56. Unfallverhütung
Kapitel-Editor: Jorma Saari
Einleitung
Jorma Saari
Konzepte der Unfallanalyse
Kirsten Jörgensen
Theorie der Unfallursachen
Abdul Rauf
Menschliche Faktoren in der Unfallmodellierung
Anne-Marie Feyer und Ann M. Williamson
Unfallmodelle: Risikohomöostase
Gerald JS Wilde
Unfallmodellierung
Andrew R. Hale
Unfallablaufmodelle
Ragnar Andersson
Unfallabweichungsmodelle
Urban Kjellén
MAIM: Das Unfallinformationsmodell von Merseyside
Harry S. Shannon und John Davies
Grundsätze der Prävention: Der Ansatz der öffentlichen Gesundheit zur Reduzierung von Verletzungen am Arbeitsplatz
Gordon S. Smith und Mark A. Veazie
Theoretische Grundlagen der Arbeitssicherheit
Reinal Skiba
Grundsätze der Prävention: Sicherheitshinweise
Mark R. Lehto und James M. Miller
Arbeitsbedingte Unfallkosten
Diego Andréoni
Klicken Sie unten auf einen Link, um die Tabelle im Artikelkontext anzuzeigen.
1. Taxonomien zur Klassifizierung von Abweichungen
2. Die Haddon-Matrix gilt für Kraftfahrzeugverletzungen
3. Haddons zehn Gegenmaßnahmenstrategien für den Bau
4. Dem Unfallablauf zugeordnete Sicherheitsinformationen
5. Empfehlungen innerhalb ausgewählter Warnsysteme
Zeigen Sie auf eine Miniaturansicht, um die Bildunterschrift anzuzeigen, klicken Sie, um die Abbildung im Artikelkontext anzuzeigen.
57. Audits, Inspektionen und Untersuchungen
Kapitel-Editor: Jorma Saari
Sicherheitsaudits und Managementaudits
Johan van de Kerckhove
Gefahrenanalyse: Das Unfallursachenmodell
Jop Gröneweg
Hardware-Gefahren
Carsten D. Grönberg
Gefahrenanalyse: Organisatorische Faktoren
Urban Kjellén
Arbeitsplatzinspektion und behördliche Durchsetzung
Anthony Linehan
Analyse und Berichterstattung: Unfalluntersuchung
Michel Monteau
Berichterstattung und Erstellung von Unfallstatistiken
Kirsten Jörgensen
Klicken Sie unten auf einen Link, um die Tabelle im Artikelkontext anzuzeigen.
1. Strata in der Qualitäts- und Sicherheitspolitik
2. Elemente des PAS-Sicherheitsaudits
3. Bewertung von Methoden zur Verhaltenskontrolle
4. Allgemeine Fehlertypen und -definitionen
5. Konzepte des Unfallphänomens
6. Variablen, die einen Unfall charakterisieren
Zeigen Sie auf eine Miniaturansicht, um die Bildunterschrift anzuzeigen, klicken Sie, um die Abbildung im Artikelkontext anzuzeigen.
58. Sicherheitsanwendungen
Kapitel-Editoren: Kenneth Gerecke und Charles T. Pope
Systemanalyse
Manh Trung Ho
Sicherheit von Hand- und tragbaren Elektrowerkzeugen
US-Arbeitsministerium – Arbeitsschutzbehörde; herausgegeben von Kenneth Gerecke
Bewegliche Teile von Maschinen
Tomas Backström und Marianne Döös
Maschinenschutz
US-Arbeitsministerium – Arbeitsschutzbehörde; herausgegeben von Kenneth Gerecke
Präsenzmelder
Paul Schreiber
Geräte zum Steuern, Trennen und Schalten von Energie
René Troxler
Sicherheitsrelevante Anwendungen
Dietmar Reinert und Karlheinz Meffert
Software und Computer: Hybride automatisierte Systeme
Waldemar Karwowski und Jozef Zurada
Grundsätze für die Gestaltung sicherer Steuerungssysteme
Georg Vondracek
Sicherheitsprinzipien für CNC-Werkzeugmaschinen
Toni Retsch, Guido Schmitter und Albert Marty
Sicherheitsprinzipien für Industrieroboter
Toni Retsch, Guido Schmitter und Albert Marty
Elektrische, elektronische und programmierbare elektronische sicherheitsbezogene Steuerungssysteme
Ron Glocke
Technische Anforderungen an sicherheitsbezogene Systeme basierend auf elektrischen, elektronischen und programmierbaren elektronischen Geräten
John Brazendale und Ron Bell
Roll
Bengt Springfeldt
Stürze von Erhebungen
Jean Artau
Enge Räume
Neil McManus
Grundsätze der Prävention: Materialhandhabung und interner Verkehr
Kari Häkkinen
Klicken Sie unten auf einen Link, um die Tabelle im Artikelkontext anzuzeigen.
1. Mögliche Fehlfunktionen eines Zwei-Tasten-Steuerkreises
2. Maschinenschutz
3. Geräte
4. Fütterungs- und Auswurfmethoden
5. Kombinationen von Schaltungsstrukturen in Maschinensteuerungen
6. Sicherheitsintegritätslevel für Schutzsysteme
7. Softwaredesign und -entwicklung
8. Sicherheitsintegritätslevel: Komponenten vom Typ B
9. Integritätsanforderungen: Elektronische Systemarchitekturen
10 Stürze von Erhebungen: Quebec 1982-1987
11Typische Absturzsicherungs- und Absturzsicherungssysteme
12 Unterschiede zwischen Sturzprävention und Sturzsicherung
13 Musterformular zur Beurteilung von Gefährdungsbedingungen
14 Eine Muster-Einreiseerlaubnis
Zeigen Sie auf eine Miniaturansicht, um die Bildunterschrift anzuzeigen, klicken Sie, um die Abbildung im Artikelkontext anzuzeigen.
59. Sicherheitspolitik und Führung
Kapitel-Editor: Jorma Saari
Sicherheitspolitik, Führung und Kultur
Dan Petersen
Sicherheitskultur und -management
Marcel Simard
Organisationsklima und Sicherheit
Nicole Dedobbeleer und François Béland
Partizipatorischer Prozess zur Verbesserung des Arbeitsplatzes
Jorma Saari
Methoden der Sicherheitsentscheidung
Terje Sten
Risikowahrnehmung
Bernhard Zimolong und Rüdiger Trimpop
Risikoakzeptanz
Rüdiger Trimpop und Bernhard Zimolong
Klicken Sie unten auf einen Link, um die Tabelle im Artikelkontext anzuzeigen.
1. Maßnahmen zum Sicherheitsklima
2. Tuttava & andere Programm-/Technikunterschiede
3. Ein Beispiel für bewährte Arbeitspraktiken
4. Leistungsziele einer Druckfarbenfabrik
Zeigen Sie auf eine Miniaturansicht, um die Bildunterschrift anzuzeigen, klicken Sie, um die Abbildung im Artikelkontext anzuzeigen.
60. Sicherheitsprogramme
Kapitelherausgeber: Jorma Saari
Arbeitsschutzforschung: Ein Überblick
Herbert I. Linn und Alfred A. Amendola
Regierungsdienste
Anthony Linehan
Sicherheitsdienste: Berater
Dan Petersen
Implementierung eines Sicherheitsprogramms
Tom B. Leamon
Erfolgreiche Sicherheitsprogramme
Tom B. Leamon
Sicherheitsanreizprogramme
Gerald JS Wilde
Sicherheitsförderung
Thomas W. Planek
Fallstudie: Arbeitsschutzkampagnen auf nationaler Ebene in Indien
KC Gupta
Klicken Sie unten auf einen Link, um die Tabelle im Artikelkontext anzuzeigen.
1. OBM- vs. TQM-Modelle der Mitarbeitermotivation
2. Indische Fabriken: Beschäftigung & Verletzungen
Zeigen Sie auf eine Miniaturansicht, um die Bildunterschrift anzuzeigen, klicken Sie, um die Abbildung im Artikelkontext anzuzeigen.
Dieser Artikel untersucht die Rolle menschlicher Faktoren im Unfallverursachungsprozess und überprüft die verschiedenen vorbeugenden Maßnahmen (und ihre Wirksamkeit), durch die menschliches Versagen kontrolliert werden kann, und ihre Anwendung auf das Unfallverursachungsmodell. Menschliches Versagen ist eine wichtige Mitursache bei mindestens 90 % aller Industrieunfälle. Während auch rein technische Fehler und unkontrollierbare physikalische Umstände zur Unfallverursachung beitragen können, ist menschliches Versagen die wichtigste Fehlerquelle. Die zunehmende Komplexität und Zuverlässigkeit von Maschinen führt dazu, dass der Anteil der Unfallursachen, die auf menschliches Versagen zurückzuführen sind, zunimmt, wenn die absolute Zahl der Unfälle abnimmt. Menschliches Versagen ist auch die Ursache für viele dieser Vorfälle, die zwar nicht zu Verletzungen oder zum Tod führen, aber dennoch einen erheblichen wirtschaftlichen Schaden für ein Unternehmen nach sich ziehen. Als solches stellt es ein wichtiges Ziel für die Prävention dar und wird zunehmend an Bedeutung gewinnen. Für effektive Sicherheitsmanagementsysteme und Risikoidentifikationsprogramme ist es wichtig, die menschliche Komponente durch die Verwendung einer allgemeinen Fehlertypanalyse effektiv identifizieren zu können.
Die Natur des menschlichen Versagens
Menschliches Versagen kann als das Versäumnis angesehen werden, ein Ziel aufgrund von unbeabsichtigtem oder beabsichtigtem Verhalten aus lokaler oder breiterer Perspektive so zu erreichen, wie es geplant war. Diese geplanten Maßnahmen können aus den folgenden vier Gründen möglicherweise nicht die gewünschten Ergebnisse erzielen:
1. Unbeabsichtigtes Verhalten:
2. Absichtliches Verhalten:
Abweichungen können in drei Klassen eingeteilt werden: Fertigkeits-, Regel- und wissensbasierte Fehler.
In manchen Situationen ist der Begriff menschliche Begrenzung wäre passender als menschliches Versagen. Auch der Voraussehbarkeit des zukünftigen Verhaltens komplexer Systeme sind Grenzen gesetzt (Gleick 1987; Casti 1990).
Das Modell von Reason und Embrey, das Generic Error Modeling System (GEMS) (Reason 1990), berücksichtigt die Fehlerkorrekturmechanismen auf der Fähigkeits-, Regel- und Wissensebene. Eine Grundannahme von GEMS ist, dass Alltagsverhalten Routineverhalten impliziert. Das Routineverhalten wird regelmäßig überprüft, aber zwischen diesen Rückkopplungsschleifen läuft das Verhalten völlig automatisch ab. Da das Verhalten geschicklichkeitsbasiert ist, sind die Fehler Ausrutscher. Wenn das Feedback eine Abweichung vom gewünschten Ziel zeigt, wird eine regelbasierte Korrektur angewendet. Das Problem wird auf der Grundlage verfügbarer Symptome diagnostiziert, und eine Korrekturregel wird automatisch angewendet, wenn die Situation diagnostiziert wird. Wenn die falsche Regel angewendet wird, liegt ein Fehler vor.
Wenn die Situation völlig unbekannt ist, werden wissensbasierte Regeln angewendet. Die Symptome werden im Lichte des Wissens über das System und seine Komponenten untersucht. Diese Analyse kann zu einer möglichen Lösung führen, deren Umsetzung einen Fall von wissensbasiertem Verhalten darstellt. (Es ist auch möglich, dass das Problem nicht auf eine vorgegebene Weise gelöst werden kann und weitere wissensbasierte Regeln angewendet werden müssen.) Alle Fehler auf dieser Ebene sind Fehler. Verstöße werden begangen, wenn eine bestimmte Regel angewendet wird, die bekanntermaßen unangemessen ist: Der Arbeitnehmer denkt möglicherweise, dass die Anwendung einer alternativen Regel weniger zeitaufwändig oder für die gegenwärtige, wahrscheinlich außergewöhnliche Situation möglicherweise besser geeignet ist. Die böswilligere Klasse von Verstößen betrifft Sabotage, ein Thema, das nicht im Rahmen dieses Artikels liegt. Wenn Organisationen versuchen, menschliche Fehler zu eliminieren, sollten sie berücksichtigen, ob die Fehler auf der Fähigkeits-, Regel- oder Wissensebene liegen, da jede Ebene ihre eigenen Techniken erfordert (Groeneweg 1996).
Beeinflussung des menschlichen Verhaltens: Ein Überblick
Ein oft gemachter Kommentar zu einem bestimmten Unfall lautet: „Vielleicht war es der Person damals nicht bewusst, aber wenn sie nicht auf eine bestimmte Weise gehandelt hätte, wäre der Unfall nicht passiert.“ Ein Großteil der Unfallverhütung zielt darauf ab, den entscheidenden Teil menschlichen Verhaltens zu beeinflussen, auf den in dieser Bemerkung angespielt wird. In vielen Sicherheitsmanagementsystemen zielen die vorgeschlagenen Lösungen und Richtlinien darauf ab, das menschliche Verhalten direkt zu beeinflussen. Es kommt jedoch sehr selten vor, dass Organisationen bewerten, wie effektiv solche Methoden wirklich sind. Psychologen haben sich viele Gedanken darüber gemacht, wie menschliches Verhalten am besten beeinflusst werden kann. In diesem Zusammenhang werden die folgenden sechs Möglichkeiten zur Kontrolle menschlicher Fehler dargelegt und eine Bewertung der relativen Wirksamkeit dieser Methoden zur langfristigen Kontrolle menschlichen Verhaltens durchgeführt (Wagenaar 1992). (Siehe Tabelle 1.)
Tabelle 1. Sechs Möglichkeiten, sicheres Verhalten herbeizuführen, und Bewertung ihrer Kosteneffizienz
Nein. |
Art der Beeinflussung |
Cost |
Langzeiteffekt |
Beurteilung |
1 |
Kein sicheres Verhalten herbeiführen, |
High |
Sneaker |
schlecht |
2 |
Sagen Sie den Beteiligten, was zu tun ist. |
Sneaker |
Sneaker |
Medium |
3 |
Belohnen und bestrafen. |
Medium |
Medium |
Medium |
4 |
Motivation und Bewusstsein steigern. |
Medium |
Sneaker |
schlecht |
5 |
Wählen Sie geschultes Personal aus. |
High |
Medium |
Medium |
6 |
Ändern Sie die Umgebung. |
High |
High |
Gutes |
Versuchen Sie nicht, sicheres Verhalten herbeizuführen, sondern machen Sie das System „idiotensicher“.
Die erste Möglichkeit besteht darin, das Verhalten der Menschen nicht zu beeinflussen, sondern den Arbeitsplatz so zu gestalten, dass das, was der Mitarbeiter tut, zu keinerlei unerwünschten Ergebnissen führt. Es muss anerkannt werden, dass Designer dank des Einflusses von Robotik und Ergonomie die Benutzerfreundlichkeit von Arbeitsplatzeinrichtungen erheblich verbessert haben. Es ist jedoch fast unmöglich, all die unterschiedlichen Verhaltensweisen vorherzusehen, die Menschen zeigen können. Außerdem betrachten Arbeiter sogenannte narrensichere Designs oft als Herausforderung, um „das System zu schlagen“. Da Designer schließlich selbst Menschen sind, können sogar sehr sorgfältig konstruierte Geräte Fehler aufweisen (z. B. Petroski 1992). Der zusätzliche Nutzen dieses Ansatzes im Vergleich zu bestehenden Gefahrenstufen ist marginal, und in jedem Fall können die anfänglichen Konstruktions- und Installationskosten exponentiell ansteigen.
Sagen Sie den Beteiligten, was zu tun ist
Eine andere Möglichkeit besteht darin, alle Mitarbeiter über jede einzelne Aktivität zu unterrichten, um ihr Verhalten vollständig unter die Kontrolle des Managements zu bringen. Dies erfordert ein umfangreiches und nicht sehr praktisches Aufgabeninventar und ein Anweisungssteuerungssystem. Da jegliches Verhalten deautomatisiert ist, werden Ausrutscher und Versäumnisse weitgehend eliminiert, bis die Anweisungen Teil der Routine werden und der Effekt nachlässt.
Es hilft nicht viel, den Menschen zu sagen, dass das, was sie tun, gefährlich ist – die meisten Menschen wissen das sehr gut –, weil sie ihre eigenen Entscheidungen bezüglich des Risikos treffen werden, ungeachtet aller Versuche, sie vom Gegenteil zu überzeugen. Ihre Motivation dafür wird sein, ihre Arbeit zu erleichtern, Zeit zu sparen, Autoritäten herauszufordern und vielleicht ihre eigenen Karriereaussichten zu verbessern oder eine finanzielle Belohnung zu fordern. Mitarbeiter zu unterweisen ist relativ billig, und die meisten Organisationen haben vor Beginn einer Tätigkeit Schulungen. Jenseits eines solchen Unterrichtssystems wird die Wirksamkeit dieses Ansatzes jedoch als gering eingeschätzt.
Belohnen und bestrafen
Obwohl Belohnungs- und Bestrafungspläne mächtige und sehr beliebte Mittel sind, um menschliches Verhalten zu kontrollieren, sind sie nicht ohne Probleme. Die Belohnung funktioniert nur dann am besten, wenn der Empfänger die Belohnung zum Zeitpunkt des Erhalts als wertvoll empfindet. Bestrafungsverhalten, das außerhalb der Kontrolle eines Mitarbeiters liegt (ein Ausrutscher), ist nicht wirksam. Beispielsweise ist es kostengünstiger, die Verkehrssicherheit zu verbessern, indem die Bedingungen des Verkehrsverhaltens geändert werden, als durch öffentliche Kampagnen oder Straf- und Belohnungsprogramme. Selbst eine Erhöhung der Wahrscheinlichkeit, „erwischt“ zu werden, ändert nicht zwangsläufig das Verhalten einer Person, da die Möglichkeiten für einen Regelverstoß ebenso bestehen bleiben wie die Herausforderung eines erfolgreichen Verstoßes. Wenn die Situationen, in denen Menschen arbeiten, diese Art von Übertretung einladen, werden Menschen automatisch das unerwünschte Verhalten wählen, egal wie sie bestraft oder belohnt werden. Die Wirksamkeit dieses Ansatzes wird als mittelmäßig eingestuft, da es sich in der Regel um eine kurzfristige Wirksamkeit handelt.
Motivation und Bewusstsein steigern
Manchmal wird angenommen, dass Menschen Unfälle verursachen, weil sie nicht motiviert sind oder sich der Gefahr nicht bewusst sind. Diese Annahme ist falsch, wie Studien gezeigt haben (zB Wagenaar und Groeneweg 1987). Darüber hinaus handeln Arbeitnehmer, selbst wenn sie in der Lage sind, Gefahren genau einzuschätzen, nicht unbedingt entsprechend (Kruysse 1993). Unfälle passieren auch Menschen mit bester Motivation und höchstem Sicherheitsbewusstsein. Es gibt wirksame Methoden zur Verbesserung von Motivation und Bewusstsein, die weiter unten unter „Umwelt verändern“ besprochen werden. Diese Option ist heikel: Im Gegensatz zu der Schwierigkeit, Menschen weiter zu motivieren, ist es fast zu einfach, Mitarbeiter so zu demotivieren, dass sogar Sabotage in Betracht gezogen wird.
Die Wirkungen von Programmen zur Motivationssteigerung sind nur dann positiv, wenn sie mit Techniken zur Verhaltensänderung wie Mitarbeiterbeteiligung gekoppelt werden.
Wählen Sie geschultes Personal aus
Die erste Reaktion auf einen Unfall ist oft, dass die Beteiligten inkompetent gewesen sein müssen. Im Nachhinein erscheinen die Unfallszenarien für einen ausreichend intelligenten und entsprechend geschulten Menschen einfach und leicht vermeidbar, aber dieser Schein täuscht: Tatsächlich konnten die beteiligten Mitarbeiter den Unfall unmöglich vorhersehen. Daher wird eine bessere Ausbildung und Auswahl nicht den gewünschten Effekt haben. Eine Grundausbildung ist jedoch Voraussetzung für einen sicheren Betrieb. Der Tendenz in einigen Branchen, erfahrenes Personal durch unerfahrene und unzureichend ausgebildete Personen zu ersetzen, ist entgegenzuwirken, da immer komplexere Situationen ein regel- und wissensbasiertes Denken erfordern, das ein Erfahrungsniveau erfordert, das solche kostengünstigeren Mitarbeiter oft nicht besitzen.
Ein negativer Nebeneffekt einer sehr guten Instruktion der Leute und der Auswahl nur der am höchsten eingestuften Personen ist, dass das Verhalten automatisch wird und es zu Ausrutschern kommt. Die Auswahl ist teuer, während der Effekt nicht mehr als mittel ist.
Ändern Sie die Umgebung
Das meiste Verhalten tritt als Reaktion auf Faktoren in der Arbeitsumgebung auf: Arbeitspläne, Pläne und Erwartungen und Anforderungen des Managements. Eine Veränderung der Umgebung führt zu einem anderen Verhalten. Bevor die Arbeitsumgebung effektiv verändert werden kann, müssen mehrere Probleme gelöst werden. Zunächst müssen die Umweltfaktoren identifiziert werden, die das unerwünschte Verhalten verursachen. Zweitens müssen diese Faktoren kontrolliert werden. Drittens muss das Management eine Diskussion über seine Rolle bei der Schaffung des ungünstigen Arbeitsumfelds zulassen.
Es ist praktischer, das Verhalten durch die Schaffung des richtigen Arbeitsumfelds zu beeinflussen. Die Probleme, die gelöst werden sollten, bevor diese Lösung in die Praxis umgesetzt werden kann, sind (1) dass bekannt sein muss, welche Umweltfaktoren das unerwünschte Verhalten verursachen, (2) dass diese Faktoren kontrolliert werden müssen und (3) dass frühere Managemententscheidungen berücksichtigt werden müssen berücksichtigt (Wagenaar 1992; Groeneweg 1996). Alle diese Bedingungen können tatsächlich erfüllt werden, wie im Rest dieses Artikels argumentiert wird. Die Wirksamkeit einer Verhaltensänderung kann hoch sein, auch wenn eine Änderung der Umgebung ziemlich kostspielig sein kann.
Das Unfallursachenmodell
Um mehr Einblick in die steuerbaren Teile des Unfallverursachungsprozesses zu erhalten, ist ein Verständnis der möglichen Rückkopplungsschleifen in einem Sicherheitsinformationssystem notwendig. In Abbildung 1 ist die vollständige Struktur eines Sicherheitsinformationssystems dargestellt, das die Grundlage für die Kontrolle menschlicher Fehler durch das Management bilden kann. Es ist eine angepasste Version des von Reason et al. (1989).
Abbildung 1. Ein Sicherheitsinformationssystem
Unfalluntersuchung
Bei der Untersuchung von Unfällen werden aussagekräftige Berichte erstellt und Entscheidungsträger erhalten Informationen über die menschliche Fehlerkomponente des Unfalls. Glücklicherweise wird dies in vielen Unternehmen immer mehr obsolet. Effektiver ist es, die „Betriebsstörungen“ zu analysieren, die den Unfällen und Störungen vorausgehen. Wird ein Unfall als Betriebsstörung mit anschließenden Folgen bezeichnet, so ist das Abrutschen von der Fahrbahn eine Betriebsstörung und der Tod, weil der Fahrer nicht angeschnallt ist, ein Unfall. Zwischen der Betriebsstörung und dem Unfall können Barrieren errichtet worden sein, die jedoch versagt haben oder durchbrochen oder umgangen wurden.
Prüfung unsicherer Handlungen
Eine von einem Mitarbeiter begangene falsche Handlung wird in diesem Artikel als „nicht normgerechte Handlung“ und nicht als „unsichere Handlung“ bezeichnet: Der Begriff „unsicher“ scheint die Anwendbarkeit des Begriffs auf die Sicherheit einzuschränken, obwohl er auch z B. zu Umweltproblemen. Unterdurchschnittliche Handlungen werden manchmal aufgezeichnet, aber detaillierte Informationen darüber, welche Ausrutscher, Fehler und Verstöße begangen wurden und warum sie begangen wurden, werden kaum jemals an höhere Managementebenen zurückgemeldet.
Untersuchung des Geisteszustands des Mitarbeiters
Bevor eine minderwertige Handlung begangen wird, befand sich die betroffene Person in einem bestimmten Geisteszustand. Wenn diese psychologischen Vorläufer, wie Eile oder Traurigkeit, angemessen kontrolliert werden könnten, würden sich die Menschen nicht in einem Geisteszustand befinden, in dem sie eine minderwertige Handlung begehen würden. Da diese Gemütszustände nicht effektiv kontrolliert werden können, gelten solche Vorläufer als „Black Box“-Material (Abbildung 1).
Allgemeine Fehlertypen
Das Feld GFT (General Failure Type) in Abbildung 1 stellt die Entstehungsmechanismen eines Unfalls dar – die Ursachen von minderwertigen Handlungen und Situationen. Da diese minderwertigen Handlungen nicht direkt kontrolliert werden können, ist es notwendig, das Arbeitsumfeld zu ändern. Die Arbeitsumgebung wird durch 11 solcher Mechanismen bestimmt (Tabelle 2). (In den Niederlanden existiert die Abkürzung GFT bereits in einem ganz anderen Kontext und hat mit umweltgerechter Abfallentsorgung zu tun, und um Verwirrung zu vermeiden, wird ein anderer Begriff verwendet: grundlegende Risikofaktoren (BRFs) (Roggeveen 1994).)
Tabelle 2. Allgemeine Fehlertypen und ihre Definitionen
Allgemeine Fehler |
Definitionen |
1. Entwurf (DE) |
Ausfälle aufgrund von schlechtem Design einer ganzen Anlage sowie einzelner |
2. Hardware (HW) |
Ausfälle aufgrund von schlechtem Zustand oder Nichtverfügbarkeit von Ausrüstung und Werkzeugen |
3. Verfahren (PR) |
Ausfälle durch schlechte Qualität der Betriebsabläufe mit |
4. Fehler beim Durchsetzen |
Ausfälle aufgrund schlechter Qualität der Arbeitsumgebung, mit |
5. Haushaltsführung (HK) |
Ausfälle aufgrund schlechter Haushaltsführung |
6. Ausbildung (TR) |
Ausfälle aufgrund unzureichender Ausbildung oder unzureichender Erfahrung |
7. Inkompatible Ziele (IG) |
Ausfälle aufgrund der schlechten Art und Weise sind Sicherheit und internes Wohlbefinden |
8. Kommunikation (CO) |
Ausfälle aufgrund schlechter Qualität oder fehlender Kommunikationswege |
9. Organisation (ODER) |
Fehler aufgrund der Art und Weise, wie das Projekt verwaltet wird |
10. Pflege |
Ausfälle aufgrund schlechter Qualität der Wartungsverfahren |
11. Verteidigung (DF) |
Ausfälle aufgrund der schlechten Qualität des Schutzes gegen gefährliche |
Der GFT-Box ist eine „Entscheider“-Box vorangestellt, da diese Personen maßgeblich mitbestimmen, wie gut eine GFT geführt wird. Es ist die Aufgabe des Managements, das Arbeitsumfeld durch die Verwaltung der 11 GFTs zu kontrollieren und dadurch indirekt das Auftreten menschlicher Fehler zu kontrollieren.
All diese GFTs können auf subtile Weise zu Unfällen beitragen, indem sie unerwünschte Kombinationen von Situationen und Handlungen zulassen, indem sie die Wahrscheinlichkeit erhöhen, dass bestimmte Personen minderwertige Handlungen begehen, und indem sie keine Mittel bereitstellen, um bereits laufende Unfallabläufe zu unterbrechen.
Es gibt zwei GFTs, die einer weiteren Erläuterung bedürfen: Instandhaltungsmanagement und Verteidigung.
Instandhaltungsmanagement (MM)
Da das Instandhaltungsmanagement eine Kombination von Faktoren ist, die auch in anderen GFTs zu finden sind, handelt es sich streng genommen nicht um ein separates GFT: Diese Art des Managements unterscheidet sich nicht grundlegend von anderen Managementfunktionen. Es kann als separates Thema behandelt werden, da die Instandhaltung in so vielen Unfallszenarien eine wichtige Rolle spielt und weil die meisten Organisationen eine separate Instandhaltungsfunktion haben.
Verteidigung (DF)
Auch die Kategorie der Abwehrmaßnahmen ist kein echter GFT, da sie nicht mit dem Unfallverursachungsprozess selbst zusammenhängt. Diese GFT hängt mit dem zusammen, was passiert nachdem eine Betriebsstörung. Es erzeugt von sich aus weder psychologische Gemütszustände noch minderwertige Handlungen. Es ist eine Reaktion, die auf einen Fehler aufgrund der Wirkung eines oder mehrerer GFTs folgt. Es stimmt zwar, dass sich ein Sicherheitsmanagementsystem auf die beherrschbaren Teile der Unfallursachenkette konzentrieren sollte Bevor und nicht nachdem des unerwünschten Vorfalls, dennoch kann der Begriff der Abwehr verwendet werden, um die wahrgenommene Wirksamkeit von Sicherheitsbarrieren zu beschreiben, nachdem eine Störung aufgetreten ist, und um zu zeigen, wie sie den eigentlichen Unfall nicht verhindern konnten.
Manager brauchen eine Struktur, die es ihnen ermöglicht, erkannte Probleme mit vorbeugenden Maßnahmen in Verbindung zu bringen. Maßnahmen auf der Ebene von Sicherheitsbarrieren oder minderwertigen Maßnahmen sind nach wie vor erforderlich, können jedoch nie vollständig erfolgreich sein. Den „letzten Linien“-Barrieren zu vertrauen bedeutet, Faktoren zu vertrauen, die größtenteils außerhalb der Kontrolle des Managements liegen. Das Management sollte nicht versuchen, solche unkontrollierbaren externen Geräte zu verwalten, sondern muss stattdessen versuchen, seine Organisationen auf allen Ebenen von Natur aus sicherer zu machen.
