Sicherheit von Anfang an

„Der Maschinenbau ist ein wichtiger technischer Teilsektor und einer der industriellen Kernbereiche der Wirtschaft in der Gemeinschaft. Die sozialen Kosten der durch den Umgang mit den Maschinen unmittelbar hervorgerufenen zahlreichen Unfälle lassen sich verringern, wenn der Aspekt der Sicherheit in die Konstruktion und den Bau von Maschinen einbezogen wird und wenn Maschinen sachgerecht installiert und gewartet werden." Diese Passage des Richtlinientextes des europäischen Parlaments und des Rates über Maschinen betont die Folgen des Inverkehrbringens und Betreibens von nicht sicheren Maschinen für die Gesellschaft. Ethische Gründe und die Verantwortung für das herstellende Unternehmen sind weitere wesentliche Triebfedern für die Entwicklung, Konstruktion und Fertigung sicherer Maschinen, wie Falko Riedel im Trendteil „ Industrial Control" ausführt.

Die Verantwortung für das herstellende Unternehmen umfasst die Minimierung der Produkthaftungsrisiken, die Festigung der Marktposition sowie die Effizienz der Entwicklung von Maschinen und technischen Systemen. Die Produkthaftung – im Codex Hammurqabi 1740 v. Chr. zum ersten Mal schriftlich festgehalten – sanktionierte von jeher das Inverkehrbringen von unsicheren Gütern oder Leistungen mit hohen Strafen. Die Anforderung, sichere Systeme zu entwickeln, zu bauen und auszuliefern, ist deshalb nicht neu und dürfte kein herstellendes Unternehmen überraschen. Insofern wird die neue Maschinenrichtlinie die Hersteller auch vor keine neuen Herausforderungen stellen, die den Aspekt der Sicherheit von vornherein in die Entwicklung von Maschinen und technischen System integrieren. Denn dies fordert nicht nur die Maschinenrichtlinie explizit an mehreren Stellen.

In den „Grundsätzen für die Integration der Sicherheit" formuliert die Maschinenrichtlinie, dass Maschinen so zu konstruieren seien, dass sie ihrer Funktion gerecht werden und unter Berücksichtigung einer vernünftigerweise vorhersehbaren Fehlanwendung sicher genutzt werden können. Widersprüchlich dazu heißt es im selben Absatz: „Die getroffenen Maßnahmen müssen darauf abzielen, Risiken während der voraussichtlichen Lebensdauer der Maschine zu beseitigen,…".

In der noch bis zum 29.12.2009 geltenden Maschinenrichtlinie wird eine Gefahrenanalyse gefordert, in der neuen Maschinerichtlinie hingegen eine Risikobeurteilung. Entscheidend ist dabei, dass Maschinen unter Berücksichtigung der Sicherheitsaspekte konzipiert, entwickelt und gebaut werden müssen und dass die Beurteilung und Bewertung der Risken nicht nach Abschluss der Konstruktion erfolgen darf.

Gefahren- oder Gefährdungsanalyse?

In der Regel stützten sich die Entwicklungsingenieure und Konstrukteure auf ihr tradiertes Wissen, ihre langjährige Erfahrung, ausgefeilte Berechnungsverfahren wie der Finite-Elemente-Methode sowie auf Simulationen und Erprobung. Dabei war es landläufige Praxis, nach Konstruktion und Bau von Maschinen die Restrisiken anhand einer Gefährdungsliste zu ermitteln und die Anforderungen für die CE-Konformität formal zu erfüllen. Das Ergebnis waren weit gehend sichere Maschinen, deren Restrisiken jedoch nicht immer konstruktiv beseitigt wurden, zumeist aus ökonomischen Gründen. Stattdessen vermehrte sich die Anzahl der Warnzeichen an den Maschinen, die Sicherheitskapitel in den Betriebsanleitungen nahmen gewaltig an Umfang zu, zuweilen wurden, soweit ökonomisch vertretbar, zusätzliche Sicherheitseinrichtungen installiert.

