werden.“ Sicherheitsführerschaft wird daher als die Förderung eines Klimas angesehen, in dem sicheres Arbeiten geschätzt wird – ein Sicherheitsklima.
Das Konzept des Sicherheitsklimas ist sehr wenig erforscht (Zohar 1980; Brown und Holmes 1986; Dedobbeleer und Béland 1991; Oliver, Tomas und Melia 1993; Melia, Tomas und Oliver 1992). Menschen in Organisationen begegnen Tausenden von Ereignissen, Praktiken und Verfahren, und sie nehmen diese Ereignisse in verwandten Gruppen wahr. Dies impliziert, dass Arbeitsumgebungen zahlreiche Klimazonen aufweisen und dass Sicherheitsklima als eine davon angesehen wird. Da das Konzept des Klimas ein komplexes und vielschichtiges Phänomen ist, wurde die organisationale Klimaforschung von theoretischen, konzeptionellen und messtechnischen Problemen geplagt. Es erscheint daher entscheidend, diese Fragen in der Sicherheitsklimaforschung zu untersuchen, wenn das Sicherheitsklima ein tragfähiges Forschungsthema und ein lohnendes Managementinstrument bleiben soll.
Das Sicherheitsklima wurde als sinnvolles Konzept angesehen, das erhebliche Auswirkungen auf das Verständnis der Mitarbeiterleistung (Brown und Holmes 1986) und die Gewährleistung des Erfolgs bei der Verletzungskontrolle (Matttila, Hyttinen und Rantanen 1994) hat. Wenn Sicherheitsklimadimensionen genau bewertet werden können, kann das Management sie verwenden, um potenzielle Problembereiche sowohl zu erkennen als auch zu bewerten. Darüber hinaus können Forschungsergebnisse, die mit einem standardisierten Sicherheitsklima-Score erzielt wurden, nützliche branchenübergreifende Vergleiche liefern, unabhängig von Unterschieden in Technologie und Risikoniveau. Ein Sicherheitsklima-Score kann daher als Richtlinie bei der Festlegung der Sicherheitspolitik einer Arbeitsorganisation dienen. Dieser Artikel untersucht das Sicherheitsklimakonzept im Kontext der Organisationsklimaliteratur, diskutiert die Beziehung zwischen Sicherheitspolitik und Sicherheitsklima und untersucht die Implikationen des Sicherheitsklimakonzepts für die Führung bei der Entwicklung und Durchsetzung einer Sicherheitspolitik in einer Industrieorganisation.
Das Konzept des Sicherheitsklimas in der Organisationsklimaforschung
Organisatorische Klimaforschung
Organisationsklima ist seit einiger Zeit ein beliebtes Konzept. Seit Mitte der 1960er Jahre sind mehrere Übersichten zum Organisationsklima erschienen (Schneider 1975a; Jones und James 1979; Naylor, Pritchard und Ilgen 1980; Schneider und Reichers 1983; Glick 1985; Koys und DeCotiis 1991). Es gibt mehrere Definitionen des Begriffs. Organisationsklima wurde lose verwendet, um sich auf eine breite Klasse von Organisations- und Wahrnehmungsvariablen zu beziehen, die die Interaktionen zwischen Individuum und Organisation widerspiegeln (Glick 1985; Field und Abelson 1982; Jones und James 1979). Nach Schneider (1975a) sollte es sich eher auf ein Forschungsgebiet als auf eine bestimmte Analyseeinheit oder einen bestimmten Satz von Dimensionen beziehen. Der Begriff Organisationsklima sollte durch das Wort ersetzt werden Klima sich auf ein Klima für etwas beziehen.
Die Untersuchung des Klimas in Organisationen war schwierig, da es sich um ein komplexes und vielschichtiges Phänomen handelt (Glick 1985; Koys und DeCotiis 1991). Dennoch wurden Fortschritte bei der Konzeptualisierung des Klimakonstrukts erzielt (Schneider und Reichers 1983; Koys und DeCotiis 1991). Eine von James und Jones (1974) vorgeschlagene Unterscheidung zwischen psychologischem Klima und Organisationsklima hat sich allgemein durchgesetzt. Die Unterscheidung erfolgt nach der Analyseebene. Das psychologische Klima wird auf der individuellen Analyseebene untersucht, und das Organisationsklima wird auf der organisatorischen Analyseebene untersucht. Als individuelles Attribut betrachtet, ist der Begriff psychologisches Klima ist empfohlen. Als Organisationsmerkmal betrachtet, ist der Begriff Organisationsklima wird als angemessen angesehen. Beide Aspekte des Klimas werden als multidimensionale Phänomene betrachtet, die beschreibend für die Art der Mitarbeiterwahrnehmung ihrer Erfahrungen innerhalb einer Arbeitsorganisation sind.
Obwohl die Unterscheidung zwischen psychologischem und organisatorischem Klima allgemein akzeptiert ist, hat sie die Organisationsklimaforschung nicht von ihren konzeptionellen und methodischen Problemen befreit (Glick 1985). Eines der ungelösten Probleme ist das Aggregationsproblem. Das Organisationsklima wird oft als eine einfache Aggregation des psychologischen Klimas in einer Organisation definiert (James 1982; Joyce und Slocum 1984). Die Frage ist: Wie können wir individuelle Beschreibungen ihres Arbeitsumfelds aggregieren, um eine größere soziale Einheit, die Organisation, darzustellen? Schneider und Reichers (1983) stellten fest, dass „vor der Datenerhebung harte konzeptionelle Arbeit erforderlich ist, damit (a) die bewerteten Ereigniscluster den relevanten Themenbereich abfragen und (b) die Erhebung einen relativ deskriptiven Fokus hat und sich auf die Einheit bezieht (d. h. Einzelperson, Teilsystem, Gesamtorganisation) von Interesse für Analysezwecke.“ Glick (1985) fügte hinzu, dass das Organisationsklima als ein Organisationsphänomen konzeptualisiert werden sollte, nicht als eine einfache Aggregation des psychologischen Klimas. Er erkannte auch die Existenz mehrerer Theorie- und Analyseeinheiten an (dh Individuum, Untereinheit und Organisation). Organisationsklima konnotiert eine Organisationseinheit der Theorie; es bezieht sich nicht auf das Klima einer Person, Arbeitsgruppe, Beschäftigung, Abteilung oder Stelle. Andere Bezeichnungen und Einheiten der Theorie und Analyse sollten für das Klima eines Individuums und das Klima einer Arbeitsgruppe verwendet werden.
Die Wahrnehmungsvereinbarung zwischen Mitarbeitern in einer Organisation hat beträchtliche Aufmerksamkeit erfahren (Abbey und Dickson 1983; James 1982). Eine geringe Wahrnehmungsübereinstimmung bei psychologischen Klimamaßen wird sowohl auf zufällige Fehler als auch auf wesentliche Faktoren zurückgeführt. Da die Mitarbeiter gebeten werden, über das Klima der Organisation und nicht über ihr psychologisches oder Arbeitsgruppenklima zu berichten, wird angenommen, dass sich viele der zufälligen Fehler und Verzerrungsquellen auf individueller Ebene gegenseitig aufheben, wenn die Wahrnehmungsmaße auf der Organisationsebene aggregiert werden (Glick 1985 ). Um psychologisches und organisatorisches Klima zu entwirren und die relativen Beiträge von organisatorischen und psychologischen Prozessen als Determinanten des organisatorischen und psychologischen Klimas abzuschätzen, scheint die Verwendung von Mehrebenenmodellen entscheidend zu sein (Hox und Kreft 1994; Rabash und Woodhouse 1995). Diese Modelle berücksichtigen psychologische und organisatorische Ebenen, ohne gemittelte Maße des Organisationsklimas zu verwenden, die normalerweise an einer repräsentativen Stichprobe von Personen in einer Reihe von Organisationen vorgenommen werden. Es kann gezeigt werden (Manson, Wong und Entwisle 1983), dass verzerrte Schätzungen der Mittelwerte des Organisationsklimas und der Auswirkungen von Organisationsmerkmalen auf das Klima aus der Aggregation auf Organisationsebene von auf individueller Ebene durchgeführten Messungen resultieren. Der Glaube, dass Messfehler auf individueller Ebene aufgehoben werden, wenn sie über eine Organisation gemittelt werden, ist unbegründet.
Ein weiteres anhaltendes Problem des Klimakonzepts ist die Spezifizierung geeigneter Dimensionen des organisatorischen und/oder psychologischen Klimas. Jones und James (1979) und Schneider (1975a) schlugen vor, Klimadimensionen zu verwenden, die wahrscheinlich die interessierenden Kriterien der Studie beeinflussen oder mit ihnen in Verbindung gebracht werden. Schneider und Reichers (1983) erweiterten diese Idee, indem sie argumentierten, dass Arbeitsorganisationen unterschiedliche Klimazonen für bestimmte Dinge wie Sicherheit, Service (Schneider, Parkington und Buxton 1980), innerbetriebliche Arbeitsbeziehungen (Bluen und Donald 1991), Produktion, Sicherheit usw. haben Qualität. Obwohl die Referenzierung von Kriterien einen gewissen Schwerpunkt bei der Wahl der Klimadimensionen bietet, bleibt Klima ein weit gefasster Oberbegriff. Der erforderliche Grad an Ausgereiftheit, um erkennen zu können, welche Dimensionen von Praktiken und Verfahren für das Verständnis bestimmter Kriterien in bestimmten Kollektiven (z. B. Gruppen, Positionen, Funktionen) relevant sind, wurde nicht erreicht (Schneider 1975a). Die Forderung nach kriterienorientierten Studien schließt jedoch nicht per se die Möglichkeit aus, dass ein relativ kleiner Satz von Dimensionen immer noch mehrere Umgebungen beschreiben kann, während eine bestimmte Dimension mit einigen Kriterien positiv, mit anderen nicht und mit einem dritten negativ in Beziehung steht Reihe von Ergebnissen.
Das Sicherheitsklimakonzept
Das Sicherheitsklimakonzept wurde im Kontext der allgemein anerkannten Definitionen des organisatorischen und psychologischen Klimas entwickelt. Es wurde noch keine spezifische Definition des Konzepts angeboten, um klare Richtlinien für die Messung und Theoriebildung bereitzustellen. Nur sehr wenige Studien haben das Konzept gemessen, einschließlich einer stratifizierten Stichprobe von 20 Industrieorganisationen in Israel (Zohar 1980), 10 Fertigungs- und Produktionsunternehmen in den Bundesstaaten Wisconsin und Illinois (Brown und Holmes 1986), 9 Baustellen im Bundesstaat Maryland (Dedobbeleer und Béland 1991), 16 Baustellen in Finnland (Mattila, Hyttinen und Rantanen 1994, Mattila, Rantanen und Hyttinen 1994) und unter Arbeitern in Valencia (Oliver, Tomas und Melia 1993; Melia, Tomas und Oliver 1992).
Das Klima wurde als eine Zusammenfassung der Wahrnehmungen angesehen, die Arbeitnehmer über ihre Arbeitsbedingungen teilen. Klimawahrnehmungen fassen eher die Beschreibung einer Person ihrer organisatorischen Erfahrungen zusammen als ihre affektive bewertende Reaktion auf das Erlebte (Koys und DeCotiis 1991). Nach Schneider und Reichers (1983) und Dieterly und Schneider (1974) gehen Sicherheitsklimamodelle davon aus, dass diese Wahrnehmungen entwickelt werden, weil sie als Bezugsrahmen für die Einschätzung der Angemessenheit des Verhaltens notwendig sind. Basierend auf einer Vielzahl von Hinweisen in ihrem Arbeitsumfeld wurde angenommen, dass Mitarbeiter kohärente Wahrnehmungen und Erwartungen in Bezug auf Verhaltens-Ergebnis-Kontingenzen entwickeln und sich entsprechend verhalten (Frederiksen, Jensen und Beaton 1972; Schneider 1975a, 1975b).
Tabelle 1 zeigt eine gewisse Vielfalt in Art und Anzahl der Sicherheitsklimadimensionen, die in Validierungsstudien zum Sicherheitsklima präsentiert werden. In der allgemeinen Literatur zum Organisationsklima gibt es sehr wenig Einigkeit über die Dimensionen des Organisationsklimas. Forscher werden jedoch ermutigt, Klimadimensionen zu verwenden, die wahrscheinlich die interessierenden Kriterien der Studie beeinflussen oder mit ihnen in Verbindung stehen. Dieser Ansatz wurde in den Studien zum Sicherheitsklima erfolgreich übernommen. Zohar (1980) entwickelte sieben Sätze von Items, die organisatorische Ereignisse, Praktiken und Verfahren beschreiben und von denen festgestellt wurde, dass sie Fabriken mit hohem und niedrigem Unfallrisiko unterscheiden (Cohen 1977). Brown und Holmes (1986) verwendeten den 40-Punkte-Fragebogen von Zohar und fanden ein Drei-Faktoren-Modell anstelle des Acht-Faktoren-Modells von Zohar. Dedobbeleer und Béland verwendeten neun Variablen, um das Drei-Faktoren-Modell von Brown und Holmes zu messen. Die Variablen wurden ausgewählt, um Sicherheitsbedenken in der Bauindustrie darzustellen, und waren nicht alle mit denen identisch, die in Zohars Fragebogen enthalten waren. Es wurde ein Zwei-Faktoren-Modell gefunden. Es bleibt zu diskutieren, ob Unterschiede zwischen den Ergebnissen von Brown und Holmes und den Ergebnissen von Dedobbeleer und Béland auf die Verwendung eines adäquateren statistischen Verfahrens zurückzuführen sind (LISREL-Verfahren der gewichteten kleinsten Quadrate mit tetrachorischen Korrelationskoeffizienten). Eine Replikation wurde von Oliver, Tomas und Melia (1993) und Melia, Tomas und Oliver (1992) mit neun ähnlichen, aber nicht identischen Variablen durchgeführt, die die Klimawahrnehmung unter posttraumatischen und prätraumatischen Arbeitern aus verschiedenen Branchen messen. Es wurden ähnliche Ergebnisse wie bei der Studie von Dedobbeleer und Béland gefunden.