Messung der Kontrolle über menschliches Versagen
Die Feststellung der Anwesenheit von GFTs in einer Organisation wird es den Unfallermittlern ermöglichen, die schwachen und starken Punkte in der Organisation zu identifizieren. Mit diesem Wissen kann man Unfälle analysieren und deren Ursachen beseitigen oder mindern sowie die strukturellen Schwachstellen eines Unternehmens erkennen und beheben, bevor sie tatsächlich zu einem Unfall beitragen.
Unfalluntersuchung
Die Aufgabe eines Unfallanalytikers besteht darin, beitragende Faktoren zu identifizieren und zu kategorisieren. Die Häufigkeit, mit der ein beitragender Faktor identifiziert und in Bezug auf eine GFT kategorisiert wird, zeigt das Ausmaß an, in dem diese GFT vorhanden ist. Dies geschieht oft mit Hilfe einer Checkliste oder eines Computeranalyseprogramms.
Es ist möglich und wünschenswert, Profile von verschiedenen, aber ähnlichen Unfallarten zu kombinieren. Schlussfolgerungen, die auf einer Häufung von Unfalluntersuchungen in relativ kurzer Zeit beruhen, sind weitaus zuverlässiger als solche, die aus einer Studie gezogen werden, in der das Unfallprofil auf einem einzelnen Ereignis basiert. Ein Beispiel für ein solches kombiniertes Profil ist in Abbildung 2 dargestellt, die Daten zu vier Ereignissen eines Unfalltyps zeigt.
Abbildung 2. Profil eines Unfalltyps
Einige der GFTs – Design, Verfahren und unvereinbare Ziele – schneiden bei allen vier besonderen Unfällen konstant hoch ab. Dies bedeutet, dass bei jedem Unfall Faktoren identifiziert wurden, die mit diesen GFTs in Zusammenhang stehen. Hinsichtlich des Unfallbildes 1 ist die Auslegung ein Problem. Die Haushaltsführung ist zwar ein großes Problemfeld bei Unfall 1, aber nur ein kleines Problem, wenn mehr als der erste Unfall analysiert wird. Es wird vorgeschlagen, etwa zehn ähnliche Unfallarten zu untersuchen und zu einem Profil zusammenzufassen, bevor weitreichende und möglicherweise teure Korrekturmaßnahmen ergriffen werden. Auf diese Weise kann die Identifizierung der beitragenden Faktoren und die anschließende Kategorisierung dieser Faktoren sehr zuverlässig erfolgen (Van der Schrier, Groeneweg und van Amerongen 1994).
Die GFTs innerhalb einer Organisation proaktiv identifizieren
Es ist möglich, das Vorhandensein von GFTs proaktiv zu quantifizieren, unabhängig vom Auftreten von Unfällen oder Zwischenfällen. Dies geschieht, indem nach Indikatoren für das Vorhandensein dieses GFT gesucht wird. Der für diesen Zweck verwendete Indikator ist die Antwort auf eine einfache Ja- oder Nein-Frage. Eine unerwünschte Antwort ist ein Hinweis darauf, dass etwas nicht richtig funktioniert. Ein Beispiel für eine Indikatorfrage ist: „Sind Sie in den letzten drei Monaten zu einem Meeting gegangen, das sich als abgesagt herausstellte?“ Wenn der Mitarbeiter die Frage bejaht, bedeutet dies nicht unbedingt eine Gefahr, aber es weist auf einen Mangel in einem der GFTs hin – der Kommunikation. Wenn jedoch genügend Fragen, die einen bestimmten GFT testen, auf eine Weise beantwortet werden, die auf einen unerwünschten Trend hinweist, ist dies ein Signal für das Management, dass es keine ausreichende Kontrolle über diesen GFT hat.
Um ein Systemsicherheitsprofil (SSP) zu erstellen, müssen 20 Fragen für jeden der 11 GFTs beantwortet werden. Jedem GFT wird eine Punktzahl zwischen 0 (geringes Maß an Kontrolle) und 100 (hohes Maß an Kontrolle) zugewiesen. Die Punktzahl wird relativ zum Branchendurchschnitt in einem bestimmten geografischen Gebiet berechnet. Ein Beispiel für dieses Scoring-Verfahren ist im Kasten dargestellt.
Die Indikatoren werden pseudozufällig aus einer Datenbank mit einigen hundert Fragen gezogen. Keine zwei aufeinander folgenden Checklisten haben gemeinsame Fragen, und die Fragen werden so gezogen, dass jeder Aspekt des GFT abgedeckt wird. Ausfallende Hardware kann beispielsweise das Ergebnis fehlender oder defekter Geräte sein. Beide Aspekte sollten in der Checkliste abgedeckt werden. Die Antwortverteilungen aller Fragen sind bekannt, und Checklisten sind für gleiche Schwierigkeit ausbalanciert.
Es ist möglich, Ergebnisse zu vergleichen, die mit verschiedenen Checklisten erzielt wurden, sowie solche, die für verschiedene Organisationen oder Abteilungen oder dieselben Einheiten über einen bestimmten Zeitraum erzielt wurden. Es wurden umfangreiche Validierungstests durchgeführt, um sicherzustellen, dass alle Fragen in der Datenbank gültig sind und dass sie alle auf die zu messende GFT hinweisen. Höhere Werte weisen auf ein höheres Maß an Kontrolle hin – das heißt, es wurden mehr Fragen auf die „gewünschte“ Weise beantwortet. Eine Punktzahl von 70 zeigt an, dass diese Organisation zu den besten 30 (dh 100 minus 70) vergleichbarer Organisationen in dieser Art von Branche gehört. Obwohl eine Punktzahl von 100 nicht unbedingt bedeutet, dass diese Organisation die vollständige Kontrolle über eine GFT hat, bedeutet dies, dass die Organisation in Bezug auf diese GFT die beste in der Branche ist.
Ein Beispiel für ein SSP ist in Abbildung 3 dargestellt. Die schwachen Bereiche von Organisation 1, wie durch die Balken im Diagramm veranschaulicht, sind Verfahren, inkompatible Ziele und fehlererzwingende Bedingungen, da sie unter dem Branchendurchschnitt abschneiden, wie durch die Dunkelheit dargestellt graue Zone. Organisation 1 schneidet in den Bereichen Haushalt, Hardware und Verteidigung sehr gut ab. Oberflächlich betrachtet scheint diese gut ausgestattete und aufgeräumte Organisation mit allen vorhandenen Sicherheitsvorrichtungen ein sicherer Arbeitsplatz zu sein. Organisation 2 schneidet genau im Branchendurchschnitt ab. Es gibt keine größeren Mängel, und obwohl die Punktzahlen für Hardware, Organisation und Verteidigung niedriger sind, bewältigt dieses Unternehmen (im Durchschnitt) die menschliche Fehlerkomponente bei Unfällen besser als Organisation 1. Gemäß dem Unfallverursachungsmodell ist Organisation 2 sicherer als Organisation 1, obwohl dies beim Vergleich der Organisationen in „herkömmlichen“ Audits nicht unbedingt ersichtlich wäre.
Abbildung 3. Beispiel eines Systemsicherheitsprofils
Wenn diese Organisationen entscheiden müssten, wo sie ihre begrenzten Ressourcen einsetzen, hätten die vier Bereiche mit unterdurchschnittlichen GFTs Vorrang. Da die anderen GFT-Scores jedoch so günstig sind, kann daraus nicht geschlossen werden, dass ihnen Ressourcen unbedenklich entzogen werden können, da diese Ressourcen sie höchstwahrscheinlich überhaupt erst auf einem so hohen Niveau gehalten haben.
Schlussfolgerungen
Dieser Artikel hat das Thema menschliches Versagen und Unfallverhütung berührt. Der Überblick über die Literatur zur Beherrschung der Komponente menschlicher Fehler bei Unfällen ergab eine Reihe von sechs Möglichkeiten, wie man versuchen kann, das Verhalten zu beeinflussen. Nur eine, die Umstrukturierung der Umwelt oder die Änderung des Verhaltens, um die Anzahl der Situationen zu verringern, in denen Menschen Fehler begehen können, wirkt sich in einer gut entwickelten Industrieorganisation, in der bereits viele andere Versuche unternommen wurden, einigermaßen günstig aus. Das Management braucht Mut, um zu erkennen, dass diese ungünstigen Situationen existieren, und die Ressourcen zu mobilisieren, die erforderlich sind, um eine Veränderung im Unternehmen herbeizuführen. Die anderen fünf Optionen stellen keine hilfreichen Alternativen dar, da sie wenig oder gar keine Wirkung haben und ziemlich kostspielig sein werden.
„Controlling the Controlable“ ist das Schlüsselprinzip, das den in diesem Artikel vorgestellten Ansatz unterstützt. Die GFTs müssen entdeckt, angegriffen und eliminiert werden. Die 11 GFTs sind Mechanismen, die sich als Teil des Unfallverursachungsprozesses erwiesen haben. Zehn davon zielen darauf ab, Betriebsstörungen zu verhindern, und eine (Abwehr) zielt darauf ab, zu verhindern, dass die Betriebsstörung zu einem Unfall wird. Die Beseitigung der Auswirkungen der GFTs hat einen direkten Einfluss auf die Verringerung der mitwirkenden Unfallursachen. Die Fragen in den Checklisten zielen darauf ab, den „Gesundheitszustand“ eines bestimmten GFT sowohl aus allgemeiner als auch aus sicherheitstechnischer Sicht zu messen. Sicherheit wird als integraler Bestandteil des normalen Betriebs angesehen: die Arbeit so zu erledigen, wie sie getan werden sollte. Diese Sichtweise steht im Einklang mit den neueren „qualitätsorientierten“ Managementansätzen. Die Verfügbarkeit von Richtlinien, Verfahren und Managementinstrumenten ist nicht das Hauptanliegen des Sicherheitsmanagements, sondern die Frage, ob diese Methoden tatsächlich verwendet, verstanden und eingehalten werden.
Der in diesem Artikel beschriebene Ansatz konzentriert sich auf systemische Faktoren und die Art und Weise, wie Managemententscheidungen in unsichere Bedingungen am Arbeitsplatz übersetzt werden können, im Gegensatz zu der konventionellen Überzeugung, dass die Aufmerksamkeit auf die einzelnen Arbeitnehmer gerichtet werden sollte, die unsichere Handlungen ausführen, ihre Einstellungen, Motivation und Risikowahrnehmung.
Ein Hinweis auf das Maß an Kontrolle, das Ihre Organisation über die GFT-„Kommunikation“ hat
In diesem Kasten wird eine Liste mit 20 Fragen präsentiert. Die Fragen in dieser Liste wurden von Mitarbeitern von mehr als 250 Organisationen in Westeuropa beantwortet. Diese Organisationen waren in verschiedenen Bereichen tätig, von Chemieunternehmen über Raffinerien bis hin zu Bauunternehmen. Normalerweise würden diese Fragen für jede Branche maßgeschneidert werden. Diese Liste dient nur als Beispiel, um zu zeigen, wie das Tool für einen der GFTs funktioniert. Es wurden nur solche Fragen ausgewählt, die sich als so „allgemein“ erwiesen haben, dass sie in mindestens 80 % der Branchen anwendbar sind.
Im „echten Leben“ müssten die Mitarbeiter die Fragen nicht nur (anonym) beantworten, sondern ihre Antworten auch begründen. Es reicht beispielsweise nicht aus, den Indikator mit „Ja“ zu beantworten „Mussten Sie in den letzten 4 Wochen mit einem veralteten Verfahren arbeiten?“ Der Arbeitnehmer müsste angeben, um welches Verfahren es sich handelt und unter welchen Bedingungen es anzuwenden ist. Diese Motivation dient zwei Zielen: Sie erhöht die Zuverlässigkeit der Antworten und liefert dem Management Informationen, auf die es reagieren kann.
Auch bei der Interpretation des Perzentilwerts ist Vorsicht geboten: Bei einer realen Messung würde jede Organisation mit einer repräsentativen Stichprobe branchenbezogener Organisationen für jede der 11 GFTs verglichen werden. Die Verteilung der Perzentile stammt vom Mai 1995, und diese Verteilung ändert sich im Laufe der Zeit leicht.
So messen Sie das „Level of Control“
Beantworten Sie alle 20 Indikatoren unter Berücksichtigung Ihrer eigenen Situation und achten Sie auf die zeitliche Begrenzung der Fragen. Einige der Fragen sind möglicherweise nicht auf Ihre Situation anwendbar; Beantworten Sie diese mit „na“ Manche Fragen können Sie vielleicht gar nicht beantworten; Beantworten Sie sie mit einem Fragezeichen „?“.
Nachdem Sie alle Fragen beantwortet haben, vergleichen Sie Ihre Antworten mit den Referenzantworten. Für jede „richtig“ beantwortete Frage erhalten Sie einen Punkt.
Addieren Sie die Anzahl der Punkte zusammen. Berechnen Sie den Prozentsatz der richtig beantworteten Fragen, indem Sie die Punktzahl durch die Anzahl der Fragen teilen, die Sie entweder mit „Ja“ oder „Nein“ beantwortet haben. Das „na“ und „?“ Antworten werden nicht berücksichtigt. Das Ergebnis ist ein Prozentsatz zwischen 0 und 100.
Die Messung kann zuverlässiger gemacht werden, indem mehr Personen die Fragen beantworten und ihre Punktzahlen über die Ebenen oder Funktionen in der Organisation oder vergleichbaren Abteilungen mitteln.
Zwanzig Fragen zur GFT „Kommunikation“
Mögliche Antworten auf die Fragen: Y = Ja; N = Nein; na = nicht zutreffend; ? = weiß nicht.
Referenzantworten:
1 = N; 2 = N; 3 = N; 4 = J; 5 = N; 6 = N; 7 = N; 8 = N; 9 = N; 10 = N; 11 = N; 12 = N; 13 = J; 14 = N; 15 = N; 16 = J; 17 = N; 18 = N; 19 = J; 20 = N.
Bewertung GFT „Kommunikation“
Prozentpunktzahl = (a/b) x 100
woher a = nein. der richtig beantworteten Fragen
woher b = nein. der mit „J“ oder „N“ beantworteten Fragen.
Ihr Ergebnis % |
Prozentsatz |
% |
Gleich oder besser |
0-10 |
0-1 |
100 |
99 |
11-20 |
2-6 |
98 |
94 |
21-30 |
7-14 |
93 |
86 |
31-40 |
15-22 |
85 |
78 |
41-50 |
23-50 |
79 |
50 |
51-60 |
51-69 |
49 |
31 |
61-70 |
70-85 |
30 |
15 |
71-80 |
86-97 |
14 |
3 |
81-90 |
98-99 |
2 |
1 |
91-100 |
99-100 |
Dieser Artikel befasst sich mit „Maschinen“-Gefahren, die spezifisch für das Zubehör und die Hardware sind, die in industriellen Prozessen im Zusammenhang mit Druckbehältern, Verarbeitungsgeräten, leistungsstarken Maschinen und anderen an sich riskanten Vorgängen verwendet werden. Dieser Artikel befasst sich nicht mit Gefahren für Arbeitnehmer, die die Handlungen und das Verhalten von Personen betreffen, wie z. B. Ausrutschen auf Arbeitsflächen, Stürze von Erhebungen und Gefahren durch die Verwendung gewöhnlicher Werkzeuge. Dieser Artikel konzentriert sich auf Maschinengefahren, die für ein industrielles Arbeitsumfeld charakteristisch sind. Da diese Gefahren alle Anwesenden bedrohen und sogar eine Bedrohung für Nachbarn und die äußere Umgebung darstellen können, ähneln die Analysemethoden und die Mittel zur Vorbeugung und Kontrolle den Methoden, die verwendet werden, um mit Risiken für die Umwelt durch industrielle Aktivitäten umzugehen.
Maschinengefahren
Hardware von guter Qualität ist sehr zuverlässig, und die meisten Ausfälle werden durch Sekundäreffekte wie Feuer, Korrosion, Missbrauch usw. verursacht. Dennoch kann Hardware bei bestimmten Unfällen hervorgehoben werden, da eine fehlerhafte Hardwarekomponente oft das auffälligste oder sichtbar prominenteste Glied in der Kette von Ereignissen ist. Obwohl der Begriff Hardware weit gefasst verwendet wird, wurden anschauliche Beispiele für Hardwareausfälle und deren unmittelbares „Umfeld“ bei der Unfallverursachung an Industriearbeitsplätzen entnommen. Typische Kandidaten für die Untersuchung von „Maschinen“-Gefahren sind unter anderem:
Auswirkungen von Energie
Hardware-Gefahren können falsche Verwendung, Konstruktionsfehler oder häufige Überlastung umfassen, und dementsprechend kann ihre Analyse und Minderung oder Vermeidung ziemlich unterschiedliche Richtungen verfolgen. Im Zentrum von Hardwaregefahren stehen jedoch oft physikalische und chemische Energieformen, die sich der menschlichen Kontrolle entziehen. Daher besteht eine sehr allgemeine Methode zur Identifizierung von Hardwaregefahren darin, nach den Energien zu suchen, die normalerweise mit dem eigentlichen Ausrüstungs- oder Maschinenteil gesteuert werden, z. B. einem Druckbehälter, der Ammoniak oder Chlor enthält. Andere Methoden gehen vom Zweck oder der beabsichtigten Funktion der tatsächlichen Hardware aus und suchen dann nach den wahrscheinlichen Auswirkungen von Fehlfunktionen und Ausfällen. Beispielsweise setzt eine Brücke, die ihre Hauptfunktion nicht erfüllt, Personen auf der Brücke der Gefahr des Herunterfallens aus; andere Auswirkungen des Einsturzes einer Brücke sind die sekundären Auswirkungen von herunterfallenden Gegenständen, entweder strukturellen Teilen der Brücke oder auf der Brücke befindlichen Gegenständen. Weiter unten in der Folgenkette können sich abgeleitete Auswirkungen auf Funktionen in anderen Teilen des Systems ergeben, die davon abhängig waren, dass die Brücke ihre Funktion ordnungsgemäß erfüllt, wie z. B. die Unterbrechung des Notfallfahrzeugverkehrs bei einem anderen Vorfall.
Neben den Konzepten „kontrollierte Energie“ und „bestimmungsgemäße Funktion“ müssen gefährliche Stoffe durch Fragen wie „Wie könnte der Wirkstoff X aus Behältern, Tanks oder Rohrsystemen freigesetzt und wie könnte der Wirkstoff Y hergestellt werden?“ behandelt werden. (eine oder beide können gefährlich sein). Agent X könnte ein unter Druck stehendes Gas oder ein Lösungsmittel sein, und Agent Y könnte ein extrem giftiges Dioxin sein, dessen Bildung durch die „richtigen“ Temperaturen in einigen chemischen Prozessen begünstigt wird, oder es könnte durch schnelle Oxidation infolge eines Feuers entstehen . Die möglichen Gefahren summieren sich jedoch zu weit mehr als nur den Risiken gefährlicher Stoffe. Es können Bedingungen oder Einflüsse vorliegen, die zulassen, dass das Vorhandensein einer bestimmten Hardware zu schädlichen Folgen für Menschen führt.
Industrielle Arbeitsumgebung
Maschinengefährdungen beinhalten auch Belastungs- oder Belastungsfaktoren, die auf Dauer gefährlich sein können, wie z. B. die folgenden:
Diese Gefahren können erkannt und Vorkehrungen getroffen werden, da die gefährlichen Bedingungen bereits vorhanden sind. Sie hängen nicht davon ab, dass eine strukturelle Änderung in der Hardware zustande kommt und ein schädliches Ergebnis bewirkt, oder dass ein besonderes Ereignis Schäden oder Verletzungen verursacht. Auch Langzeitgefahren haben konkrete Quellen im Arbeitsumfeld, müssen aber durch Beobachtung von Arbeitern und Arbeitsplätzen identifiziert und bewertet werden, statt nur Hardwarekonstruktion und -funktion zu analysieren.
Gefährliche Hardware- oder Maschinengefahren sind in der Regel Ausnahmefälle und in einem soliden Arbeitsumfeld eher selten anzutreffen, lassen sich aber nicht ganz vermeiden. Mehrere Arten von unkontrollierter Energie, wie z. B. die folgenden Risikostoffe, kann die unmittelbare Folge eines Hardwarefehlers sein:
Risikoagenten
Verschieben von Objekten. Herunterfallende und umherfliegende Gegenstände, Flüssigkeitsströme und Flüssigkeits- oder Dampfstrahlen, wie die aufgeführten, sind oft die ersten äußeren Folgen von Hardware- oder Geräteausfällen und machen einen großen Teil der Unfälle aus.
Chemikalien. Chemische Gefahren tragen auch zu Arbeitsunfällen bei und beeinträchtigen die Umwelt und die Öffentlichkeit. Bei den Unfällen in Seveso und Bhopal wurden Chemikalien freigesetzt, von denen zahlreiche Mitglieder der Öffentlichkeit betroffen waren, und viele Industriebrände und -explosionen setzen Chemikalien und Dämpfe in die Atmosphäre frei. Verkehrsunfälle mit Benzin- oder Chemielieferwagen oder anderen Gefahrguttransporten vereinen zwei Risikoagenten – sich bewegende Gegenstände und chemische Stoffe.
Elektromagnetische Energie. Elektrische und magnetische Felder, Röntgen- und Gammastrahlen sind alle Manifestationen des Elektromagnetismus, werden aber oft getrennt behandelt, da sie unter ziemlich unterschiedlichen Umständen auftreten. Die Gefahren des Elektromagnetismus haben jedoch einige allgemeine Züge: Felder und Strahlung durchdringen den menschlichen Körper, anstatt sich nur an der Anwendungsstelle zu berühren, und sie können nicht direkt wahrgenommen werden, obwohl sehr große Intensitäten eine Erwärmung der betroffenen Körperteile verursachen. Magnetfelder werden durch den Fluss von elektrischem Strom erzeugt, und starke Magnetfelder sind in der Nähe von großen Elektromotoren, Lichtbogenschweißgeräten, Elektrolysegeräten, Metallarbeiten usw. zu finden. Elektrische Felder gehen mit elektrischer Spannung einher, und selbst die gewöhnlichen Netzspannungen von 200 bis 300 Volt verursachen über mehrere Jahre die Ansammlung von Schmutz, das sichtbare Zeichen der Existenz des Feldes, ein Effekt, der auch im Zusammenhang mit Hochspannungsleitungen, Fernsehbildröhren bekannt ist , Computermonitore und so weiter.
Elektromagnetische Felder sind meistens eher in der Nähe ihrer Quellen zu finden, aber elektromagnetisch Strahlung ist ein Fernreisender, wie Radar und Funkwellen beispielhaft zeigen. Elektromagnetische Strahlung wird gestreut, reflektiert und gedämpft, wenn sie den Raum durchquert und auf dazwischenliegende Objekte, Oberflächen, verschiedene Substanzen und Atmosphären und dergleichen trifft; seine Intensität wird daher auf verschiedene Weise reduziert.
Die allgemeinen Merkmale der elektromagnetischen (EM) Gefahrenquellen sind:
Radioaktive Strahlung. Die mit nuklearer Strahlung verbundenen Gefahren sind von besonderer Bedeutung für Arbeiter in Kernkraftwerken und in Anlagen, die mit Kernmaterialien arbeiten, wie z. B. der Brennstoffherstellung und der Wiederaufbereitung, dem Transport und der Lagerung radioaktiver Stoffe. Nukleare Strahlungsquellen werden auch in der Medizin und in einigen Industriezweigen zur Messung und Kontrolle verwendet. Eine häufigste Verwendung ist in Feuermeldern/Rauchmeldern, die einen Alpha-Partikel-Emitter wie Americium verwenden, um die Atmosphäre zu überwachen.
Nukleare Gefahren konzentrieren sich hauptsächlich auf fünf Faktoren:
Die Gefahren ergeben sich aus der radioaktiv Prozesse bei der Kernspaltung und dem Zerfall radioaktiver Stoffe. Diese Art von Strahlung wird von Reaktorprozessen, Reaktorbrennstoffen, Reaktormoderatormaterial, von möglicherweise entstehenden gasförmigen Spaltprodukten und von bestimmten Baumaterialien emittiert, die durch die Einwirkung radioaktiver Emissionen aus dem Reaktorbetrieb aktiviert werden.
Andere Risikoagenten. Andere Klassen von Risikostoffen, die Energie freisetzen oder emittieren, umfassen:
Auslösen der Hardware-Gefahren
Beide plötzlich und allmählich Verschiebungen vom kontrollierten – oder „sicheren“ – Zustand in einen Zustand mit erhöhter Gefahr können durch die folgenden Umstände eintreten, die durch geeignete organisatorische Mittel wie Benutzererfahrung, Ausbildung, Fähigkeiten, Überwachung und Gerätetests kontrolliert werden können:
Da ein ordnungsgemäßer Betrieb eine unsachgemäße Konstruktion und Installation nicht zuverlässig kompensieren kann, ist es wichtig, den gesamten Prozess von der Auswahl und Konstruktion über die Installation, Verwendung, Wartung und Prüfung zu berücksichtigen, um den tatsächlichen Zustand und Zustand der Hardware zu bewerten.
Gefahrenfall: Der Druckgastank
Gas kann in geeigneten Behältern zur Lagerung oder zum Transport enthalten sein, wie die Gas- und Sauerstoffflaschen, die von Schweißern verwendet werden. Gas wird oft unter hohem Druck gehandhabt, was eine große Steigerung der Speicherkapazität, aber auch ein höheres Unfallrisiko mit sich bringt. Das wichtigste Zufallsphänomen bei der Druckgasspeicherung ist die plötzliche Entstehung eines Lochs im Tank mit folgenden Folgen:
Die Entwicklung eines solchen Unfalls hängt von diesen Faktoren ab:
Der Tankinhalt kann fast sofort oder über einen bestimmten Zeitraum freigesetzt werden und zu verschiedenen Szenarien führen, vom Ausbruch von freiem Gas aus einem geborstenen Tank bis hin zu mäßigen und ziemlich langsamen Freisetzungen bei kleinen Löchern.
Das Verhalten verschiedener Gase im Leckagefall
Bei der Entwicklung von Freisetzungsberechnungsmodellen ist es am wichtigsten, die folgenden Bedingungen zu bestimmen, die das potenzielle Verhalten des Systems beeinflussen:
Schwierig sind die genauen Berechnungen für einen Freisetzungsprozess, bei dem verflüssigtes Gas als Strahl aus einem Loch austritt und dann verdampft (bzw. zunächst zu einem Tröpfchennebel wird). Auch die Angabe der späteren Ausbreitung der entstehenden Wolken ist ein schwieriges Problem. Es müssen die Bewegungen und die Ausbreitung von Gasfreisetzungen berücksichtigt werden, ob das Gas sichtbare oder unsichtbare Wolken bildet und ob das Gas aufsteigt oder in Bodennähe bleibt.
Während Wasserstoff im Vergleich zu jeder Atmosphäre ein leichtes Gas ist, ist Ammoniakgas (NH3mit einem Molekulargewicht von 17.0) steigt in einer gewöhnlichen luftähnlichen Sauerstoff-Stickstoff-Atmosphäre bei gleicher Temperatur und gleichem Druck auf. Chlor (Cl2, mit einem Molekulargewicht von 70.9) und Butan (C4H10, mol. wt.58) sind Beispiele für Chemikalien, deren Gasphasen selbst bei Umgebungstemperatur dichter als Luft sind. Acetylen (C2H2, mol. Gew. 26.0) hat eine Dichte von etwa 0.90 g/l, die der von Luft (1.0 g/l) nahekommt, was bedeutet, dass in einer Arbeitsumgebung austretendes Schweißgas keine ausgeprägte Tendenz hat, nach oben zu schweben oder nach unten zu sinken; daher kann es sich leicht mit der Atmosphäre vermischen.
Aus einem Druckbehälter als Flüssigkeit freigesetztes Ammoniak kühlt jedoch zunächst durch seine Verdunstung ab und kann dann über mehrere Schritte entweichen:
Selbst eine Wolke aus leichtem Gas steigt möglicherweise nicht sofort aus einer Flüssiggasfreisetzung auf; es kann zunächst einen Nebel bilden – eine Tröpfchenwolke – und in Bodennähe bleiben. Die Bewegung der Gaswolke und die allmähliche Vermischung/Verdünnung mit der umgebenden Atmosphäre hängt von Wetterparametern und der umgebenden Umgebung ab – umschlossenes Gebiet, offenes Gebiet, Häuser, Verkehr, Anwesenheit der Öffentlichkeit, Arbeiter und so weiter.
Tankausfall
Die Folgen eines Tankausfalls können Feuer und Explosion, Erstickung, Vergiftung und Erstickung sein, wie die Erfahrung mit Gaserzeugungs- und Gashandhabungssystemen (Propan, Methan, Stickstoff, Wasserstoff usw.), mit Ammoniak- oder Chlortanks und mit Gasschweißen zeigt ( mit Acetylen und Sauerstoff). Was tatsächlich die Bildung eines Lochs in einem Tank auslöst, hat einen starken Einfluss auf das „Verhalten“ des Lochs – das wiederum den Gasausfluss beeinflusst – und ist entscheidend für die Wirksamkeit von Präventionsbemühungen. Ein Druckbehälter ist so konstruiert und gebaut, dass er bestimmten Einsatzbedingungen und Umwelteinflüssen standhält und für die Handhabung eines bestimmten Gases oder vielleicht einer Auswahl von Gasen geeignet ist. Die tatsächlichen Fähigkeiten eines Tanks hängen von seiner Form, Materialien, Schweißung, Schutz, Verwendung und Klima ab; Daher müssen bei der Bewertung seiner Eignung als Behälter für gefährliche Gase die Spezifikationen des Konstrukteurs, die Geschichte des Tanks, Inspektionen und Tests berücksichtigt werden. Zu den kritischen Bereichen gehören die Schweißnähte, die bei den meisten Druckbehältern verwendet werden; die Punkte, an denen Zubehör wie Einlässe, Auslässe, Halterungen und Instrumente mit dem Schiff verbunden sind; die flachen Enden zylindrischer Tanks wie Eisenbahntanks; und andere Aspekte noch weniger optimaler geometrischer Formen.
