Mangelndes Sicherheitsbewusstsein bei Betreibern von Maschinen an Wasserwegen
29.08.2017 -
Die Maschinenrichtlinie ist ein europäisches Gesetz, das nicht nur für Maschinen innerhalb von Fabriken gilt. Auch bewegliche Brücken, Schleusen sowie Rechen- oder Stauanlagen fallen in ihren Geltungsbereich. Doch das scheint deren Betreibern nicht wirklich bewusst zu sein.
Im Europäischen Wirtschaftsraum (EWR) gilt seit 1995 die Europäische Maschinenrichtlinie (MRL) in der aktuellen Version 2006/42/EG. Sie zielt darauf ab, dass nur noch sichere Maschinen nach einem einheitlichen Maßstab in Verkehr gebracht werden. Im Wesentlichen wird die Maschine durch vier Merkmale charakterisiert: Sie besteht aus einer Gesamtheit miteinander verbundener Teile. Zudem ist sie mit einem Antriebssystem ausgestattet. Ferner muss mindestens ein Teil der Maschine beweglich sein. Und schließlich ist sie für eine bestimmte Anwendung zusammengesetzt. Vor diesem Hintergrund fallen beispielsweise auch bewegliche Brücken, Schleusen sowie Rechen- oder Stauanlagen in den Geltungsbereich der Maschinenrichtlinie. Dem Maschinenbau-Sektor ist diese Tatsache mehr als 20 Jahre nach der Einführung der MRL bewusst. In anderen industriellen Bereichen, beispielsweise im Wasserbau, scheint dies nicht überall der Fall zu sein. Da die Maschinenrichtlinie ein europäisches Gesetz und daher nicht als Handlungsempfehlung zu verstehen ist, sollte sich diese Einstellung zeitnah ändern. Es geht somit um die Verantwortung und Haftung von Herstellern und Betreibern.
Sicherer Betrieb gemäß dem aktuellen Stand der Technik
Maschinen, die nach 1995 im EWR in Verkehr gebracht wurden, müssen die grundlegenden Sicherheits- und Gesundheitsschutz-Anforderungen aus der MRL erfüllen. Dass diese Rahmenbedingungen tatsächlich umgesetzt sind, wird vom Hersteller mit einem CE-Zeichen und einer EG-Konformitätserklärung bestätigt. Nach 1995 dürfen also Maschinen ohne CE-Zeichen nicht betrieben werden, was ebenso für die Schleusen und Brücken der Wasserwege gilt. Sie müssen ebenfalls dem Stand der Maschinenrichtlinie entsprechen, der zum Zeitpunkt des Inverkehrbringens – zum Beispiel bei der ersten Inbetriebnahme – gültig war.
Der Betreiber einer Schleuse oder Brücke ist hingegen zur Befolgung des Arbeitsschutzgesetzes (ArbSchG) verpflichtet und hat deshalb nachweislich sichere Bedingungen für das Arbeiten mit der Maschine zu schaffen. Das bedeutet, dass unter anderem regelmäßig eine Gefährdungsbeurteilung durchzuführen ist und dabei auch der aktuelle Stand der Technik berücksichtigt werden muss. Gemäß ArbSchG fällt eine Schleuse oder Brücke unter Arbeitsmittel, die vom Arbeitsgeber lediglich dann für die Benutzung bereitgestellt werden dürfen, wenn sie nach dem aktuellen Stand der Technik sicher betrieben werden können. Unter Umständen könnte sich daraus sogar ableiten, dass der Stand der Technik voranschreitet und die Schleuse oder Brücke aufgrund des ArbSchG modernisiert werden muss, obwohl das CE-Zeichen an der Maschine seine Gültigkeit nicht verloren hat.
Sicherheitsfunktionen spezifizieren, um Gefahrensituationen zu vermeiden
Als wichtige Konsequenz aus der MRL sind die Steuerungen von Schleusen und Brücken so zu konzipieren und zu bauen, dass keine Gefährdungssituationen auftreten können. Um diesen Nachweis zu erbringen, stehen die Normen DIN EN ISO 13849 und DIN EN 62061 zur Verfügung. Bei beiden handelt es sich um „harmonisierte“ Normen für die funktionale Sicherheit von Maschinen. Durch die Umsetzung einer harmonisierten Norm kommt das so genannte „Vermutungsprinzip“ zum Tragen. Das heißt es kann davon ausgegangen werden, dass die ursprüngliche Anforderung aus der Maschinenrichtlinie ausreichend realisiert und nachgewiesen ist.
Zur Erreichung des Zustands funktionaler Sicherheit umfasst die Steuerungstechnik unter anderem Sicherheitsfunktionen (SF). Solche SF sind für den Standard-Prozess nicht erforderlich. Sie greifen nur dann ein, wenn eine gefährliche Situation entsteht. Diese müssen die Sicherheitsfunktionen verhindern oder die Auswirkungen der Gefährdung auf ein vertretbares Maß verringern. Das Beispiel einer Schleusen-Signalisierung verdeutlicht den Sachverhalt: Sollte das rote Signal für „Schleuse gesperrt“ aktiviert sein, tatsächlich aber ein grünes Signal angezeigt werden, greift die Sicherheitssteuerung ein und schaltet die fehlerbehafteten Signalleuchten aus. In anderen Fällen sind zum Beispiel Aktoren wie Elektromotoren sicherheitsgerichtet abzuschalten. Die Sicherheitsfunktionen werden auf Basis der Gefährdungsermittlung und Risikobeurteilung bestimmt und spezifiziert. Eine solche Spezifikation beinhaltet die notwendige Funktionalität, den zu erreichenden sicheren Zustand beim Auslösen der SF, die Reaktionsgeschwindigkeit sowie ein Maß für die Zuverlässigkeit der Funktionalität; den SIL (Safety Integrity Level) oder PL (Performance Level).