Tabelle 1. Sicherheitsklimamaßnahmen
Autor (en) |
Abmessungen |
Artikel |
Sohar (1980) |
Wahrgenommene Bedeutung des Sicherheitstrainings |
40 |
Braun und Holmes (1986) |
Wahrnehmung der Mitarbeiter, wie besorgt das Management um ihr Wohlbefinden ist |
10 |
Dedobbeleer und Béland (1991) |
Das Engagement und die Beteiligung des Managements an der Sicherheit |
9 |
Melia, Thomas und Oliver (1992) |
Zwei-Faktoren-Modell von Dedobbeleer und Béland |
9 |
Oliver, Tomas und Melia (1993) |
Zwei-Faktoren-Modell von Dedobbeleer und Béland |
9 |
Es wurden mehrere Strategien zur Verbesserung der Gültigkeit von Sicherheitsklimamaßnahmen verwendet. Es gibt verschiedene Arten von Validität (z. B. Inhalt, Concurrent und Konstrukt) und mehrere Möglichkeiten, die Validität eines Instruments zu bewerten. Inhaltsgültigkeit ist die Sampling-Angemessenheit des Inhalts eines Messgeräts (Nunnally 1978). In der Sicherheitsklimaforschung handelt es sich um Items, die sich in der bisherigen Forschung als sinnvolle Maßnahmen zur Arbeitssicherheit herausgestellt haben. Üblicherweise beurteilen andere „kompetente“ Richter den Inhalt der Items, und dann wird eine Methode verwendet, um diese unabhängigen Urteile zu bündeln. In den Artikeln zum Sicherheitsklima wird ein solches Verfahren nicht erwähnt.
Konstruktvalidität ist das Ausmaß, in dem ein Instrument das theoretische Konstrukt misst, das der Forscher messen möchte. Es erfordert einen Nachweis, dass das Konstrukt existiert, dass es sich von anderen Konstrukten unterscheidet und dass das bestimmte Instrument dieses bestimmte Konstrukt und keine anderen misst (Nunnally 1978). Zohars Studie folgte mehreren Vorschlägen zur Verbesserung der Validität. Repräsentative Stichproben von Fabriken wurden ausgewählt. In jedem Werk wurde eine geschichtete Zufallsstichprobe von 20 Produktionsmitarbeitern gezogen. Alle Fragen konzentrierten sich auf das organisatorische Sicherheitsklima. Um die Konstruktvalidität seines Sicherheitsklimainstruments zu untersuchen, verwendete er Spearman-Rangkorrelationskoeffizienten, um die Übereinstimmung zwischen den Sicherheitsklimabewertungen von Fabriken und der Rangfolge der Sicherheitsinspektoren der ausgewählten Fabriken in jeder Produktionskategorie gemäß Sicherheitspraktiken und Unfallverhütungsprogrammen zu testen. Das Niveau des Sicherheitsklimas wurde mit der Wirksamkeit des Sicherheitsprogramms korreliert, wie von Sicherheitsinspektoren beurteilt. Unter Verwendung von LISREL-Bestätigungsfaktoranalysen überprüften Brown und Holmes (1986) die faktorielle Gültigkeit des Zohar-Messmodells mit einer Stichprobe von US-Arbeitern. Sie wollten Zohars Modell durch die empfohlene Replikation von Faktorstrukturen validieren (Rummel 1970). Das Modell wurde durch die Daten nicht gestützt. Ein Drei-Faktoren-Modell lieferte eine bessere Anpassung. Die Ergebnisse zeigten auch, dass die Klimastrukturen über verschiedene Populationen hinweg stabil waren. Sie unterschieden sich nicht zwischen Mitarbeitern mit Unfällen und solchen ohne Unfall und lieferten anschließend ein valides und zuverlässiges Klimamaß über die Gruppen hinweg. Die Gruppen wurden dann anhand von Klimawerten verglichen, und es wurden Unterschiede in der Klimawahrnehmung zwischen den Gruppen festgestellt. Da das Modell die Fähigkeit hat, Personen zu unterscheiden, von denen bekannt ist, dass sie sich unterscheiden, gleichzeitige Gültigkeit wurde gezeigt.
Um die Stabilität des Drei-Faktoren-Modells von Brown und Holmes (1986) zu testen, verwendeten Dedobbeleer und Béland (1991) zwei LISREL-Verfahren (die von Brown und Holmes gewählte Methode der maximalen Wahrscheinlichkeit und die Methode der gewichteten kleinsten Quadrate) mit Bauarbeitern. Die Ergebnisse zeigten, dass ein Zwei-Faktoren-Modell eine insgesamt bessere Anpassung lieferte. Die Konstruktvalidierung wurde auch getestet, indem die Beziehung zwischen einem wahrgenommenen Sicherheitsklimamaß und objektiven Maßen (dh baulichen und verfahrenstechnischen Merkmalen der Baustellen) untersucht wurde. Zwischen den beiden Maßnahmen wurden positive Beziehungen gefunden. Die Beweise wurden aus verschiedenen Quellen (dh Arbeitern und Vorgesetzten) und auf unterschiedliche Weise (dh schriftlicher Fragebogen und Interviews) gesammelt. Mattila, Rantanen und Hyttinen (1994) replizierten diese Studie, indem sie zeigten, dass ähnliche Ergebnisse aus den objektiven Messungen der Arbeitsumgebung, die zu einem Sicherheitsindex führten, und den wahrgenommenen Sicherheitsklimamessungen erzielt wurden.
Eine systematische Replikation der bifaktoriellen Struktur von Dedobbeleer und Béland (1991) wurde von Oliver, Tomas und Melia (1993) und Melia, Tomas und Oliver (1992) in zwei verschiedenen Stichproben von Arbeitnehmern in verschiedenen Berufen durchgeführt. Das Zwei-Faktoren-Modell lieferte die beste globale Anpassung. Die Klimastrukturen unterschieden sich nicht zwischen US-Bauarbeitern und spanischen Arbeitern aus verschiedenen Arten von Branchen, was folglich ein gültiges Klimamaß für verschiedene Bevölkerungsgruppen und verschiedene Arten von Berufen lieferte.
Zuverlässigkeit ist ein wichtiges Thema bei der Verwendung eines Messgeräts. Es bezieht sich auf die Genauigkeit (Konsistenz und Stabilität) der Messung durch ein Instrument (Nunnally 1978). Zohar (1980) bewertete das Organisationsklima für Sicherheit in Stichproben von Organisationen mit unterschiedlichen Technologien. Die Zuverlässigkeit seiner aggregierten Wahrnehmungsmaße des Organisationsklimas wurde von Glick (1985) geschätzt. Er berechnete die aggregierte durchschnittliche Rater-Zuverlässigkeit unter Verwendung der Spearman-Brown-Formel basierend auf der Intraklassen-Korrelation aus einer Einweg-Varianzanalyse und fand einen ICC(1, k) von 0.981. Glick kam zu dem Schluss, dass die aggregierten Maßnahmen von Zohar konsistente Maßnahmen des organisatorischen Klimas für die Sicherheit waren. Die von Brown und Holmes (1986), Dedobbeleer und Béland (1991), Oliver, Tomas und Melia (1993) und Melia, Tomas und Oliver (1992) durchgeführten LISREL-Bestätigungsfaktoranalysen zeigten ebenfalls Hinweise auf die Zuverlässigkeit der Sicherheitsklimamaßnahmen. In der Studie von Brown und Holmes blieben die Faktorenstrukturen für unfallfreie versus unfallgruppen gleich. Oliveret al. und Melia et al. zeigten die Stabilität der Dedobbeleer- und Béland-Faktorstrukturen in zwei verschiedenen Proben.
Sicherheitspolitik und Sicherheitsklima
Das Konzept des Sicherheitsklimas hat wichtige Implikationen für Industrieorganisationen. Dies impliziert, dass Arbeitnehmer eine einheitliche Reihe von Erkenntnissen in Bezug auf die Sicherheitsaspekte ihrer Arbeitsumgebung haben. Da diese Kognitionen als notwendiger Bezugsrahmen für die Beurteilung der Angemessenheit des Verhaltens angesehen werden (Schneider 1975a), haben sie einen direkten Einfluss auf die Sicherheitsleistung der Arbeitnehmer (Dedobbeleer, Béland und German 1990). Es gibt somit grundlegende angewandte Implikationen des Sicherheitsklimakonzepts in Industrieorganisationen. Die Sicherheitsklimamessung ist ein praktisches Werkzeug, das vom Management kostengünstig eingesetzt werden kann, um potenzielle Problembereiche zu bewerten und zu erkennen. Es sollte daher empfohlen werden, es als ein Element in das Sicherheitsinformationssystem einer Organisation aufzunehmen. Die bereitgestellten Informationen können als Richtlinien bei der Erstellung einer Sicherheitsrichtlinie dienen.
Da die Wahrnehmung des Sicherheitsklimas der Arbeitnehmer weitgehend mit der Einstellung des Managements zur Sicherheit und dem Engagement des Managements für Sicherheit zusammenhängt, kann daraus geschlossen werden, dass eine Änderung der Einstellungen und Verhaltensweisen des Managements Voraussetzung für jeden erfolgreichen Versuch ist, das Sicherheitsniveau in Industrieorganisationen zu verbessern. Exzellentes Management wird zur Sicherheitspolitik. Zohar (1980) kam zu dem Schluss, dass Sicherheit in einer Weise in das Produktionssystem integriert werden sollte, die eng mit dem Grad der Gesamtkontrolle zusammenhängt, die das Management über die Produktionsprozesse hat. Dieser Punkt wurde in der Literatur zur Sicherheitspolitik betont. Die Beteiligung des Managements wird als entscheidend für die Verbesserung der Sicherheit angesehen (Minter 1991). Herkömmliche Ansätze zeigen nur begrenzte Wirksamkeit (Sarkis 1990). Sie basieren auf Elementen wie Sicherheitsausschüssen, Sicherheitssitzungen, Sicherheitsregeln, Slogans, Plakatkampagnen und Sicherheitsanreizen oder -wettbewerben. Nach Hansen (1993b) übertragen diese traditionellen Strategien die Sicherheitsverantwortung auf einen Stabskoordinator, der von der Linienmission losgelöst ist und dessen Aufgabe fast ausschließlich darin besteht, die Gefahren zu inspizieren. Das Hauptproblem besteht darin, dass dieser Ansatz die Sicherheit nicht in das Produktionssystem integriert, wodurch seine Fähigkeit eingeschränkt wird, Versäumnisse und Unzulänglichkeiten des Managements zu identifizieren und zu beheben, die zur Unfallverursachung beitragen (Hansen 1993b; Cohen 1977).
Im Gegensatz zu den Produktionsarbeitern in den Studien von Zohar und Brown und Holmes nahmen Bauarbeiter die Sicherheitseinstellungen und -maßnahmen des Managements als eine einzige Dimension wahr (Dedobbeleer und Béland 1991). Bauarbeiter sahen Sicherheit auch als gemeinsame Verantwortung von Einzelpersonen und Management an. Diese Ergebnisse haben wichtige Implikationen für die Entwicklung von Sicherheitsrichtlinien. Sie schlagen vor, dass die Unterstützung und das Engagement des Managements für die Sicherheit gut sichtbar sein sollten. Darüber hinaus weisen sie darauf hin, dass Sicherheitsrichtlinien die Sicherheitsbedenken sowohl des Managements als auch der Arbeitnehmer berücksichtigen sollten. Sicherheitsmeetings wie die „Kulturkreise“ von Freire (1988) können ein geeignetes Mittel sein, um Arbeitnehmer in die Identifizierung von Sicherheitsproblemen und Lösungen für diese Probleme einzubeziehen. Die Dimensionen des Sicherheitsklimas stehen daher in engem Zusammenhang mit der partnerschaftlichen Mentalität zur Verbesserung der Arbeitssicherheit, im Gegensatz zur polizeilichen Durchsetzungsmentalität, die in der Bauindustrie vorhanden war (Smith 1993). Im Zusammenhang mit steigenden Gesundheitskosten und Arbeitnehmerentschädigungen hat sich ein nicht feindlicher Arbeitsmanagementansatz für Gesundheit und Sicherheit herausgebildet (Smith 1993). Dieser partnerschaftliche Ansatz erfordert daher eine Revolution des Sicherheitsmanagements, weg von traditionellen Sicherheitsprogrammen und Sicherheitsrichtlinien.