Schweißnähte werden visuell, durch Röntgenstrahlen oder durch zerstörende Probenprüfung untersucht, da diese örtliche Mängel zB in Form von Festigkeitsminderungen aufdecken können, die die Gesamtfestigkeit des Behälters gefährden oder sogar Auslöser für akute Tankschäden sein können Fehler.
Die Tankfestigkeit wird durch die Geschichte der Tanknutzung beeinflusst – in erster Linie durch die normalen Verschleißprozesse und die branchen- und anwendungstypischen Kratzer und Korrosionsangriffe. Andere historische Parameter von besonderem Interesse sind:
Das Konstruktionsmaterial – Stahlblech, Aluminiumblech, Beton für drucklose Anwendungen usw. – kann durch diese Einflüsse in einer Weise geschädigt werden, die nicht immer ohne Überlastung oder Zerstörung der Ausrüstung während des Tests überprüft werden kann.
Unfallfall: Flixborough
Die Explosion einer großen Cyclohexanwolke in Flixborough (Großbritannien) im Jahr 1974, die 28 Menschen tötete und umfangreiche Anlagenschäden verursachte, ist ein sehr aufschlussreicher Fall. Auslöser war der Ausfall einer provisorischen Ersatzleitung in einem Reaktorblock. Der Unfall wurde durch den Ausfall eines Beschlags „verursacht“, bei näherer Untersuchung stellte sich jedoch heraus, dass der Ausfall auf eine Überlastung zurückzuführen war und die provisorische Konstruktion tatsächlich nicht für den vorgesehenen Zweck geeignet war. Nach zweimonatiger Betriebszeit wurde das Rohr durch einen leichten Druckanstieg von 10 bar (106 Pa) Cyclohexangehalt bei ca. 150°C. Die beiden Bälge zwischen dem Rohr und den nahe gelegenen Reaktoren brachen und 30 bis 50 Tonnen Cyclohexan wurden freigesetzt und bald entzündet, wahrscheinlich durch einen Ofen in einiger Entfernung vom Leck. (Siehe Abbildung 1.) Eine sehr lesbare Darstellung des Falls findet sich in Kletz (1988).
Abbildung 1. Temporäre Verbindung zwischen Tanks in Flixborough
Hazard Analysis
Die Methoden, die entwickelt wurden, um die Risiken zu ermitteln, die für ein Gerät, einen chemischen Prozess oder einen bestimmten Vorgang relevant sein können, werden als „Gefahrenanalyse“ bezeichnet. Diese Methoden stellen Fragen wie: „Was kann möglicherweise schief gehen?“ "Könnte es ernst sein?" und "Was kann man dagegen tun?" Verschiedene Methoden zur Durchführung der Analysen werden oft kombiniert, um eine angemessene Abdeckung zu erreichen, aber kein solches Set kann mehr tun, als ein kluges Team von Analysten bei ihren Feststellungen zu leiten oder zu unterstützen. Die Hauptschwierigkeiten bei der Gefahrenanalyse sind folgende:
Um unter diesen Umständen brauchbare Risikobewertungen zu erstellen, ist es wichtig, den Umfang und den Grad der „Ambitioniertheit“ der jeweiligen Analyse angemessen zu definieren; Beispielsweise ist klar, dass man für Versicherungszwecke nicht die gleiche Art von Informationen benötigt wie für Konstruktionszwecke oder für die Planung von Schutzsystemen und den Bau von Notfalleinrichtungen. Im Allgemeinen muss das Risikobild ausgefüllt werden, indem empirische Techniken (z. B. Statistik) mit deduktivem Denken und einer kreativen Vorstellungskraft gemischt werden.
Verschiedene Tools zur Risikobewertung – sogar Computerprogramme zur Risikoanalyse – können sehr hilfreich sein. Die Gefährdungs- und Betriebsfähigkeitsstudie (HAZOP) und die Fehlermöglichkeits- und -einflussanalyse (FMEA) sind gängige Methoden zur Ermittlung von Gefährdungen, insbesondere in der chemischen Industrie. Ausgangspunkt der HAZOP-Methode ist das Nachzeichnen möglicher Risikoszenarien anhand eines Satzes von Leitwörtern; Für jedes Szenario müssen wahrscheinliche Ursachen und Folgen identifiziert werden. In der zweiten Stufe versucht man, Mittel und Wege zu finden, um die Wahrscheinlichkeiten zu reduzieren oder die Folgen der als inakzeptabel beurteilten Szenarien abzumildern. Eine Übersicht über die HAZOP-Methode findet sich in Charsley (1995). Die FMEA-Methode stellt eine Reihe von „Was-wäre-wenn“-Fragen für jede mögliche Risikokomponente, um alle möglichen Ausfallarten gründlich zu bestimmen und dann die Auswirkungen zu identifizieren, die sie auf die Systemleistung haben können; Eine solche Analyse wird in dem später in diesem Artikel vorgestellten Demonstrationsbeispiel (für ein Gassystem) veranschaulicht.
Fehlerbäume u Ereignisbäume und die Modi der logischen Analyse, die Unfallverursachungsstrukturen und Wahrscheinlichkeitsrechnungen eigen sind, sind in keiner Weise spezifisch für die Analyse von Hardware-Gefahren, da sie allgemeine Werkzeuge für Systemrisikobewertungen sind.
Verfolgung von Hardware-Gefahren in einer Industrieanlage
Um mögliche Gefahren zu erkennen, können Informationen zu Konstruktion und Funktion eingeholt werden bei:
Durch die Auswahl und Verarbeitung solcher Informationen machen sich Analysten ein Bild vom Risikoobjekt selbst, seinen Funktionen und seiner tatsächlichen Verwendung. Wo Dinge noch nicht gebaut sind – oder für eine Inspektion nicht verfügbar sind – können wichtige Beobachtungen nicht gemacht werden und die Bewertung muss vollständig auf Beschreibungen, Absichten und Plänen beruhen. Eine solche Bewertung mag ziemlich schlecht erscheinen, aber tatsächlich werden die meisten praktischen Risikobewertungen auf diese Weise durchgeführt, entweder um eine behördliche Genehmigung für Anträge auf Neubauten zu erhalten oder um die relative Sicherheit alternativer Konstruktionslösungen zu vergleichen. Für die Informationen, die nicht in den formalen Diagrammen gezeigt oder mündlich durch Interviews beschrieben wurden, werden reale Prozesse konsultiert, und um zu überprüfen, ob die aus diesen Quellen gesammelten Informationen sachlich sind und tatsächliche Bedingungen darstellen. Dazu gehören die folgenden:
Die meisten dieser zusätzlichen Informationen, insbesondere Schleichpfade, sind nur von kreativen, erfahrenen Beobachtern mit beträchtlicher Erfahrung erkennbar, und einige der Informationen wären mit Karten und Diagrammen fast unmöglich zu verfolgen. Schleichwege bezeichnen unbeabsichtigte und unvorhergesehene Wechselwirkungen zwischen Systemen, bei denen der Betrieb eines Systems den Zustand oder Betrieb eines anderen Systems auf andere Weise als die funktionalen beeinflusst. Dies geschieht typischerweise, wenn funktional unterschiedliche Teile nahe beieinander liegen oder (zum Beispiel) eine austretende Substanz auf darunter liegende Geräte tropft und einen Ausfall verursacht. Eine andere Wirkungsweise eines Schleichweges kann das Einbringen falscher Substanzen oder Teile in ein System mit Hilfe von Instrumenten oder Werkzeugen während des Betriebs oder der Wartung beinhalten: Die beabsichtigten Strukturen und ihre beabsichtigten Funktionen werden durch die Schleichpfade verändert. Von Gleichtaktfehler Eins bedeutet, dass bestimmte Bedingungen – wie Überschwemmungen, Blitzschlag oder Stromausfall – mehrere Systeme gleichzeitig stören können, was möglicherweise zu unerwartet großen Stromausfällen oder Unfällen führen kann. Im Allgemeinen versucht man, Sneak-Path-Effekte und Gleichtaktfehler durch geeignete Layouts und die Einführung von Abstand, Isolierung und Diversität in den Arbeitsabläufen zu vermeiden.
Ein Gefahrenanalyse-Fall: Gaslieferung von einem Schiff zu einem Tank
Fig. 2 zeigt ein System zur Lieferung von Gas von einem Transportschiff zu einem Lagertank. Ein Leck kann überall in diesem System auftreten: Schiff, Übertragungsleitung, Tank oder Ausgangsleitung; Angesichts der beiden Tankreservoirs könnte ein Leck irgendwo in der Leitung stundenlang aktiv bleiben.
Abbildung 2. Übertragungsleitung für die Lieferung von Flüssiggas vom Schiff zum Lagertank
Die kritischsten Komponenten des Systems sind die folgenden:
Ganz oben auf dieser Liste steht ein Lagertank mit einem großen Vorrat an Flüssiggas, weil es schwierig ist, kurzfristig ein Leck aus einem Tank zu schließen. Der zweite Punkt auf der Liste – die Verbindung zum Schiff – ist kritisch, da Leckagen in Rohren oder Schläuchen und lockere Verbindungen oder Kupplungen mit verschlissenen Dichtungen sowie Abweichungen zwischen verschiedenen Schiffen Produkt freisetzen können. Flexible Teile wie Schläuche und Faltenbälge sind kritischer als starre Teile und erfordern regelmäßige Wartung und Inspektion. Sicherheitsvorrichtungen wie das Druckentlastungsventil auf der Oberseite des Tanks und die beiden Notabschaltventile sind von entscheidender Bedeutung, da sie sich darauf verlassen müssen, latente oder sich entwickelnde Fehler aufzudecken.
Bisher war die Rangfolge der Systemkomponenten hinsichtlich ihrer Bedeutung in Bezug auf die Zuverlässigkeit nur allgemeiner Natur. Nun wird zu analytischen Zwecken auf die besonderen Funktionen des Systems hingewiesen, wobei die Hauptaufgabe natürlich darin besteht, Flüssiggas vom Schiff zum Lagertank zu bewegen, bis der angeschlossene Schiffstank leer ist. Die überwiegende Gefahr ist ein Gasleck, wobei die möglichen beitragenden Mechanismen einer oder mehrere der folgenden sind:
Anwendung der FMEA-Methode
Die zentrale Idee des FMEA-Ansatzes oder der „Was-wäre-wenn“-Analyse besteht darin, für jede Komponente des Systems ihre Fehlermodi explizit aufzuzeichnen und für jeden Fehler die möglichen Folgen für das System und die Umwelt zu finden. Bei Standardkomponenten wie Tanks, Rohren, Ventilen, Pumpen, Durchflussmessern usw. folgen die Ausfallarten allgemeinen Mustern. Im Fall eines Ventils könnten die Fehlermodi beispielsweise die folgenden Bedingungen umfassen:
Bei einer Pipeline würden Fehlermodi Elemente berücksichtigen wie:
Die Auswirkungen von Lecks scheinen offensichtlich, aber manchmal sind die wichtigsten Auswirkungen möglicherweise nicht die ersten Auswirkungen: Was passiert beispielsweise, wenn ein Ventil in halb geöffneter Position festsitzt? Ein Absperrventil in der Druckleitung, das bei Bedarf nicht vollständig öffnet, verzögert den Tankfüllvorgang, eine ungefährliche Folge. Wenn jedoch der Zustand „Hängendes Halboffen“ gleichzeitig mit einer Schließanforderung zu einem Zeitpunkt auftritt, an dem der Tank fast voll ist, kann es zu einer Überfüllung kommen (es sei denn, das Notabsperrventil wird erfolgreich aktiviert). In einem ordnungsgemäß ausgelegten und betriebenen System die Wahrscheinlichkeit, dass beide Ventile festsitzen gleichzeitig wird eher gering gehalten.
Offensichtlich kann ein Sicherheitsventil, das nicht bei Bedarf arbeitet, eine Katastrophe bedeuten; Tatsächlich könnte man mit Fug und Recht sagen, dass latente Ausfälle alle Sicherheitseinrichtungen ständig gefährden. Überdruckventile können beispielsweise aufgrund von Korrosion, Schmutz oder Farbe (typischerweise aufgrund schlechter Wartung) defekt sein, und im Fall von Flüssiggas können solche Defekte in Kombination mit dem Temperaturabfall bei einem Gasleck Eis und damit Eis erzeugen den Materialfluss durch ein Sicherheitsventil reduzieren oder vielleicht stoppen. Wenn ein Druckentlastungsventil bei Bedarf nicht funktioniert, kann sich in einem Tank oder in angeschlossenen Tanksystemen Druck aufbauen, der schließlich andere Lecks oder einen Tankbruch verursachen kann.
Der Einfachheit halber sind die Instrumente in Fig. 2 nicht gezeigt; natürlich gibt es Instrumente für Druck, Durchfluss und Temperatur, die wesentliche Parameter für die Überwachung des Systemzustands sind, wobei relevante Signale an Bedienkonsolen oder an eine Leitwarte zu Steuerungs- und Überwachungszwecken übertragen werden. Außerdem werden andere als die für den Materialtransport vorgesehenen Versorgungsleitungen - für Strom, Hydraulik usw. - und zusätzliche Sicherheitseinrichtungen vorhanden sein. Eine umfassende Analyse muss auch diese Systeme durchgehen und nach den Ausfallarten suchen und Auswirkungen dieser Komponenten auch. Insbesondere die Detektivarbeit zu Gleichtakteffekten und Schleichwegen erfordert, dass man sich ein umfassendes Bild von Hauptsystemkomponenten, Steuerungen, Instrumenten, Betriebsmitteln, Bedienern, Arbeitsplänen, Wartung und so weiter macht.
Beispiele für zu berücksichtigende Gleichtakteffekte im Zusammenhang mit Gassystemen werden durch Fragen wie diese angesprochen:
Selbst ein hervorragend konzipiertes System mit Redundanz und unabhängigen Stromleitungen kann unter mangelhafter Wartung leiden, wenn beispielsweise ein Ventil und sein Sicherheitsventil (in unserem Fall das Notabsperrventil) nach a in einem falschen Zustand belassen wurden Prüfung. Ein markanter Gleichtakteffekt bei einem Ammoniak-Handhabungssystem ist die Leckage selbst: Ein mäßiges Leck kann alle manuellen Eingriffe an Anlagenkomponenten ziemlich umständlich – und verzögert – aufgrund des Einsatzes des erforderlichen Notfallschutzes machen.
Zusammenfassung
Die Hardwarekomponenten sind sehr selten die schuldigen Teile in der Unfallentwicklung; vielmehr gibt es Ursachen in anderen Gliedern der Kette zu finden: falsche Konzepte, schlechte Konstruktionen, Wartungsfehler, Bedienerfehler, Managementfehler und so weiter. Es wurden bereits mehrere Beispiele für die spezifischen Bedingungen und Handlungen gegeben, die zu einer Fehlerentwicklung führen können; Eine breite Sammlung solcher Agenten würde Folgendes berücksichtigen:
Die Kontrolle der Hardware-Gefahren in einer Arbeitsumgebung erfordert die Überprüfung aller möglichen Ursachen und die Beachtung der Bedingungen, die sich bei den tatsächlichen Systemen als kritisch herausstellen. Die daraus resultierenden Auswirkungen auf die Organisation von Risikomanagementprogrammen werden in anderen Artikeln behandelt, aber wie die vorstehende Liste deutlich zeigt, kann die Überwachung und Kontrolle von Hardwarebedingungen bis hin zur Auswahl von Konzepten und Designs für die erforderlich sein ausgewählte Systeme und Prozesse.
Durch die Industrialisierung organisierten sich Arbeiter in Fabriken, als die Nutzung von Energiequellen wie der Dampfmaschine möglich wurde. Im Vergleich zum traditionellen Handwerk birgt die mechanisierte Produktion mit den zur Verfügung stehenden höheren Energiequellen neue Unfallrisiken. Als die Energiemenge zunahm, wurden die Arbeiter der direkten Kontrolle über diese Energien entzogen. Entscheidungen, die sich auf die Sicherheit auswirkten, wurden oft auf Managementebene getroffen und nicht von denjenigen, die diesen Risiken direkt ausgesetzt waren. In dieser Phase der Industrialisierung wurde die Notwendigkeit eines Sicherheitsmanagements offensichtlich.
In den späten 1920er Jahren formulierte Heinrich den ersten umfassenden theoretischen Rahmen für das Sicherheitsmanagement, der darin bestand, dass Sicherheit durch Managemententscheidungen auf der Grundlage der Identifizierung und Analyse von Unfallursachen angestrebt werden sollte. Zu diesem Zeitpunkt in der Entwicklung des Sicherheitsmanagements wurden Unfälle Fehlern auf der Ebene des Mensch-Maschine-Systems zugeschrieben – also unsicheren Handlungen und unsicheren Bedingungen.
Anschließend wurden verschiedene Methoden zur Identifizierung und Bewertung von Unfallrisiken entwickelt. Mit MORT (Management Oversight and Risk Tree) verlagerte sich der Fokus auf die höheren Ordnungen der Beherrschung von Unfallrisiken – also auf die Beherrschung von Zuständen auf Managementebene. Die Initiative zur Entwicklung von MORT ging Ende der 1960er Jahre von der US Energy Research and Development Administration aus, die ihre Sicherheitsprogramme verbessern wollte, um ihre Verluste durch Unfälle zu reduzieren.
Das MORT-Diagramm und die zugrunde liegenden Prinzipien
Die Absicht von MORT war es, ein ideales Sicherheitsmanagementsystem zu formulieren, das auf einer Synthese der besten damals verfügbaren Sicherheitsprogrammelemente und Sicherheitsmanagementtechniken basiert. Als die der MORT-Initiative zugrunde liegenden Prinzipien auf den aktuellen Stand der Technik im Sicherheitsmanagement angewendet wurden, nahmen die weitgehend unstrukturierte Sicherheitsliteratur und das Fachwissen die Form eines analytischen Baums an. Die erste Version des Baums wurde 1971 veröffentlicht. Abbildung 1 zeigt die Grundelemente der Version des Baums, die 1980 von Johnson veröffentlicht wurde. Der Baum taucht in modifizierter Form auch in späteren Veröffentlichungen zum Thema MORT-Konzept auf ( siehe zum Beispiel Knox und Eicher 1992).
Abbildung 1. Eine Version des analytischen MORT-Baums
Das MORT-Diagramm
MORT wird als praktisches Werkzeug bei Unfalluntersuchungen und bei der Bewertung bestehender Sicherheitsprogramme eingesetzt. Das oberste Ereignis des Baums in Abbildung 1 (Johnson 1980) stellt die (erlebten oder potenziellen) Verluste aufgrund eines Unfalls dar. Unterhalb dieses Top-Ereignisses befinden sich drei Hauptzweige: spezifische Versäumnisse und Versäumnisse (S), Versäumnisse und Versäumnisse des Managements (M) und angenommene Risiken (R). Das R-Zweig besteht aus angenommenen Risiken, bei denen es sich um Ereignisse und Bedingungen handelt, die dem Management bekannt sind und die auf der zuständigen Managementebene bewertet und akzeptiert wurden. Andere Ereignisse und Bedingungen, die durch die Bewertungen nach den S- und M-Zweigen aufgedeckt werden, werden als „weniger als angemessen“ (LTA) bezeichnet.
Das S-Zweig konzentriert sich auf die Ereignisse und Bedingungen des tatsächlichen oder potenziellen Ereignisses. (Im Allgemeinen wird die Zeit von links nach rechts gelesen und die Ursachenfolge wird von unten nach oben angezeigt.) Haddons Strategien (1980) zur Unfallverhütung sind Schlüsselelemente in diesem Bereich. Ein Ereignis wird als Unfall bezeichnet, wenn ein Ziel (eine Person oder ein Objekt) einer unkontrollierten Energieübertragung ausgesetzt ist und Schaden erleidet. In der S-Filiale von MORT werden Unfälle durch Absperrungen verhindert. Es gibt drei Grundtypen von Barrieren: (1) Barrieren, die die Energiequelle (die Gefahr) umgeben und begrenzen, (2) Barrieren, die das Ziel schützen, und (3) Barrieren, die die Gefahr und das Ziel physisch, zeitlich oder räumlich trennen . Diese unterschiedlichen Arten von Barrieren finden sich in der Entwicklung der Äste unterhalb des zufälligen Ereignisses. Die Verbesserung bezieht sich auf die Maßnahmen, die nach dem Unfall ergriffen wurden, um die Verluste zu begrenzen.
Auf der nächsten Ebene des S-Zweigs werden Faktoren erfasst, die sich auf die verschiedenen Phasen des Lebenszyklus einer Industrieanlage beziehen. Dies sind die Projektphase (Konzeption und Planung), die Inbetriebnahme (Betriebsbereitschaft) und der Betrieb (Überwachung und Wartung).
Das M-Zweig unterstützt einen Prozess, in dem spezifische Erkenntnisse aus einer Unfalluntersuchung oder Sicherheitsprogrammbewertung verallgemeinert werden. Ereignisse und Bedingungen des S-Zweigs haben daher oft ihre Entsprechungen im M-Zweig. Bei der Beschäftigung mit dem System in der M-Filiale erweitert sich das Denken des Analysten auf das gesamte Managementsystem. Daher wirken sich alle Empfehlungen auch auf viele andere mögliche Unfallszenarien aus. Die wichtigsten Funktionen des Sicherheitsmanagements sind im M-Zweig zu finden: Festlegung von Richtlinien, Umsetzung und Nachverfolgung. Dies sind die gleichen Grundelemente, die wir in den Qualitätssicherungsprinzipien der ISO 9000-Reihe finden, die von der Internationalen Organisation für Normung (ISO) veröffentlicht wurden.
Wenn die Zweige des MORT-Diagramms detailliert ausgearbeitet werden, finden sich Elemente aus so unterschiedlichen Bereichen wie Risikoanalyse, Human-Factors-Analyse, Sicherheitsinformationssysteme und Organisationsanalyse. Insgesamt werden etwa 1,500 Basisereignisse durch das MORT-Diagramm abgedeckt.
Anwendung des MORT-Diagramms
Wie bereits erwähnt, hat das MORT-Diagramm zwei unmittelbare Verwendungszwecke (Knox und Eicher 1992): (1) zur Analyse von Management- und Organisationsfaktoren in Bezug auf einen aufgetretenen Unfall und (2) zur Bewertung oder Prüfung eines Sicherheitsprogramms in Bezug auf einen schwerwiegenden Unfall das hat das Potenzial, dass es auftritt. Das MORT-Diagramm fungiert als Screening-Tool bei der Planung der Analysen und Auswertungen. Es dient auch als Checkliste zum Vergleich der Ist-Zustände mit dem idealisierten System. In dieser Anwendung erleichtert MORT die Überprüfung der Vollständigkeit der Analyse und die Vermeidung persönlicher Vorurteile.
Im Grunde besteht MORT aus einer Sammlung von Fragen. Aus diesen Fragen werden Kriterien abgeleitet, anhand derer beurteilt werden kann, ob bestimmte Ereignisse und Bedingungen zufriedenstellend oder nicht ausreichend sind. Trotz der direktiven Gestaltung der Fragen sind die Urteile des Analytikers zum Teil subjektiv. Es ist daher wichtig geworden, eine angemessene Qualität und Intersubjektivität zwischen MORT-Analysen verschiedener Analytiker sicherzustellen. In den Vereinigten Staaten ist beispielsweise ein Schulungsprogramm für die Zertifizierung von MORT-Analysten verfügbar.
Erfahrungen mit MORT
Die Literatur zur Evaluation von MORT ist spärlich. Johnson berichtet von erheblichen Verbesserungen in der Vollständigkeit der Unfalluntersuchungen nach der Einführung von MORT (Johnson 1980). Mängel auf der Aufsichts- und Führungsebene wurden systematischer aufgedeckt. Erfahrungen wurden auch aus Bewertungen von MORT-Anwendungen in der finnischen Industrie gesammelt (Ruuhilehto 1993). In den finnischen Studien wurden einige Einschränkungen festgestellt. MORT unterstützt nicht die Identifizierung unmittelbarer Risiken aufgrund von Ausfällen und Störungen. Außerdem ist in das MORT-Konzept keine Fähigkeit zum Setzen von Prioritäten eingebaut. Folglich müssen die Ergebnisse von MORT-Analysen weiter ausgewertet werden, um sie in Abhilfemaßnahmen umzusetzen. Schließlich zeigt die Erfahrung, dass MORT zeitaufwändig ist und die Beteiligung von Experten erfordert.
Abgesehen von seiner Fähigkeit, sich auf Organisations- und Managementfaktoren zu konzentrieren, hat MORT den weiteren Vorteil, Sicherheit mit normalen Produktionsaktivitäten und allgemeinem Management zu verbinden. Der Einsatz von MORT wird somit die allgemeine Planung und Steuerung unterstützen und dazu beitragen, die Häufigkeit von Produktionsstörungen zu reduzieren.
Zugehörige Sicherheitsmanagementmethoden und -techniken
Mit der Einführung des MORT-Konzepts Anfang der 1970er Jahre startete in den USA ein Entwicklungsprogramm. Der Schwerpunkt für dieses Programm war das System Safety Development Center in Idaho Falls. Aus diesem Programm sind verschiedene MORT-bezogene Methoden und Techniken in Bereichen wie der Analyse menschlicher Faktoren, Sicherheitsinformationssystemen und Sicherheitsanalysen hervorgegangen. Ein frühes Beispiel einer aus dem MORT-Entwicklungsprogramm hervorgegangenen Methode ist das Operational Readiness Program (Nertney 1975). Dieses Programm wird während der Entwicklung neuer industrieller Systeme und der Modifikation bestehender Systeme eingeführt. Ziel ist es sicherzustellen, dass aus Sicht des Sicherheitsmanagements das neue oder geänderte System zum Zeitpunkt der Inbetriebnahme bereit ist. Der Zustand der Betriebsbereitschaft setzt voraus, dass die erforderlichen Barrieren und Kontrollen in der Hardware, dem Personal und den Verfahren des neuen Systems installiert wurden. Ein weiteres Beispiel für ein MORT-Programmelement ist die MORT-basierte Ursachenanalyse (Cornelison 1989). Es wird verwendet, um die grundlegenden Sicherheitsmanagementprobleme einer Organisation zu identifizieren. Dazu werden die spezifischen Ergebnisse der MORT-Analysen auf 27 verschiedene generische Sicherheitsmanagementprobleme bezogen.
Obwohl MORT nicht direkt für die Sammlung von Informationen bei Unfalluntersuchungen und Sicherheitsaudits verwendet werden soll, dienten die MORT-Fragen in Skandinavien als Grundlage für die Entwicklung eines für diesen Zweck verwendeten Diagnosewerkzeugs. Es wird Safety Management and Organization Review Technique oder SMORT genannt (Kjellén und Tinmannsvik 1989). Eine SMORT-Analyse geht schrittweise rückwärts vor, ausgehend von der konkreten Situation bis hin zur allgemeinen Führungsebene. Ausgangspunkt (Ebene 1) ist ein Unfallablauf oder eine Gefahrensituation. Auf Stufe 2 werden die Organisation, die Anlagenplanung und die technischen Faktoren des täglichen Betriebs unter die Lupe genommen. Die darauffolgenden Ebenen umfassen das Design neuer Systeme (Ebene 3) und höhere Managementfunktionen (Ebene 4). Erkenntnisse auf einer Ebene werden auf die darüber liegenden Ebenen ausgedehnt. So fließen zum Beispiel Ergebnisse zum Unfallablauf und zum Tagesgeschäft in die Analyse der Unternehmensorganisation und -routinen für die Projektarbeit (Ebene 3) ein. Ergebnisse auf Stufe 3 wirken sich nicht auf die Sicherheit in bestehenden Betrieben aus, können aber auf die Planung neuer Systeme und Modifikationen angewendet werden. SMORT unterscheidet sich von MORT auch in der Art und Weise, wie Befunde identifiziert werden. Auf Stufe 1 sind dies beobachtbare Ereignisse und Bedingungen, die von allgemein anerkannten Normen abweichen. Wenn Organisations- und Managementfaktoren auf den Ebenen 2 bis 4 in die Analyse einbezogen werden, werden die Ergebnisse durch Werturteile einer Analysegruppe identifiziert und durch ein Qualitätskontrollverfahren verifiziert. Ziel ist es, ein gemeinsames Verständnis der organisatorischen Probleme sicherzustellen.
Zusammenfassung
MORT ist seit den 1970er Jahren maßgeblich an den Entwicklungen im Sicherheitsmanagement beteiligt. Es ist möglich, den Einfluss von MORT auf Bereiche wie Sicherheitsforschungsliteratur, Literatur zu Sicherheitsmanagement und Audit-Tools sowie Gesetzgebung zur Selbstregulierung und internen Kontrolle zu verfolgen. Trotz dieser Auswirkungen müssen ihre Grenzen sorgfältig abgewogen werden. MORT und zugehörige Methoden sind normativ in dem Sinne, dass sie vorschreiben, wie Sicherheitsmanagementprogramme organisiert und durchgeführt werden sollten. Das Ideal ist eine gut strukturierte Organisation mit klaren und realistischen Zielen und klar definierten Verantwortlichkeiten und Befugnissen. MORT eignet sich daher am besten für große und bürokratische Organisationen.