Dieses Vorgehen ist weniger analytisch als konstatierend, es entspricht nicht der geforderten Gefahrenanalyse oder Risikobewertung, sondern der Gefährdungsanalyse des Betreibers, der allerdings zu Recht von der Lieferung einer sicheren Maschine ausgehen kann. In den meisten Fällen wird die Durchführung der Gefährdungsanalyse einem einzelnen Mitarbeiter übertragen, der die komplexen Zusammenhänge mechatronischer Systeme allein nicht durchschauen und bewerten kann.

Dieses tradierte Vorgehen koppelt die Sicherheitsaspekte von der Konzeption, Entwicklung und Konstruktion ab, statt sie von vornherein in das Qualitätsmanagement zu integrieren. Die Folgen für Hersteller, Betreiber und Dritte können gravierend sein. Gondeln von Windkraftanlagen sind trotz aller sorgfältigen Berechnungen ausgebrannt, weil Lager und Getriebe den Brand in den mit Löschzügen nicht erreichbaren Gondeln verursachten. Eine Gefährdungsanalyse wird dieses Risiko nicht aufspüren, weil sie nur das zeitliche und räumliche Zusammentreffen von Menschen mit bestimmten Gefahren untersucht. So könnte die Gefährdungsanalyse zwar vor Verbrennungen des Wartungspersonals an heißen Oberflächen warnen, aber nicht die Risiken der Brandgefahr ermitteln.

Welche katastrophalen Auswirkungen unzulängliche Analysen verursachen können, zeigt das Unglück der Kaprun Bergseilbahn, bei dem 155 Menschen ums Leben gekommen sind. Angeklagt waren in erster Instanz drei leitende Mitarbeiter der Gletscherbahn, zwei Angestellte der Herstellerfirma der Wagenaufbauten, zwei Monteure und ein Hydrauliker des Herstellers der Bremsanlage, zwei Mitarbeiter des TÜV und drei Beamte des österreichischen Verkehrsministeriums wegen fahrlässiger Herbeiführung einer Feuersbrunst. Alle Angeklagten wurden freigesprochen, da niemand das Brandrisiko in der Seilbahn habe vorhersehen können, denn einen vergleichbaren Unfall habe es vorher noch nicht gegeben. So argumentierten die Richter. In den österreichischen Vorschriften für den Seilbahnbau gab es bis zum Unglückstag keine Brandverhütungsvorschriften. Brand in der Seilbahn war kein Gefahrenthema, da man in der hundertjährigen Geschichte der Seilbahnen nur Brand in den Stationen kannte.

Um solche Risiken und Gefahren zu ermitteln und deren Folgen abschätzen zu können, muss die richtige Analyse-Methode ausgewählt und diese konsequent, systematisch angewendet werden. Im Falle der Kaprun Bergseilbahn verwiesen die Richter zwar auf die Markt- und Produktbeobachtung, die keine Hinweise ergeben hätten. Aber sowohl Hersteller als auch Betreiber hätten bei der Berücksichtung einer vorhersehbaren Fehlanwendung ein Brandrisiko erkennen können. Die Seilbahn verfügte über keine Heizung, auch nicht für die Führerstände. Bei dauernden Minustemperaturen und Dienst von mehreren Stunden liegt nahe, dass das Personal zusätzliche Wärmequellen verlangt und diese eingebaut werden. Je nach Ausführung dieser Wärmequelle wird dadurch auch eine Zündquelle geschaffen. Es liegt noch eine weitere vorhersehbare Fehlanwendung nahe: Rauchen trotz Rauchverbots in der Seilbahn und Entzündung von synthetischer Skikleidung. Dieses Fehlerhalten hätte sogar mit einer Gefährdungsanalyse entdeckt werden können.