In Kanada wies Sass (1989) auf den starken Widerstand des Managements und der Regierung gegen die Ausweitung der Arbeitnehmerrechte im Bereich Gesundheit und Sicherheit am Arbeitsplatz hin. Dieser Widerstand basiert auf wirtschaftlichen Erwägungen. Sass plädierte daher für „die Entwicklung einer Ethik der Arbeitswelt, die auf egalitären Prinzipien basiert, und die Umwandlung der primären Arbeitsgruppe in eine Gemeinschaft von Arbeitern, die den Charakter ihrer Arbeitswelt gestalten können.“ Er schlug auch vor, dass die angemessene Beziehung in der Industrie, um ein demokratisches Arbeitsumfeld widerzuspiegeln, „Partnerschaft“ sei, das Zusammenkommen der primären Arbeitsgruppen auf Augenhöhe. In Québec wurde diese fortschrittliche Philosophie durch die Einrichtung von „Paritätsausschüssen“ operationalisiert (Gouvernement du Québec 1978). Laut Gesetz muss jede Organisation mit mehr als zehn Beschäftigten einen paritätischen Ausschuss bilden, dem Arbeitgeber- und Arbeitnehmervertreter angehören. Dieser Ausschuss hat maßgebliche Befugnisse in folgenden Fragen des Präventionsprogramms: Festlegung eines Gesundheitsvorsorgeprogramms, Wahl des Betriebsarztes, Ermittlung drohender Gefahren und Entwicklung von Schulungs- und Informationsangeboten. Das Komitee ist auch für die präventive Überwachung in der Organisation verantwortlich; Reaktion auf Beschwerden von Arbeitnehmern und Arbeitgebern; Analyse und Kommentierung von Unfallberichten; Erstellung eines Verzeichnisses von Unfällen, Verletzungen, Krankheiten und Arbeitnehmerbeschwerden; Studieren von Statistiken und Berichten; und Übermittlung von Informationen über die Aktivitäten des Ausschusses.
Führungs- und Sicherheitsklima
Um Dinge zu bewirken, die es dem Unternehmen ermöglichen, sich in Richtung neuer kultureller Annahmen zu entwickeln, muss das Management bereit sein, über die „Verpflichtung“ zur partizipativen Führung hinauszugehen (Hansen 1993a). Der Arbeitsplatz braucht daher Führungskräfte mit Visionen, Empowerment-Fähigkeiten und der Bereitschaft, Veränderungen herbeizuführen.
Sicherheitsklima wird durch die Handlungen von Führungskräften geschaffen. Dies bedeutet, ein Klima zu fördern, in dem sicheres Arbeiten geschätzt wird, alle Mitarbeiter einzuladen, über ihre eigenen Aufgaben hinauszudenken, sich um sich selbst und ihre Kollegen zu kümmern, Führungsqualitäten in Sachen Sicherheit zu propagieren und zu kultivieren (Lark 1991). Um dieses Klima zu schaffen, brauchen Führungskräfte Wahrnehmung und Einsicht, Motivation und Fähigkeit, der Gruppe Hingabe oder Engagement über das Eigeninteresse hinaus zu vermitteln, emotionale Stärke, die Fähigkeit, eine „Neudefinition der Wahrnehmung“ durch das Artikulieren und Verkaufen neuer Visionen und Konzepte herbeizuführen, die Fähigkeit, Beteiligung zu schaffen und Partizipation und Tiefe der Vision (Schein 1989). Um Elemente der Organisation zu verändern, müssen Führungskräfte bereit sein, ihre eigene Organisation „aufzutauen“ (Lewin 1951).
Laut Lark (1991) bedeutet Leadership in Safety auf Führungsebene, ein Gesamtklima zu schaffen, in dem Sicherheit ein Wert ist und in dem Vorgesetzte und Nicht-Vorgesetzte gewissenhaft die Führung bei der Gefahrenabwehr übernehmen. Diese Führungskräfte veröffentlichen eine Sicherheitsrichtlinie, in der sie: den Wert jedes Mitarbeiters und der Gruppe sowie ihre eigene Verpflichtung zur Sicherheit bekräftigen; Sicherheit mit dem Fortbestand des Unternehmens und der Erreichung seiner Ziele in Verbindung bringen; ihre Erwartung äußern, dass jeder Einzelne für die Sicherheit verantwortlich ist und sich aktiv daran beteiligt, den Arbeitsplatz gesund und sicher zu halten; schriftlich einen Sicherheitsbeauftragten ernennen und diesen bevollmächtigen, die Sicherheitspolitik des Unternehmens umzusetzen.
Vorgesetzte erwarten sicheres Verhalten von Untergebenen und beziehen sie direkt in die Identifizierung von Problemen und deren Lösungen ein. Führend in Sachen Sicherheit für den Nicht-Vorgesetzten bedeutet, Mängel zu melden, Korrekturmaßnahmen als Herausforderung zu sehen und daran zu arbeiten, diese Mängel zu beheben.
Führung fordert und befähigt Menschen, aus eigener Kraft zu führen. Im Kern dieses Empowerment-Konzepts steht das Konzept der Macht, definiert als die Fähigkeit, die Faktoren zu kontrollieren, die das eigene Leben bestimmen. Die neue Gesundheitsförderungsbewegung versucht jedoch, Macht nicht als „Macht über“, sondern als „Macht zu“ oder als „Macht mit“ umzugestalten (Robertson und Minkler 1994).
Schlussfolgerungen
Nur einige der konzeptionellen und methodischen Probleme, die Organisationsklimawissenschaftler plagen, werden in der Sicherheitsklimaforschung angegangen. Eine konkrete Definition des Sicherheitsklimakonzepts wurde noch nicht gegeben. Dennoch sind einige der Forschungsergebnisse sehr ermutigend. Die meisten Forschungsbemühungen waren auf die Validierung eines Sicherheitsklimamodells gerichtet. Es wurde auf die Spezifikation angemessener Abmessungen des Sicherheitsklimas geachtet. Dimensionen, die in der Literatur zu organisatorischen Merkmalen vorgeschlagen wurden, die Unternehmen mit hoher und niedriger Unfallrate unterscheiden, dienten als nützlicher Ausgangspunkt für den Dimensionsidentifizierungsprozess. Acht-, Drei- und Zwei-Faktoren-Modelle werden vorgeschlagen. Da Occams Rasiermesser eine gewisse Sparsamkeit erfordert, erscheint die Begrenzung der Abmessungen angebracht. Das Zwei-Faktoren-Modell ist daher am besten geeignet, insbesondere in einem Arbeitskontext, in dem kurze Fragebögen verwaltet werden müssen. Die faktorenanalytischen Ergebnisse für die Skalen auf Basis der beiden Dimensionen sind sehr zufriedenstellend. Darüber hinaus wird ein gültiges Klimamaß für verschiedene Bevölkerungsgruppen und verschiedene Berufe bereitgestellt. Weitere Studien sollten jedoch durchgeführt werden, wenn die Replikations- und Generalisierungsregeln der Theorieprüfung eingehalten werden sollen. Die Herausforderung besteht darin, ein theoretisch sinnvolles und analytisch praktikables Universum möglicher Klimadimensionen zu spezifizieren. Zukünftige Forschung sollte sich auch auf organisatorische Analyseeinheiten konzentrieren, um die Gültigkeit und Zuverlässigkeit des organisatorischen Klimas für Sicherheitsmaßnahmen zu bewerten und zu verbessern. Derzeit werden mehrere Studien in verschiedenen Ländern durchgeführt, und die Zukunft sieht vielversprechend aus.
Da das Konzept des Sicherheitsklimas wichtige Implikationen für die Sicherheitspolitik hat, ist es besonders wichtig, die konzeptionellen und methodischen Probleme zu lösen. Das Konzept fordert eindeutig eine Revolution des Sicherheitsmanagements. Ein Prozess der Änderung der Einstellungen und Verhaltensweisen des Managements wird zur Voraussetzung für das Erreichen der Sicherheitsleistung. „Partnership Leadership“ muss aus dieser Zeit herauskommen, in der Umstrukturierungen und Entlassungen Zeichen der Zeit sind. Führung fordert und befähigt. In diesem Empowerment-Prozess steigern Arbeitgeber und Arbeitnehmer ihre Fähigkeit zur partizipativen Zusammenarbeit. Sie werden auch Fähigkeiten des Zuhörens und Sprechens, der Problemanalyse und der Konsensbildung entwickeln. Das Gemeinschaftsgefühl soll sich ebenso entwickeln wie die Selbstwirksamkeit. Arbeitgeber und Arbeitnehmer können auf diesem Wissen und diesen Fähigkeiten aufbauen.
Verhaltensänderung: Eine Sicherheitsmanagementtechnik
Das Sicherheitsmanagement hat zwei Hauptaufgaben. Der Sicherheitsorganisation obliegt es, (1) die Sicherheitsleistung des Unternehmens auf dem aktuellen Stand zu halten und (2) Maßnahmen und Programme umzusetzen, die die Sicherheitsleistung verbessern. Die Aufgaben sind unterschiedlich und erfordern unterschiedliche Herangehensweisen. Dieser Artikel beschreibt eine Methode für die zweite Aufgabe, die in zahlreichen Unternehmen mit hervorragenden Ergebnissen eingesetzt wurde. Hintergrund dieser Methode ist die Verhaltensmodifikation, eine Technik zur Verbesserung der Sicherheit, die viele Anwendungen in Wirtschaft und Industrie hat. Zwei unabhängig voneinander durchgeführte Experimente der ersten wissenschaftlichen Anwendungen der Verhaltensmodifikation wurden 1978 von Amerikanern veröffentlicht. Die Anwendungen fanden an ganz unterschiedlichen Orten statt. Komaki, Barwick und Scott (1978) haben ihre Studie in einer Bäckerei gemacht. Sulzer-Azaroff (1978) absolvierte ihr Studium in Laboratorien an einer Universität.
Folgen des Verhaltens
Verhaltensmodifikation legt den Fokus auf die Folgen eines Verhaltens. Wenn Arbeitnehmer mehrere Verhaltensweisen haben, für die sie sich entscheiden können, wählen sie diejenige, von der erwartet wird, dass sie positivere Konsequenzen mit sich bringt. Vor dem Handeln hat der Arbeiter eine Reihe von Einstellungen, Fähigkeiten, Ausrüstung und Betriebsbedingungen. Diese haben Einfluss auf die Handlungswahl. Vor allem aber die auf die Handlung folgenden absehbaren Folgen bestimmen die Wahl des Verhaltens. Da sich die Folgen auf Einstellungen, Fähigkeiten usw. auswirken, spielen sie laut Theoretikern die vorherrschende Rolle bei der Herbeiführung einer Verhaltensänderung (Abbildung 1).
Abbildung 1. Verhaltensänderung: eine Sicherheitsmanagementtechnik
Das Problem im Sicherheitsbereich besteht darin, dass viele unsichere Verhaltensweisen dazu führen, dass Arbeitnehmer positivere Konsequenzen (im Sinne einer scheinbaren Belohnung des Arbeitnehmers) als sichere Verhaltensweisen wählen. Eine unsichere Arbeitsmethode kann lohnender sein, wenn sie schneller, vielleicht einfacher, ist und die Wertschätzung des Vorgesetzten hervorruft. Die negative Konsequenz – zum Beispiel eine Verletzung – folgt nicht jedem unsicheren Verhalten, da Verletzungen andere nachteilige Bedingungen voraussetzen, bevor sie auftreten können. Daher sind positive Folgen in ihrer Anzahl und Häufigkeit überwältigend.
Als Beispiel wurde ein Workshop durchgeführt, in dem die Teilnehmer Videos verschiedener Jobs in einem Produktionsbetrieb analysierten. Diesen Teilnehmern, Ingenieuren und Maschinenführern aus dem Werk, ist aufgefallen, dass eine Maschine mit offener Schutzeinrichtung betrieben wurde. „Sie können die Wache nicht geschlossen halten“, behauptete ein Operator. „Wenn der automatische Betrieb aufhört, drücke ich den Endschalter und zwinge das letzte Teil aus der Maschine“, sagte er. „Sonst muss ich das Rohteil herausnehmen, mehrere Meter tragen und wieder auf das Förderband legen. Das Teil ist schwer; es ist einfacher und schneller, den Endschalter zu verwenden.“
Dieser kleine Zwischenfall veranschaulicht gut, wie sich die zu erwartenden Konsequenzen auf unsere Entscheidungen auswirken. Der Bediener möchte die Arbeit schnell erledigen und vermeiden, ein schweres und schwierig zu handhabendes Teil anzuheben. Auch wenn dies riskanter ist, lehnt der Betreiber die sicherere Methode ab. Derselbe Mechanismus gilt für alle Ebenen in Organisationen. Ein Betriebsleiter zum Beispiel möchte den Gewinn des Betriebs maximieren und für gute wirtschaftliche Ergebnisse belohnt werden. Wenn das Top-Management nicht auf Sicherheit achtet, kann der Werksleiter positivere Folgen von Investitionen erwarten, die die Produktion maximieren, als solche, die die Sicherheit verbessern.
Positive und negative Folgen
Regierungen geben wirtschaftlichen Entscheidungsträgern durch Gesetze Regeln vor und setzen die Gesetze mit Strafen durch. Der Mechanismus ist direkt: Jeder Entscheidungsträger kann mit negativen Konsequenzen bei Rechtsverstößen rechnen. Der Unterschied zwischen dem rechtlichen Ansatz und dem hier vertretenen Ansatz liegt in der Art der Konsequenzen. Die Strafverfolgung verwendet negative Konsequenzen für unsicheres Verhalten, während Techniken zur Verhaltensänderung positive Konsequenzen für sicheres Verhalten verwenden. Negative Folgen haben ihre Schattenseiten, auch wenn sie effektiv sind. Im Bereich der Sicherheit ist die Verwendung negativer Konsequenzen üblich, die von staatlichen Strafen bis hin zu Verweisen durch den Vorgesetzten reichen. Die Leute versuchen, Strafen zu vermeiden. Dadurch assoziieren sie Sicherheit leicht mit Strafen als etwas weniger Erstrebenswertes.
Positive Konsequenzen, die sicheres Verhalten verstärken, sind wünschenswerter, da sie positive Gefühle mit Sicherheit verbinden. Wenn Bediener positivere Konsequenzen von sicheren Arbeitsmethoden erwarten können, wählen sie dies eher als eine wahrscheinliche Rolle des Verhaltens. Wenn Betriebsleiter auf der Grundlage der Sicherheit bewertet und belohnt werden, werden sie den Sicherheitsaspekten bei ihren Entscheidungen höchstwahrscheinlich einen höheren Stellenwert beimessen.