Inspektionssysteme
Auditing wurde definiert als „der strukturierte Prozess des Sammelns unabhängiger Informationen über die Effizienz, Effektivität und Zuverlässigkeit des gesamten Sicherheitsmanagementsystems und das Erstellen von Plänen für Korrekturmaßnahmen“ (Successful Health & Safety Management 1991).
Die Arbeitsplatzinspektion ist daher nicht nur die letzte Stufe beim Aufbau eines Sicherheitsmanagementprogramms, sondern auch ein fortlaufender Prozess zu dessen Aufrechterhaltung. Sie kann nur durchgeführt werden, wenn ein ordnungsgemäß entwickeltes Sicherheitsmanagementsystem eingerichtet wurde. Ein solches System sieht zunächst eine formelle Grundsatzerklärung des Managements vor, in der seine Grundsätze zur Schaffung eines gesunden und sicheren Arbeitsumfelds dargelegt werden, und dann die Einrichtung der Mechanismen und Strukturen innerhalb der Organisation, mit denen diese Grundsätze wirksam umgesetzt werden. Das Management muss sich außerdem dazu verpflichten, angemessene personelle und finanzielle Ressourcen bereitzustellen, um die Mechanismen und Strukturen des Systems zu unterstützen. Danach muss eine detaillierte Sicherheits- und Gesundheitsplanung erfolgen und messbare Ziele definiert werden. Es müssen Systeme entwickelt werden, die sicherstellen, dass die Sicherheits- und Gesundheitsleistung in der Praxis an etablierten Normen und früheren Errungenschaften gemessen werden kann. Nur wenn diese Struktur vorhanden ist und funktioniert, kann ein effektives Management-Audit-System angewendet werden.
Vollständige Sicherheits- und Gesundheitsmanagementsysteme können aus den Ressourcen größerer Unternehmen entwickelt, produziert und implementiert werden. Darüber hinaus gibt es eine Reihe von Sicherheitsmanagement-Kontrollsystemen, die von Beratern, Versicherungen, Behörden, Verbänden und Fachfirmen angeboten werden. Es ist Sache des Unternehmens zu entscheiden, ob es ein eigenes System produziert oder Fremdleistungen bezieht. Beide Alternativen können hervorragende Ergebnisse erzielen, wenn sich das Management wirklich dafür einsetzt, sie gewissenhaft anzuwenden und zum Funktionieren zu bringen. Ihr Erfolg hängt jedoch stark von der Qualität des Prüfungssystems ab.
Management-Inspektionen
Das Prüfverfahren muss so sorgfältig und objektiv sein wie die Finanzprüfung des Unternehmens. Die Inspektion muss zunächst feststellen, ob die Grundsatzerklärung des Unternehmens zu Sicherheit und Gesundheitsschutz in den zu ihrer Umsetzung geschaffenen Strukturen und Mechanismen angemessen widergespiegelt ist; Ist dies nicht der Fall, kann die Inspektion eine Neubewertung der grundlegenden Politik empfehlen oder Anpassungen oder Änderungen an den bestehenden Strukturen und Mechanismen vorschlagen. Ein ähnlicher Prozess muss für die Sicherheits- und Gesundheitsplanung, die Gültigkeit der Zielsetzungsnormen und die Leistungsmessung angewendet werden. Die Ergebnisse jeder Inspektion müssen von der obersten Leitung des Unternehmens berücksichtigt werden, und alle Korrekturmaßnahmen müssen von dieser Behörde gebilligt und umgesetzt werden.
In der Praxis ist es unerwünscht und oft unpraktisch, eine vollständige Inspektion aller Merkmale eines Systems und ihrer Anwendung in allen Abteilungen des Unternehmens gleichzeitig durchzuführen. Üblicherweise konzentriert sich das Inspektionsverfahren auf ein Merkmal des gesamten Sicherheitsmanagementsystems in der gesamten Anlage oder alternativ auf die Anwendung aller Merkmale in einer Abteilung oder sogar Unterabteilung. Ziel ist es aber, alle Features in allen Abteilungen über einen vereinbarten Zeitraum abzudecken, um die Ergebnisse zu validieren.
Insofern ist die Managementinspektion als kontinuierlicher Wachsamkeitsprozess zu verstehen. Das Erfordernis der Objektivität ist eindeutig von erheblicher Bedeutung. Werden Prüfungen betriebsintern durchgeführt, muss ein standardisiertes Prüfverfahren vorliegen; Inspektionen sollten von entsprechend geschultem Personal durchgeführt werden; und die als Inspektoren ausgewählten Personen dürfen weder die Abteilungen bewerten, in denen sie normalerweise arbeiten, noch sollten sie andere Arbeiten bewerten, an denen sie persönlich beteiligt sind. Wo man sich auf Berater verlässt, wird dieses Problem minimiert.
Viele große Unternehmen haben diese Art von System übernommen, entweder intern entwickelt oder als proprietäres Schema erworben. Wenn die Systeme von der Grundsatzerklärung bis zur Inspektion, Feedback und Korrekturmaßnahmen sorgfältig verfolgt wurden, sollten eine erhebliche Verringerung der Unfallraten, was die Hauptrechtfertigung für das Verfahren ist, und eine höhere Rentabilität, was ein willkommenes sekundäres Ergebnis ist, resultieren.
Inspektionen durch Inspektorate
Der rechtliche Rahmen zum Schutz der Menschen am Arbeitsplatz muss ordnungsgemäß verwaltet und wirksam angewendet werden, wenn der Zweck des Ordnungsrechts erreicht werden soll. Die meisten Länder haben daher das breite Modell eines Inspektionsdienstes angenommen, der die Pflicht hat, sicherzustellen, dass die Sicherheits- und Gesundheitsvorschriften durchgesetzt werden. Viele Länder sehen Sicherheits- und Gesundheitsfragen als Teil eines vollständigen Arbeitsbeziehungspakets an, das Arbeitsbeziehungen, Lohn- und Urlaubsvereinbarungen sowie Sozialleistungen umfasst. In diesem Modell sind Sicherheits- und Gesundheitsinspektionen ein Element der Aufgaben des Arbeitsaufsichtsbeamten. Es gibt auch ein anderes Modell, bei dem sich die staatliche Aufsichtsbehörde ausschließlich mit dem Sicherheits- und Gesundheitsrecht befasst, sodass sich die Arbeitsstättenkontrolle ausschließlich auf diesen Aspekt konzentriert. Weitere Unterschiede zeigen sich in der Aufteilung der Aufsichtsfunktionen entweder auf eine nationale Aufsichtsbehörde oder eine regionale/provinzielle Aufsichtsbehörde oder tatsächlich, wie beispielsweise in Italien und im Vereinigten Königreich, auf eine Arbeitskombination aus nationalen und regionalen Aufsichtsbehörden. Unabhängig davon, welches Modell gewählt wird, besteht die wesentliche Funktion der Aufsichtsbehörde darin, die Einhaltung der Rechtsvorschriften durch ein Programm geplanter Inspektionen und Untersuchungen am Arbeitsplatz festzustellen.
Es kann kein wirksames Inspektionssystem geben, wenn diejenigen, die diese Arbeit übernehmen, nicht über ausreichende Befugnisse verfügen, um sie auszuführen. Hinsichtlich der ihnen von ihren Gesetzgebern übertragenen Befugnisse gibt es zwischen den Aufsichtsbehörden viele Gemeinsamkeiten. Es muss immer ein Zutrittsrecht zu den Räumlichkeiten bestehen, was für die Inspektion natürlich von grundlegender Bedeutung ist. Danach besteht der gesetzliche Anspruch auf Einsicht in relevante Dokumente, Register und Berichte, auf individuelle oder kollektive Befragung von Arbeitnehmern, auf uneingeschränkten Zugang zu Gewerkschaftsvertretern am Arbeitsplatz, auf Entnahme von Proben von Stoffen oder Materialien, die am Arbeitsplatz verwendet werden , zu fotografieren und gegebenenfalls schriftliche Erklärungen von auf dem Gelände tätigen Personen aufzunehmen.
Häufig werden zusätzliche Befugnisse gewährt, um es den Inspektoren zu ermöglichen, Bedingungen zu beheben, die eine unmittelbare Quelle für Gefahren oder Gesundheitsschäden für die Belegschaft darstellen könnten. Auch hier gibt es eine Vielzahl von Praktiken. Wenn die Standards so schlecht sind, dass eine unmittelbare Gefahr für die Belegschaft besteht, kann ein Inspektor ermächtigt werden, vor Ort ein Rechtsdokument zuzustellen, das die Verwendung der Maschine oder Anlage untersagt oder den Prozess stoppt, bis die Gefahr wirksam geworden ist kontrolliert. Bei einem geringeren Risiko können die Inspektoren einen rechtlichen Hinweis erlassen, in dem sie förmlich verlangen, dass innerhalb einer bestimmten Frist Maßnahmen zur Verbesserung der Standards ergriffen werden. Dies sind wirksame Mittel zur raschen Verbesserung der Arbeitsbedingungen und oft eine Form der Durchsetzung, die formellen Gerichtsverfahren vorzuziehen ist, die bei der Sicherstellung von Abhilfe umständlich und langsam sein können.
Gerichtsverfahren nehmen einen wichtigen Platz in der Hierarchie der Vollstreckung ein. Es wird argumentiert, dass Gerichtsverfahren nur als letztes Mittel eingesetzt werden sollten, wenn alle anderen Versuche zur Durchsetzung von Verbesserungen gescheitert sind, weil sie lediglich Strafcharakter haben und nicht unbedingt zu einer Änderung der Einstellung zu Sicherheit und Gesundheitsschutz am Arbeitsplatz führen. Dieser Auffassung ist jedoch entgegenzuhalten, dass dort, wo gesetzliche Vorgaben missachtet oder missachtet und die Sicherheit und Gesundheit von Menschen erheblich gefährdet wurden, das Recht durchgesetzt und die Gerichte entschieden werden müssen. Als weiteres Argument wird argumentiert, dass Unternehmen, die die Sicherheits- und Gesundheitsvorschriften missachten, dadurch einen wirtschaftlichen Vorteil gegenüber ihren Konkurrenten erlangen könnten, die angemessene Ressourcen zur Verfügung stellen, um ihren gesetzlichen Pflichten nachzukommen. Die strafrechtliche Verfolgung von Personen, die ihre Pflichten beharrlich missachten, ist daher eine Abschreckung für die Skrupellosen und eine Ermutigung für diejenigen, die versuchen, das Gesetz einzuhalten.
Jeder Inspektionsdienst muss im Rahmen der Inspektionsarbeit die richtige Balance zwischen Beratung und Rechtsdurchsetzung finden. Eine besondere Schwierigkeit ergibt sich im Zusammenhang mit der Kontrolle kleiner Unternehmen. Lokale Ökonomien und sogar nationale Ökonomien werden oft von Industriebetrieben getragen, die jeweils weniger als 20 Mitarbeiter beschäftigen; in der Landwirtschaft ist die Beschäftigungszahl pro Einheit sehr viel geringer. Die Funktion der Aufsichtsbehörde besteht in diesen Fällen darin, die Arbeitsstätteninspektion zu nutzen, um Informationen und Ratschläge nicht nur zu gesetzlichen Anforderungen, sondern auch zu praktischen Standards und effektiven Möglichkeiten zur Erfüllung dieser Standards bereitzustellen. Die Technik muss darin bestehen, zu ermutigen und zu stimulieren, anstatt das Gesetz sofort durch Strafmaßnahmen durchzusetzen. Aber auch hier ist die Balance schwierig. Menschen am Arbeitsplatz haben unabhängig von der Größe des Unternehmens Anspruch auf Sicherheits- und Gesundheitsstandards, und es wäre daher völlig verfehlt, wenn ein Aufsichtsdienst Risiken ignoriert oder minimiert und auf deren Durchsetzung beschränkt oder gar verzichtet, nur um die Existenz der wirtschaftlich Schwachen zu fördern kleines Unternehmen.
Konsistenz der Inspektionen
In Anbetracht der Komplexität ihrer Arbeit – mit ihrem kombinierten Bedarf an juristischen, aufsichtsrechtlichen, technischen und wissenschaftlichen Fähigkeiten – verfolgen Inspektoren keinen mechanistischen Ansatz bei der Inspektion – und sollten es auch nicht. Diese Einschränkung, verbunden mit einem schwierigen Gleichgewicht zwischen Beratungs- und Durchsetzungsfunktionen, wirft noch ein weiteres Problem auf, nämlich die Kohärenz der Inspektionsdienste. Industrielle und Gewerkschaften haben das Recht, von den Inspektoren im ganzen Land eine einheitliche Anwendung technischer oder rechtlicher Standards zu erwarten. Dies ist in der Praxis nicht immer einfach zu erreichen, muss aber von den Vollzugsbehörden stets angestrebt werden.
Es gibt Möglichkeiten, eine akzeptable Konsistenz zu erreichen. Erstens sollte die Aufsichtsbehörde bei der Veröffentlichung ihrer technischen Standards und der öffentlichen Darlegung ihrer Durchsetzungspolitik so offen wie möglich sein. Zweitens sollte es durch Schulungen, die Anwendung von Peer-Review-Übungen und interne Anweisungen in der Lage sein, sowohl ein Problem zu erkennen als auch Systeme bereitzustellen, um damit umzugehen. Schließlich sollte sie sicherstellen, dass es Verfahren für die Industrie, die Belegschaft, die Öffentlichkeit und die Sozialpartner gibt, um Abhilfe zu schaffen, wenn sie eine berechtigte Beschwerde über Unstimmigkeiten oder andere Formen von Missständen im Zusammenhang mit der Inspektion haben.
Häufigkeit der Inspektionen
Wie häufig sollten die Aufsichtsbehörden Inspektionen des Arbeitsplatzes durchführen? Auch hier gibt es erhebliche Unterschiede in der Art und Weise, wie diese Frage beantwortet werden kann. Die Internationale Arbeitsorganisation (ILO) vertritt die Ansicht, dass die Mindestanforderung darin bestehen sollte, dass jeder Arbeitsplatz mindestens einmal jährlich von den Vollzugsbehörden inspiziert wird. In der Praxis schaffen es nur wenige Länder, ein Arbeitsaufsichtsprogramm aufzustellen, das diesem Ziel entspricht. In der Tat haben einige Regierungen seit der großen Wirtschaftskrise Ende der 1980er Jahre die Inspektionsdienste durch Budgetbeschränkungen eingeschränkt, die zu einer Kürzung der Zahl der Inspektoren führten, oder durch Beschränkungen bei der Einstellung neuer Mitarbeiter, um diejenigen zu ersetzen, die in den Ruhestand treten.
Es gibt verschiedene Ansätze, um festzulegen, wie häufig Inspektionen durchgeführt werden sollten. Ein Ansatz war rein zyklisch. Es werden Ressourcen eingesetzt, um alle zwei Jahre, oder wahrscheinlicher alle vier Jahre, eine Inspektion aller Räumlichkeiten durchzuführen. Aber dieser Ansatz, obwohl er möglicherweise den Anschein von Gerechtigkeit erweckt, behandelt alle Prämissen als gleich, unabhängig von Größe oder Risiko. Dennoch sind die Unternehmen in Bezug auf die Sicherheits- und Gesundheitsbedingungen offensichtlich unterschiedlich, und in dem Maße, in dem sie sich unterscheiden, kann dieses System als mechanistisch und fehlerhaft angesehen werden.
Ein anderer Ansatz, der von einigen Aufsichtsbehörden gewählt wurde, bestand darin, zu versuchen, ein Arbeitsprogramm auf der Grundlage von Gefahren zu erstellen; Je größer die Gefahr für Sicherheit oder Gesundheit, desto häufiger die Kontrolle. Daher setzt die Aufsichtsbehörde Ressourcen dort ein, wo das Schadenspotenzial für die Belegschaft am größten ist. Obwohl dieser Ansatz Vorteile hat, sind immer noch beträchtliche Probleme damit verbunden. Erstens gibt es Schwierigkeiten bei der genauen und objektiven Bewertung von Gefahren und Risiken. Zweitens verlängert es die Intervalle zwischen den Inspektionen der Räumlichkeiten, in denen die Gefahren und Risiken als gering eingeschätzt werden, erheblich. Daher können längere Zeiträume vergehen, in denen viele der Belegschaft möglicherweise auf das Gefühl der Sicherheit und Gewissheit verzichten müssen, das eine Inspektion vermitteln kann. Darüber hinaus geht das System tendenziell davon aus, dass sich einmal bewertete Gefahren und Risiken nicht grundlegend ändern. Dies ist bei weitem nicht der Fall, und es besteht die Gefahr, dass ein niedrig bewertetes Unternehmen seine Produktion so ändert oder entwickelt, dass Gefahren und Risiken zunehmen, ohne dass die Aufsichtsbehörde von dieser Entwicklung Kenntnis hat.
Andere Ansätze umfassen Inspektionen auf der Grundlage von Betriebsverletzungsraten, die höher sind als der nationale Durchschnitt für die jeweilige Branche, oder unmittelbar nach einer tödlichen Verletzung oder einer größeren Katastrophe. Es gibt keine kurzen und einfachen Antworten auf das Problem, die Inspektionshäufigkeit zu bestimmen, aber was zu passieren scheint, ist, dass die Inspektionsdienste in vielen Ländern zu oft erheblich unterfinanziert sind, was dazu führt, dass der wirkliche Schutz der Arbeitnehmer von der Der Service wird zunehmend ausgehöhlt.
Inspektionsziele
Inspektionstechniken am Arbeitsplatz variieren je nach Größe und Komplexität des Unternehmens. In kleineren Unternehmen ist die Inspektion umfassend und bewertet alle Gefahren und das Ausmaß, in dem die Risiken, die sich aus den Gefahren ergeben, minimiert wurden. Die Inspektion stellt daher sicher, dass der Arbeitgeber sich der Sicherheits- und Gesundheitsprobleme voll bewusst ist und praktische Anleitungen erhält, wie diese angegangen werden können. Aber auch im kleinsten Betrieb sollte die Aufsichtsbehörde nicht den Eindruck erwecken, dass die Fehlersuche und die Anwendung geeigneter Abhilfemaßnahmen Aufgabe der Aufsichtsbehörde und nicht des Arbeitgebers sind. Arbeitgeber müssen durch Inspektionen ermutigt werden, Sicherheits- und Gesundheitsprobleme zu kontrollieren und effektiv zu handhaben, und sie dürfen sich ihrer Verantwortung nicht entziehen, indem sie eine Inspektion durch die Vollzugsbehörden abwarten, bevor sie die erforderlichen Maßnahmen ergreifen.
In größeren Unternehmen liegen die Schwerpunkte der Inspektion etwas anders. Diese Unternehmen verfügen über die technischen und finanziellen Ressourcen, um Sicherheits- und Gesundheitsprobleme zu bewältigen. Sie sollten sowohl effektive Managementsysteme zur Lösung der Probleme als auch Managementverfahren entwickeln, um zu überprüfen, ob die Systeme funktionieren. Unter diesen Umständen sollte der Schwerpunkt der Inspektion daher auf der Überprüfung und Validierung der am Arbeitsplatz vorhandenen Managementkontrollsysteme liegen. Die Begehung sollte daher keine erschöpfende Prüfung aller Anlagen und Einrichtungen auf ihre Sicherheit sein, sondern vielmehr die Wirksamkeit oder Unwirksamkeit der Managementsysteme zur Gewährleistung von Sicherheit und Gesundheitsschutz bei der Arbeit anhand ausgewählter Beispiele prüfen.
Arbeitnehmerbeteiligung an Inspektionen
Unabhängig von den Räumlichkeiten ist der Kontakt mit der Belegschaft ein entscheidendes Element bei jeder Art von Inspektion. In vielen kleineren Betrieben gibt es möglicherweise überhaupt keine formelle Gewerkschaftsstruktur oder überhaupt eine Belegschaftsorganisation. Um jedoch die Objektivität und Akzeptanz des Inspektionsdienstes zu gewährleisten, sollte der Kontakt mit einzelnen Arbeitnehmern ein wesentlicher Bestandteil der Inspektion sein. In größeren Unternehmen sollte immer Kontakt zu Gewerkschaften oder anderen anerkannten Arbeitnehmervertretern aufgenommen werden. Die Gesetzgebung in einigen Ländern (z. B. Schweden und das Vereinigte Königreich) verleiht den Sicherheitsvertretern der Gewerkschaften offizielle Anerkennung und Befugnisse, einschließlich des Rechts, Arbeitsplatzinspektionen durchzuführen, Unfälle und gefährliche Vorkommnisse zu untersuchen, und in einigen Ländern (obwohl dies eine Ausnahme ist) zu Betriebsmaschinen oder den Produktionsprozess anhalten, wenn eine unmittelbare Gefahr droht. Aus diesen Kontakten mit den Arbeitnehmern können viele nützliche Informationen gewonnen werden, die bei jeder Inspektion berücksichtigt werden sollten, und sicherlich immer dann, wenn die Inspektion aufgrund eines Unfalls oder einer Beschwerde eine Inspektion durchführt.
Inspektionsbefunde
Das letzte Element einer Inspektion besteht darin, die Inspektionsergebnisse mit dem ranghöchsten Mitglied der Geschäftsleitung des Standorts zu besprechen. Das Management hat die Hauptverantwortung für die Einhaltung der gesetzlichen Anforderungen an Sicherheit und Gesundheit, und daher sollte keine Inspektion abgeschlossen sein, ohne dass das Management sich vollständig darüber im Klaren ist, inwieweit es diese Pflichten erfüllt hat und was getan werden muss, um angemessene Standards zu gewährleisten und aufrechtzuerhalten . Wenn aufgrund einer Inspektion rechtliche Hinweise erteilt werden oder ein Gerichtsverfahren zu erwarten ist, muss die Geschäftsleitung über diesen Sachverhalt zum frühestmöglichen Zeitpunkt informiert sein.
Firmeninspektionen
Betriebsinspektionen sind ein wichtiger Bestandteil zur Aufrechterhaltung solider Sicherheits- und Gesundheitsstandards am Arbeitsplatz. Sie sind für alle Unternehmen geeignet und können in größeren Unternehmen Bestandteil des Managementinspektionsverfahrens sein. Für kleinere Unternehmen ist es unerlässlich, eine Form der regelmäßigen Betriebsbesichtigung einzuführen. Auf die Kontrolldienste der Inspektorate der Vollzugsbehörden sollte kein Verlass sein. Diese sind in der Regel viel zu selten und sollten weitgehend als Anregung zur Verbesserung oder Beibehaltung von Standards dienen, anstatt die Hauptquelle für die Bewertung von Standards zu sein. Unternehmensinspektionen können von Beratern oder von Unternehmen durchgeführt werden, die sich auf diese Arbeit spezialisiert haben, aber die aktuelle Diskussion wird sich auf die Inspektion durch das eigene Personal des Unternehmens konzentrieren.
Wie häufig sollten Betriebsbegehungen durchgeführt werden? Die Antwort hängt teilweise von den mit der Arbeit verbundenen Gefahren und der Komplexität der Anlage ab. Aber auch in Räumlichkeiten mit geringem Risiko sollte regelmäßig (monatlich, vierteljährlich usw.) eine Art Inspektion durchgeführt werden. Wenn das Unternehmen eine Sicherheitsfachkraft beschäftigt, dann muss die Organisation und Durchführung der Inspektion natürlich ein wichtiger Bestandteil dieser Funktion sein. Die Inspektion sollte in der Regel eine Teamleistung sein, an der der Sicherheitsfachmann, der Abteilungsleiter oder Vorarbeiter und entweder ein Gewerkschaftsvertreter oder ein qualifizierter Arbeiter, wie z. B. ein Mitglied des Sicherheitsausschusses, beteiligt sind. Die Inspektion sollte umfassend sein; das heißt, sowohl die Sicherheitssoftware (z. B. Systeme, Verfahren und Arbeitsgenehmigungen) als auch die Hardware (z. B. Maschinenschutz, Brandbekämpfungsausrüstung, Absaugung und persönliche Schutzausrüstung) sollten einer genauen Prüfung unterzogen werden. Besondere Aufmerksamkeit sollte „Beinaheunfällen“ geschenkt werden – jenen Vorfällen, die nicht zu Sach- oder Personenschäden führen, aber das unmittelbare Potenzial für schwere Unfallverletzungen haben. Es wird erwartet, dass das Inspektionsteam nach einem Unfall, der zu einer Arbeitsunfähigkeit führt, unverzüglich einberufen wird, um die Umstände außerhalb des normalen Inspektionszyklus zu untersuchen. Aber auch bei der routinemäßigen Werkstattinspektion sollte das Team das Ausmaß der kleineren Unfallverletzungen berücksichtigen, die sich seit der letzten Inspektion in der Abteilung ereignet haben.
Es ist wichtig, dass Unternehmensinspektionen nicht durchgehend negativ erscheinen. Wenn Fehler vorhanden sind, ist es wichtig, dass sie identifiziert und behoben werden, aber es ist ebenso wichtig, die Aufrechterhaltung guter Standards zu loben, sich positiv über Sauberkeit und gute Haushaltsführung zu äußern und diejenigen zu ermutigen, die zu ihrer Sicherheit bereitgestellte persönliche Schutzausrüstung verwenden . Zum Abschluss der Inspektion sollte ein formeller schriftlicher Bericht über die festgestellten erheblichen Mängel erstellt werden. Auf Mängel, die bei früheren Kontrollen festgestellt, aber noch nicht behoben wurden, ist besonders hinzuweisen. Wenn ein Betriebssicherheitsrat oder ein gemischter Arbeitssicherheitsausschuss besteht, sollte der Inspektionsbericht als ständiger Punkt auf der Tagesordnung des Betriebsrats stehen. Der Bericht über die Inspektion ist an die Unternehmensleitung zu senden und mit ihr zu besprechen, die dann den Handlungsbedarf feststellt und gegebenenfalls genehmigt und unterstützt.
Selbst die kleinsten Unternehmen, in denen es keinen Sicherheitsfachmann gibt und wo es möglicherweise keine Gewerkschaften gibt, sollten Betriebsinspektionen in Betracht ziehen. Viele Aufsichtsbehörden haben sehr einfache Richtlinien erstellt, die die Grundkonzepte von Sicherheit und Gesundheitsschutz, ihre Anwendung auf eine Reihe von Branchen und praktische Möglichkeiten, wie sie selbst in den kleinsten Unternehmen angewendet werden können, veranschaulichen. Viele Sicherheitsverbände richten sich mit (oft kostenlosen) Veröffentlichungen speziell an kleine Unternehmen, die grundlegende Informationen zur Schaffung sicherer und gesunder Arbeitsbedingungen liefern. Ausgestattet mit dieser Art von Informationen und mit sehr geringem Zeitaufwand kann der Inhaber eines kleinen Unternehmens vernünftige Standards festlegen und so vielleicht die Art von Unfällen vermeiden, die der Belegschaft selbst in dem kleinsten Unternehmen passieren können.
Es ist ein Paradoxon, dass die Verhütung von Arbeitsunfällen nicht sehr früh als absolute Notwendigkeit erkannt wurde, da Gesundheit und Sicherheit für die Arbeit selbst von grundlegender Bedeutung sind. Tatsächlich wurden Arbeitsunfälle erst zu Beginn des XNUMX. Jahrhunderts nicht mehr als unvermeidlich angesehen, sondern ihre Ursachen wurden untersucht und als Grundlage für die Prävention herangezogen. Die Untersuchung von Unfällen blieb jedoch lange oberflächlich und empirisch. Historisch gesehen wurden Unfälle zunächst als einfache Phänomene aufgefasst – das heißt als Folge einer einzigen (oder Haupt-)Ursache und einer kleinen Zahl von Nebenursachen. Es wird heute anerkannt, dass die Untersuchung von Unfällen, die darauf abzielt, die Ursachen des Phänomens zu ermitteln, um ein erneutes Auftreten zu verhindern, sowohl von dem Konzept abhängt, das dem Untersuchungsprozess zugrunde liegt, als auch von der Komplexität der Situation, auf die es angewendet wird.
Unfallursachen
Tatsächlich sind Unfälle in den prekärsten Situationen oft das Ergebnis einer ziemlich einfachen Aneinanderreihung weniger Ursachen, die sich schnell auf grundlegende technische Probleme zurückführen lassen, die selbst eine zusammenfassende Analyse aufdecken kann (schlecht konstruierte Ausrüstung, undefinierte Arbeitsweise, etc.). Andererseits gilt: Je mehr die materiellen Elemente der Arbeit (Maschinen, Anlagen, Arbeitsplatzgestaltung etc.) den Anforderungen sicherer Arbeitsverfahren, Normen und Vorschriften entsprechen, desto sicherer wird die Arbeitssituation. Das hat zur Folge, dass ein Unfall nur dann eintreten kann, wenn gleichzeitig eine Gruppe von immer zahlreicher werdenden Ausnahmebedingungen vorliegt. In solchen Fällen erscheint der Schaden als Endergebnis eines oft komplexen Ursachengeflechts. Diese Komplexität zeugt eigentlich von Fortschritten in der Prävention und erfordert entsprechende Untersuchungsmethoden. Tabelle 1 listet die Hauptkonzepte des Unfallphänomens, ihre Merkmale und Auswirkungen auf die Prävention auf.