Die Gefährdungsanalyse weist nicht nur Schwächen im Aufspüren von Risiken auf, sondern sie vernachlässigt auch die Ursachen der Gefahren. Mit ihrer Anwendung können daher nur schwerlich Verbesserungsmaßnahmen entwickelt werden. Die Methoden der Gefahrenanalyse oder Risikobewertung sind nirgends festgelegt, ihre grundlegenden Elemente aber in der Maschinenrichtlinie und in den Normen genannt:

· Definieren der Grenzen der Maschine;

· Identifizieren der Risiken;

· Ermitteln der Auswirkungen der Risiken;

· Ermitteln der Auftretenswahrscheinlichkeit der Gefahr;

· Bewertung der Risiken;

· Entwickeln von Maßnahmen zur Risikominderung (konstruktiv, kapselnd, organisatorisch oder verhaltenssteuernd).

Die Team-Methode zur Analyse

In der Konzeptionsphase der Maschinenentwicklung können die Risiken mit einer vorläufigen Gefahrenanalyse (PHA) ermittelt werden, die sich mit der Konkretisierung der Lösung fortschreiben lässt. Hierbei wird über die Technologie und deren elementaren Risiken entschieden. In der folgenden Entwurfsphase befindet man über die Risken der spezifischen Lösung. Dazu bietet sich die Fehler-Möglichkeiten-Einfluss-Analyse (FMEA) an, die weltweit als Stand der Technik und der Wissenschaft akzeptiert ist. Entwickelt in der Raumfahrt, wird diese Methode seit Langem in der Luftfahrt und Automobilindustrie angewandt, um die hohen Risiken zu mindern. Die FMEA ist eine Team-Methode, die alle Experten eines Bereichs zusammenführt, Ursachen für mögliche Fehler bzw. Risiken ermittelt und zu kreativen Verbesserungsmaßnahmen führt, deren Optimierungspotenzial erneut bewertet wird. Die FMEA kann vertieft werden durch eine Fehlerbaumanalyse zur Ermittlung kritischer Komponenten und zur Entwicklung diversitärer oder redundanter Sicherheit. Die Produkt-FMEA bezieht von vornherein alle Sicherheitsaspekte mit ein, ausdrücklich auch das Verhalten des Transport-, Bedien- und Wartungspersonals, und wird mit Verfeinerung des Entwurfs und der endgültigen Lösung fortge-schrieben – wenn die Praxis neue Erkenntnisse schafft auch noch in der Nutzungsphase.

Obwohl die Methoden zur Entwicklung von sicheren Maschinen bekannt sind, werden sie nur selten angewendet. Der hohe Aufwand für die ersten Analysen schreckt viele Hersteller ab. Damit gehen diese Unternehmen aber nicht nur ein hohes Produkthaftungsrisiko ein, sondern sie vergeben auch die Chance der methodischen und damit der effizienten Entwicklung. In der richtigen Phase genutzt, schützt die Anwendung der genannten Methoden vor unzähligen, ungeplanten Überarbeitungen und nachträglichen teuren Änderungen. Sie ermöglichen differenzierte Marketingstrategien gegenüber Mitbewerbern und ihren Maschinen mit geringerem Sicherheitsstandard. Bei der Entwicklung von Produktfamilien und neuen Modellen profitiert das Entwicklungsteam zudem von der systematischen Vorgehensweise und muss nur noch das „Delta" zu den Vorläufern betrachten.

Das Vorgehen kann in der Produktsicherheitspolitik innerhalb des Total-Quality-Managements eines Unternehmens zusammengefasst werden. Diese formuliert die Sicherheitsstrategie zur Identifizierung, Reduzierung, Übertragung und vertraglichen Abwehr von Produkt-risiken sowie die entsprechenden taktischen Maßnahmen. Verantwortlich für die Produkt-sicherheit kann ein Produkt-Komitee sein, wie es in der Automobilindustrie eingeführt ist, mit Zugang zum Top-Management, zusammengesetzt aus Vertretern aller Abteilungen mit Einfluss auf Konzeption, Entwicklung, Konstruk-tion, Fertigung und Nutzung.