Die Palette möglicher positiver Folgen ist groß. Sie reichen von sozialer Aufmerksamkeit bis hin zu verschiedenen Privilegien und Tokens. Einige der Konsequenzen lassen sich leicht mit dem Verhalten verbinden; einige andere verlangen administrative Maßnahmen, die überwältigend sein können. Glücklicherweise kann allein die Chance, belohnt zu werden, die Leistung verändern.
Unsicheres Verhalten in sicheres Verhalten umwandeln
Besonders interessant an den Originalarbeiten von Komaki, Barwick und Scott (1978) und von Sulzer-Azaroff (1978) war die Verwendung von Leistungsinformationen als Konsequenz. Anstatt soziale Konsequenzen oder konkrete Belohnungen zu verwenden, die möglicherweise schwierig zu verwalten sind, entwickelten sie eine Methode zur Messung der Sicherheitsleistung einer Gruppe von Arbeitnehmern und verwendeten den Leistungsindex als Konsequenz. Der Index wurde so konstruiert, dass er nur eine einzelne Zahl war, die zwischen 0 und 100 variierte. Da er einfach war, vermittelte er den Betroffenen effektiv die Botschaft über die aktuelle Performance. Die ursprüngliche Anwendung dieser Technik zielte lediglich darauf ab, Mitarbeiter zu Verhaltensänderungen zu bewegen. Andere Aspekte der Arbeitsplatzverbesserung, wie etwa die Beseitigung von Problemen durch Technik oder die Einführung von Verfahrensänderungen, wurden nicht angesprochen. Das Programm wurde von Forschern ohne aktive Beteiligung von Arbeitnehmern durchgeführt.
Die Anwender der Verhaltensmodifikationstechnik (BM) gehen davon aus, dass unsicheres Verhalten ein wesentlicher Faktor der Unfallverursachung ist und sich isoliert ohne Folgewirkung ändern kann. Daher ist der natürliche Ausgangspunkt eines BM-Programms die Untersuchung von Unfällen zur Identifizierung unsicherer Verhaltensweisen (Sulzer-Azaroff und Fellner 1984). Eine typische Anwendung der sicherheitsbezogenen Verhaltensmodifikation besteht aus den in Abbildung 2 dargestellten Schritten. Die sicheren Handlungen müssen laut den Entwicklern der Technik genau spezifiziert werden. Der erste Schritt besteht darin, zu definieren, welche die richtigen Handlungen in einem Bereich wie einer Abteilung, einem Aufsichtsbereich usw. sind. Das angemessene Tragen einer Schutzbrille in bestimmten Bereichen wäre ein Beispiel für eine sichere Handlung. Üblicherweise wird für ein Programm zur Verhaltensänderung eine kleine Anzahl spezifischer sicherer Handlungen – beispielsweise zehn – definiert.
Abbildung 2. Verhaltensänderung für die Sicherheit besteht aus den folgenden Schritten
Einige weitere Beispiele für typische sichere Verhaltensweisen sind:
Wenn eine ausreichende Anzahl von Personen, in der Regel 5 bis 30, in einem bestimmten Bereich arbeiten, ist es möglich, eine Beobachtungs-Checkliste auf der Grundlage unsicherer Verhaltensweisen zu erstellen. Das Hauptprinzip besteht darin, Checklistenpunkte auszuwählen, die nur zwei Werte haben, richtig oder falsch. Wenn das Tragen einer Schutzbrille eine der festgelegten sicheren Handlungen ist, wäre es angemessen, jede Person einzeln zu beobachten und festzustellen, ob sie eine Schutzbrille trägt oder nicht. Auf diese Weise liefern die Beobachtungen objektive und klare Daten über die Prävalenz sicheren Verhaltens. Andere spezifizierte sichere Verhaltensweisen stellen weitere Punkte zur Aufnahme in die Beobachtungs-Checkliste bereit. Wenn die Liste zum Beispiel aus hundert Elementen besteht, ist es einfach, einen Sicherheitsleistungsindex aus dem Prozentsatz der als richtig markierten Elemente zu berechnen, nachdem die Beobachtung abgeschlossen ist. Der Leistungsindex variiert normalerweise von Zeit zu Zeit.
Wenn die Messtechnik bereit ist, bestimmen die Benutzer die Basislinie. Beobachtungsrunden werden wöchentlich (oder über mehrere Wochen) zu zufälligen Zeiten durchgeführt. Wenn eine ausreichende Anzahl von Beobachtungsrunden durchgeführt wird, ergibt sich ein angemessenes Bild der Schwankungen der Basislinienleistung. Dies ist notwendig, damit die positiven Mechanismen funktionieren. Der Ausgangswert sollte bei etwa 50 bis 60 % liegen, um einen positiven Ausgangspunkt für Verbesserungen zu geben und frühere Leistungen anzuerkennen. Die Technik hat ihre Wirksamkeit bei der Änderung des Sicherheitsverhaltens bewiesen. Sulzer-Azaroff, Harris und McCann (1994) listen in ihrer Übersicht 44 veröffentlichte Studien auf, die einen eindeutigen Effekt auf das Verhalten zeigen. Die Technik scheint fast immer zu funktionieren, mit wenigen Ausnahmen, wie in Cooper et al. 1994.
Praktische Anwendung der Verhaltenstheorie
Aufgrund mehrerer Nachteile bei der Verhaltensmodifikation haben wir eine andere Technik entwickelt, die darauf abzielt, einige der Nachteile zu korrigieren. Das neue Programm wird aufgerufen Tuttawa, was ein Akronym für die finnischen Wörter ist sicher produktiv. Die wichtigsten Unterschiede sind in Tabelle 1 dargestellt.
Tabelle 1. Unterschiede zwischen Tuttava und anderen Programmen/Techniken
Aspekt |
Verhaltensänderung zur Sicherheit |
Partizipatorischer Verbesserungsprozess am Arbeitsplatz, Tuttava |
Verpflegung |
Unfälle, Zwischenfälle, Risikowahrnehmungen |
Arbeitsanalyse, Arbeitsablauf |
Setzen Sie mit Achtsamkeit |
Menschen und ihr Verhalten |
Bedingungen |
Sytemimplementierung Experten, Berater |
Gemeinsames Mitarbeiter-Führungsteam |
|
Bewirken |
Befristet |
Nachhaltige |
Ziel |
Verhaltensänderung |
Grundlegender und kultureller Wandel |
Die zugrunde liegende Sicherheitstheorie in Verhaltenssicherheitsprogrammen ist sehr einfach. Es wird davon ausgegangen, dass es eine klare Grenze zwischen ihnen gibt safe und unsicher. Das Tragen einer Schutzbrille steht für sicheres Verhalten. Dabei spielt es keine Rolle, dass die optische Qualität der Brille schlecht oder das Sichtfeld eingeschränkt sein kann. Allgemeiner gesagt, die Dichotomie zwischen safe und unsicher kann eine gefährliche Vereinfachung sein.
Die Rezeptionistin in einem Werk bat mich, meinen Ring für eine Werksbesichtigung abzunehmen. Sie hat eine sichere Handlung begangen, indem sie mich gebeten hat, meinen Ring zu entfernen, und ich, indem ich es tue. Der Ehering hat jedoch einen hohen emotionalen Wert für mich. Deshalb hatte ich Angst, meinen Ring während der Tour zu verlieren. Dadurch wurde ein Teil meiner Wahrnehmungs- und Denkenergie von der Beobachtung der Umgebung abgezogen. Ich war weniger aufmerksam und daher war mein Risiko, von einem vorbeifahrenden Gabelstapler angefahren zu werden, höher als gewöhnlich.
Die „No Rings“-Richtlinie entstand wahrscheinlich durch einen früheren Unfall. Ähnlich wie beim Tragen einer Schutzbrille ist bei weitem nicht klar, dass sie selbst Sicherheit darstellt. Unfalluntersuchungen und betroffene Personen sind die natürlichste Quelle für die Identifizierung unsicherer Handlungen. Aber das kann sehr irreführend sein. Der Ermittler versteht möglicherweise nicht wirklich, wie eine Handlung zu der untersuchten Verletzung beigetragen hat. Daher ist eine als „unsicher“ gekennzeichnete Handlung im Allgemeinen nicht wirklich unsicher. Aus diesem Grund definiert die hier entwickelte Anwendung (Saari und Näsänen 1989) die Verhaltensziele aus arbeitsanalytischer Sicht. Der Fokus liegt auf Werkzeugen und Materialien, weil die Arbeiter täglich damit umgehen und es ihnen leicht fällt, über vertraute Gegenstände zu sprechen.
Menschen mit direkten Methoden zu beobachten, führt leicht zu Schuldzuweisungen. Schuldzuweisungen führen zu organisatorischen Spannungen und Antagonismus zwischen Management und Arbeitnehmern und sind für kontinuierliche Sicherheitsverbesserungen nicht förderlich. Es ist daher besser, sich auf die körperlichen Bedingungen zu konzentrieren, als zu versuchen, das Verhalten direkt zu erzwingen. Durch die Ausrichtung der Anwendung auf Verhaltensweisen im Zusammenhang mit der Handhabung von Materialien und Werkzeugen werden alle relevanten Änderungen deutlich sichtbar. Das Verhalten selbst darf nur eine Sekunde dauern, muss aber sichtbare Spuren hinterlassen. So dauert es zum Beispiel sehr schnell, ein Werkzeug nach Gebrauch wieder an seinen vorgesehenen Platz zu stellen. Das Werkzeug selbst bleibt sichtbar und beobachtbar, und das Verhalten selbst muss nicht beobachtet werden.
Die sichtbare Veränderung bietet zwei Vorteile: (1) es wird für jeden offensichtlich, dass Verbesserungen stattfinden und (2) Menschen lernen, ihren Leistungsstand direkt aus ihrer Umgebung abzulesen. Sie brauchen die Ergebnisse von Beobachtungsrunden nicht, um ihre aktuelle Leistung zu kennen. Auf diese Weise wirken sich die Verbesserungen positiv auf das korrekte Verhalten aus und der künstliche Leistungsindex wird überflüssig.
Die Forscher und externen Berater sind die Hauptakteure in der zuvor beschriebenen Anwendung. Die Arbeiter brauchen nicht an ihre Arbeit zu denken; es reicht, wenn sie ihr Verhalten ändern. Um tiefere und nachhaltigere Ergebnisse zu erzielen, wäre es jedoch besser, wenn sie in den Prozess einbezogen würden. Daher sollte die Anwendung sowohl Arbeitnehmer als auch Management integrieren, sodass das Implementierungsteam aus Vertretern beider Seiten besteht. Es wäre auch schön, eine Anwendung zu haben, die ohne kontinuierliche Messungen dauerhafte Ergebnisse liefert. Leider erzeugt das normale Verhaltensänderungsprogramm keine gut sichtbaren Änderungen, und viele kritische Verhaltensweisen dauern nur eine Sekunde oder Bruchteile einer Sekunde.
Die Technik hat in der beschriebenen Form einige Nachteile. Theoretisch sollte ein Rückfall auf den Ausgangswert eintreten, wenn die Beobachtungsrunden beendet sind. Die Ressourcen für die Entwicklung des Programms und die Durchführung der Beobachtung können im Vergleich zu der gewonnenen vorübergehenden Veränderung zu umfangreich sein.
Werkzeuge und Materialien bieten eine Art Fenster in die Qualität der Funktionen einer Organisation. Wenn zum Beispiel zu viele Komponenten oder Teile einen Arbeitsplatz überladen, kann dies ein Hinweis auf Probleme im Einkaufsprozess des Unternehmens oder in den Abläufen der Lieferanten sein. Die physische Präsenz exzessiver Teile ist eine konkrete Möglichkeit, eine Diskussion über organisatorische Funktionen anzustoßen. Die Arbeiter, die es insbesondere nicht gewohnt sind, abstrahierte Diskussionen über Organisationen zu führen, können sich beteiligen und ihre Beobachtungen in die Analyse einbringen. Werkzeuge und Materialien bieten oft einen Weg zu den zugrunde liegenden, versteckteren Faktoren, die zu Unfallrisiken beitragen. Diese Faktoren sind in der Regel organisatorischer und verfahrenstechnischer Natur und daher ohne konkrete und substanzielle Informationsgrundlagen schwer zu behandeln.
Auch organisatorische Fehlfunktionen können zu Sicherheitsproblemen führen. Beispielsweise wurden bei einem kürzlichen Werksbesuch Arbeiter dabei beobachtet, wie sie Produkte manuell auf Paletten hoben, die insgesamt mehrere Tonnen wogen. Dies geschah, weil das Einkaufssystem und das System des Lieferanten nicht gut funktionierten und folglich die Produktetiketten nicht zum richtigen Zeitpunkt verfügbar waren. Die Produkte mussten tagelang auf Paletten gelagert werden und versperrten einen Gang. Als die Etiketten ankamen, wurden die Produkte wieder manuell auf die Linie gehoben. All dies war zusätzliche Arbeit, Arbeit, die zum Risiko von Rücken- oder anderen Verletzungen beiträgt.
Vier Bedingungen müssen in einem erfolgreichen Verbesserungsprogramm erfüllt sein
Um erfolgreich zu sein, muss man über ein korrektes theoretisches und praktisches Verständnis des Problems und der dahinter stehenden Mechanismen verfügen. Dies ist die Grundlage für die Festlegung der Verbesserungsziele, woraufhin (1) die Mitarbeiter die neuen Ziele kennen, (2) die technischen und organisatorischen Mittel haben müssen, um entsprechend zu handeln, und (3) sie motiviert sein müssen (Abbildung 3). Dieses Schema gilt für jedes Änderungsprogramm.