Tabelle 1. Hauptkonzepte des Unfallphänomens, ihre Merkmale und die Auswirkungen auf die Prävention
Begriff oder „Unfallphänomen“ |
Wesentliche Elemente (Ziele, Verfahren, Grenzen etc.) |
Hauptfolgen für die Prävention |
Grundkonzept (Unfall als |
Ziel ist es, „die“ Einzel- oder Hauptursache zu identifizieren |
Einfache Präventionsmaßnahmen im unmittelbaren Vorfeld der Verletzung (individueller Schutz, Unterweisung zur Sorgfalt, Schutz gefährlicher Maschinen) |
Konzept konzentrierte sich auf regulatorische Maßnahmen |
Konzentrieren Sie sich auf die Suche nach dem Verantwortlichen; die „Untersuchung“ identifiziert im Wesentlichen Verstöße und Fehler Selten besorgt über die Bedingungen, die die untersuchten Situationen hervorrufen |
Die Prävention beschränkt sich in der Regel auf Erinnerungen an bestehende regulatorische Anforderungen oder formelle Anweisungen |
Lineares (oder quasi-lineares) Konzept („Domino“-Modell) |
Identifizierung einer zeitlichen Abfolge von „gefährlichen Zuständen“ und „gefährlichen Handlungen“ |
Schlussfolgerungen, die sich allgemein mit den gefährlichen Handlungen befassen |
Multifaktorielles Konzept |
Umfassende Recherche zur Erhebung der Fakten (Umstände, Ursachen, Faktoren etc.) |
Konzept nicht förderlich für die Suche nach Lösungen von Fall zu Fall (klinische Analyse) und besser geeignet für die Identifizierung statistischer Aspekte (Trends, Tabellen, Grafiken usw.) |
Systematisches Konzept |
Identifizierung des Faktorennetzwerks jedes Unfalls |
Methoden, die sich auf die klinische Analyse konzentrieren |
Heutzutage wird ein Arbeitsunfall im Allgemeinen als Hinweis (oder Symptom) einer Funktionsstörung in einem System angesehen, das aus einer einzelnen Produktionseinheit besteht, wie z. B. einer Fabrik, Werkstatt, einem Team oder einem Arbeitsplatz. Es liegt in der Natur eines Systems, dass seine Analyse erfordert, dass der Ermittler nicht nur die Elemente untersucht, aus denen das System besteht, sondern auch ihre Beziehungen untereinander und mit der Arbeitsumgebung. Im Rahmen eines Systems versucht die Unfalluntersuchung, die Abfolge grundlegender Funktionsstörungen, die zum Unfall geführt haben, und allgemeiner das Netzwerk der Vorgeschichte des unerwünschten Ereignisses (Unfall, Beinahe-Unfall oder Zwischenfall) bis zu ihren Ursprüngen zurückzuverfolgen.
Die Anwendung derartiger Methoden wie der STEP-Methode (sequentially timed events plotting procedure) und der „Tree of Causes“-Methode (ähnlich Fehler- oder Ereignisbaumanalysen) ermöglicht die Visualisierung des Unfallgeschehens in Form einer angepasster Graph, der die Multikausalität des Phänomens veranschaulicht. Da diese beiden Methoden so ähnlich sind, würde es eine Doppelarbeit bedeuten, sie beide zu beschreiben; Dementsprechend konzentriert sich dieser Artikel auf die Methode des Ursachenbaums und weist gegebenenfalls auf die Hauptunterschiede zur STEP-Methode hin.
Nützliche Informationen für die Untersuchung
Die erste Phase der Untersuchung, das Sammeln von Informationen, muss eine konkrete, genaue und objektive Beschreibung des Unfallhergangs ermöglichen. Die Untersuchung zielt daher darauf ab, die konkreten Tatsachen zu ermitteln, ohne darauf zu achten, sie zu interpretieren oder eine Meinung darüber zu äußern. Dies sind die Vorgeschichte des Unfalls, von denen es zwei Arten gibt:
Beispielsweise kann sich ein unzureichender Schutz einer Maschine (ein permanenter Vorläufer) als Unfallfaktor herausstellen, wenn er es dem Bediener ermöglicht, eine Position in einem gefährlichen Bereich einzunehmen, um einen bestimmten Vorfall zu bewältigen (ungewöhnlicher Vorläufer).
Die Informationsbeschaffung erfolgt möglichst unmittelbar nach dem Unfallgeschehen direkt am Unfallort. Sie wird vorzugsweise von Personen durchgeführt, die den Vorgang oder das Verfahren kennen und sich bemühen, eine genaue Beschreibung der Arbeit zu erhalten, ohne sich auf die unmittelbaren Umstände des Schadens oder der Verletzung zu beschränken. Die Ermittlung erfolgt zunächst hauptsächlich durch Befragungen, möglichst mit dem Arbeiter oder Betreiber, Opfern und Augenzeugen, anderen Mitgliedern des Arbeitsteams und den Vorgesetzten. Gegebenenfalls wird sie durch eine technische Untersuchung und den Einsatz von externem Fachwissen vervollständigt.
Die Untersuchung versucht, die ungewöhnlichen Vorgeschichten in der Reihenfolge ihrer Priorität zu identifizieren und ihre logischen Verbindungen zu bestimmen. Gleichzeitig wird versucht, die dauerhaften Vorgeschichten aufzudecken, die den Unfall ermöglicht haben. Auf diese Weise kann die Untersuchung zu einem Zeitpunkt zurückgehen, der weiter entfernt ist als die unmittelbare Vorgeschichte des Unfalls. Diese entfernteren Vorläufer können Einzelpersonen, ihre Aufgaben, die von ihnen verwendete Ausrüstung, die Umgebung, in der sie arbeiten, und die Sicherheitskultur betreffen. Wenn Sie auf die gerade beschriebene Weise vorgehen, ist es im Allgemeinen möglich, eine lange Liste von Antezedenzien zu erstellen, aber es wird normalerweise schwierig sein, die Daten sofort zu verwenden. Die Interpretation der Daten wird durch eine grafische Darstellung aller Vorgeschichten der Unfallentstehung – also eines Ursachenbaums – ermöglicht.
Einen Baum der Ursachen konstruieren
Der Ursachenbaum zeigt alle gesammelten Vorgeschichten, die zu dem Unfall geführt haben, sowie die logischen und chronologischen Verknüpfungen, die sie verbinden; es ist eine Darstellung des Netzwerks von Vorgeschichten, die die Verletzung direkt oder indirekt verursacht haben. Der Baum der Ursachen wird ausgehend vom Endpunkt des Ereignisses – d. h. der Verletzung oder dem Schaden – konstruiert und arbeitet sich rückwärts zur Ursache hin, indem systematisch die folgenden Fragen für jede gesammelte Vorgeschichte gestellt werden:
Diese Reihe von Fragen kann unter den Antezedenzien drei Arten von logischen Verbindungen aufzeigen, die in Abbildung 1 zusammengefasst sind.
Abbildung 1. Logische Verknüpfungen, die in der Methode „Baum der Ursachen“ verwendet werden
Die logische Kohärenz des Baums wird überprüft, indem für jeden Antezedens die folgenden Fragen gestellt werden:
Darüber hinaus veranlasst die Konstruktion des Ursachenbaums an sich die Ermittler, die Informationsbeschaffung und damit die Untersuchung bis zu einem Zeitpunkt weit vor dem Unfall fortzusetzen. Wenn er fertig ist, stellt der Baum das Netzwerk von Vorläufern dar, die zu der Verletzung geführt haben – sie sind tatsächlich die Unfallfaktoren. Als Beispiel hat der unten zusammengefasste Unfall den in Abbildung 2 gezeigten Ursachenbaum erzeugt.
Abbildung 2. Baum der Unfallursachen eines Mechanikerlehrlings beim Wiedereinbau eines Motors in ein Auto
Unfallzusammenfassungsbericht: Ein neu eingestellter Mechanikerlehrling musste im Notfall alleine arbeiten. Eine abgenutzte Schlinge wurde verwendet, um einen Motor aufzuhängen, der neu montiert werden musste, und während dieser Operation brach die Schlinge, und der Motor fiel und verletzte den Arm des Mechanikers.
Analyse nach der STEP-Methode
Gemäß der STEP-Methode (Abbildung 3) wird jedes Ereignis grafisch dargestellt, um die chronologische Reihenfolge seines Erscheinens anzuzeigen, wobei eine Zeile pro betroffenem „Agenten“ beibehalten wird (ein Agent ist die Person oder Sache, die den Ablauf der Ereignisse bestimmt, die konstituieren das Unfallgeschehen). Jedes Ereignis wird genau beschrieben, indem Beginn, Dauer, Start- und Endort usw. angegeben werden. Wenn es mehrere plausible Hypothesen gibt, kann der Untersucher diese im Netzwerk der Ereignisse anzeigen, indem er die logische Beziehung „oder“ verwendet.
Abbildung 3. Beispiel einer Darstellung, die durch die STEP-Methode möglich ist
Analyse nach der Methode des Ursachenbaums
Die Nutzung des Ursachenbaums für die Unfallanalyse hat zwei Ziele:
Angesichts der logischen Struktur des Baums hätte das Fehlen eines einzigen Vorläufers das Auftreten des Unfalls verhindert. Eine vernünftige Präventionsmaßnahme würde daher grundsätzlich ausreichen, um das erste Ziel zu erreichen, indem verhindert wird, dass sich ein und derselbe Unfall wiederholt. Das zweite Ziel würde erfordern, dass alle entdeckten Faktoren eliminiert werden, aber in der Praxis sind nicht alle Vorläufer für die Zwecke der Prävention gleich wichtig. Es ist daher notwendig, eine Liste von Vorfällen zu erstellen, die angemessene und realistische Präventivmaßnahmen erfordern. Wenn diese Liste lang ist, muss eine Auswahl getroffen werden. Diese Wahl hat größere Chancen, angemessen zu sein, wenn sie im Rahmen einer Debatte zwischen den am Unfall beteiligten Partnern getroffen wird. Darüber hinaus wird die Debatte insofern an Klarheit gewinnen, als es möglich ist, die Kostenwirksamkeit jeder vorgeschlagenen Maßnahme zu bewerten.
Wirksamkeit vorbeugender Maßnahmen
Die Wirksamkeit einer Präventionsmaßnahme kann anhand folgender Kriterien beurteilt werden:
Die Stabilität der Maßnahme. Die Auswirkungen einer vorbeugenden Maßnahme dürfen nicht mit der Zeit verschwinden: Die Information der Bediener (insbesondere die Erinnerung an Anweisungen) ist keine sehr stabile Maßnahme, da ihre Auswirkungen oft vorübergehend sind. Dasselbe gilt übrigens für einige Schutzvorrichtungen, wenn sie leicht abnehmbar sind.
Die Möglichkeit der Integration von Sicherheit. Wenn eine Sicherheitsmaßnahme hinzugefügt wird, dh wenn sie nicht direkt zur Produktion beiträgt, wird gesagt, dass die Sicherheit nicht integriert ist. Wenn dies der Fall ist, wird beobachtet, dass die Maßnahme dazu neigt, zu verschwinden. Generell sollte jede Präventivmaßnahme vermieden werden, die zusätzliche Kosten für den Betreiber mit sich bringt, seien es physiologische Kosten (Erhöhung der körperlichen oder nervlichen Belastung), psychologische Kosten, finanzielle Kosten (bei Gehalt oder Leistung) oder gar ein einfacher Zeitverlust.
Die Nichtverdrängung des Risikos. Einige vorbeugende Maßnahmen können indirekte Auswirkungen haben, die sich nachteilig auf die Sicherheit auswirken. Es ist daher immer notwendig, die möglichen Auswirkungen einer vorbeugenden Maßnahme auf das System (Arbeitsplatz, Team oder Werkstatt), in das sie eingefügt wird, vorherzusehen.
Die Möglichkeit der allgemeinen Anwendung (der Begriff des potenziellen Unfallfaktors). Dieses Kriterium spiegelt die Besorgnis wider, dass die gleichen vorbeugenden Maßnahmen auch auf andere Arbeitsplätze anwendbar sein könnten als den, der von dem untersuchten Unfall betroffen ist. Wann immer möglich, sollte versucht werden, über den konkreten Fall hinauszugehen, der Anlass zu der Untersuchung gegeben hat, was häufig eine Neuformulierung der festgestellten Probleme erfordert. Die aus einem Unfall gewonnenen Informationen können somit zu vorbeugenden Maßnahmen in Bezug auf Faktoren führen, die unbekannt sind, aber in anderen Arbeitssituationen vorhanden sind, in denen sie noch nicht zu Unfällen geführt haben. Aus diesem Grund werden sie als „potenzielle Unfallfaktoren“ bezeichnet. Dieser Begriff ebnet den Weg für die später erwähnte Früherkennung von Risiken.
Die Wirkung auf die eigentlichen „Ursachen“. In der Regel eliminiert die verletzungsnahe Vermeidung von Unfallfaktoren bestimmte Auswirkungen von Gefahrensituationen, während die verletzungsvorgelagerte Prävention eher die Gefahrensituationen selbst eliminiert. Eine eingehende Untersuchung von Unfällen ist insofern gerechtfertigt, als die vorbeugenden Maßnahmen gleichermaßen die vorgelagerten Faktoren betreffen.
Die für die Anwendung benötigte Zeit. Die Notwendigkeit, nach einem Unfall so schnell wie möglich zu handeln, um eine Wiederholung zu vermeiden, spiegelt sich oft in der Anwendung einer einfachen vorbeugenden Maßnahme (z. B. einer Unterweisung) wider, was jedoch nicht die Notwendigkeit anderer dauerhafterer Maßnahmen ausschließt und effektiveres Handeln. Jeder Unfall muss daher zu einer Reihe von Vorschlägen führen, deren Umsetzung Gegenstand der Weiterverfolgung ist.
Die oben genannten Kriterien sollen dazu dienen, die Qualität der nach jeder Unfalluntersuchung vorgeschlagenen vorbeugenden Maßnahmen besser einschätzen zu können. Die endgültige Auswahl wird jedoch nicht allein auf dieser Grundlage getroffen, da auch andere Überlegungen, wie wirtschaftliche, kulturelle oder soziale, berücksichtigt werden müssen. Schließlich müssen die beschlossenen Maßnahmen selbstverständlich die geltenden Vorschriften einhalten.
Unfallfaktoren
Die aus jeder Unfallanalyse gezogenen Lehren verdienen es, systematisch aufgezeichnet zu werden, um den Übergang vom Wissen zum Handeln zu erleichtern. Somit besteht Abbildung 4 aus drei Spalten. In der linken Spalte sind die Unfallfaktoren notiert, die vorbeugende Maßnahmen erfordern. Mögliche vorbeugende Maßnahmen werden in der mittleren Spalte für jeden entschiedenen Faktor beschrieben. Nach der oben erwähnten Diskussion wird die ausgewählte Aktion in diesem Teil des Dokuments festgehalten.
Abbildung 4. Lehren aus Unfällen und die Nutzung dieser Lehren
Die rechte Spalte deckt die potenziellen Unfallfaktoren ab, die von den in der linken Spalte aufgeführten Faktoren vorgeschlagen werden: Es wird davon ausgegangen, dass jeder entdeckte Unfallfaktor oft nur ein besonderer Fall eines allgemeineren Faktors ist, der als potenzieller Unfallfaktor bekannt ist. Der Übergang vom Sonderfall zum allgemeineren Fall erfolgt oft spontan. Immer dann, wenn ein Unfallfaktor so ausgedrückt wird, dass er nicht anderswo als in der Situation, in der er aufgetreten ist, anzutreffen ist, muss eine allgemeinere Formulierung in Erwägung gezogen werden. Dabei gilt es, zwei gegensätzliche Fallstricke zu vermeiden, um den Begriff des potenziellen Unfallfaktors effektiv für die Früherkennung später auftretender Risiken zu nutzen. Eine zu umschriebene Formulierung erlaubt keine systematische Erfassung der Faktoren, eine zu weite Formulierung macht den Begriff unbrauchbar und von keinem weiteren praktischen Interesse. Die Erkennung potenzieller Unfallfaktoren setzt also deren gute Formulierung voraus. Diese Erkennung kann dann auf zwei Wegen erfolgen, die sich zudem ergänzen:
Nützlichkeit, Wirksamkeit und Grenzen der Unfalluntersuchung
Nützlichkeit. Methoden der Unfalluntersuchung nach einem systematischen Konzept haben gegenüber nicht-systematischen Untersuchungen zahlreiche Vorteile, darunter:
Wirksamkeit. Um effektiv zu sein, erfordert die Unfalluntersuchung, dass vier Bedingungen gleichzeitig erfüllt sind:
Einschränkungen. Selbst wenn sie sehr gut durchgeführt wird, leidet die Unfalluntersuchung unter einer doppelten Einschränkung:
Die Notwendigkeit, Unfalldaten zu melden und zusammenzustellen
Der Hauptzweck der Erfassung und Analyse von Arbeitsunfalldaten besteht darin, Wissen zur Verfügung zu stellen, das zur Verhütung von Arbeitsunfällen, Todesfällen und anderen Formen von Schäden wie toxischen Belastungen mit Langzeitwirkung verwendet werden kann. Diese Daten sind auch hilfreich bei der Beurteilung des Bedarfs an Opferentschädigungen für zuvor erlittene Verletzungen. Weitere, spezifischere Zwecke für die Erstellung von Unfallstatistiken sind:
Oftmals ist eine Übersicht über die Anzahl der Unfälle auf Jahresbasis erwünscht. Häufig wird hierfür eine Häufigkeit verwendet, die die Zahl der Unfälle mit einem Maß der Risikogruppe vergleicht und beispielsweise in Unfällen pro 100,000 Beschäftigten oder pro 100,000 Arbeitsstunden ausdrückt. Solche jährlichen Zählungen dienen dazu, Schwankungen in einer Unfallrate von einem Jahr zum anderen aufzuzeigen. Sie können zwar die Arten von Unfällen angeben, die die dringendsten vorbeugenden Maßnahmen erfordern, aber sie selbst geben keine Hinweise darauf, in welcher Form diese Maßnahmen ergriffen werden sollten.
Der Bedarf an Unfallinformationen bezieht sich auf die folgenden drei Funktionsebenen, die davon Gebrauch machen:
Die Rolle der Organisation bei der Zusammenstellung von Unfallinformationen
In vielen Ländern ist es gesetzlich vorgeschrieben, dass Unternehmen Statistiken über Arbeitsunfälle führen, die zu Verletzungen, Todesfällen oder toxischer Exposition eines Arbeitnehmers führen. Der Zweck besteht in der Regel darin, auf Risiken aufmerksam zu machen, die tatsächlich zu solchen Unfällen geführt haben, wobei sich die Sicherheitsaktivitäten hauptsächlich auf den jeweiligen Unfall und die Untersuchung des Ereignisses selbst konzentrieren. Es ist jedoch üblicher, Unfallinformationen systematisch zu sammeln und aufzuzeichnen, eine Funktion, die normalerweise auf einer höheren Ebene durchgeführt wird.
Da die tatsächlichen Umstände der meisten Unfälle besonders sind, kommt es selten zu völlig identischen Unfällen, und die Prävention, die auf der Analyse des einzelnen Unfalls basiert, wird sehr schnell zu einer sehr spezifischen Angelegenheit. Durch die systematische Zusammenstellung von Unfallinformationen ist es möglich, einen breiteren Überblick über die Bereiche zu erhalten, in denen spezifische Risiken zu finden sind, und die weniger offensichtlichen Faktoren aufzudecken, die an der Unfallverursachung beteiligt waren. Bestimmte Arbeitsabläufe, bestimmte Arbeitsteams oder die Arbeit mit bestimmten Maschinen können zu höchst umstandsbedingten Unfällen führen. Eine genaue Untersuchung der Unfallarten, die mit einer bestimmten Klasse einheitlicher Arbeit verbunden sind, kann jedoch Faktoren wie unzweckmäßige Arbeitsabläufe, falsche Verwendung von Materialien, schwierige Arbeitsbedingungen oder unzureichende Unterweisung der Arbeiter aufdecken. Eine Analyse zahlreicher wiederkehrender Unfälle wird die grundlegenden Faktoren aufzeigen, die bei der Vorbeugung zu berücksichtigen sind.
Meldung von Unfallinformationen an Sicherheitsbehörden
Die Gesetzgebung, die die Meldung von Arbeitsunfällen vorschreibt, ist von Land zu Land sehr unterschiedlich, wobei sich die Unterschiede hauptsächlich auf die Arbeitgeberklassen und andere beziehen, für die die Gesetze gelten. Länder, die großen Wert auf die Sicherheit am Arbeitsplatz legen, schreiben in der Regel vor, dass Unfalldaten an die Behörde gemeldet werden, die für die Überwachung der Einhaltung der Sicherheitsvorschriften zuständig ist. (In einigen Fällen schreibt der Gesetzgeber die Meldung von Arbeitsunfällen vor, die zu einer Abwesenheit vom Arbeitsplatz führen, wobei die Dauer dieser Abwesenheit zwischen 1 und 3 Tagen zusätzlich zum Unfalltag variieren kann.) Den meisten Rechtsvorschriften gemeinsam ist die Tatsache, dass die Meldung verknüpft ist mit irgendeiner Art von Strafe oder Entschädigung für die Folgen von Unfällen.
Um eine solide Grundlage für die Verhütung von Arbeitsunfällen zu schaffen, ist es notwendig, Unfallinformationen aller Branchen und Gewerbearten zu sichern. Auf nationaler Ebene sollte eine Vergleichsbasis geschaffen werden, um eine Priorisierung von Präventionsmaßnahmen zu ermöglichen und um das Wissen über Risiken im Zusammenhang mit aufgabenübergreifenden Tätigkeiten in die Präventionsarbeit einfließen zu lassen. Es wird daher empfohlen, dass die Pflicht zur Erstellung von Berufsunfallinformationen auf nationaler Ebene für alle Arbeitsunfälle mit einer bestimmten Schwere gilt, unabhängig davon, ob sie Beschäftigte von Unternehmen oder Selbstständigen, Leiharbeitnehmer oder Arbeitnehmer betreffen, oder Arbeitnehmer im öffentlichen oder privaten Sektor.
Während Arbeitgeber im Allgemeinen verpflichtet sind, Unfälle zu melden, ist dies eine Pflicht, die mit unterschiedlichem Enthusiasmus erfüllt wird. Das Ausmaß der Einhaltung der Unfallmeldepflicht hängt davon ab, welche Anreize den Arbeitgeber dazu bewegen. Einige Länder haben beispielsweise eine Regelung, nach der Arbeitgeber für den Arbeitsausfall eines Unfallopfers entschädigt werden, eine Regelung, die ihnen einen guten Grund gibt, Arbeitsunfälle zu melden. Andere Länder bestrafen Arbeitgeber, die Unfälle nicht melden. Wo derartige Anreize nicht vorhanden sind, wird die lediglich gesetzliche Verpflichtung des Arbeitgebers nicht immer eingehalten. Darüber hinaus wird empfohlen, Arbeitsunfallinformationen, die für präventive Zwecke bestimmt sind, an die für die Prävention zuständige Behörde weiterzuleiten und getrennt von der Entschädigungsbehörde aufzubewahren.
Welche Informationen sind zusammenzustellen?
Es gibt drei grundlegende Arten von Informationen, die durch die Unfallaufzeichnung erhältlich sind:
Es ist notwendig, eine gewisse Grundausstattung an Daten zusammenzustellen, um zu dokumentieren, wann und wo ein Unfall passiert, und um zu analysieren, wie er passiert. Auf Unternehmensebene sind die gesammelten Daten detaillierter als die auf nationaler Ebene gesammelten, aber auf lokaler Ebene erstellte Berichte enthalten Informationen, die auf allen Ebenen wertvoll sind. Tabelle 1 veranschaulicht bestimmte Arten von Informationen, die zur Beschreibung eines einzelnen Unfalls aufgezeichnet werden könnten. Die für die Aufgabe der Unfallstatistik besonders relevanten Punkte werden im Folgenden näher beschrieben.
Tabelle 1. Informative Variablen, die einen Unfall charakterisieren
Aktionen |
Artikel |
Schritt 1 |
|
Aktivität des Opfers: z. B. Bedienen einer Maschine, Durchführen von Wartungsarbeiten, Fahren, Gehen usw. |
Komponente im Zusammenhang mit der Aktivität des Opfers: z. B. Kraftpresse, Werkzeug, Fahrzeug, Boden usw. |
Schritt 2 |
|
Abweichende Aktion: z. B. Explosion, strukturelles Versagen, Stolpern, Kontrollverlust usw. |
Komponente im Zusammenhang mit abweichender Wirkung: z. B. Druckbehälter, Wand, Kabel, Fahrzeug, Maschine, Werkzeug usw. |
Schritt 3 |
|
Handlung, die zu Verletzungen führt: z. B. getroffen, gequetscht, eingeklemmt, berührt, gebissen usw. |
Schadensquelle: z. B. Ziegel, Erde, Maschine usw. |
Unfallidentifikationsnummer. Allen Arbeitsunfällen muss eine eindeutige Identifikationsnummer zugeordnet werden. Besonders vorteilhaft ist die Verwendung einer numerischen Kennung zum Zweck der computergestützten Ablage und Weiterverarbeitung.
Persönliche Identifikationsnummer und Datum. Die Registrierung des Opfers ist ein wesentlicher Bestandteil der Unfallerkennung. Die Nummer kann der Geburtstag des Arbeitnehmers, die Beschäftigungsnummer, die Sozialversicherungsnummer oder eine andere eindeutige Kennung sein. Die Erfassung der Personennummer und des Unfalldatums verhindert eine doppelte Erfassung des gleichen Unfallereignisses und ermöglicht zudem die Überprüfung, ob der Unfall gemeldet wurde. Die Verknüpfung der im Unfallbericht enthaltenen Informationen mit der persönlichen Identifikationsnummer kann aus Sicherheitsgründen geschützt werden.
Staatsangehörigkeit. Die Nationalität des Opfers kann in Ländern mit einem erheblichen Anteil ausländischer Arbeitskräfte eine besonders wichtige Information sein. Eine zweistellige Codenummer kann aus den im DS/ISO-Standard 3166 aufgeführten ausgewählt werden.
Besetzung. Eine Berufsregistrierungsnummer kann aus der Liste der vierstelligen internationalen Berufscodes ausgewählt werden, die von der Internationalen Standardklassifikation der Berufe (ISCO) bereitgestellt wird.
Unternehmen. Name, Adresse und Identifikationsnummer des Unternehmens werden bei der Aufzeichnung von Unfällen auf nationaler Ebene verwendet (obwohl Name und Adresse nicht für Computeraufzeichnungen verwendet werden können). Der Produktionsbereich des Unternehmens ist in der Regel bei seinem Berufsgenossenschaftsträger oder im Zusammenhang mit der Anmeldung seiner Belegschaft angemeldet. Eine numerische Branchenkennung kann nach dem fünfstelligen internationalen Klassifikationssystem NACE vergeben werden.
Der Arbeitsprozess. Ein wesentlicher Bestandteil der Informationen zu Arbeitsunfällen ist die Beschreibung des Arbeitsablaufs zum Zeitpunkt des Unfalls. Die Identifikation des Arbeitsprozesses ist Voraussetzung für eine zielgerichtete Prävention. Es ist zu beachten, dass der Arbeitsprozess die tatsächliche Arbeitsfunktion ist, die das Opfer zum Zeitpunkt des Unfalls ausführte, und nicht unbedingt mit dem Arbeitsprozess identisch sein muss, der die Verletzung, den Tod oder die Exposition verursacht hat.
Das Unfallgeschehen. Ein Unfallereignis besteht normalerweise aus einer Kette von Ereignissen. Auf Seiten der Ermittler besteht häufig die Tendenz, sich auf den Teil des Ereigniszyklus zu konzentrieren, in dem die Verletzung tatsächlich aufgetreten ist. Aus Sicht der Prävention ist jedoch eine Beschreibung des Teils des Ereigniszyklus, in dem etwas schief gelaufen ist, und dessen, was das Opfer tat, als das Ereignis eintrat, ebenso wichtig.
Die Folgen des Unfalls. Nach Angabe des verletzten Körperteils und Beschreibung der Verletzungsart (teilweise durch Kodierung aus einer Checkliste und teilweise aus der Beschreibung im Ereigniszyklus) erfolgt die Erfassung der Schwere der Verletzung, ob diese dazu geführt hat Abwesenheit vom Arbeitsplatz (und für wie lange) oder ob es sich um einen Todesfall oder eine Invalidität handelte. Detaillierte Informationen zu längerer Arbeitsunfähigkeit, Krankenhausaufenthalt oder Invalidität erhalten Sie in der Regel bei den Ausgleichskassen und den Sozialversicherungen.
Die Untersuchung von Unfallereignissen gliedert sich daher für die Erfassung in die folgenden drei Informationsbausteine:
Die folgenden Beispiele veranschaulichen die Anwendung dieser Analysekategorien:
Meldung von Unfallinformationen
Die für jeden Unfall einzuholenden Informationen können in einem Berichtsformular ähnlich dem in Abbildung 1 dargestellten festgehalten werden.
Abbildung 1. Musterberichtsformular
Die Informationen aus dem Berichtsformular können mithilfe von Klassifizierungsschlüsseln auf einem Computer erfasst werden. (Wenn internationale Klassifikationssysteme empfohlen werden können, werden diese bei der Beschreibung der einzelnen Informationsvariablen oben erwähnt.) Klassifikationen für die anderen Variablen, die zur Erfassung von Arbeitsunfällen verwendet werden, wurden vom Dänischen Dienst für Arbeitsumwelt und anzuwendende Grundsätze entwickelt zur Einrichtung eines harmonisierten Aufzeichnungssystems sind Teil eines Vorschlags der Europäischen Union.
Die Verwendung von Unfallstatistiken
Unfallstatistiken sind in vielen Kontexten ein wertvolles Instrument: Kartierung, Überwachung und Warnung, Priorisierung von Präventionsbereichen, spezifische Präventionsmaßnahmen sowie Informationsbeschaffung und -forschung. Ein Bereich kann sich mit einem anderen überschneiden, aber die Anwendungsprinzipien variieren.