Standard + Sicherheit = SPS-Lösung
Je nach Komplexität sind Schleusen und Brücken in der Regel durch einige Dutzend Sicherheitsfunktionen abgesichert. Die SF werden von einer speziellen, funktional sicheren Steuerung (F-SPS) ausgeführt. Sie arbeitet unabhängig von der Standard-SPS, die beispielsweise für die Steuerung des normalen Brückenprozesses zuständig ist. Phoenix Contact bietet mit dem RFC 470S PN 3TX eine SPS-Lösung, die sowohl die Standard- als auch die sichere Steuerung in einem Gehäuse vereint.
Als Beispiel für eine Sicherheitsfunktion sei die Definition „Senken der Brücke sperren, so lange das rote Schiffssignal nicht in beide Richtungen aktiviert ist“ genannt. Eine derartige SF lässt sich umsetzen, indem eine funktional sichere Steuerung (F-SPS) die Hydraulik an einer bestimmten Stelle so abschaltet, dass eine Sperrmechanik oder ein Hydraulikventil nicht mehr in die Freigabeposition verfahren werden kann. Auf diese Weise wird jedes Absenken der Brücke ausgeschlossen. Dazu benötigt die F-SPS eine unabhängige Aktorik oder den vorrangigen Zugriff auf die Aktorik, der nicht von der Standard-Steuerung umgangen werden kann. Die Brücke würde sich also erst dann bewegen, wenn die funktional sichere Steuerung dies zulässt.
Bauteile ohne Sicherheitskennwerte wiedersprechen MRL
Damit der rechnerische Nachweis hinsichtlich der Zuverlässigkeit der Sicherheitsfunktion (SIL oder PL) erbracht werden kann, sind Bauteile mit Sicherheitskennwerten einzusetzen. Bei Standard-Bauteilen stellen die jeweiligen Hersteller keine entsprechenden Kennwerte zur Verfügung. Komplexe elektronische Sicherheitsbauteile umfassen hingegen eine SIL- oder PL-Angabe, während bei einfacheren elektromechanischen Komponenten ein B10d-Wert angegeben wird. Doch es gibt immer noch Maschinenhersteller, die die Funktionalität einer Sicherheitsfunktion mit Standard-Bauteilen zu realisieren versuchen. Bei Betrachtung der Funktionalität der Bauteile ist dies möglich. Selbst wenn Ausnahmen vorhanden sein sollten, raten alle Experten strikt von einem solchen Vorgehen ab. Denn ohne belastbare Sicherheitskennwerte lässt sich die geforderte Zuverlässigkeit der SF nicht nachweisen. Somit wäre die harmonisierte Norm nicht erfüllt und die Anforderung aus der Maschinenrichtlinie nicht belegt. In Konsequenz darf kein CE-Zeichen angebracht und keine EG-Konformitätserklärung ausgestellt werden. Der Anwender würde die Maschine folglich widerrechtlich betreiben.
Erneuter Nachweis bei wesentlichen Veränderungen
Während des Lebenszyklus einer Maschine kann es passieren, dass im Laufe der Zeit neue oder verbesserte Funktionen benötigt werden und es daher zu einer Modernisierung oder einem Retrofit kommt. In diesem Fall sollte der Auftraggeber genau prüfen, wer die technische Verantwortung für die Maßnahmen trägt. Als Beispiel sei die Schleusen-Signalisierung angeführt: Hier werden vermehrt LED-Signalstrahler genutzt, um Strom zu sparen oder die Verfügbarkeit zu erhöhen. Die physikalischen Wirkungsprinzipien der Strahler unterscheiden sich allerdings beträchtlich von denen konventioneller Signalleuchten, sodass es andere Fehler- und Ausfallmöglichkeiten gibt. Da sich die LEDs anders verhalten als die bis dato verwendeten Lampen, eignet sich die bisherige Messtechnik zur Signalüberwachung oftmals nicht mehr. Im Fehlerfall kann eine LED sowohl einen Kurzschluss als auch eine Unterbrechung erzeugen, was eine andere Diagnose der Sicherheitsfunktion bedingt. Die einfache Strommessung mit einem Relais reicht hier nicht mehr aus. Der Einsatz von Signalstrahlern in LED-Technik erfordert also eine neue Bewertung der betroffenen SF.
Derjenige, der im eigenen Namen eine Maschine – wie eine Schleuse oder Brücke – „wesentlich verändert“ oder verändern lässt, wird zu ihrem Hersteller. Die EU-Kommission bestätigt diese Aussage im so genannten „Blue Guide“ explizit, was die nationale Gesetzgebung in § 2 ProdSG ebenfalls macht. Vereinfacht ausgedrückt ist eine Veränderung dann als „wesentlich“ anzusehen, sofern die bestehenden Schutzmaßnahmen an der Applikation aufgrund der Veränderung nicht mehr genügen und mit einfachen Schutzmaßnahmen nicht verbessert/ergänzt werden können. Aus Sicht der EU-Kommission und des nationalen Gesetzgebers entsteht in diesem Fall eine neue Schleuse oder Brücke und derjenige, der für diese Veränderung Verantwortung trägt, ist ebenfalls für den erneuten Nachweis der Umsetzung der MRL zuständig.
Kontakt
Phoenix Contact GmbH & Co.KG
Flachsmarktstr. 8
32825 Blomberg
Nordrhein-Westfalen, Deutschland
+49 5235 341 713
+49 5235 341 825