Abbildung 3. Die vier Schritte eines erfolgreichen Sicherheitsprogramms
Eine Sicherheitskampagne kann ein gutes Instrument sein, um Informationen über ein Ziel effizient zu verbreiten. Es wirkt sich jedoch nur dann auf das Verhalten der Menschen aus, wenn die anderen Kriterien erfüllt sind. Das Tragen von Schutzhelmen hat keine Auswirkungen auf eine Person, die keinen Schutzhelm trägt, oder wenn ein Schutzhelm zum Beispiel aufgrund eines kalten Klimas schrecklich unbequem ist. Eine Sicherheitskampagne kann auch darauf abzielen, die Motivation zu steigern, aber sie wird scheitern, wenn sie nur eine abstrakte Botschaft wie „Sicherheit geht vor“ sendet, es sei denn, die Empfänger verfügen über die Fähigkeiten, die Botschaft in konkrete Verhaltensweisen zu übersetzen. Betriebsleiter, denen gesagt wird, dass sie die Verletzungen in der Umgebung um 50 % reduzieren sollen, befinden sich in einer ähnlichen Situation, wenn sie nichts über Unfallmechanismen verstehen.
Die vier in Abbildung 3 aufgeführten Kriterien müssen erfüllt sein. Beispielsweise wurde ein Experiment durchgeführt, bei dem Personen eigenständige Bildschirme verwenden sollten, um zu verhindern, dass Schweißlicht in die Bereiche anderer Arbeiter gelangt. Das Experiment scheiterte, weil nicht erkannt wurde, dass keine angemessenen organisatorischen Vereinbarungen getroffen wurden. Wer sollte den Bildschirm aufstellen, der Schweißer oder der andere Arbeiter in der Nähe, der dem Licht ausgesetzt ist? Da beide im Akkord arbeiteten und keine Zeit verlieren wollten, hätte vor dem Versuch eine organisatorische Vereinbarung über die Vergütung getroffen werden müssen. Ein erfolgreiches Sicherheitsprogramm muss alle diese vier Bereiche gleichzeitig angehen. Andernfalls wird der Fortschritt begrenzt sein.
Tuttava-Programm
Das Tuttava-Programm (Abbildung 4) dauert 4 bis 6 Monate und deckt den Arbeitsbereich von 5 bis 30 Personen gleichzeitig ab. Es wird von einem Team durchgeführt, das aus Vertretern des Managements, der Vorgesetzten und der Arbeitnehmer besteht.
Abbildung 4. Das Tuttava-Programm besteht aus vier Phasen und acht Schritten
Leistungsziele
Der erste Schritt besteht darin, eine Liste von Leistungszielen oder bewährten Arbeitspraktiken zu erstellen, die aus etwa zehn gut spezifizierten Zielen besteht (Tabelle 2). Die Ziele sollten (1) positiv sein und die Arbeit erleichtern, (2) allgemein akzeptabel sein, (3) einfach und kurz formuliert sein, (4) zu Beginn mit Aktionsverben ausgedrückt sein, um die wichtigen Dinge hervorzuheben, die zu erledigen sind, und (5) einfach sein zu beobachten und zu messen.
Die Schlüsselwörter für die Spezifizierung der Ziele sind Werkzeuge und Materialien. Normalerweise beziehen sich die Ziele auf Ziele wie die richtige Platzierung von Materialien und Werkzeugen, das Offenhalten der Gänge, das sofortige Beheben von Lecks und anderen Prozessstörungen und das Freihalten des Zugangs zu Feuerlöschern, Notausgängen, elektrischen Umspannwerken, Sicherheitsschaltern und so weiter. Die Leistungsziele einer Druckfarbenfabrik sind in Tabelle 3 angegeben.
Diese Ziele sind vergleichbar mit den in den Verhaltensänderungsprogrammen definierten sicheren Verhaltensweisen. Der Unterschied besteht darin, dass das Tuttava-Verhalten sichtbare Spuren hinterlässt. Das Verschließen von Flaschen nach Gebrauch kann ein Vorgang sein, der weniger als eine Minute dauert. Es ist jedoch möglich, zu sehen, ob dies getan wurde oder nicht, indem man die Flaschen beobachtet, die nicht verwendet werden. Es ist nicht notwendig, Menschen zu beobachten, was wichtig ist, um Schuldzuweisungen und Schuldzuweisungen zu vermeiden.
Die Ziele definieren die Verhaltensänderung, die das Team von den Mitarbeitern erwartet. In diesem Sinne sind sie mit den sicheren Verhaltensweisen in der Verhaltensänderung vergleichbar. Die meisten Ziele beziehen sich jedoch auf Dinge, die nicht nur das Verhalten der Arbeitnehmer betreffen, sondern eine viel umfassendere Bedeutung haben. Beispielsweise kann das Ziel sein, nur unmittelbar benötigte Materialien im Arbeitsbereich zu lagern. Dies erfordert eine Analyse und ein Verständnis des Arbeitsprozesses und kann Probleme in der technischen und organisatorischen Gestaltung aufzeigen. Manchmal werden die Materialien nicht bequem für den täglichen Gebrauch aufbewahrt. Manchmal arbeiten die Liefersysteme so langsam oder sind so störanfällig, dass die Mitarbeiter zu viel Material im Arbeitsbereich bevorraten.
Beobachtungs-Checkliste
Wenn die Leistungsziele ausreichend gut definiert sind, erstellt das Team eine Beobachtungscheckliste, um zu messen, inwieweit die Ziele erreicht werden. Etwa 100 Messpunkte werden aus dem Gebiet ausgewählt. Beispielsweise betrug die Anzahl der Messpunkte in der Druckfarbenfabrik 126. In jedem Punkt beobachtet das Team einen oder mehrere spezifische Punkte. Bei einem Abfallbehälter könnten die Punkte beispielsweise sein (1) ist der Behälter nicht zu voll, (2) ist die richtige Art von Abfall darin oder (3) ist der Deckel aufgesetzt, falls erforderlich? Jedes Item kann nur entweder richtig oder falsch sein. Dichotomisierte Beobachtungen machen das Messsystem objektiv und zuverlässig. Dadurch kann nach einer Beobachtungsrunde über alle Messpunkte ein Leistungsindex errechnet werden. Der Index ist einfach der Prozentsatz der richtig bewerteten Items. Der Index kann ganz offensichtlich von 0 bis 100 reichen und zeigt direkt an, inwieweit die Standards erfüllt werden. Wenn der erste Entwurf der Beobachtungscheckliste vorliegt, führt das Team eine Testrunde durch. Wenn das Ergebnis etwa 50 bis 60 % beträgt und jedes Teammitglied ungefähr das gleiche Ergebnis erzielt, kann das Team zur nächsten Phase von Tuttava übergehen. Wenn das Ergebnis der ersten Beobachtungsrunde zu niedrig ist – sagen wir 20 % –, überarbeitet das Team die Liste der Leistungsziele. Denn das Programm soll in jeder Hinsicht positiv sein. Ein zu niedriger Ausgangswert würde die frühere Leistung nicht angemessen bewerten; es würde eher nur die Schuld für schlechte Leistung geben. Eine gute Grundlinie liegt bei etwa 50 %.
Technische, organisatorische und prozessuale Verbesserungen
Ein sehr wichtiger Schritt im Programm ist die Sicherstellung der Erreichung der Leistungsziele. Beispielsweise kann Abfall auf dem Boden liegen, nur weil die Anzahl der Abfallbehälter nicht ausreicht. Es können überschüssige Materialien und Teile vorhanden sein, da das Versorgungssystem nicht funktioniert. Das System muss besser werden, bevor es richtig ist, von den Arbeitern eine Verhaltensänderung zu verlangen. Durch die Prüfung jedes der Ziele auf Erreichbarkeit identifiziert das Team in der Regel viele Möglichkeiten für technische, organisatorische und verfahrenstechnische Verbesserungen. Auf diese Weise bringen die Werksangehörigen ihre praktischen Erfahrungen in den Entwicklungsprozess ein.
Da die Arbeiter den ganzen Tag an ihrem Arbeitsplatz verbringen, haben sie viel mehr Wissen über die Arbeitsabläufe als das Management. Durch die Analyse der Erreichung der Leistungsziele erhalten die Mitarbeiter die Möglichkeit, ihre Ideen dem Management mitzuteilen. Wenn dann Verbesserungen stattfinden, sind die Mitarbeiter viel empfänglicher für die Aufforderung, die Leistungsziele zu erreichen. In der Regel führt dieser Schritt zu leicht überschaubaren Korrekturmaßnahmen. Beispielsweise wurden Produkte für Anpassungen aus der Linie genommen. Manche Produkte waren gut, manche schlecht. Die Produktionsarbeiter wollten bestimmte Bereiche haben, die für gute und schlechte Produkte gekennzeichnet sind, um zu wissen, welche Produkte wieder auf die Linie gebracht und welche zum Recycling geschickt werden müssen. Dieser Schritt kann auch größere technische Anpassungen erfordern, wie z. B. eine neue Belüftungsanlage im Bereich, in dem die aussortierten Produkte gelagert werden. Manchmal ist die Anzahl der Modifikationen sehr hoch. Beispielsweise wurden über 300 technische Verbesserungen in einem Werk zur Herstellung von Chemikalien auf Ölbasis vorgenommen, das nur 60 Mitarbeiter beschäftigt. Es ist wichtig, die Umsetzung von Verbesserungen gut zu managen, um Frustration und Überlastung der jeweiligen Abteilungen zu vermeiden.
Basismessungen
Baseline-Beobachtungen werden begonnen, wenn das Erreichen der Leistungsziele ausreichend sichergestellt ist und die Beobachtungs-Checkliste zuverlässig genug ist. Manchmal müssen die Ziele überarbeitet werden, da Verbesserungen länger dauern. Das Team führt einige Wochen lang wöchentliche Beobachtungsrunden durch, um den vorherrschenden Standard zu ermitteln. Diese Phase ist wichtig, weil sie es ermöglicht, die Leistung zu jedem späteren Zeitpunkt mit der anfänglichen Leistung zu vergleichen. Die Leute vergessen leicht, wie die Dinge nur ein paar Monate in der Vergangenheit waren. Es ist wichtig, das Gefühl des Fortschritts zu haben, um kontinuierliche Verbesserungen zu verstärken.
Feedback
Als nächsten Schritt schult das Team alle Menschen in der Umgebung. Es wird in der Regel in einem einstündigen Seminar durchgeführt. Dies ist das erste Mal, dass die Ergebnisse der Basismessungen allgemein bekannt gemacht werden. Die Feedbackphase beginnt unmittelbar nach dem Seminar. Die Beobachtungsrunden werden wöchentlich fortgesetzt. Nun wird das Ergebnis der Runde sofort allen bekannt gemacht, indem der Index auf einer gut sichtbar angebrachten Tafel ausgehängt wird. Alle kritischen Bemerkungen, Schuldzuweisungen oder andere negative Kommentare sind strengstens untersagt. Obwohl das Team Personen identifizieren wird, die sich nicht wie in den Zielen angegeben verhalten, wird das Team angewiesen, die Informationen für sich zu behalten. Manchmal werden alle Mitarbeiter von Anfang an in den Prozess integriert, insbesondere wenn die Anzahl der Personen, die in dem Bereich arbeiten, gering ist. Das ist besser, als repräsentative Implementierungsteams zu haben. Es ist jedoch möglicherweise nicht überall machbar.
Auswirkungen auf die Leistung
Die Änderung erfolgt innerhalb weniger Wochen nach Beginn des Feedbacks (Abbildung 5). Die Menschen beginnen, die Baustelle sichtbar besser in Ordnung zu halten. Der Leistungsindex springt typischerweise von 50 auf 60 % und dann sogar auf 80 oder 90 %. Das mag absolut gesehen nicht groß klingen, ist es aber is eine große Veränderung in der Werkstatt.
Abbildung 5. Die Ergebnisse einer Abteilung einer Werft
Da sich die Leistungsziele bewusst nicht nur auf Sicherheitsaspekte beziehen, reichen die Vorteile von mehr Sicherheit bis hin zu Produktivität, Einsparung von Material und Bodenbelag, besserem Erscheinungsbild und so weiter. Um die Verbesserungen für alle attraktiv zu machen, gibt es Ziele, die Sicherheit mit anderen Zielen wie Produktivität und Qualität integrieren. Dies ist notwendig, um Sicherheit für das Management attraktiver zu machen, das auf diese Weise auch die weniger wichtigen Sicherheitsverbesserungen bereitwilliger finanziert
Nachhaltige Ergebnisse
Als das Programm erstmals entwickelt wurde, wurden 12 Experimente durchgeführt, um die verschiedenen Komponenten zu testen. Zwei Jahre lang wurden auf einer Werft Nachbeobachtungen durchgeführt. Das neue Leistungsniveau wurde während der 2-jährigen Nachbeobachtung gut aufrechterhalten. Die nachhaltigen Ergebnisse trennen diesen Prozess von der normalen Verhaltensänderung. Die sichtbaren Veränderungen in der Lage von Materialien, Werkzeugen usw. und die technischen Verbesserungen verhindern, dass die bereits gesicherte Verbesserung verblasst. Nach Ablauf von 2 Jahren wurde eine Bewertung der Auswirkung auf Unfälle auf der Werft vorgenommen. Das Ergebnis war dramatisch. Die Unfälle seien um 3 auf 70 % zurückgegangen. Das war viel mehr, als aufgrund der Verhaltensänderung zu erwarten war. Auch die Zahl der Unfälle, die völlig unabhängig von den Leistungszielen waren, ging zurück.