Mapping
Mapping von Arbeitsunfalldaten beinhaltet die Extraktion vorgegebener Arten von Informationen aus einer Anhäufung registrierter Daten und die Analyse der Wechselbeziehungen zwischen ihnen. Die folgenden Beispiele veranschaulichen die Nützlichkeit der Kartenanwendungen.
Überwachung und Warnung
Netzwerk Performance wird von einem laufenden Überwachungsprozess begleitet Warnung von wesentlichen Risiken, insbesondere von Änderungen solcher Risiken. Änderungen, die in eingehenden Unfallmeldungen beobachtet werden, können entweder auf Änderungen im Meldemuster hindeuten oder, was noch schlimmer ist, echte Änderungen der Risikofaktoren widerspiegeln. Von großen Risiken kann gesprochen werden, wenn es zu einer hohen Verletzungshäufigkeit kommt, wo viele schwere Verletzungen auftreten und wo es eine große menschliche Expositionsgruppe gibt.
Festlegung von Prioritäten
Festlegung von Prioritäten ist die Auswahl der wichtigsten Risikobereiche oder Arbeitsumfeldprobleme für vorbeugende Maßnahmen. Durch die Ergebnisse von Kartierungserhebungen und Überwachungs- und Warnaktivitäten kann ein Verzeichnis von Arbeitsunfällen erstellt werden, das zu dieser Festlegung von Prioritäten beitragen kann, deren Elemente Folgendes umfassen könnten:
Daten aus einem Arbeitsunfallregister können bei der Festlegung von Prioritäten auf mehreren Ebenen verwendet werden, vielleicht auf nationaler Ebene insgesamt oder auf spezifischer Unternehmensebene. Unabhängig von der Ebene können die Analysen und Bewertungen auf der Grundlage der gleichen Prinzipien durchgeführt werden.
abwehr
Analysen und Dokumentationen, die zu präventiven Zwecken eingesetzt werden, sind in der Regel sehr spezifisch und auf begrenzte Bereiche konzentriert, die jedoch sehr tiefgehend behandelt werden. Ein Beispiel für eine solche Analyse ist die Kampagne gegen tödliche Unfälle, die vom dänischen nationalen Arbeitsaufsichtsdienst durchgeführt wird. Vorläufige Kartierungserhebungen identifizierten die Gewerbe und Arbeitsfunktionen, in denen sich tödliche Unfälle ereigneten. Ackerschlepper wurden als Schwerpunktbereich für die Analyse ausgewählt. Ziel der Analyse war es dann herauszufinden, was Traktoren so gefährlich macht. Es wurde den Fragen nachgegangen, wer sie gefahren hat, wo sie bedient wurden, wann sich die Unfälle ereignet haben und insbesondere welche Arten von Situationen und Ereignissen zu den Unfällen geführt haben. Die Analyse ergab eine Beschreibung von sieben typischen Situationen, die am häufigsten zu Unfällen führten. Basierend auf dieser Analyse wurde ein Präventionsprogramm formuliert.
Die Zahl der Arbeitsunfälle in einem einzelnen Unternehmen ist oft zu gering, um aussagekräftige Statistiken für präventive Analysen zu liefern. Eine Analyse des Unfallmusters kann zwar die Wiederholung bestimmter Verletzungen verhindern, aber kaum das Auftreten von Unfällen verhindern, die sich in der einen oder anderen Weise von früheren Unfällen unterscheiden. Sofern der Untersuchungsschwerpunkt kein größeres Unternehmen ist, werden solche Analysen daher am besten an einer Gruppe von Unternehmen sehr ähnlicher Art oder an einer Gruppe von Produktionsprozessen des gleichen Typs durchgeführt. So zeigt eine Analyse der Holzindustrie, dass es bei Unfällen mit Schneidemaschinen hauptsächlich um Fingerverletzungen geht. Transportunfälle bestehen überwiegend aus Fuß- und Beinverletzungen, und Hirnschäden und Ekzeme sind die häufigsten Gefahren in der Oberflächenbehandlungsbranche. Eine genauere Analyse der relevanten Arbeitsprozesse innerhalb der Branche kann aufzeigen, welche Situationen typischerweise zu Unfällen führen. Basierend auf diesen Informationen können Experten der jeweiligen Branche dann genau bestimmen, wann solche Situationen wahrscheinlich auftreten, und die Möglichkeiten zur Vorbeugung.
Informationsbeschaffung und Recherche
Eine der häufigsten Verwendungen solcher Informationssysteme wie Ablage- und Bibliothekssysteme ist das Abrufen von Informationen spezifischer und genau definierter Art zum Zweck der Sicherheitsforschung. So wurde in einer Studie, deren Ziel es war, Vorschriften für Arbeiten auf Dächern zu formulieren, Zweifel geäußert, ob mit solchen Arbeiten ein besonderes Risiko verbunden sei. Die vorherrschende Meinung war, dass Menschen bei der Arbeit sehr selten durch Stürze von Dächern verletzt wurden. Allerdings wurden in diesem Fall anhand eines Arbeitsunfallkatasters alle Meldungen abgerufen, in denen Menschen durch Dachabsturz verletzt wurden, und es wurden tatsächlich zahlreiche Fälle entdeckt, was die Wichtigkeit bestätigt, in diesem Bereich weiter Regelungen zu formulieren.
A System kann als ein Satz voneinander abhängiger Komponenten definiert werden, die so kombiniert sind, dass sie unter bestimmten Bedingungen eine bestimmte Funktion erfüllen. Eine Maschine ist ein greifbares und besonders deutliches Beispiel für ein System in diesem Sinne, aber es gibt andere Systeme, die Männer und Frauen in einem Team oder in einer Werkstatt oder Fabrik einbeziehen, die weitaus komplexer und nicht so einfach zu definieren sind. Sicherheit suggeriert das Fehlen einer Gefahr oder eines Unfall- oder Schadensrisikos. Um Mehrdeutigkeiten zu vermeiden, wird das allgemeine Konzept von an ungewolltes Auftreten wird angestellt. Absolute Sicherheit im Sinne der Unmöglichkeit eines mehr oder weniger unglücklichen Zwischenfalls ist nicht erreichbar; realistischerweise muss man eher eine sehr geringe als eine Null-Wahrscheinlichkeit unerwünschter Ereignisse anstreben.
Ein bestimmtes System kann nur im Hinblick auf die Leistung, die tatsächlich von ihm erwartet wird, als sicher oder unsicher angesehen werden. Vor diesem Hintergrund kann das Sicherheitsniveau eines Systems wie folgt definiert werden: „Für jede gegebene Menge unerwünschter Ereignisse wird das Sicherheitsniveau (oder die Unsicherheit) eines Systems durch die Wahrscheinlichkeit bestimmt, dass diese Ereignisse über einen bestimmten Zeitraum auftreten Zeitspanne". Beispiele für unerwünschte Ereignisse, die im vorliegenden Zusammenhang von Interesse wären, sind: mehrere Todesfälle, Tod einer oder mehrerer Personen, schwere Verletzungen, leichte Verletzungen, Umweltschäden, schädliche Einwirkungen auf Lebewesen, Zerstörung von Anlagen oder Gebäuden und größere oder begrenzte Material- oder Ausrüstungsschäden.
Zweck der Sicherheitssystemanalyse
Ziel einer Systemsicherheitsanalyse ist es, die Faktoren zu ermitteln, die die Wahrscheinlichkeit der unerwünschten Ereignisse beeinflussen, die Art und Weise zu untersuchen, in der diese Ereignisse stattfinden, und letztendlich präventive Maßnahmen zu entwickeln, um ihre Wahrscheinlichkeit zu verringern.
Die analytische Phase des Problems kann in zwei Hauptaspekte unterteilt werden:
Nachdem die verschiedenen Störungen und ihre Folgen untersucht wurden, können die Systemsicherheitsanalysten ihre Aufmerksamkeit auf vorbeugende Maßnahmen richten. Die Forschung in diesem Bereich wird direkt auf früheren Erkenntnissen aufbauen. Diese Untersuchung präventiver Maßnahmen folgt den beiden Hauptaspekten der Systemsicherheitsanalyse.
Methoden der Analyse
Eine Systemsicherheitsanalyse kann vor oder nach dem Ereignis (a priori oder a posteriori) durchgeführt werden; in beiden Fällen kann das verwendete Verfahren entweder direkt oder umgekehrt sein. Vor dem unerwünschten Ereignis findet eine a priori Analyse statt. Der Analytiker nimmt eine bestimmte Anzahl solcher Ereignisse und macht sich daran, die verschiedenen Stadien zu entdecken, die zu ihnen führen können. Im Gegensatz dazu wird eine a posteriori-Analyse durchgeführt, nachdem das unerwünschte Ereignis stattgefunden hat. Sein Zweck besteht darin, eine Orientierungshilfe für die Zukunft zu geben und insbesondere Schlussfolgerungen zu ziehen, die für spätere a priori-Analysen nützlich sein können.
Obwohl es den Anschein haben mag, dass eine A-priori-Analyse sehr viel wertvoller wäre als eine A-posteriori-Analyse, da sie dem Vorfall vorausgeht, ergänzen sich beide tatsächlich. Welche Methode verwendet wird, hängt von der Komplexität des betreffenden Systems und dem, was bereits über das Thema bekannt ist, ab. Bei greifbaren Systemen wie Maschinen oder Industrieanlagen können Vorerfahrungen in der Regel dazu dienen, eine recht detaillierte a priori Analyse zu erstellen. Aber selbst dann ist die Analyse nicht unbedingt unfehlbar und wird sicherlich von einer nachfolgenden a posteriori-Analyse profitieren, die im Wesentlichen auf einer Untersuchung der Vorfälle basiert, die sich im Laufe des Betriebs ereignen. Bei komplexeren Systemen, an denen Personen beteiligt sind, wie beispielsweise Schichten, Werkstätten oder Fabriken, ist eine nachträgliche Analyse noch wichtiger. In solchen Fällen reichen Erfahrungen aus der Vergangenheit nicht immer aus, um eine detaillierte und verlässliche a priori-Analyse zu ermöglichen.
Eine A-posteriori-Analyse kann sich zu einer A-priori-Analyse entwickeln, wenn der Analytiker über den einzelnen Prozess hinausgeht, der zu dem fraglichen Vorfall geführt hat, und beginnt, die verschiedenen Vorkommnisse zu untersuchen, die vernünftigerweise zu einem solchen Vorfall oder ähnlichen Vorfällen führen könnten.
Eine andere Art und Weise, wie eine A-posteriori-Analyse zu einer A-priori-Analyse werden kann, besteht darin, den Schwerpunkt nicht auf das Ereignis (dessen Verhinderung der Hauptzweck der aktuellen Analyse ist), sondern auf weniger schwerwiegende Vorfälle zu legen. Diese Vorfälle, wie technische Störungen, Sachschäden und mögliche oder kleinere Unfälle, die für sich genommen von relativ geringer Bedeutung sind, können als Warnsignale für schwerwiegendere Ereignisse identifiziert werden. In solchen Fällen wird die Analyse, obwohl sie nach dem Eintreten kleinerer Vorfälle durchgeführt wird, eine a priori-Analyse in Bezug auf schwerwiegendere Vorfälle sein, die noch nicht stattgefunden haben.
Es gibt zwei mögliche Methoden, um den Mechanismus oder die Logik hinter der Abfolge von zwei oder mehr Ereignissen zu untersuchen:
Abbildung 1 ist ein Diagramm einer Steuerschaltung, die zwei Tasten erfordert (B1 und B2) gleichzeitig gedrückt werden, um die Relaisspule (R) zu aktivieren und die Maschine zu starten. Dieses Beispiel kann verwendet werden, um dies in praktischer Hinsicht zu veranschaulichen Direkt und rückgängig machen Methoden, die in der Systemsicherheitsanalyse verwendet werden.
Abbildung 1. Steuerschaltung mit zwei Tasten
Direkte Methode
Im direkte Methodebeginnt der Analytiker damit, (1) Fehler, Funktionsstörungen und Fehlanpassungen aufzulisten, (2) ihre Auswirkungen zu untersuchen und (3) festzustellen, ob diese Auswirkungen eine Bedrohung für die Sicherheit darstellen oder nicht. Im Fall von Bild 1 können folgende Fehler auftreten:
Der Analytiker kann dann die Folgen dieser Fehler ableiten und die Ergebnisse tabellarisch darstellen (Tabelle 1).
Tabelle 1. Mögliche Funktionsstörungen einer Zwei-Knopf-Steuerschaltung und ihre Folgen
Fehler |
Folgen |
Drahtbruch zwischen 2 und 2' |
Start der Maschine nicht möglich* |
Versehentliches Schließen von B1 (oder b2 ) |
Keine unmittelbare Konsequenz |
Kontakt bei C1 (oder C2 ) Als ein Resultat aus |
Keine unmittelbare Folge, aber Möglichkeit der |
Kurzschluss zwischen 1 und 1' |
Aktivierung der Relaisspule R - versehentliches Starten von |
* Auftreten mit direktem Einfluss auf die Zuverlässigkeit des Systems
** Ereignis, das für eine schwerwiegende Verringerung des Sicherheitsniveaus des Systems verantwortlich ist
*** Zu vermeidendes gefährliches Ereignis
Siehe Text und Bild 1.
In Tabelle 1 können Folgen, die gefährlich sind oder das Sicherheitsniveau des Systems ernsthaft verringern können, durch herkömmliche Zeichen wie *** gekennzeichnet werden.
Hinweis: In Tabelle 1 führt ein Drahtbruch zwischen 2 und 2´ (dargestellt in Abbildung 1) zu einem Ereignis, das nicht als gefährlich angesehen wird. Sie hat keinen direkten Einfluss auf die Sicherheit des Systems; Die Wahrscheinlichkeit, dass ein solcher Vorfall auftritt, hat jedoch einen direkten Einfluss auf die Zuverlässigkeit des Systems.
Die direkte Methode eignet sich besonders für die Simulation. Abbildung 2 zeigt einen analogen Simulator, der zur Untersuchung der Sicherheit von Pressensteuerkreisen entwickelt wurde. Die Nachbildung des Regelkreises ermöglicht den Nachweis, dass der Kreis im fehlerfreien Zustand tatsächlich in der Lage ist, die geforderte Funktion zu gewährleisten, ohne die Sicherheitskriterien zu verletzen. Darüber hinaus kann der Simulator dem Analytiker ermöglichen, Fehler in die verschiedenen Komponenten der Schaltung einzuführen, ihre Folgen zu beobachten und somit die Schaltungen, die richtig entworfen sind (mit wenigen oder keinen gefährlichen Fehlern), von denen zu unterscheiden, die schlecht entworfen sind. Diese Art der Sicherheitsanalyse kann auch mit einem Computer durchgeführt werden.
Abbildung 2. Simulator zur Untersuchung von Druckregelkreisen
Umgekehrte Methode
Im umgekehrte Methode, arbeitet der Analytiker von dem unerwünschten Ereignis, Zwischenfall oder Unfall rückwärts zu den verschiedenen vorangegangenen Ereignissen, um festzustellen, welche möglicherweise zu den zu vermeidenden Ereignissen führen können. In Abbildung 1 wäre das letzte zu vermeidende Ereignis das unbeabsichtigte Anlaufen der Maschine.
Die Ergebnisse dieser Analyse können in einem baumähnlichen Diagramm dargestellt werden (deshalb wird die umgekehrte Methode als „Fehlerbaumanalyse“ bezeichnet), wie in Abbildung 3 dargestellt.
Abbildung 3. Mögliche Ereigniskette
Das Diagramm folgt logischen Operationen, von denen die wichtigsten die „ODER“- und „UND“-Verknüpfungen sind. Die „ODER“-Operation bedeutet, dass [X1] tritt auf, wenn entweder [A] oder [B] (oder beide) stattfinden. Die „UND“-Operation bedeutet, dass vor [X2] auftreten kann, müssen sowohl [C] als auch [D] stattgefunden haben (siehe Abbildung 4).
Abbildung 4. Darstellung zweier logischer Operationen
Die umgekehrte Methode wird sehr häufig in der A-priori-Analyse von konkreten Systemen verwendet, insbesondere in der Chemie-, Luftfahrt-, Raumfahrt- und Nuklearindustrie. Es hat sich auch als äußerst nützliche Methode zur Untersuchung von Arbeitsunfällen erwiesen.
Obwohl sie sehr unterschiedlich sind, ergänzen sich die direkten und umgekehrten Methoden. Die direkte Methode basiert auf einer Reihe von Fehlern oder Dysfunktionen, und der Wert einer solchen Analyse hängt daher weitgehend von der Relevanz der verschiedenen Dysfunktionen ab, die zu Beginn berücksichtigt werden. So gesehen scheint die umgekehrte Methode systematischer zu sein. Wenn der Analytiker weiß, welche Arten von Unfällen oder Vorfällen passieren können, kann er diese Methode theoretisch anwenden, um auf alle Funktionsstörungen oder Kombinationen von Funktionsstörungen zurückzuarbeiten, die diese verursachen können. Da jedoch nicht unbedingt alle gefährlichen Verhaltensweisen eines Systems im Voraus bekannt sind, können sie durch die direkte Methode, beispielsweise durch Simulation, entdeckt werden. Sind diese entdeckt, können die Gefährdungen mit der umgekehrten Methode genauer analysiert werden.
Probleme der Systemsicherheitsanalyse
Die oben beschriebenen analytischen Verfahren sind nicht nur mechanische Verfahren, die nur automatisiert angewendet werden müssen, um zu sinnvollen Schlussfolgerungen zur Verbesserung der Systemsicherheit zu gelangen. Im Gegenteil, Analysten stoßen im Laufe ihrer Arbeit auf eine Reihe von Problemen, und der Nutzen ihrer Analysen hängt weitgehend davon ab, wie sie diese lösen. Einige der typischen Probleme, die auftreten können, werden im Folgenden beschrieben.
Verständnis des zu untersuchenden Systems und seiner Betriebsbedingungen
Die grundlegenden Probleme jeder Systemsicherheitsanalyse sind die Definition des zu untersuchenden Systems, seine Grenzen und die Bedingungen, unter denen es während seiner gesamten Existenz arbeiten soll.
Wenn der Analyst ein zu begrenztes Subsystem berücksichtigt, kann das Ergebnis eine Reihe willkürlicher Präventivmaßnahmen sein (eine Situation, in der alles darauf ausgerichtet ist, bestimmte besondere Arten von Ereignissen zu verhindern, während ebenso schwerwiegende Gefahren ignoriert oder unterschätzt werden ). Wenn andererseits das betrachtete System in Bezug auf ein bestimmtes Problem zu umfassend oder zu allgemein ist, kann dies zu einer übermäßigen Unschärfe des Konzepts und der Verantwortlichkeiten führen, und die Analyse führt möglicherweise nicht zur Annahme geeigneter Präventivmaßnahmen.
Ein typisches Beispiel, das die Problematik der Definition des zu untersuchenden Systems verdeutlicht, ist die Sicherheit industrieller Maschinen oder Anlagen. In einer solchen Situation könnte der Analytiker versucht sein, nur die eigentliche Ausrüstung zu betrachten und die Tatsache zu übersehen, dass sie von einer oder mehreren Personen bedient oder kontrolliert werden muss. Vereinfachung dieser Art ist manchmal gültig. Analysiert werden muss jedoch nicht nur das Subsystem Maschine, sondern das gesamte System Mensch plus Maschine in den verschiedenen Lebensphasen der Anlage (darunter beispielsweise Transport und Handhabung, Montage, Prüfung und Einstellung, Normalbetrieb). , Wartung, Demontage und gegebenenfalls Zerstörung). Auf jeder Stufe ist die Maschine Teil eines spezifischen Systems, dessen Zweck, Funktionsweise und Fehlfunktion sich vollständig von denen des Systems auf anderen Stufen unterscheiden. Es muss daher so konstruiert und hergestellt werden, dass die Erfüllung der geforderten Funktion unter guten Sicherheitsbedingungen in jeder der Phasen möglich ist.
Generell gibt es bei Sicherheitsstudien in Unternehmen mehrere Systemebenen: die Maschine, den Arbeitsplatz, die Schicht, die Abteilung, die Fabrik und das Unternehmen als Ganzes. Je nachdem, welche Systemebene betrachtet wird, sind die möglichen Arten von Funktionsstörungen – und die entsprechenden präventiven Maßnahmen – sehr unterschiedlich. Eine gute Präventionspolitik muss die auf verschiedenen Ebenen auftretenden Funktionsstörungen berücksichtigen.
Die Betriebsbedingungen des Systems können hinsichtlich der Art und Weise, wie das System funktionieren soll, und der Umgebungsbedingungen, denen es ausgesetzt sein kann, definiert werden. Diese Definition muss realistisch genug sein, um die tatsächlichen Bedingungen zu berücksichtigen, unter denen das System voraussichtlich betrieben wird. Ein System, das nur in einem sehr eingeschränkten Betriebsbereich sehr sicher ist, ist möglicherweise nicht so sicher, wenn der Benutzer den vorgeschriebenen theoretischen Betriebsbereich nicht einhalten kann. Ein sicheres System muss daher robust genug sein, um angemessenen Schwankungen der Bedingungen, unter denen es funktioniert, standzuhalten, und es muss bestimmte einfache, aber vorhersehbare Fehler seitens der Bediener tolerieren.
Systemmodellierung
Oft ist es notwendig, ein Modell zu entwickeln, um die Sicherheit eines Systems zu analysieren. Dies kann bestimmte Probleme aufwerfen, die es wert sind, untersucht zu werden.
Für ein prägnantes und relativ einfaches System wie eine herkömmliche Maschine ist das Modell fast direkt aus den Beschreibungen der materiellen Komponenten und ihrer Funktionen (Motoren, Getriebe usw.) und der Art und Weise, wie diese Komponenten miteinander in Beziehung stehen, ableitbar. Die Anzahl möglicher Komponentenausfallmodi ist ähnlich begrenzt.
Ein besonderes Problem stellen moderne Maschinen wie Computer und Roboter dar, die komplexe Komponenten wie Mikroprozessoren und elektronische Schaltungen mit sehr hoher Integration enthalten. Dieses Problem wurde weder im Hinblick auf die Modellierung noch auf die Vorhersage der unterschiedlichen möglichen Ausfallarten vollständig gelöst, weil es so viele Elementartransistoren in jedem Chip gibt und weil verschiedene Arten von Software verwendet werden.
Wenn das zu analysierende System eine menschliche Organisation ist, liegt ein interessantes Problem, das bei der Modellierung auftritt, in der Auswahl und Definition bestimmter nicht-materieller oder nicht vollständig materieller Komponenten. Eine bestimmte Arbeitsstation kann beispielsweise durch ein System dargestellt werden, das Arbeiter, Software, Aufgaben, Maschinen, Materialien und Umgebung umfasst. (Die Komponente „Aufgabe“ kann sich als schwierig zu definieren erweisen, da nicht die vorgeschriebene Aufgabe zählt, sondern die Aufgabe, wie sie tatsächlich ausgeführt wird).
Bei der Modellierung menschlicher Organisationen kann sich der Analyst dafür entscheiden, das betrachtete System in ein Informationssubsystem und ein oder mehrere Aktionssubsysteme zu zerlegen. Die Analyse von Fehlern in verschiedenen Phasen des Informationssubsystems (Informationserfassung, -übertragung, -verarbeitung und -nutzung) kann sehr aufschlussreich sein.
Probleme im Zusammenhang mit mehreren Analyseebenen
Probleme im Zusammenhang mit mehreren Analyseebenen entstehen oft, weil der Analyst ausgehend von einem unerwünschten Ereignis möglicherweise auf zeitlich immer weiter zurückliegende Vorfälle zurückarbeitet. Je nach betrachteter Analyseebene variiert die Art der auftretenden Funktionsstörungen; gleiches gilt für die vorbeugenden Maßnahmen. Es ist wichtig, entscheiden zu können, auf welcher Ebene die Analyse gestoppt und auf welcher Ebene vorbeugende Maßnahmen ergriffen werden sollen. Ein Beispiel ist der einfache Fall eines Unfalls, der aus einem mechanischen Versagen resultiert, das durch die wiederholte Verwendung einer Maschine unter anormalen Bedingungen verursacht wurde. Dies kann durch mangelnde Bedienerschulung oder schlechte Arbeitsorganisation verursacht worden sein. Abhängig von der betrachteten Analyseebene kann die erforderliche vorbeugende Maßnahme der Austausch der Maschine durch eine andere Maschine sein, die härteren Einsatzbedingungen standhält, die Verwendung der Maschine nur unter normalen Bedingungen, Änderungen in der Personalschulung oder eine Neuorganisation arbeiten.
Wirksamkeit und Umfang einer Präventionsmaßnahme hängen von der Ebene ab, auf der sie eingeführt wird. Vorbeugende Maßnahmen in unmittelbarer Nähe des unerwünschten Ereignisses haben eher eine direkte und schnelle Wirkung, aber ihre Auswirkungen können begrenzt sein; Andererseits sollte es möglich sein, durch ein vernünftiges Rückwärtsgehen bei der Analyse von Ereignissen Funktionsstörungen zu finden, die zahlreichen Unfällen gemeinsam sind. Alle auf dieser Ebene ergriffenen vorbeugenden Maßnahmen werden einen viel größeren Umfang haben, aber ihre Wirksamkeit kann weniger direkt sein.
Bedenkt man, dass es mehrere Analyseebenen gibt, kann es auch zahlreiche Muster präventiven Handelns geben, von denen jedes seinen eigenen Anteil an der Präventionsarbeit trägt. Dies ist ein äußerst wichtiger Punkt, und man braucht nur auf das Beispiel des gegenwärtig betrachteten Unfalls zurückzukommen, um die Tatsache zu würdigen. Der Vorschlag, die Maschine durch eine andere Maschine zu ersetzen, die härteren Einsatzbedingungen standhalten kann, legt die Verantwortung für die Vorbeugung auf die Maschine. Die Entscheidung, dass die Maschine nur unter normalen Bedingungen verwendet werden soll, bedeutet, dass die Verantwortung dem Benutzer auferlegt wird. Ebenso kann die Last auf die Personalschulung, die Arbeitsorganisation oder gleichzeitig auf die Maschine, den Benutzer, die Schulungsfunktion und die Organisationsfunktion gelegt werden.
Auf jeder Analyseebene scheint ein Unfall häufig die Folge der Kombination mehrerer Funktionsstörungen oder Fehlanpassungen zu sein. Je nachdem, ob gegen die eine oder andere Funktionsstörung oder gegen mehrere gleichzeitig vorgegangen wird, variiert das Muster der vorbeugenden Maßnahmen.
Werkzeuge sind ein so alltäglicher Bestandteil unseres Lebens, dass es manchmal schwierig ist, sich daran zu erinnern, dass sie Gefahren darstellen können. Alle Werkzeuge werden unter Berücksichtigung der Sicherheit hergestellt, aber gelegentlich kann ein Unfall passieren, bevor werkzeugbezogene Gefahren erkannt werden. Die Arbeiter müssen lernen, die mit den verschiedenen Arten von Werkzeugen verbundenen Gefahren und die zur Vermeidung dieser Gefahren erforderlichen Sicherheitsvorkehrungen zu erkennen. Zum Schutz vor potenziellen Gefahren, die bei der Verwendung von tragbaren Elektrowerkzeugen und Handwerkzeugen auftreten können, sollte geeignete persönliche Schutzausrüstung wie Schutzbrillen oder Handschuhe getragen werden.
Handwerkzeuge
Handwerkzeuge sind nicht angetrieben und umfassen alles von Äxten bis zu Schraubenschlüsseln. Die größten Gefahren, die von Handwerkzeugen ausgehen, resultieren aus Missbrauch, Verwendung des falschen Werkzeugs für die Arbeit und unsachgemäßer Wartung. Einige der Gefahren im Zusammenhang mit der Verwendung von Handwerkzeugen umfassen, sind aber nicht beschränkt auf die folgenden:
Der Arbeitgeber ist für den sicheren Zustand der den Arbeitnehmern zur Verfügung gestellten Werkzeuge und Ausrüstungen verantwortlich, aber die Arbeitnehmer sind dafür verantwortlich, die Werkzeuge ordnungsgemäß zu verwenden und zu warten. Arbeiter sollten Sägeblätter, Messer oder andere Werkzeuge von Gangbereichen und anderen Mitarbeitern, die in unmittelbarer Nähe arbeiten, fernhalten. Messer und Scheren müssen scharf gehalten werden, da stumpfe Werkzeuge gefährlicher sein können als scharfe. (Siehe Abbildung 1.)
Abbildung 1. Ein Schraubendreher
Sicherheit erfordert, dass Böden so sauber und trocken wie möglich gehalten werden, um versehentliches Ausrutschen beim Arbeiten mit oder in der Nähe von gefährlichen Handwerkzeugen zu vermeiden. Obwohl Funken, die von Handwerkzeugen aus Eisen und Stahl erzeugt werden, normalerweise nicht heiß genug sind, um Zündquellen zu sein, können beim Arbeiten mit oder in der Nähe von brennbaren Materialien funkenbeständige Werkzeuge aus Messing, Kunststoff, Aluminium oder Holz verwendet werden, um Funkenbildung zu verhindern.