Die Hauptwirkung auf Unfälle ist nicht auf die direkten Veränderungen zurückzuführen, die der Prozess erzielt. Vielmehr ist dies ein Ausgangspunkt für weitere Prozesse. Da Tuttava sehr positiv eingestellt ist und spürbare Verbesserungen bringt, verbessern sich die Beziehungen zwischen Management und Arbeitnehmern und die Teams erhalten Ermutigung für weitere Verbesserungen.
Kulturwandel
Ein großes Stahlwerk war einer der zahlreichen Nutzer von Tuttava, dessen Hauptzweck darin besteht, die Sicherheitskultur zu verändern. Als sie 987 anfingen, gab es 57 Unfälle pro Million Arbeitsstunden. Zuvor stützte sich das Sicherheitsmanagement stark auf Befehle von oben. Leider ging der Präsident in den Ruhestand und alle vergaßen die Sicherheit, da das neue Management keine ähnliche Forderung nach Sicherheitskultur schaffen konnte. Aufgrund der Forderung des Präsidenten wurde die Sicherheit im mittleren Management negativ als etwas Besonderes angesehen. Sie organisierten 987 zehn Tuttava-Teams, und danach kamen jedes Jahr neue Teams hinzu. Heute haben sie weniger als 35 Unfälle pro Million Arbeitsstunden, und die Produktion ist in diesen Jahren stetig gestiegen. Der Prozess führte zu einer Verbesserung der Sicherheitskultur, da die mittleren Manager in ihren jeweiligen Abteilungen Verbesserungen sahen, die gleichzeitig gut für Sicherheit und Produktion waren. Sie wurden empfänglicher für andere Sicherheitsprogramme und -initiativen.
Der praktische Nutzen war groß. Beispielsweise meldete die Instandhaltungsabteilung des Stahlwerks mit 300 Mitarbeitern eine Reduzierung der Ausfalltage aufgrund von Arbeitsunfällen um 400 Tage – mit anderen Worten von 600 Tagen auf 200 Tage. Auch die Fehlzeiten sanken um einen Prozentpunkt. „Es ist schöner, an einen Arbeitsplatz zu kommen, der materiell und mental gut organisiert ist“, sagten die Vorgesetzten. Die Investition betrug nur einen Bruchteil des wirtschaftlichen Nutzens.
Ein anderes Unternehmen mit 1,500 Beschäftigten meldete die Freisetzung von 15,000 m2 der Produktionsfläche, da Materialien, Geräte usw. besser geordnet gelagert werden. Das Unternehmen zahlte 1.5 Millionen US-Dollar weniger Miete. Ein kanadisches Unternehmen spart etwa 1 Million Kanadische Dollar pro Jahr aufgrund geringerer materieller Schäden, die sich aus der Umsetzung von Tuttava ergeben.
Das sind Ergebnisse, die nur durch einen kulturellen Wandel möglich sind. Das wichtigste Element der neuen Kultur sind gemeinsame positive Erfahrungen. Ein Manager sagte: „Sie können die Zeit der Leute kaufen, Sie können ihre physische Anwesenheit an einem bestimmten Ort kaufen, Sie können sogar eine gemessene Anzahl ihrer geschickten Muskelbewegungen pro Stunde kaufen. Aber Sie können Loyalität nicht kaufen, Sie können die Hingabe von Herzen, Gedanken oder Seelen nicht kaufen. Du musst sie dir verdienen.“ Der positive Ansatz von Tuttava hilft Managern, sich die Loyalität und Hingabe ihrer Arbeitsteams zu verdienen. Dabei hilft das Programm, Mitarbeiter in spätere Verbesserungsprojekte einzubinden.
Ein Unternehmen ist ein komplexes System, in dem Entscheidungen in vielen Zusammenhängen und unter verschiedenen Umständen getroffen werden. Sicherheit ist nur eine von mehreren Anforderungen, die Manager bei der Auswahl von Maßnahmen berücksichtigen müssen. Entscheidungen in Bezug auf Sicherheitsfragen variieren erheblich in Umfang und Art, abhängig von den Attributen der zu handhabenden Risikoprobleme und der Position des Entscheidungsträgers in der Organisation.
Es wurde viel darüber geforscht, wie Menschen tatsächlich Entscheidungen treffen, sowohl individuell als auch in einem organisatorischen Kontext: siehe zum Beispiel Janis und Mann (1977); Kahnemann, Slovic und Tversky (1982); Montgomery und Svenson (1989). Dieser Artikel untersucht ausgewählte Forschungserfahrungen in diesem Bereich als Grundlage für Entscheidungsfindungsmethoden, die im Sicherheitsmanagement eingesetzt werden. Grundsätzlich unterscheidet sich die Entscheidungsfindung in Bezug auf Sicherheit nicht wesentlich von der Entscheidungsfindung in anderen Bereichen des Managements. Es gibt keine einfache Methode oder kein Regelwerk, um in allen Situationen gute Entscheidungen zu treffen, da die Aktivitäten des Sicherheitsmanagements zu komplex und vielfältig in Umfang und Art sind.
Das Hauptaugenmerk dieses Artikels liegt nicht auf der Präsentation einfacher Vorschriften oder Lösungen, sondern darauf, mehr Einblick in einige der wichtigen Herausforderungen und Prinzipien für eine gute Entscheidungsfindung in Bezug auf Sicherheit zu geben. Es wird ein Überblick über Umfang, Ebenen und Schritte der Problemlösung bei Sicherheitsfragen gegeben, hauptsächlich basierend auf der Arbeit von Hale et al. (1994). Problemlösung ist eine Möglichkeit, das Problem zu identifizieren und praktikable Lösungen zu finden. Dies ist ein wichtiger erster Schritt in jedem zu untersuchenden Entscheidungsprozess. Um die Herausforderungen realer Sicherheitsentscheidungen ins rechte Licht zu rücken, sind die Prinzipien von Rational-Choice-Theorie wird besprochen werden. Der letzte Teil des Artikels befasst sich mit der Entscheidungsfindung in einem organisatorischen Kontext und stellt die soziologische Perspektive auf die Entscheidungsfindung vor. Ebenfalls enthalten sind einige der Hauptprobleme und Methoden der Entscheidungsfindung im Kontext des Sicherheitsmanagements, um einen besseren Einblick in die Hauptdimensionen, Herausforderungen und Fallstricke der Entscheidungsfindung in Sicherheitsfragen als wichtige Aktivität und Herausforderung im Sicherheitsmanagement zu geben .
Der Kontext der Sicherheitsentscheidung
Eine allgemeine Darstellung der Methoden der Sicherheitsentscheidung ist kompliziert, da sowohl Sicherheitsaspekte als auch die Art der Entscheidungsprobleme im Laufe der Lebensdauer eines Unternehmens erheblich variieren. Von der Idee über die Gründung bis zur Schließung lässt sich der Lebenszyklus eines Unternehmens in sechs Hauptphasen unterteilen:
Jedes der Lebenszykluselemente beinhaltet sicherheitsrelevante Entscheidungen, die nicht nur spezifisch für diese Phase sind, sondern sich auch auf einige oder alle anderen Phasen auswirken. Bei Planung, Bau und Inbetriebnahme liegen die größten Herausforderungen in der Auswahl, Entwicklung und Umsetzung der beschlossenen Sicherheitsstandards und -spezifikationen. Während des Betriebs, der Instandhaltung und des Rückbaus werden die Hauptziele des Sicherheitsmanagements darin bestehen, das festgelegte Sicherheitsniveau aufrechtzuerhalten und möglicherweise zu verbessern. Die Bauphase stellt gewissermaßen auch eine „Produktionsphase“ dar, da neben der Einhaltung der Bausicherheitsprinzipien auch die sicherheitstechnischen Vorgaben für das zu Bauende realisiert werden müssen.
Entscheidungsebenen des Sicherheitsmanagements
Auch Entscheidungen zur Sicherheit haben je nach Organisationsebene einen unterschiedlichen Charakter. Haleet al. (1994) unterscheiden drei Hauptentscheidungsebenen des Sicherheitsmanagements in der Organisation:
Die Höhe der Ausführung ist die Ebene, auf der die Handlungen der Beteiligten (Arbeitnehmer) das Auftreten und die Beherrschung von Gefahren am Arbeitsplatz direkt beeinflussen. Diese Ebene befasst sich mit dem Erkennen der Gefahren und der Auswahl und Umsetzung von Maßnahmen zu ihrer Beseitigung, Verringerung und Kontrolle. Die auf dieser Ebene vorhandenen Freiheitsgrade sind begrenzt; Feedback- und Korrekturschleifen befassen sich daher im Wesentlichen damit, Abweichungen von etablierten Verfahren zu korrigieren und die Praxis auf eine Norm zurückzuführen. Sobald eine Situation erkannt wird, in der die vereinbarte Norm nicht mehr angemessen erscheint, wird die nächsthöhere Ebene aktiviert.
Die Höhe der Planung, Organisation und Ablauf befasst sich mit der Ausarbeitung und Formalisierung der auf der Ausführungsebene zu ergreifenden Maßnahmen in Bezug auf das gesamte Spektrum der zu erwartenden Gefährdungen. Die Planungs- und Organisationsebene, die Verantwortlichkeiten, Verfahren, Berichtslinien usw. festlegt, findet sich typischerweise in Sicherheitshandbüchern. Es ist diese Ebene, die neue Verfahren für Gefahren entwickelt, die für die Organisation neu sind, und bestehende Verfahren modifiziert, um entweder mit neuen Erkenntnissen über Gefahren oder mit Standards für Lösungen in Bezug auf Gefahren Schritt zu halten. Diese Ebene umfasst die Übersetzung abstrakter Prinzipien in konkrete Aufgabenverteilung und -umsetzung und entspricht der in vielen Qualitätssystemen geforderten Verbesserungsschleife.
Die Höhe der Struktur und Verwaltung befasst sich mit den allgemeinen Grundsätzen des Sicherheitsmanagements. Diese Ebene wird aktiviert, wenn die Organisation der Ansicht ist, dass die derzeitigen Planungs- und Organisationsebenen in grundlegender Weise versagen, um akzeptierte Leistungen zu erzielen. Es ist die Ebene, auf der das „normale“ Funktionieren des Sicherheitsmanagementsystems kritisch überwacht und durch die es angesichts von Veränderungen im externen Umfeld der Organisation kontinuierlich verbessert oder aufrechterhalten wird.
Haleet al. (1994) betonen, dass es sich um drei Ebenen handelt Abstraktionen entsprechend drei verschiedenen Arten von Rückmeldungen. Sie sollten nicht als zusammenhängend mit den hierarchischen Ebenen Shop Floor, First Line und Higher Management angesehen werden, da die auf jeder abstrakten Ebene spezifizierten Aktivitäten auf viele verschiedene Arten angewendet werden können. Die Art und Weise der Aufgabenverteilung spiegelt die Kultur und Arbeitsweise des jeweiligen Unternehmens wider.
Entscheidungsfindungsprozess zur Sicherheit
Sicherheitsprobleme müssen durch eine Art Problemlösungs- oder Entscheidungsprozess gehandhabt werden. Laut Hale et al. (1994) dieses Verfahren, das als das bezeichnet wird Problemlösungskreislauf, ist den drei oben beschriebenen Ebenen des Sicherheitsmanagements gemeinsam. Der Problemlösungszyklus ist ein Modell eines idealisierten schrittweisen Vorgehens zur Analyse und Entscheidungsfindung von Sicherheitsproblemen, die durch potenzielle oder tatsächliche Abweichungen von gewünschten, erwarteten oder geplanten Leistungen verursacht werden (Abbildung 1).
Abbildung 1. Der Problemlösungszyklus
Obwohl die Schritte auf allen drei Sicherheitsmanagementebenen im Prinzip gleich sind, kann die Anwendung in der Praxis je nach Art der behandelten Probleme etwas unterschiedlich sein. Das Modell zeigt, dass Entscheidungen, die das Sicherheitsmanagement betreffen, viele Arten von Problemen umfassen. In der Praxis muss jedes der folgenden sechs grundlegenden Entscheidungsprobleme im Sicherheitsmanagement in mehrere Unterentscheidungen zerlegt werden, die die Grundlage für Entscheidungen zu jedem der Hauptproblembereiche bilden.
Rational-Choice-Theorie
Die Entscheidungsfindungsmethoden von Managern müssen auf einem Rationalitätsprinzip beruhen, um Akzeptanz bei den Mitgliedern der Organisation zu erlangen. In praktischen Situationen ist das, was rational ist, möglicherweise nicht immer leicht zu definieren, und die logischen Anforderungen dessen, was als rationale Entscheidungen definiert werden kann, können schwer zu erfüllen sein. Rational-Choice-Theorie (RCT), das Konzept der rationalen Entscheidungsfindung, wurde ursprünglich entwickelt, um wirtschaftliches Verhalten auf dem Markt zu erklären, und später verallgemeinert, um nicht nur wirtschaftliches Verhalten, sondern auch das von fast allen sozialwissenschaftlichen Disziplinen, von der politischen Philosophie bis zur Psychologie, untersuchte Verhalten zu erklären.
Die psychologische Studie der optimalen menschlichen Entscheidungsfindung wird genannt Subjektive Erwartungsnutzentheorie (SEU). RCT und SEU sind grundsätzlich gleich; nur die Anwendungen unterscheiden sich. SEU konzentriert sich auf das Denken der individuellen Entscheidungsfindung, während RCT eine breitere Anwendung bei der Erklärung des Verhaltens innerhalb ganzer Organisationen oder Institutionen hat – siehe zum Beispiel Neumann und Politser (1992). Die meisten Werkzeuge des modernen Operations Research verwenden die Annahmen von SEU. Sie gehen davon aus, dass es erwünscht ist, die Erreichung eines bestimmten Ziels unter bestimmten Bedingungen zu maximieren, und unter der Annahme, dass alle Alternativen und Konsequenzen (oder ihre Wahrscheinlichkeitsverteilung) bekannt sind (Simon und Mitarbeiter 1992). Die Essenz von RCT und SEU lässt sich wie folgt zusammenfassen (March und Simon 1993):
Entscheidungsträger, wenn sie auf eine Entscheidungssituation stoßen, erwerben und sehen die ganze Reihe von Alternativen, aus denen sie ihr Handeln auswählen werden. Diese Menge ist einfach gegeben; die Theorie sagt nicht, wie sie erhalten wird.