Power Tools
Elektrowerkzeuge sind gefährlich, wenn sie unsachgemäß verwendet werden. Es gibt verschiedene Arten von Elektrowerkzeugen, die normalerweise nach der Stromquelle kategorisiert werden (elektrisch, pneumatisch, mit Flüssigbrennstoff, hydraulisch, mit Dampf und Sprengpulver betrieben). Mitarbeiter sollten in der Verwendung aller Elektrowerkzeuge, die bei ihrer Arbeit verwendet werden, qualifiziert oder geschult sein. Sie sollten die potenziellen Gefahren im Zusammenhang mit der Verwendung von Elektrowerkzeugen verstehen und die folgenden allgemeinen Sicherheitsvorkehrungen beachten, um das Auftreten dieser Gefahren zu vermeiden:
Schutzvorrichtungen
Gefährliche bewegliche Teile von Elektrowerkzeugen müssen geschützt werden. Beispielsweise müssen Riemen, Zahnräder, Wellen, Riemenscheiben, Kettenräder, Spindeln, Trommeln, Schwungräder, Ketten oder andere sich hin- und herbewegende, rotierende oder bewegliche Teile von Geräten geschützt werden, wenn diese Teile Kontakt durch Arbeiter ausgesetzt sind. Falls erforderlich, sollten Schutzvorrichtungen vorgesehen werden, um den Bediener und andere Personen vor Gefahren zu schützen, die mit Folgendem verbunden sind:
Schutzvorrichtungen dürfen niemals entfernt werden, wenn ein Werkzeug verwendet wird. Beispielsweise müssen Handkreissägen mit Schutzvorrichtungen ausgestattet sein. Ein oberer Schutz muss das gesamte Sägeblatt abdecken. Eine einziehbare untere Schutzhaube muss die Zähne der Säge abdecken, außer wenn sie mit dem Arbeitsmaterial in Kontakt kommt. Der untere Schutz muss automatisch in die Abdeckposition zurückkehren, wenn das Werkzeug aus dem Werkstück herausgezogen wird. Beachten Sie die Blattschutzvorrichtungen in der Abbildung einer Motorsäge (Abbildung 2).
Abbildung 2. Eine Kreissäge mit Schutzvorrichtung
Sicherheitsschalter und -steuerungen
Im Folgenden finden Sie Beispiele für handgeführte Elektrowerkzeuge, die mit einem Tastschalter „Ein-Aus“ ausgestattet sein müssen:
Diese Werkzeuge können auch mit einer Einschaltsperre ausgestattet sein, vorausgesetzt, dass das Ausschalten durch eine einzige Bewegung desselben Fingers oder derselben Finger, die sie einschalten, erreicht werden kann.
Die folgenden handgeführten Elektrowerkzeuge dürfen nur mit einem positiven „Ein-Aus“-Steuerschalter ausgestattet sein:
Andere handgeführte Elektrowerkzeuge, die mit einem Konstantdruckschalter ausgestattet sein müssen, der die Stromversorgung abschaltet, wenn der Druck nachlässt, sind:
Elektrische Werkzeuge
Arbeiter, die Elektrowerkzeuge verwenden, müssen sich mehrerer Gefahren bewusst sein. Am schwerwiegendsten ist die Möglichkeit eines Stromschlags, gefolgt von Verbrennungen und leichten Stromschlägen. Unter bestimmten Bedingungen kann sogar eine kleine Stromstärke zu Herzflimmern führen, was zum Tod führen kann. Ein Stoß kann auch dazu führen, dass ein Arbeiter von einer Leiter oder anderen erhöhten Arbeitsflächen fällt.
Um das Verletzungsrisiko von Arbeitern durch Stromschlag zu verringern, müssen Werkzeuge durch mindestens eine der folgenden Maßnahmen geschützt werden:
Abbildung 3. Eine elektrische Bohrmaschine
Diese allgemeinen Sicherheitspraktiken sollten bei der Verwendung von Elektrowerkzeugen befolgt werden:
Angetriebene Schleifscheiben
Angetriebene Schleif-, Trenn-, Polier- und Drahtschwabbelscheiben verursachen besondere Sicherheitsprobleme, da die Scheiben zerfallen und herumfliegende Fragmente wegschleudern können.
Bevor Schleifscheiben montiert werden, sollten sie genau inspiziert und durch leichtes Klopfen mit einem leichten nichtmetallischen Instrument auf Klang (oder Ring) getestet werden, um sicherzustellen, dass sie frei von Rissen oder Defekten sind. Wenn Räder gerissen sind oder tot klingen, können sie im Betrieb auseinanderfliegen und dürfen nicht verwendet werden. Ein gesundes und unbeschädigtes Rad ergibt einen klaren metallischen Ton oder „Klingelton“.
Um zu verhindern, dass das Rad reißt, sollte der Benutzer sicher sein, dass es frei auf der Achse sitzt. Die Spindelmutter muss fest genug angezogen werden, um das Rad an Ort und Stelle zu halten, ohne den Flansch zu verformen. Befolgen Sie die Empfehlungen des Herstellers. Es muss darauf geachtet werden, dass das Spindelrad die Spezifikationen des Schleifrads nicht überschreitet. Aufgrund der Möglichkeit, dass ein Rad während des Starts zerfällt (explodiert), sollte der Arbeiter niemals direkt vor dem Rad stehen, während es auf volle Betriebsgeschwindigkeit beschleunigt. Tragbare Schleifwerkzeuge müssen mit Schutzvorrichtungen ausgestattet sein, um die Arbeiter nicht nur vor der sich bewegenden Scheibenoberfläche, sondern auch vor herumfliegenden Bruchstücken im Falle eines Bruchs zu schützen. Darüber hinaus sollten bei der Verwendung einer angetriebenen Schleifmaschine diese Vorsichtsmaßnahmen beachtet werden:
Druckluftwerkzeuge
Pneumatische Werkzeuge werden mit Druckluft betrieben und umfassen Hacker, Bohrer, Hämmer und Schleifer. Obwohl bei der Verwendung von pneumatischen Werkzeugen mehrere potenzielle Gefahren auftreten, besteht die Hauptgefahr darin, von einem der Aufsätze des Werkzeugs oder von einer Art Befestigungselement getroffen zu werden, das der Arbeiter mit dem Werkzeug verwendet. Beim Arbeiten mit pneumatischen Werkzeugen ist Augenschutz erforderlich und Gesichtsschutz wird empfohlen. Lärm ist eine weitere Gefahr. Das Arbeiten mit lauten Werkzeugen wie Presslufthämmern erfordert die ordnungsgemäße und effektive Verwendung eines geeigneten Gehörschutzes.
Bei der Verwendung eines pneumatischen Werkzeugs muss der Arbeiter überprüfen, ob es sicher am Schlauch befestigt ist, um eine Trennung zu verhindern. Als zusätzlicher Schutz dient ein kurzes Kabel oder eine formschlüssige Vorrichtung, mit der der Luftschlauch am Werkzeug befestigt wird. Wenn ein Luftschlauch einen Durchmesser von mehr als 1.27 cm (½ Zoll) hat, sollte ein Sicherheits-Überströmventil an der Luftversorgungsquelle installiert werden, um die Luft automatisch abzuschalten, falls der Schlauch reißt. Im Allgemeinen sollten bei einem Luftschlauch die gleichen Vorsichtsmaßnahmen getroffen werden, die für Elektrokabel empfohlen werden, da der Schlauch der gleichen Art von Beschädigung oder versehentlichem Aufprall ausgesetzt ist und außerdem eine Stolpergefahr darstellt.
Druckluftpistolen sollten niemals auf jemanden gerichtet werden. Die Arbeiter sollten die Düse niemals gegen sich selbst oder andere Personen „verlegen“. Ein Sicherheitsclip oder -halter sollte installiert werden, um zu verhindern, dass Zubehörteile, wie z. B. ein Meißel an einem Meißelhammer, unbeabsichtigt aus dem Lauf geschossen werden. Es sollten Abschirmungen aufgestellt werden, um Arbeiter in der Nähe davor zu schützen, von umherfliegenden Fragmenten um Häcksler, Nietpistolen, Drucklufthämmer, Hefter oder Druckluftbohrer getroffen zu werden.
Airless-Spritzpistolen, die Farben und Flüssigkeiten bei hohem Druck (1,000 Pfund oder mehr pro Quadratzoll) zerstäuben, müssen mit automatischen oder manuellen visuellen Sicherheitsvorrichtungen ausgestattet sein, die eine Aktivierung verhindern, bis die Sicherheitsvorrichtung manuell gelöst wird. Schwere Presslufthämmer können Ermüdung und Belastungen verursachen, die durch die Verwendung von schweren Gummigriffen, die einen sicheren Halt bieten, verringert werden können. Ein Arbeiter, der einen Presslufthammer bedient, muss eine Schutzbrille und Sicherheitsschuhe tragen, um sich vor Verletzungen zu schützen, wenn der Hammer abrutscht oder herunterfällt. Ein Gesichtsschutz sollte auch verwendet werden.
Kraftstoffbetriebene Werkzeuge
Kraftstoffbetriebene Werkzeuge werden üblicherweise mit kleinen benzinbetriebenen Verbrennungsmotoren betrieben. Die größten potenziellen Gefahren im Zusammenhang mit der Verwendung von kraftstoffbetriebenen Werkzeugen gehen von gefährlichen Kraftstoffdämpfen aus, die brennen oder explodieren und gefährliche Abgase abgeben können. Der Arbeiter muss darauf achten, das Benzin oder den Kraftstoff nur in zugelassenen Behältern für brennbare Flüssigkeiten gemäß den entsprechenden Verfahren für brennbare Flüssigkeiten zu handhaben, zu transportieren und zu lagern. Bevor der Tank für ein kraftstoffbetriebenes Werkzeug nachgefüllt wird, muss der Benutzer den Motor abstellen und ihn abkühlen lassen, um eine versehentliche Entzündung gefährlicher Dämpfe zu verhindern. Wenn ein kraftstoffbetriebenes Werkzeug in einem geschlossenen Bereich verwendet wird, ist eine wirksame Belüftung und/oder Schutzausrüstung erforderlich, um eine Exposition gegenüber Kohlenmonoxid zu vermeiden. Feuerlöscher müssen in der Umgebung verfügbar sein.
Explosivpulverbetätigte Werkzeuge
Sprengpulverbetriebene Werkzeuge funktionieren wie eine geladene Pistole und sollten mit dem gleichen Respekt und den gleichen Vorsichtsmaßnahmen behandelt werden. Tatsächlich sind sie so gefährlich, dass sie nur von speziell ausgebildeten oder qualifizierten Mitarbeitern bedient werden dürfen. Ein geeigneter Gehör-, Augen- und Gesichtsschutz ist bei der Verwendung eines pulverbetätigten Werkzeugs unerlässlich. Alle pulverbetätigten Werkzeuge sollten für unterschiedliche Pulverladungen ausgelegt sein, damit der Benutzer eine Pulvermenge auswählen kann, die erforderlich ist, um die Arbeit ohne übermäßigen Kraftaufwand auszuführen.
Das Mündungsende des Werkzeugs sollte einen Schutzschild oder eine Schutzvorrichtung haben, die senkrecht auf dem Lauf zentriert ist, um den Benutzer vor herumfliegenden Fragmenten oder Partikeln zu schützen, die eine Gefahr darstellen könnten, wenn das Werkzeug abgefeuert wird. Das Werkzeug muss so konstruiert sein, dass es nicht zündet, wenn es nicht über eine solche Sicherheitsvorrichtung verfügt. Um zu verhindern, dass das Werkzeug versehentlich abfeuert, sind zum Abfeuern zwei separate Bewegungen erforderlich: eine, um das Werkzeug in Position zu bringen, und eine andere, um den Abzug zu betätigen. Die Werkzeuge dürfen nicht in Betrieb sein, bis sie mit einer Kraft gegen die Arbeitsfläche gedrückt werden, die mindestens 5 Pfund größer ist als das Gesamtgewicht des Werkzeugs.
Wenn ein pulverbetätigtes Werkzeug fehlzündet, sollte der Benutzer mindestens 30 Sekunden warten, bevor er erneut versucht, es abzufeuern. Wenn es immer noch nicht zündet, sollte der Benutzer mindestens weitere 30 Sekunden warten, damit die fehlerhafte Patrone weniger wahrscheinlich explodiert, und dann die Ladung vorsichtig entfernen. Die defekte Patrone sollte in Wasser getaucht oder auf andere Weise gemäß den Verfahren des Arbeitgebers sicher entsorgt werden.
Wenn ein pulverbetätigtes Werkzeug während des Gebrauchs einen Defekt aufweist, sollte es sofort gekennzeichnet und außer Betrieb genommen werden, bis es ordnungsgemäß repariert ist. Zu den Vorsichtsmaßnahmen für die sichere Verwendung und Handhabung von pulverbetätigten Werkzeugen gehören die folgenden:
Bei der Verwendung von pulverbetätigten Werkzeugen zum Anbringen von Befestigungselementen sollten die folgenden Sicherheitsvorkehrungen berücksichtigt werden:
Hydraulische Elektrowerkzeuge
Die in hydraulischen Elektrowerkzeugen verwendete Flüssigkeit muss für den erwarteten Einsatz zugelassen sein und ihre Betriebseigenschaften bei den extremsten Temperaturen, denen sie ausgesetzt wird, beibehalten. Der vom Hersteller empfohlene sichere Betriebsdruck für Schläuche, Ventile, Rohre, Filter und andere Armaturen darf nicht überschritten werden. Besteht die Möglichkeit eines Lecks unter hohem Druck in einem Bereich, in dem Zündquellen wie offene Flammen oder heiße Oberflächen vorhanden sein können, sollte die Verwendung von schwer entflammbaren Flüssigkeiten als Hydraulikmedium in Betracht gezogen werden.
Jacks
Alle Wagenheber – Hebel- und Ratschenwagenheber, Schraubenwinden und hydraulische Wagenheber – müssen eine Vorrichtung haben, die verhindert, dass sie zu hoch aufbocken. Die Belastungsgrenze des Herstellers muss an prominenter Stelle dauerhaft auf dem Wagenheber gekennzeichnet sein und darf nicht überschritten werden. Verwenden Sie bei Bedarf Holzblöcke unter der Basis, um den Wagenheber auszurichten und zu sichern. Wenn die Hebefläche aus Metall besteht, platzieren Sie einen 1 Zoll (2.54 cm) dicken Hartholzblock oder ein gleichwertiges Stück zwischen der Unterseite der Fläche und dem Metallkopf des Wagenhebers, um die Rutschgefahr zu verringern. Ein Wagenheber sollte niemals zum Abstützen einer angehobenen Last verwendet werden. Sobald die Last angehoben wurde, sollte sie sofort mit Blöcken unterstützt werden.
Um einen Wagenheber einzurichten, stellen Sie die folgenden Bedingungen sicher:
Die richtige Wartung von Wagenhebern ist für die Sicherheit unerlässlich. Alle Wagenheber müssen vor jedem Gebrauch überprüft und regelmäßig geschmiert werden. Wenn ein Wagenheber einer ungewöhnlichen Belastung oder Erschütterung ausgesetzt wird, sollte er gründlich untersucht werden, um sicherzustellen, dass er nicht beschädigt wurde. Hydraulikheber, die Gefriertemperaturen ausgesetzt sind, müssen mit einem ausreichenden Frostschutzmittel gefüllt werden.
Zusammenfassung
Arbeitnehmer, die Hand- und Elektrowerkzeuge verwenden und die Gefahren durch herabfallende, fliegende, scheuernde und spritzende Gegenstände und Materialien oder Gefahren durch gesundheitsschädliche Stäube, Dämpfe, Nebel, Dämpfe oder Gase ausgesetzt sind, müssen mit der erforderlichen angemessenen persönlichen Ausrüstung ausgestattet werden um sie vor der Gefahr zu schützen. Alle Gefahren, die mit der Verwendung von Elektrowerkzeugen verbunden sind, können von Arbeitern verhindert werden, die fünf grundlegende Sicherheitsregeln befolgen:
Arbeitnehmer und Arbeitgeber haben die Verantwortung, zusammenzuarbeiten, um etablierte sichere Arbeitspraktiken aufrechtzuerhalten. Wenn ein unsicheres Werkzeug oder eine gefährliche Situation auftritt, sollte die zuständige Person sofort darauf aufmerksam gemacht werden.
Dieser Artikel behandelt Situationen und Ereignisketten, die zu Unfällen führen, die auf den Kontakt mit beweglichen Teilen von Maschinen zurückzuführen sind. Personen, die Maschinen bedienen und warten, laufen Gefahr, in schwere Unfälle verwickelt zu werden. US-Statistiken deuten darauf hin, dass 18,000 Amputationen und über 800 Todesfälle in den Vereinigten Staaten jedes Jahr auf solche Ursachen zurückzuführen sind. Nach Angaben des US-amerikanischen National Institute for Occupational Safety and Health (NIOSH) rangierte 1979 die Kategorie „Erwischt in, unter oder zwischen“ von Verletzungen in ihrer Klassifizierung unter den wichtigsten Arten von Arbeitsunfällen an erster Stelle. Solche Verletzungen betrafen im Allgemeinen Maschinen ( Etherton und Myers 1990). Seit der Einführung dieser Kategorie in die schwedische Arbeitsunfallstatistik im Jahr 10 wurde bei knapp über 1979 % der Arbeitsunfälle der „Kontakt mit einem sich bewegenden Maschinenteil“ als Hauptverletzungsereignis gemeldet.
Die meisten Maschinen haben bewegliche Teile, die Verletzungen verursachen können. Solche beweglichen Teile können an der Arbeitsstelle zu finden sein, wo am Material gearbeitet wird, wie beispielsweise dort, wo geschnitten, geformt, gebohrt oder verformt wird. Sie können in der Vorrichtung gefunden werden, die Energie auf die Teile der Maschine überträgt, die die Arbeit ausführen, wie Schwungräder, Riemenscheiben, Pleuelstangen, Kupplungen, Nocken, Spindeln, Ketten, Kurbeln und Zahnräder. Sie können in anderen beweglichen Teilen der Maschine wie Rädern an mobilen Geräten, Getriebemotoren, Pumpen, Kompressoren usw. gefunden werden. Gefährliche Maschinenbewegungen finden sich auch bei anderen Maschinenarten, insbesondere bei Hilfsgeräten, die solche Lasten wie Werkstücke, Materialien, Abfälle oder Werkzeuge handhaben und transportieren.
Alle Teile einer Maschine, die sich während der Arbeit bewegen, können zu Unfällen mit Verletzungen und Schäden beitragen. Sowohl rotierende als auch lineare Maschinenbewegungen sowie deren Energiequellen können gefährlich sein:
Drehbewegung. Auch leicht drehende Wellen können ein Kleidungsstück greifen und beispielsweise den Arm einer Person in eine gefährliche Position ziehen. Die Gefahr in einer rotierenden Welle erhöht sich, wenn sie hervorstehende Teile oder unebene oder scharfe Oberflächen, wie z. B. Einstellschrauben, Bolzen, Schlitze, Kerben oder Schneidkanten, aufweist. Rotierende Maschinenteile führen auf drei verschiedene Arten zu „Klemmstellen“:
Lineare Bewegungen. Vertikale, horizontale und hin- und hergehende Bewegungen können auf verschiedene Weise Verletzungen verursachen: Eine Person kann von einem Maschinenteil gestoßen oder geschlagen werden und zwischen dem Maschinenteil und einem anderen Objekt eingeklemmt oder von einer scharfen Kante geschnitten oder aufgehalten werden eine Quetschverletzung durch Einklemmen zwischen dem beweglichen Teil und einem anderen Objekt (Abbildung 1).
Abbildung 1. Beispiele für mechanische Bewegungen, die eine Person verletzen können
Energiequellen. Häufig werden externe Energiequellen verwendet, um eine Maschine zu betreiben, was beträchtliche Energiemengen erfordern kann. Dazu gehören elektrische, Dampf-, hydraulische, pneumatische und mechanische Energiesysteme, die alle, wenn sie freigesetzt oder unkontrolliert werden, zu schweren Verletzungen oder Schäden führen können. Eine Untersuchung von Unfällen, die sich über einen Zeitraum von einem Jahr (1987 bis 1988) unter Bauern in neun Dörfern in Nordindien ereigneten, zeigte, dass Futterschneidemaschinen, die ansonsten alle gleich konstruiert sind, gefährlicher sind, wenn sie von einem Motor oder Traktor angetrieben werden. Die relative Häufigkeit von Unfällen mit mehr als einer geringfügigen Verletzung (pro Maschine) betrug 5.1 Promille für manuelle Schneidgeräte und 8.6 Promille für angetriebene Schneidgeräte (Mohan und Patel 1992).
Verletzungen im Zusammenhang mit Maschinenbewegungen
Da die mit Maschinenbewegungen verbundenen Kräfte oft recht groß sind, ist davon auszugehen, dass die daraus resultierenden Verletzungen schwerwiegend sein werden. Diese Vermutung wird von mehreren Quellen bestätigt. Der „Kontakt mit beweglichen Maschinen oder bearbeitetem Material“ machte laut britischer Statistik (HSE 5) nur 10 % aller Arbeitsunfälle, aber immerhin 1989 % der tödlichen und schweren Unfälle (Frakturen, Amputationen etc.) aus. In die gleiche Richtung weisen Studien an zwei schwedischen Fahrzeugherstellern. Unfälle, die durch Maschinenbewegungen verursacht wurden, führten gemessen an Medianwerten zu doppelt so vielen Krankenstandstagen im Vergleich zu nicht maschinenbezogenen Unfällen. Auch hinsichtlich der verletzten Körperteile unterschieden sich Maschinenunfälle von anderen Unfällen: Die Ergebnisse zeigten, dass 80 % der Verletzungen bei „Maschinen“-Unfällen Hände und Finger betreffen, bei „sonstigen“ Unfällen entsprechender Anteil 40 % (Backström und Döös 1995).
Die Gefährdungssituation an automatisierten Anlagen hat sich sowohl anders (hinsichtlich Unfallart, Ereignisablauf und Schweregrad der Verletzung) als auch komplizierter (sowohl in technischer Hinsicht als auch in Bezug auf den Bedarf an Fachkenntnissen) als bei Installationen, in denen herkömmliche Maschinen verwendet werden. Der Begriff automatisierte soll sich hierin auf eine Ausrüstung beziehen, die ohne das direkte Eingreifen eines Menschen entweder eine Maschinenbewegung einleiten oder ihre Richtung oder Funktion ändern kann. Solche Geräte erfordern Sensorvorrichtungen (z. B. Positionssensoren oder Mikroschalter) und/oder irgendeine Form von sequentiellen Steuerungen (z. B. ein Computerprogramm), um ihre Aktivitäten zu steuern und zu überwachen. In den letzten Jahrzehnten, a Programmierbare Steuerung (SPS) wird zunehmend als Steuerungseinheit in Produktionsanlagen eingesetzt. Kleine Computer sind heute das gebräuchlichste Mittel, das zur Steuerung von Produktionsanlagen in der industrialisierten Welt verwendet wird, während andere Steuerungsmittel, wie beispielsweise elektromechanische Einheiten, immer seltener werden. In der schwedischen Fertigungsindustrie stieg der Einsatz von numerisch gesteuerten (NC) Maschinen in den 11er Jahren um 12 bis 1980 % pro Jahr (Hörte und Lindberg 1989). In der modernen Industrieproduktion wird die Verletzung durch „bewegte Maschinenteile“ immer mehr gleichbedeutend mit der Verletzung durch „computergesteuerte Maschinenbewegungen“.
Automatisierte Anlagen finden sich in immer mehr Industriezweigen und sie haben immer mehr Funktionen. Lagerverwaltung, Materialhandhabung, Verarbeitung, Montage und Verpackung werden alle automatisiert. Die Serienfertigung ist der Prozessfertigung gleich geworden. Werden Zuführung, Bearbeitung und Ausschleusung der Werkstücke mechanisiert, muss sich der Bediener bei normaler, ungestörter Produktion nicht mehr im Gefahrenbereich aufhalten. Untersuchungen zur automatisierten Fertigung haben gezeigt, dass Unfälle vor allem beim Umgang mit produktionsrelevanten Störungen passieren. Aber auch bei anderen Aufgaben wie Reinigen, Einstellen, Umrüsten, Kontrollieren und Reparieren können Menschen Maschinenbewegungen behindern.
Wenn die Produktion automatisiert wird und der Prozess nicht mehr unter der direkten Kontrolle des Menschen steht, steigt das Risiko unerwarteter Maschinenbewegungen. Die meisten Bediener, die mit Gruppen oder Linien miteinander verbundener Maschinen arbeiten, haben solche unerwarteten Maschinenbewegungen erlebt. Viele Unfälle in der Automatisierung entstehen durch eben solche Bewegungen. Ein Automatisierungsunfall ist ein Unfall, bei dem die automatische Ausrüstung die zur Verletzung führende Energie kontrolliert (oder kontrolliert haben sollte). Das bedeutet, dass die Kraft, die den Menschen verletzt, von der Maschine selbst kommt (z. B. die Energie einer Maschinenbewegung). In einer Studie von 177 Automatisierungsunfällen in Schweden wurde festgestellt, dass in 84 % der Fälle Verletzungen durch den „unerwarteten Start“ eines Maschinenteils verursacht wurden (Backström und Harms-Ringdahl 1984). Ein typisches Beispiel einer Verletzung durch eine computergesteuerte Maschinenbewegung ist in Abbildung 2 dargestellt.
Abbildung 2. Ein typisches Beispiel einer Verletzung durch eine computergesteuerte Maschinenbewegung
Eine der oben genannten Studien (Backström und Döös 1995) zeigte, dass automatisch gesteuerte Maschinenbewegungen ursächlich mit längeren Krankenständen verbunden waren als Verletzungen durch andere Arten von Maschinenbewegungen, wobei der Medianwert an einem der Arbeitsplätze viermal höher war . Das Verletzungsmuster von Automatisierungsunfällen war ähnlich wie bei anderen Maschinenunfällen (hauptsächlich Hände und Finger), jedoch tendenziell schwerwiegender (Amputationen, Quetschungen und Frakturen).
Die Computersteuerung hat, wie auch die manuelle, Schwächen aus Sicht der Zuverlässigkeit. Es gibt keine Garantie dafür, dass ein Computerprogramm fehlerfrei funktioniert. Die Elektronik mit ihren geringen Signalpegeln kann bei unzureichendem Schutz empfindlich auf Störungen reagieren, und die Folgen daraus resultierender Ausfälle sind nicht immer vorhersehbar. Außerdem bleiben Programmieränderungen oft undokumentiert. Eine Methode, diese Schwäche zu kompensieren, ist beispielsweise der Betrieb von „doppelten“ Systemen, bei denen es zwei unabhängige Ketten von funktionalen Komponenten gibt und ein Verfahren zur Überwachung, so dass beide Ketten den gleichen Wert aufweisen. Wenn die Systeme unterschiedliche Werte anzeigen, deutet dies auf einen Fehler in einem von ihnen hin. Es besteht jedoch die Möglichkeit, dass beide Komponentenketten unter demselben Fehler leiden und beide durch dieselbe Störung außer Betrieb gesetzt werden, wodurch ein falsch positiver Messwert entsteht (da beide Systeme übereinstimmen). Allerdings war es nur in wenigen der untersuchten Fälle möglich, einen Unfall auf einen Computerausfall zurückzuführen (siehe unten), obwohl es üblich ist, dass ein einziger Computer alle Funktionen einer Anlage steuert (sogar das Anhalten von einer Maschine infolge der Aktivierung einer Sicherheitseinrichtung). Alternativ kann überlegt werden, ein bewährtes System mit elektromechanischen Komponenten für Sicherheitsfunktionen bereitzustellen.
Technische Probleme
Generell lässt sich sagen, dass ein einzelner Unfall viele Ursachen hat, darunter technische, individuelle, umweltbedingte und organisatorische. Aus präventiven Gründen wird ein Unfall am besten nicht als isoliertes Ereignis, sondern als ein Ereignis betrachtet Reihenfolge von Ereignissen oder einem Prozess (Backström 1996). Bei Automatisierungsunfällen hat sich gezeigt, dass technische Probleme häufig Teil eines solchen Ablaufs sind und entweder in einem der frühen Stadien des Prozesses oder in der Nähe des Verletzungsereignisses des Unfalls auftreten. Studien, in denen technische Probleme bei Automatisierungsunfällen untersucht wurden, legen nahe, dass diese für 75 bis 85 % der Unfälle verantwortlich sind. Gleichzeitig gibt es im Einzelfall meist auch andere Ursachen, etwa organisatorischer Natur. Nur in einem Zehntel der Fälle konnte festgestellt werden, dass die direkte Quelle der verletzungsauslösenden Energie auf ein technisches Versagen zurückgeführt werden konnte – beispielsweise eine Maschinenbewegung, die trotz Stillstand der Maschine stattfindet. Ähnliche Zahlen wurden in anderen Studien berichtet. Meist führte ein technisches Problem zu Störungen an der Anlage, so dass der Bediener Aufgaben wechseln musste (z. B. um ein schief liegendes Teil neu zu positionieren). Der Unfall ereignete sich dann während der Durchführung der Aufgabe, ausgelöst durch das technische Versagen. Einem Viertel der Automatisierungsunfälle ging eine Störung im Materialfluss voraus, beispielsweise ein Hängenbleiben eines Teils, eine schiefe oder anderweitig fehlerhafte Position (siehe Abbildung 3).
Abbildung 3. Arten von technischen Problemen bei Automatisierungsunfällen (Anzahl der Unfälle = 127)
In einer Studie von 127 Unfällen mit Automatisierung wurden 28 dieser Unfälle, die in Abbildung 4 beschrieben sind, weiter untersucht, um die Arten von technischen Problemen zu bestimmen, die als kausale Faktoren beteiligt waren (Backström und Döös, im Druck). Die in den Unfalluntersuchungen genannten Probleme wurden am häufigsten durch festsitzende, defekte oder verschlissene Bauteile verursacht. In zwei Fällen wurde ein Problem durch einen Computerprogrammfehler verursacht, in einem durch elektromagnetische Störungen. In mehr als der Hälfte der Fälle (17 von 28) waren Störungen schon länger vorhanden, wurden aber nicht behoben. Nur in 5 der 28 Fälle, in denen auf ein technisches Versagen oder eine Abweichung verwiesen wurde, lag der Mangel vor nicht hat sich vorher manifestiert. Einige Fehler wurden repariert, traten aber später wieder auf. Einige Mängel waren bereits bei der Installation vorhanden, andere resultierten aus Verschleiß und Umwelteinflüssen.