An jede Alternative ist eine Reihe von Konsequenzen geknüpft – die Ereignisse, die folgen, wenn diese bestimmte Alternative gewählt wird. Hier fallen die bestehenden Theorien in drei Kategorien:
Zu Beginn verwendet der Entscheidungsträger eine „Nutzenfunktion“ oder eine „Präferenzordnung“, die alle Folgen von den am meisten bevorzugten bis zu den am wenigsten bevorzugten einordnet. Es sollte beachtet werden, dass ein weiterer Vorschlag die Regel des „Minimax-Risikos“ ist, bei der man die „schlimmste Folge“ berücksichtigt, die sich aus jeder Alternative ergeben kann, und dann die Alternative auswählt, deren schlimmste Folge der schlimmsten Folgen vorgezogen wird zu anderen Alternativen.
Der Entscheidungsträger wählt die Alternative, die dem bevorzugten Satz von Konsequenzen am nächsten kommt.
Eine Schwierigkeit von RCT ist, dass der Begriff Rationalität ist an sich schon problematisch. Was rational ist, hängt von dem sozialen Kontext ab, in dem die Entscheidung stattfindet. Wie Flanagan (1991) darauf hingewiesen hat, ist es wichtig, zwischen den beiden Begriffen zu unterscheiden Rationalität und Logik. Rationalität ist mit Fragen verbunden, die sich auf den Sinn und die Qualität des Lebens für eine oder mehrere Personen beziehen, während dies bei der Logik nicht der Fall ist. Das Problem des Wohltäters ist genau die Frage, die Rational-Choice-Modelle nicht klären, indem sie von einer Wertneutralität ausgehen, die in der realen Entscheidungsfindung selten vorhanden ist (Zey 1992). Obwohl der Wert von RCT und SEU als erklärende Theorie etwas begrenzt ist, war es als theoretisches Modell für „rationale“ Entscheidungsfindung nützlich. Der Nachweis, dass das Verhalten oft von den Ergebnissen abweicht, die von der Theorie des erwarteten Nutzens vorhergesagt werden, bedeutet nicht unbedingt, dass die Theorie das Verhalten von Menschen unangemessen vorschreibt sollte Entscheidungen treffen. Als normatives Modell hat sich die Theorie als nützlich erwiesen, um Forschung darüber zu generieren, wie und warum Menschen Entscheidungen treffen, die das Axiom des optimalen Nutzens verletzen.
Die Anwendung der Ideen von RCT und SEU auf Sicherheitsentscheidungen kann eine Grundlage für die Bewertung der „Rationalität“ von Entscheidungen bieten, die in Bezug auf die Sicherheit getroffen wurden – beispielsweise bei der Auswahl von Präventivmaßnahmen angesichts eines Sicherheitsproblems, das man lindern möchte. Oft wird es nicht möglich sein, die Prinzipien der rationalen Wahl einzuhalten, weil es an verlässlichen Daten mangelt. Entweder hat man kein vollständiges Bild verfügbarer oder möglicher Maßnahmen, oder die Ungewissheit über die Auswirkungen verschiedener Maßnahmen, beispielsweise die Umsetzung verschiedener Präventivmaßnahmen, kann groß sein. Daher kann RCT hilfreich sein, um einige Schwächen in einem Entscheidungsprozess aufzuzeigen, aber es bietet wenig Anleitung zur Verbesserung der Qualität der zu treffenden Entscheidungen. Eine weitere Einschränkung der Anwendbarkeit von Rational-Choice-Modellen besteht darin, dass die meisten Entscheidungen in Organisationen nicht unbedingt nach optimalen Lösungen suchen.
Probleme lösen
Rational-Choice-Modelle beschreiben den Prozess der Bewertung und Auswahl zwischen Alternativen. Die Entscheidung für eine Vorgehensweise erfordert jedoch auch das, was Simon und Mitarbeiter (1992) als beschreiben PROBLEMLÖSUNG. Dies ist die Arbeit, Themen auszuwählen, die Aufmerksamkeit erfordern, Ziele zu setzen und geeignete Vorgehensweisen zu finden oder zu entscheiden. (Obwohl Manager wissen, dass sie Probleme haben, verstehen sie die Situation möglicherweise nicht gut genug, um ihre Aufmerksamkeit auf eine plausible Vorgehensweise zu lenken.) Wie bereits erwähnt, ist die Theorie der rationale Entscheidung hat seine Wurzeln hauptsächlich in den Wirtschaftswissenschaften, der Statistik und dem Operations Research und hat erst kürzlich die Aufmerksamkeit von Psychologen erhalten. Die Theorie und Methoden der Problemlösung haben eine ganz andere Geschichte. Problemlösung wurde ursprünglich hauptsächlich von Psychologen und in jüngerer Zeit von Forschern der künstlichen Intelligenz untersucht.
Empirische Untersuchungen haben gezeigt, dass der Prozess der Problemlösung für ein breites Spektrum von Aktivitäten mehr oder weniger auf die gleiche Weise abläuft. Erstens erfolgt die Problemlösung im Allgemeinen durch eine selektive Suche durch große Mengen von Möglichkeiten, wobei Faustregeln (Heuristiken) verwendet werden, um die Suche zu leiten. Da die Möglichkeiten in realistischen Problemsituationen praktisch unbegrenzt sind, würde eine Trial-and-Error-Suche einfach nicht funktionieren. Die Suche muss sehr selektiv sein. Eines der Verfahren, das häufig verwendet wird, um die Suche zu leiten, wird wie folgt beschrieben Berg steigen– Verwenden eines gewissen Maßes an Annäherung an das Ziel, um zu bestimmen, wo es am rentabelsten ist, als nächstes zu suchen. Ein weiteres und leistungsfähigeres gängiges Verfahren ist Mittel-Zweck-Analyse. Bei Verwendung dieser Methode vergleicht der Problemlöser die aktuelle Situation mit dem Ziel, erkennt Unterschiede zwischen ihnen und durchsucht dann den Speicher nach Aktionen, die den Unterschied wahrscheinlich verringern. Eine andere Sache, die man über das Problemlösen gelernt hat, insbesondere wenn der Löser ein Experte ist, ist, dass der Denkprozess des Lösers auf großen Mengen von Informationen beruht, die im Gedächtnis gespeichert sind und die abgerufen werden können, wann immer der Löser Hinweise erkennt, die seine Relevanz signalisieren.
Eine der Errungenschaften der zeitgenössischen Problemlösungstheorie war es, eine Erklärung für die Phänomene der Intuition und des Urteilsvermögens zu liefern, die häufig im Verhalten von Experten zu beobachten sind. Der Vorrat an Expertenwissen scheint in gewisser Weise zu sein indiziert durch die Erkennungshinweise, die es zugänglich machen. Kombiniert mit einigen grundlegenden Inferenzfähigkeiten (vielleicht in Form einer Mittel-Zweck-Analyse) wird diese Indizierungsfunktion vom Experten angewendet, um zufriedenstellende Lösungen für schwierige Probleme zu finden.
Die meisten Herausforderungen, mit denen Sicherheitsmanager konfrontiert sind, erfordern eine Art Problemlösung – zum Beispiel die Erkennung der zugrunde liegenden Ursachen eines Unfalls oder eines Sicherheitsproblems, um vorbeugende Maßnahmen zu ergreifen. Der von Hale et al. (1994) – siehe Abbildung 1 – gibt eine gute Beschreibung dessen, was in den Phasen der Lösung von Sicherheitsproblemen involviert ist. Offensichtlich ist es derzeit nicht möglich und möglicherweise nicht einmal wünschenswert, ein streng logisches oder mathematisches Modell für einen idealen Problemlösungsprozess in der gleichen Weise zu entwickeln, wie dies für Rational-Choice-Theorien verfolgt wurde. Diese Ansicht wird durch das Wissen um andere Schwierigkeiten in den realen Fällen der Problemlösung und Entscheidungsfindung gestützt, die unten diskutiert werden.
Schlecht strukturierte Probleme, Agenda-Setting und Framing
Im wirklichen Leben treten häufig Situationen auf, in denen der Problemlösungsprozess undurchsichtig wird, weil die Ziele selbst komplex und manchmal schlecht definiert sind. Was oft passiert, ist, dass die eigentliche Natur des Problems im Laufe der Exploration sukzessive transformiert wird. Soweit das Problem diese Merkmale aufweist, kann es als bezeichnet werden schlecht strukturiert. Typische Beispiele für Problemlösungsprozesse mit solchen Eigenschaften sind (1) die Entwicklung neuer Designs und (2) wissenschaftliche Entdeckungen.
Die Lösung schlecht definierter Probleme ist erst seit kurzem Gegenstand wissenschaftlicher Studien. Wenn Probleme schlecht definiert sind, erfordert der Problemlösungsprozess umfangreiches Wissen über Lösungskriterien sowie Wissen über die Mittel zum Erfüllen dieser Kriterien. Beide Arten von Wissen müssen im Laufe des Prozesses evoziert werden, und das evozieren der Kriterien und Einschränkungen verändert und formt die Lösung, die der Problemlösungsprozess anspricht, kontinuierlich um. Einige Forschungsarbeiten zur Problemstrukturierung und -analyse innerhalb von Risiko- und Sicherheitsfragen wurden veröffentlicht und können gewinnbringend untersucht werden. siehe zum Beispiel Rosenhead 1989 und Chicken und Haynes 1989.
Festlegen der Tagesordnung, der allererste Schritt des Problemlösungsprozesses, wird auch am wenigsten verstanden. Was ein Problem an die Spitze der Tagesordnung bringt, ist die Identifizierung eines Problems und die sich daraus ergebende Herausforderung, festzustellen, wie es so dargestellt werden kann, dass seine Lösung erleichtert wird; dies sind Themen, auf die sich erst seit kurzem Studien zu Entscheidungsprozessen konzentrieren. Die Aufgabe, eine Agenda festzulegen, ist von größter Bedeutung, da sowohl einzelne Menschen als auch menschliche Institutionen begrenzte Kapazitäten haben, um viele Aufgaben gleichzeitig zu bewältigen. Während einige Probleme die volle Aufmerksamkeit erhalten, werden andere vernachlässigt. Wenn plötzlich und unerwartet neue Probleme auftauchen (z. B. Brandbekämpfung), können sie eine geordnete Planung und Überlegung ersetzen.
Die Art und Weise, wie Probleme dargestellt werden, hat viel mit der Qualität der gefundenen Lösungen zu tun. Derzeit ist die Vertretung bzw Gestaltung von Problemen wird noch weniger gut verstanden als das Agenda-Setting. Ein Merkmal vieler Fortschritte in Wissenschaft und Technologie ist, dass eine Änderung des Rahmens einen völlig neuen Ansatz zur Lösung eines Problems mit sich bringt. Ein Beispiel für eine solche Änderung in der Problemdefinition in der Sicherheitswissenschaft in den letzten Jahren ist die Verlagerung des Fokus weg von den Details der Arbeitsabläufe hin zu den organisatorischen Entscheidungen und Bedingungen, die die gesamte Arbeitssituation schaffen – siehe zum Beispiel Wagenaar et al. (1994).
Entscheidungsfindung in Organisationen
Modelle der organisatorischen Entscheidungsfindung betrachten die Frage der Wahl als einen logischen Prozess, in dem Entscheidungsträger versuchen, ihre Ziele in einer geordneten Reihe von Schritten zu maximieren (Abbildung 2). Dieser Prozess ist im Prinzip derselbe für die Sicherheit wie für Entscheidungen zu anderen Themen, die die Organisation verwalten muss.
Abbildung 2. Der Entscheidungsprozess in Organisationen
Diese Modelle können als allgemeiner Rahmen für „rationale Entscheidungsfindung“ in Organisationen dienen; solche idealen Modelle haben jedoch mehrere Einschränkungen und lassen wichtige Aspekte von Prozessen aus, die tatsächlich stattfinden können. Einige der signifikanten Merkmale organisatorischer Entscheidungsprozesse werden im Folgenden erörtert.
Kriterien, die bei der Organisationsauswahl angewendet werden
Während Rational-Choice-Modelle damit beschäftigt sind, die optimale Alternative zu finden, können andere Kriterien bei organisatorischen Entscheidungen sogar noch relevanter sein. Wie von March und Simon (1993) beobachtet, suchen Organisationen aus verschiedenen Gründen nach zufrieden stellend statt optimal Lösungen
Laut March und Simon (1993) befassen sich die meisten menschlichen Entscheidungen, ob individuell oder in Organisationen, mit der Entdeckung und Auswahl von zufrieden stellend Alternativen. Nur in Ausnahmefällen geht es um die Entdeckung und Auswahl von optimal Alternativen. Im Sicherheitsmanagement reichen in der Regel befriedigende Alternativen in Bezug auf die Sicherheit aus, sodass eine gegebene Lösung eines Sicherheitsproblems festgelegte Standards erfüllen muss. Die typischen Randbedingungen, die häufig für optimale Sicherheitsentscheidungen gelten, sind wirtschaftliche Erwägungen wie: „Gut genug, aber so billig wie möglich“.
Programmierte Entscheidungsfindung
March und Simon (1993) untersuchten die Parallelen zwischen menschlicher Entscheidungsfindung und organisatorischer Entscheidungsfindung und argumentierten, dass Organisationen niemals vollkommen rational sein können, da ihre Mitglieder nur begrenzte Fähigkeiten zur Informationsverarbeitung haben. Es wird behauptet, dass Entscheidungsträger allenfalls begrenzte Formen der Rationalität erreichen können, weil sie (1) in der Regel auf der Grundlage unvollständiger Informationen handeln müssen, (2) nur eine begrenzte Anzahl von Alternativen zu einer bestimmten Entscheidung ausloten können, und (3) nicht in der Lage sind, den Ergebnissen genaue Werte zuzuordnen. March und Simon behaupten, dass die Grenzen menschlicher Rationalität in der Struktur und Funktionsweise unserer Organisationen institutionalisiert sind. Um den Entscheidungsprozess handhabbar zu machen, fragmentieren, routinisieren und begrenzen Organisationen den Entscheidungsprozess auf verschiedene Weise. Abteilungen und Arbeitseinheiten haben den Effekt, das Umfeld der Organisation zu segmentieren, Verantwortlichkeiten aufzuteilen und somit die Interessenbereiche und die Entscheidungsfindung von Managern, Vorgesetzten und Arbeitern zu vereinfachen. Organisatorische Hierarchien erfüllen eine ähnliche Funktion, indem sie Kanäle zur Problemlösung bereitstellen, um das Leben überschaubarer zu machen. Dadurch entsteht eine Aufmerksamkeits-, Interpretations- und Handlungsstruktur, die einen entscheidenden Einfluss auf die als „rational“ bewerteten Entscheidungen des einzelnen Entscheidungsträgers im organisationalen Kontext ausübt. March und Simon benannten diese organisierten Reaktionsreihen Leistungsprogramme, oder einfach Programme.. Der Begriff programm soll keine vollständige Starrheit bedeuten. Der Inhalt des Programms kann an eine große Anzahl von Merkmalen angepasst werden, die es initiieren. Das Programm kann auch von Daten abhängig sein, die von den auslösenden Stimuli unabhängig sind. Es heißt dann richtiger a Leistungsstrategie.
Eine Reihe von Aktivitäten wird in dem Maße als routinisiert angesehen, in dem die Wahl durch die Entwicklung einer festen Reaktion auf definierte Reize vereinfacht wurde. Wenn das Suchen weggefallen ist, aber die Auswahl in Form klar definierter systematischer Rechenroutinen verbleibt, wird die Tätigkeit als bezeichnet routiniert. Aktivitäten gelten insofern als nicht routiniert, als ihnen programmerarbeitende Aktivitäten problemlösender Art vorausgehen müssen. Die Unterscheidung von Hale et al. (1994) (oben diskutiert) zwischen den Ebenen Ausführung, Planung und Systemstruktur/Management haben ähnliche Auswirkungen auf die Strukturierung des Entscheidungsprozesses.
Die Programmierung beeinflusst die Entscheidungsfindung auf zweierlei Weise: (1) indem sie definiert, wie ein Entscheidungsprozess ablaufen soll, wer teilnehmen soll usw., und (2) indem sie Entscheidungen vorschreibt, die auf der Grundlage der vorliegenden Informationen und Alternativen zu treffen sind. Die Effekte der Programmierung sind einerseits positiv in dem Sinne, dass sie die Effizienz des Entscheidungsprozesses steigern können und dafür sorgen, dass Probleme nicht ungelöst bleiben, sondern strukturiert behandelt werden. Andererseits kann eine starre Programmierung die Flexibilität behindern, die gerade in der Problemlösungsphase eines Entscheidungsprozesses benötigt wird, um neue Lösungen zu generieren. Beispielsweise haben viele Fluggesellschaften feste Verfahren zur Behandlung gemeldeter Abweichungen, sogenannter Flight Reports oder Maintenance Reports, etabliert, die erfordern, dass jeder Fall von einer beauftragten Person geprüft wird und auf deren Grundlage eine Entscheidung über zu treffende vorbeugende Maßnahmen getroffen wird Vorfall. Manchmal kann die Entscheidung lauten, dass keine Maßnahmen ergriffen werden sollen, aber die Verfahren stellen sicher, dass eine solche Entscheidung vorsätzlich und nicht das Ergebnis von Fahrlässigkeit ist und dass ein verantwortlicher Entscheidungsträger an den Entscheidungen beteiligt ist.
Der Grad, in dem Aktivitäten programmiert sind, beeinflusst die Risikobereitschaft. Wagenaar (1990) behauptete, dass die meisten Unfälle Folgen von Routineverhalten ohne Risikobetrachtung seien. Das eigentliche Risikoproblem tritt auf höheren Ebenen in Organisationen auf, wo die unprogrammierten Entscheidungen getroffen werden. Aber Risiken werden meistens nicht bewusst eingegangen. Sie sind in der Regel das Ergebnis von Entscheidungen zu Themen, die nicht direkt mit der Sicherheit zusammenhängen, bei denen jedoch unbeabsichtigt Voraussetzungen für einen sicheren Betrieb beeinträchtigt wurden. Manager und andere hochrangige Entscheidungsträger sind daher häufiger Chancen für Risiken zulassen als Risikos eingehen.
Entscheidungsfindung, Macht und Interessenkonflikte
Die Fähigkeit, die Ergebnisse von Entscheidungsprozessen zu beeinflussen, ist eine allgemein anerkannte Machtquelle, die in der organisationstheoretischen Literatur beträchtliche Aufmerksamkeit auf sich gezogen hat. Da Organisationen in hohem Maße Entscheidungssysteme sind, kann ein Individuum oder eine Gruppe großen Einfluss auf die Entscheidungsprozesse der Organisation ausüben. Nach Morgan (1986) lassen sich die Arten von Macht, die bei der Entscheidungsfindung eingesetzt werden, in die folgenden drei miteinander verbundenen Elemente einteilen:
Einige Entscheidungsprobleme können einen Interessenkonflikt mit sich bringen – zum Beispiel zwischen Management und Mitarbeitern. Über die Definition dessen, was wirklich das Problem ist, kann es zu Meinungsverschiedenheiten kommen – was Rittel und Webber (1973) als „böse“ Probleme bezeichneten, die von Problemen zu unterscheiden sind, die in Bezug auf die Einholung von Zustimmung „zahm“ sind. In anderen Fällen können sich die Parteien auf die Problemdefinition einigen, aber nicht darauf, wie das Problem gelöst werden soll, oder was akzeptable Lösungen oder Kriterien für Lösungen sind. Die Einstellungen oder Strategien der Konfliktparteien bestimmen nicht nur ihr Problemlösungsverhalten, sondern auch die Aussichten, durch Verhandlungen zu einer akzeptablen Lösung zu gelangen. Wichtige Variablen sind, wie die Parteien versuchen, ihre eigenen Bedenken im Vergleich zu den Bedenken der anderen Partei zu befriedigen (Abbildung 3). Eine erfolgreiche Zusammenarbeit setzt voraus, dass beide Seiten ihre eigenen Bedürfnisse durchsetzungsfähig vertreten, gleichzeitig aber auch bereit sind, die Bedürfnisse der anderen Seite gleichermaßen zu berücksichtigen.
Abbildung 3. Fünf Stile des Verhandlungsverhaltens
Eine weitere interessante Typologie, die auf dem Grad der Übereinstimmung zwischen Zielen und Mitteln basiert, wurde von Thompson und Tuden (1959) entwickelt (zitiert in Koopman und Pool 1991). Die Autoren schlugen vor, was eine „am besten passende Strategie“ sei, basierend auf dem Wissen über die Wahrnehmungen der Parteien bezüglich der Ursache des Problems und über die Präferenzen der Ergebnisse (Abbildung 4).
Abbildung 4. Eine Typologie der Problemlösungsstrategie
Wenn man sich über Ziele und Mittel einig ist, kann die Entscheidung kalkuliert – zum Beispiel von einigen Experten entwickelt – werden. Sind die Mittel zum angestrebten Zweck unklar, müssen diese Sachverständigen durch Beratung eine Lösung finden (Mehrheitsbeschluss). Bei Zielkonflikten ist eine Abstimmung zwischen den Beteiligten erforderlich. Fehlt es jedoch an Einigkeit über Ziele und Mittel, ist die Organisation wirklich gefährdet. Eine solche Situation erfordert eine charismatische Führung, die eine für die Konfliktparteien akzeptable Lösung „inspirieren“ kann.
Die Entscheidungsfindung im organisationalen Rahmen eröffnet damit Perspektiven, die weit über rationale Entscheidungen oder individuelle Problemlösungsmodelle hinausgehen. Entscheidungsprozesse müssen im Rahmen von Organisations- und Managementprozessen gesehen werden, wo das Konzept der Rationalität neue und andere Bedeutungen annehmen kann als diejenigen, die durch die Logik von Rational-Choice-Ansätzen definiert werden, die beispielsweise in Operations-Research-Modellen eingebettet sind. Die im Rahmen des Sicherheitsmanagements durchgeführte Entscheidungsfindung muss aus einer Perspektive betrachtet werden, die ein vollständiges Verständnis aller Aspekte der vorliegenden Entscheidungsprobleme ermöglicht.
Zusammenfassung und Schlussfolgerungen
Entscheidungsfindung kann allgemein als ein Prozess beschrieben werden, der von einer Ausgangssituation (Ausgangszustand) ausgeht, die Entscheidungsträger als von einer gewünschten Zielsituation (Zielzustand) abweichend wahrnehmen, obwohl sie nicht im Voraus wissen, wie sie den Ausgangszustand in den Ausgangszustand verändern können Zielzustand (Huber 1989). Der Problemlöser transformiert den Anfangszustand in den Zielzustand, indem er einen oder mehrere anwendet Betreiber, oder Aktivitäten zur Veränderung von Zuständen. Oft ist eine Reihe von Bedienern erforderlich, um die gewünschte Änderung herbeizuführen.
Die Forschungsliteratur zu diesem Thema gibt keine einfachen Antworten darauf, wie man Entscheidungen in Sicherheitsfragen trifft; Daher müssen die Methoden der Entscheidungsfindung rational und logisch sein. Die Rational-Choice-Theorie stellt eine elegante Vorstellung davon dar, wie optimale Entscheidungen getroffen werden. Innerhalb des Sicherheitsmanagements lässt sich die Rational-Choice-Theorie jedoch nicht ohne Weiteres anwenden. Die offensichtlichste Einschränkung ist das Fehlen gültiger und zuverlässiger Daten zu möglichen Entscheidungen sowohl im Hinblick auf Vollständigkeit als auch auf die Kenntnis der Folgen. Eine weitere Schwierigkeit ist das Konzept rational geht von einem Wohltäter aus, der sich je nach gewählter Perspektive in einer Entscheidungssituation unterscheiden kann. Dennoch kann der Rational-Choice-Ansatz hilfreich sein, um auf einige der Schwierigkeiten und Mängel der zu treffenden Entscheidungen hinzuweisen.
Oft besteht die Herausforderung nicht darin, eine kluge Wahl zwischen alternativen Maßnahmen zu treffen, sondern eine Situation zu analysieren, um herauszufinden, was wirklich das Problem ist. Bei der Analyse von Sicherheitsmanagementproblemen ist die Strukturierung oft die wichtigste Aufgabe. Das Verständnis des Problems ist eine Voraussetzung dafür, eine akzeptable Lösung zu finden. Das wichtigste Problem bei der Problemlösung besteht nicht darin, eine einzige überlegene Methode zu identifizieren, die es aufgrund der Vielzahl von Problemen in den Bereichen Risikobewertung und Sicherheitsmanagement wahrscheinlich nicht gibt. Vielmehr geht es darum, strukturiert vorzugehen und die getroffenen Analysen und Entscheidungen so zu dokumentieren, dass die Vorgehensweisen und Bewertungen nachvollziehbar sind.
Organisationen werden einen Teil ihrer Entscheidungsfindung durch programmierte Aktionen verwalten. Programmierung oder feste Verfahren für Routinen zur Entscheidungsfindung können im Sicherheitsmanagement sehr nützlich sein. Ein Beispiel ist der Umgang einiger Unternehmen mit gemeldeten Abweichungen und Beinaheunfällen. Programmierung kann ein effizienter Weg sein, Entscheidungsprozesse in der Organisation zu steuern, vorausgesetzt, dass die Sicherheitsaspekte und Entscheidungsregeln klar sind.
Im wirklichen Leben finden Entscheidungen in einem organisatorischen und sozialen Kontext statt, in dem manchmal Interessenkonflikte entstehen. Die Entscheidungsprozesse können durch unterschiedliche Wahrnehmungen der Probleme, der Kriterien oder der Akzeptanz vorgeschlagener Lösungen behindert werden. Sich des Vorhandenseins und der möglichen Auswirkungen von Interessenbindungen bewusst zu sein, ist hilfreich, um Entscheidungen zu treffen, die für alle Beteiligten akzeptabel sind. Das Sicherheitsmanagement umfasst eine Vielzahl von Problemen, je nachdem, welchen Lebenszyklus, welche Organisationsebene und welches Stadium der Problemlösung oder Gefahrenminderung ein Problem betrifft. In diesem Sinne ist die Entscheidungsfindung in Bezug auf Sicherheit in Bezug auf Umfang und Charakter ebenso umfassend wie die Entscheidungsfindung in allen anderen Managementfragen.
HAFTUNGSAUSSCHLUSS: Die ILO übernimmt keine Verantwortung für auf diesem Webportal präsentierte Inhalte, die in einer anderen Sprache als Englisch präsentiert werden, der Sprache, die für die Erstproduktion und Peer-Review von Originalinhalten verwendet wird. Bestimmte Statistiken wurden seitdem nicht aktualisiert die Produktion der 4. Auflage der Encyclopaedia (1998)."