Der Anteil der Automatisierungsunfälle, die im Zuge der Behebung einer Produktionsstörung auftreten, liegt den meisten Studien zufolge zwischen einem Drittel und zwei Drittel aller Fälle. Mit anderen Worten besteht allgemeiner Konsens darüber, dass die Bewältigung von Produktionsstörungen eine gefährliche berufliche Tätigkeit ist. Für das unterschiedliche Ausmaß solcher Unfälle gibt es viele Erklärungen, darunter solche, die mit der Art der Produktion und der Einstufung beruflicher Aufgaben zusammenhängen. Bei manchen Störfallstudien wurden nur Probleme und Maschinenstopps im laufenden Produktionsbetrieb betrachtet; in anderen wurde ein breiteres Spektrum von Problemen behandelt – zum Beispiel diejenigen, die mit der Einrichtung einer Arbeit zu tun haben.
Eine sehr wichtige Maßnahme zur Vermeidung von Automatisierungsunfällen ist es, Verfahren zur Ursachenbeseitigung von Produktionsstörungen so vorzubereiten, dass sie sich nicht wiederholen. In einer Fachstudie zu Produktionsstörungen zum Zeitpunkt eines Unfalls (Döös und Backström 1994) wurde festgestellt, dass die häufigste Aufgabe, zu der Störungen führten, das Lösen oder das Korrigieren der Position eines festgefahrenen oder schief liegenden Werkstücks war platziert. Diese Art von Problem löste eine von zwei ziemlich ähnlichen Abfolgen von Ereignissen aus: (1) Das Teil wurde befreit und kam in seine richtige Position, die Maschine erhielt ein automatisches Signal zum Starten, und die Person wurde durch die eingeleitete Maschinenbewegung verletzt, (2 ) es keine Zeit gab, das Teil zu lösen oder neu zu positionieren, bevor die Person durch eine Maschinenbewegung verletzt wurde, die unerwartet, schneller oder mit größerer Kraft als vom Bediener erwartet erfolgte. Weitere Störungsbehandlungen umfassten das Auslösen eines Sensorimpulses, das Befreien eines blockierten Maschinenteils, die Durchführung einfacher Arten der Fehlersuche und die Veranlassung des Wiederanlaufs (siehe Abbildung 4).
Abbildung 4. Art der Störungsbeseitigung zum Zeitpunkt des Unfalls (Anzahl der Unfälle =76)
Arbeitssicherheit
Welche Personengruppen bei Automatisierungsunfällen tendenziell verletzt werden, hängt davon ab, wie die Arbeit organisiert ist, also davon, welche Berufsgruppe die gefährlichen Tätigkeiten ausführt. In der Praxis geht es darum, welche Person am Arbeitsplatz regelmäßig mit Problemen und Störungen betraut wird. In der modernen schwedischen Industrie werden normalerweise aktive Eingriffe von den Personen verlangt, die die Maschine bedienen. Aus diesem Grund wurde in der bereits erwähnten Arbeitsplatzstudie zur Fahrzeugherstellung in Schweden (Backström und Döös, zur Veröffentlichung angenommen) festgestellt, dass 82 % der Personen, die Verletzungen durch automatisierte Maschinen erlitten, Produktionsarbeiter oder Bediener waren. Bediener hatten auch eine höhere relative Unfallhäufigkeit (15 Automatisierungsunfälle pro 1,000 Bediener pro Jahr) als Wartungsarbeiter (6 pro 1,000). Die Ergebnisse von Studien, die darauf hindeuten, dass Wartungsarbeiter stärker betroffen sind, sind zumindest teilweise damit zu erklären, dass Bediener in einigen Unternehmen Bearbeitungsbereiche nicht betreten dürfen. In Organisationen mit einer anderen Art der Aufgabenverteilung können andere Personengruppen – beispielsweise Einrichter – mit der Lösung auftretender Produktionsprobleme beauftragt werden.
Die häufigste Korrekturmaßnahme, die in diesem Zusammenhang ergriffen wird, um das Niveau der Personensicherheit zu erhöhen, besteht darin, die Person vor gefährlichen Maschinenbewegungen zu schützen, indem eine Art Sicherheitsvorrichtung, wie z. B. ein Maschinenschutz, verwendet wird. Das Hauptprinzip ist hier das der „passiven“ Sicherheit – also das Bereitstellen von Schutz, der kein Handeln des Arbeitnehmers erfordert. Ohne eine sehr gute Kenntnis der tatsächlichen Arbeitsanforderungen an der jeweiligen Maschine, die normalerweise nur der Maschinenbediener selbst besitzt, ist es jedoch unmöglich, die Wirksamkeit von Schutzeinrichtungen zu beurteilen.
Es gibt viele Faktoren, die selbst einen scheinbar guten Maschinenschutz außer Kraft setzen können. Um ihre Arbeit auszuführen, müssen Bediener möglicherweise eine Sicherheitsvorrichtung lösen oder umgehen. In einer Studie (Döös und Backström 1993) wurde festgestellt, dass bei 12 von 75 erfassten Automatisierungsunfällen ein solches Ausrücken oder Umgehen stattgefunden hatte. Oft liegt es am Ehrgeiz des Bedieners, weder Produktionsprobleme noch Produktionsverzögerungen hinzunehmen, die mit der vorschriftsmäßigen Behebung von Störungen verbunden sind. Eine Möglichkeit, dieses Problem zu vermeiden, besteht darin, die Schutzvorrichtung unmerklich zu machen, damit sie das Produktionstempo, die Produktqualität oder die Aufgabenerfüllung nicht beeinträchtigt. Aber das ist nicht immer möglich; und bei wiederholten produktionsstörungen können selbst geringfügige unannehmlichkeiten dazu führen, dass sicherheitseinrichtungen nicht eingesetzt werden. Auch hier sollten Routinen zur Verfügung gestellt werden, um die Ursachen von Produktionsstörungen zu beseitigen, damit sich diese nicht wiederholen. Ein weiterer wesentlicher Risikofaktor ist die fehlende Bestätigung, dass Sicherheitseinrichtungen wirklich gemäß den Spezifikationen funktionieren. Fehlerhafte Anschlüsse, im System verbleibende Startsignale, die später zu unerwarteten Starts führen, Luftdruckaufbau und sich lösende Sensoren können zum Ausfall von Schutzeinrichtungen führen.
Zusammenfassung
Wie gezeigt wurde, können technische Problemlösungen neue Probleme hervorrufen. Obwohl Verletzungen durch Maschinenbewegungen verursacht werden, die im Wesentlichen technischer Natur sind, bedeutet dies nicht automatisch, dass das Potenzial für deren Beseitigung in rein technischen Faktoren liegt. Technische Systeme werden weiterhin ausfallen, und Menschen werden die Situationen, die diese Ausfälle hervorrufen, nicht bewältigen. Die Risiken bleiben bestehen und können nur mit unterschiedlichsten Mitteln eingedämmt werden. Als Ergänzung zur rein technischen Entwicklung sind Gesetzgebung und Kontrolle, organisatorische Maßnahmen in den einzelnen Unternehmen (in Form von Schulungen, Sicherheitsrundgängen, Risikoanalysen und Meldungen von Störungen und Beinahe-Unfällen) sowie die Betonung stetiger, kontinuierlicher Verbesserungen erforderlich.
Es scheint so viele potenzielle Gefahren durch sich bewegende Maschinenteile zu geben, wie es verschiedene Arten von Maschinen gibt. Sicherheitsvorkehrungen sind unerlässlich, um Arbeitnehmer vor unnötigen und vermeidbaren maschinenbedingten Verletzungen zu schützen. Daher sollten alle Maschinenteile, Funktionen oder Prozesse, die Verletzungen verursachen können, geschützt werden. Wenn der Betrieb einer Maschine oder der versehentliche Kontakt mit ihr den Bediener oder andere Personen in der Nähe verletzen kann, muss die Gefahr entweder kontrolliert oder beseitigt werden.
Mechanische Bewegungen und Aktionen
Mechanische Gefahren beinhalten typischerweise gefährliche bewegliche Teile in den folgenden drei grundlegenden Bereichen:
Eine Vielzahl von mechanischen Bewegungen und Aktionen, die eine Gefahr für Arbeiter darstellen können, umfassen die Bewegung von rotierenden Elementen, hin- und hergehenden Armen, sich bewegenden Riemen, ineinandergreifenden Zahnrädern, schneidenden Zähnen und allen Teilen, die aufprallen oder abscheren. Diese verschiedenen Arten mechanischer Bewegungen und Aktionen sind grundlegend für fast alle Maschinen, und ihre Erkennung ist der erste Schritt zum Schutz der Arbeitnehmer vor den Gefahren, die sie darstellen können.
Bewegungen
Es gibt drei grundlegende Bewegungsarten: rotierend, hin- und hergehend und transversal.
Drehbewegung kann gefährlich sein; Selbst glatte, langsam rotierende Wellen können Kleidung erfassen und einen Arm oder eine Hand in eine gefährliche Position bringen. Verletzungen durch Kontakt mit rotierenden Teilen können schwerwiegend sein (siehe Abbildung 1).
Abbildung 1. Mechanische Stanzpresse
Manschetten, Kupplungen, Nocken, Kupplungen, Schwungräder, Wellenenden, Spindeln und horizontale oder vertikale Wellen sind einige Beispiele für übliche Drehmechanismen, die gefährlich sein können. Es besteht zusätzliche Gefahr, wenn Bolzen, Kerben, Abschürfungen und vorstehende Keile oder Stellschrauben an rotierenden Maschinenteilen freigelegt werden, wie in Abbildung 2 dargestellt.
Abbildung 2. Beispiele für gefährliche Spritzer auf rotierende Teile
Einlaufender Klemmpunkts entstehen durch rotierende Teile an Maschinen. Es gibt drei Haupttypen von Einlaufspaltpunkten:
Abbildung 3. Übliche Klemmpunkte an rotierenden Teilen
Abbildung 4. Klemmpunkte zwischen rotierenden Elementen und Teilen mit Längsbewegungen
Abbildung 5. Klemmpunkte zwischen rotierenden Maschinenkomponenten
Hin- und Herbewegungen kann gefährlich sein, da ein Arbeiter während der Hin- und Her- oder Auf- und Abbewegung von einem beweglichen Teil und einem feststehenden Teil getroffen oder zwischen diesen eingeklemmt werden kann. Ein Beispiel ist in Abbildung 6 dargestellt.
Abbildung 6. Gefährliche Hin- und Herbewegung
Querbewegung (Bewegung in einer geraden, kontinuierlichen Linie) stellt eine Gefahr dar, da ein Arbeiter von einem sich bewegenden Teil getroffen oder in einer Quetsch- oder Scherstelle erfasst werden kann. Ein Beispiel für eine Querbewegung ist in Abbildung 7 dargestellt.
Abbildung 7. Beispiel einer Querbewegung
Aktionen
Es gibt vier grundlegende Einwirkungsarten: Schneiden, Stanzen, Scheren und Biegen.
Schneidwirkung umfasst eine rotierende, hin- und hergehende oder transversale Bewegung. Schneidvorgänge schaffen Gefahren an der Arbeitsstelle, wo Finger-, Kopf- und Armverletzungen auftreten können und wo umherfliegende Späne oder Abfallmaterial die Augen oder das Gesicht treffen können. Typische Beispiele für Maschinen mit Schnittgefahr sind Bandsägen, Kreissägen, Bohr- oder Bohrmaschinen, Drehmaschinen (Drehbänke) und Fräsmaschinen. (Siehe Abbildung 8.)
Abbildung 8. Beispiele für Schnittgefahren
Punching-Aktion entsteht, wenn ein Schlitten (Stößel) mit Strom versorgt wird, um Metall oder andere Materialien zu stanzen, zu ziehen oder zu stanzen. Die Gefahr dieser Art von Aktion tritt an der Arbeitsstelle auf, wo Bestände von Hand eingeführt, gehalten und entnommen werden. Typische Maschinen, die eine Stanzwirkung verwenden, sind Kraftpressen und Eisenarbeiter. (Siehe Abbildung 9.)
Abbildung 9. Typischer Stanzvorgang
Scherwirkung beinhaltet das Anlegen von Kraft an einen Schieber oder ein Messer, um Metall oder andere Materialien zu trimmen oder zu scheren. Eine Gefährdung tritt an der Betriebsstelle auf, an der das Lager tatsächlich eingeführt, gehalten und entnommen wird. Typische Beispiele für Maschinen, die für Schervorgänge verwendet werden, sind mechanisch, hydraulisch oder pneumatisch angetriebene Scheren. (Siehe Abbildung 10.)
Abbildung 10. Schervorgang
Biegeaktion entsteht, wenn Strom auf einen Schlitten aufgebracht wird, um Metall oder andere Materialien zu formen, zu ziehen oder zu stanzen. Die Gefahr tritt an der Betriebsstelle auf, an der Waren eingeführt, gehalten und entnommen werden. Zu den Geräten, die Biegevorgänge verwenden, gehören Kraftpressen, Abkantpressen und Rohrbiegemaschinen. (Siehe Abbildung 11.)
Abbildung 11. Biegevorgang
Anforderungen an Sicherungsmaßnahmen
Schutzeinrichtungen müssen die folgenden allgemeinen Mindestanforderungen erfüllen, um Arbeitnehmer vor mechanischen Gefahren zu schützen:
Kontakt verhindern. Die Schutzeinrichtung muss verhindern, dass Hände, Arme oder Körperteile oder Kleidung eines Arbeiters mit gefährlichen beweglichen Teilen in Kontakt kommen, indem die Möglichkeit ausgeschlossen wird, dass Bediener oder andere Arbeiter Körperteile in die Nähe gefährlicher beweglicher Teile bringen.
Geben Sie Sicherheit. Arbeiter sollten nicht in der Lage sein, die Schutzvorrichtung einfach zu entfernen oder zu manipulieren. Schutzvorrichtungen und Sicherheitsvorrichtungen sollten aus strapazierfähigem Material bestehen, das den Bedingungen des normalen Gebrauchs standhält und fest an der Maschine befestigt ist.
Vor herabfallenden Gegenständen schützen. Die Schutzeinrichtung sollte sicherstellen, dass keine Gegenstände in bewegliche Teile fallen und das Gerät beschädigen oder zu einem Geschoss werden können, das jemanden treffen und verletzen könnte.
Keine neuen Gefahren schaffen. Eine Schutzeinrichtung verfehlt ihren Zweck, wenn sie selbst eine Gefahr darstellt, wie z. B. eine Scherstelle, eine gezackte Kante oder eine unbearbeitete Oberfläche. Die Kanten von Schutzvorrichtungen sollten beispielsweise so gerollt oder verschraubt werden, dass scharfe Kanten ausgeschlossen sind.
Keine Störungen verursachen. Schutzmaßnahmen, die Arbeitnehmer an der Ausübung ihrer Arbeit hindern, könnten bald außer Kraft gesetzt oder missachtet werden. Wenn möglich, sollten Arbeiter in der Lage sein, Maschinen zu schmieren, ohne Schutzeinrichtungen zu lösen oder zu entfernen. Wenn Sie beispielsweise Ölreservoirs außerhalb der Schutzvorrichtung anordnen, wobei eine Leitung zur Schmierstelle führt, wird die Notwendigkeit verringert, den Gefahrenbereich zu betreten.
Sicherheitstraining
Selbst das ausgeklügeltste Sicherheitssystem kann keinen wirksamen Schutz bieten, wenn die Arbeitnehmer nicht wissen, wie und warum es anzuwenden ist. Spezifische und detaillierte Schulungen sind ein wichtiger Bestandteil aller Bemühungen zur Umsetzung von Schutzmaßnahmen gegen maschinenbezogene Gefahren. Richtiger Schutz kann die Produktivität verbessern und die Effizienz steigern, da er die Befürchtungen der Arbeitnehmer vor Verletzungen mindern kann. Eine Sicherheitsschulung ist für neue Bediener und Wartungs- oder Einrichtungspersonal erforderlich, wenn neue oder geänderte Sicherheitsvorrichtungen in Betrieb genommen werden oder wenn Arbeiter einer neuen Maschine oder einem neuen Betrieb zugewiesen werden; es sollte Anweisungen oder praktisches Training in den folgenden Bereichen beinhalten:
Methoden der Maschinenabsicherung
Es gibt viele Möglichkeiten, Maschinen zu schützen. Die Art des Vorgangs, die Größe oder Form des Materials, die Handhabungsmethode, die physische Anordnung des Arbeitsbereichs, die Art des Materials und die Produktionsanforderungen oder -beschränkungen helfen bei der Bestimmung der geeigneten Sicherungsmethode für die einzelne Maschine. Der Maschinenkonstrukteur oder Sicherheitsexperte muss die effektivste und praktischste verfügbare Schutzeinrichtung wählen.
Schutzmaßnahmen können in fünf allgemeine Klassifikationen eingeteilt werden: (1) Schutzeinrichtungen, (2) Geräte, (3) Trennung, (4) Betrieb und (5) Sonstiges.
Absicherung mit Wachen
Es gibt vier allgemeine Arten von Schutzeinrichtungen (Barrieren, die den Zugang zu Gefahrenbereichen verhindern):
Feste Wachen. Eine feststehende Schutzeinrichtung ist ein fester Bestandteil der Maschine und ist nicht von beweglichen Teilen abhängig, um ihre vorgesehene Funktion zu erfüllen. Es kann aus Blech, Sieb, Drahtgewebe, Stäben, Kunststoff oder jedem anderen Material bestehen, das robust genug ist, um jeglichen Stößen, denen es ausgesetzt ist, zu widerstehen und einen längeren Gebrauch auszuhalten. Feststehende Schutzvorrichtungen sind normalerweise allen anderen Typen vorzuziehen, da sie relativ einfach und dauerhaft sind (siehe Tabelle 1).
Tabelle 1. Maschinenschutzvorrichtungen
Versandart |
Sicherungsmaßnahmen |
Vorteile |
Einschränkungen |
Behoben |
· Bietet eine Barriere |
· Geeignet für viele spezifische Anwendungen |
· Kann die Sicht beeinträchtigen |
Verriegelt |
· Schaltet die Stromversorgung ab oder unterbricht und verhindert das Starten der Maschine, wenn die Schutzvorrichtung offen ist; sollte erfordern, dass die Maschine gestoppt wird, bevor der Arbeiter in den Gefahrenbereich greifen kann |
· Bietet maximalen Schutz |
· Erfordert sorgfältige Einstellung und Wartung |
Einstellbar |
· Bietet eine Barriere, die angepasst werden kann, um eine Vielzahl von Produktionsvorgängen zu erleichtern |
· Kann für viele spezifische Anwendungen konstruiert werden |
· Bediener kann Gefahrenbereich betreten: Der Schutz ist möglicherweise nicht immer vollständig |
Selbstjustierend |
· Stellt eine Barriere bereit, die sich entsprechend der Größe des Bestands bewegt, der in den Gefahrenbereich gelangt |
· Schutzvorrichtungen von der Stange sind im Handel erhältlich |
· Bietet nicht immer maximalen Schutz |
In Abbildung 12 umschließt eine feststehende Schutzeinrichtung an einer Presse die Gefahrstelle vollständig. Das Material wird durch die Seite des Schutzes in den Matrizenbereich eingeführt, wobei das Abfallmaterial auf der gegenüberliegenden Seite austritt.
Abbildung 12. Fester Schutz an der Power Press
Abbildung 13 zeigt einen festen Gehäuseschutz, der den Riemen und die Riemenscheibe einer Kraftübertragungseinheit abschirmt. Oben befindet sich eine Inspektionsplatte, um die Notwendigkeit zum Entfernen des Schutzes zu minimieren.
Abbildung 13. Feststehende Schutzvorrichtung, die Riemen und Riemenscheiben umschließt
In Abbildung 14 sind feste Gehäuseschutzvorrichtungen an einer Bandsäge dargestellt. Diese Schutzvorrichtungen schützen den Bediener vor den sich drehenden Rädern und dem sich bewegenden Sägeblatt. Normalerweise würden die Schutzvorrichtungen nur zum Klingenwechsel oder zur Wartung geöffnet oder entfernt. Es ist sehr wichtig, dass sie sicher befestigt sind, während die Säge verwendet wird.
Abbildung 14. Feste Schutzvorrichtungen an der Bandsäge
Verriegelte Wachen. Wenn verriegelte Schutzvorrichtungen geöffnet oder entfernt werden, wird der Auslösemechanismus und/oder die Stromversorgung automatisch abgeschaltet oder getrennt, und die Maschine kann nicht laufen oder gestartet werden, bis die Verriegelungsschutzvorrichtung wieder angebracht ist. Das Ersetzen des Verriegelungsschutzes sollte die Maschine jedoch nicht automatisch neu starten. Verriegelte Schutzeinrichtungen können elektrische, mechanische, hydraulische oder pneumatische Energie oder eine beliebige Kombination davon verwenden. Verriegelungen sollten, falls erforderlich, ein „Inchen“ (dh schrittweise fortschreitende Bewegungen) durch Fernsteuerung nicht verhindern.
Ein Beispiel für eine verriegelte Schutzvorrichtung ist in Abbildung 15 dargestellt. In dieser Abbildung ist der Schlagmechanismus einer Pflückmaschine (in der Textilindustrie verwendet) durch eine verriegelte Schutzvorrichtung abgedeckt. Dieser Schutz kann nicht angehoben werden, während die Maschine läuft, noch kann die Maschine mit dem Schutz in angehobener Position neu gestartet werden.
Abbildung 15. Verriegelte Schutzvorrichtung an der Picker-Maschine
Einstellbare Schutzvorrichtungen. Verstellbare Schutzvorrichtungen ermöglichen Flexibilität bei der Aufnahme verschiedener Vorratsgrößen. Abbildung 16 zeigt einen einstellbaren Gehäuseschutz an einer Bandsäge.
Abbildung 16. Verstellbarer Schutz an der Bandsäge
Selbsteinstellende Schutzvorrichtungen. Die Öffnungen selbstjustierender Schutzvorrichtungen werden durch die Bewegung des Schafts bestimmt. Wenn der Bediener das Material in den Gefahrenbereich bewegt, wird die Schutzvorrichtung weggedrückt, wodurch eine Öffnung bereitgestellt wird, die groß genug ist, um nur das Material einzulassen. Nachdem der Schaft entfernt wurde, kehrt die Schutzvorrichtung in die Ruheposition zurück. Diese Schutzeinrichtung schützt den Bediener, indem sie eine Barriere zwischen dem Gefahrenbereich und dem Bediener platziert. Die Schutzvorrichtungen können aus Kunststoff, Metall oder einem anderen festen Material bestehen. Selbsteinstellende Schutzvorrichtungen bieten unterschiedliche Schutzgrade.
Abbildung 17 zeigt eine Radialarmsäge mit selbsteinstellender Schutzhaube. Wenn die Klinge über den Schaft gezogen wird, bewegt sich der Schutz nach oben und bleibt in Kontakt mit dem Schaft.
Abbildung 17. Selbsteinstellende Schutzhaube an Radialarmsäge
Absicherung mit Geräten
Sicherheitsvorrichtungen können die Maschine stoppen, wenn eine Hand oder ein Körperteil versehentlich in den Gefahrenbereich gebracht wird, können die Hände des Bedieners während des Betriebs aus dem Gefahrenbereich zurückhalten oder zurückziehen, können vom Bediener verlangen, beide Hände gleichzeitig an der Maschinensteuerung zu verwenden ( wodurch Hände und Körper außer Gefahr gehalten werden) oder eine mit dem Betriebszyklus der Maschine synchronisierte Barriere bereitstellen, um das Betreten des Gefahrenbereichs während des gefährlichen Teils des Zyklus zu verhindern. Es gibt fünf grundlegende Arten von Sicherheitsvorrichtungen:
Präsenzmelder
Im Folgenden werden drei Arten von Sensoren beschrieben, die die Maschine anhalten oder den Arbeitszyklus oder Betrieb unterbrechen, wenn sich ein Arbeiter im Gefahrenbereich befindet:
Das fotoelektrische (optische) Präsenzmelder verwendet ein System von Lichtquellen und Steuerungen, die den Betriebszyklus der Maschine unterbrechen können. Wenn das Lichtfeld unterbrochen wird, stoppt die Maschine und läuft nicht weiter. Dieses Gerät sollte nur an Maschinen verwendet werden, die gestoppt werden können, bevor der Arbeiter den Gefahrenbereich erreicht. Abbildung 18 zeigt eine fotoelektrische Anwesenheitserkennungsvorrichtung, die mit einer Abkantpresse verwendet wird. Das Gerät kann nach oben oder unten geschwenkt werden, um unterschiedlichen Produktionsanforderungen gerecht zu werden.
Abbildung 18. Photoelektrisches Anwesenheitserkennungsgerät an der Abkantpresse
Das Hochfrequenz-(Kapazitäts-)Präsenzerfassungsgerät verwendet einen Funkstrahl, der Teil des Steuerkreises ist. Wenn das Kapazitätsfeld unterbrochen wird, stoppt die Maschine oder wird nicht aktiviert. Dieses Gerät sollte nur an Maschinen verwendet werden, die angehalten werden können, bevor der Arbeiter den Gefahrenbereich erreichen kann. Dies erfordert, dass die Maschine über eine Reibungskupplung oder andere zuverlässige Mittel zum Stoppen verfügt. Fig. 19 zeigt ein Hochfrequenz-Anwesenheitserfassungsgerät, das an einer Teilumdrehungspresse montiert ist.
Abbildung 19. Hochfrequenz-Anwesenheitssensor an der Motorsäge
Das Elektromechanischer Sensor hat eine Sonde oder Kontaktstange, die sich auf eine vorbestimmte Entfernung absenkt, wenn der Bediener den Maschinenzyklus einleitet. Wenn es ein Hindernis gibt, das sie daran hindert, ihre volle vorbestimmte Strecke abzufahren, betätigt die Steuerschaltung den Maschinenzyklus nicht. Abbildung 20 zeigt eine elektromechanische Sensorvorrichtung an einer Öse. Die Sensorsonde in Kontakt mit dem Finger des Bedieners ist ebenfalls gezeigt.
Abbildung 20. Elektromechanisches Sensorgerät an einer Eye-Letter-Maschine
Rückzugsgeräte
Rückzugsvorrichtungen verwenden eine Reihe von Kabeln, die an den Händen, Handgelenken und/oder Armen des Bedieners befestigt sind, und werden hauptsächlich an Maschinen mit Hubbewegung verwendet. Wenn der Schieber/Stößel oben ist, wird dem Bediener der Zugang zum Betriebspunkt gestattet. Wenn der Schieber/Stößel sich abzusenken beginnt, sichert ein mechanisches Gestänge automatisch das Zurückziehen der Hände vom Betätigungspunkt. Abbildung 21 zeigt eine Pullback-Vorrichtung an einer kleinen Presse.
Abbildung 21. Rückzugsvorrichtung an der Power Press
Rückhaltevorrichtungen
In einigen Ländern wurden Rückhaltevorrichtungen verwendet, die Kabel oder Gurte verwenden, die zwischen einem festen Punkt und den Händen des Bedieners befestigt sind. Diese Vorrichtungen werden im Allgemeinen nicht als akzeptable Schutzmaßnahmen angesehen, da sie vom Bediener leicht umgangen werden können, wodurch es möglich wird, die Hände in den Gefahrenbereich zu bringen. (Siehe Tabelle 2.)
Tabelle 2. Geräte
Versandart |
Sicherungsmaßnahmen |
Vorteile |
Einschränkungen |
Fotoelektrisch |
· Die Maschine beginnt nicht zu radeln, wenn das Lichtfeld unterbrochen wird |
· Kann dem Bediener eine freiere Bewegung ermöglichen |
· Schützt nicht vor mechanischem Versagen |
Radiofrequenz |
· Der Maschinenzyklus startet nicht, wenn das Kapazitätsfeld unterbrochen wird |
· Kann dem Bediener eine freiere Bewegung ermöglichen |
· Schützt nicht vor mechanischem Versagen |
Elektromechanisch |
· Kontaktschiene oder Sonde fährt eine vorgegebene Strecke zwischen dem Bediener und dem Gefahrenbereich |
· Kann den Zugang am Einsatzort ermöglichen |
· Kontaktschiene oder Sonde müssen für jede Anwendung richtig eingestellt werden; Diese Einstellung muss ordnungsgemäß beibehalten werden |
Pullback |
· Wenn die Maschine zu laufen beginnt, werden die Hände des Bedieners aus dem Gefahrenbereich gezogen |
· Eliminiert die Notwendigkeit für zusätzliche Barrieren oder andere Eingriffe im Gefahrenbereich |
· Begrenzt die Bewegung des Bedieners |
Sicherheitsauslöser: |
· Stoppt die Maschine, wenn sie ausgelöst wird |
· Benutzerfreundlichkeit |
· Alle Bedienelemente müssen manuell aktiviert werden |
Zweihandbedienung |
· Der gleichzeitige Gebrauch beider Hände ist erforderlich, um zu verhindern, dass der Bediener den Gefahrenbereich betritt |
· Die Hände des Bedieners befinden sich an einer vorbestimmten Stelle außerhalb des Gefahrenbereichs |
· Benötigt eine Teilzyklusmaschine mit Bremse |
Zweihandfahrt |
· Die gleichzeitige Verwendung von zwei Händen an separaten Steuerungen verhindert, dass sich die Hände im Gefahrenbereich befinden, wenn der Maschinenzyklus startet |
· Die Hände des Bedieners befinden sich außerhalb des Gefahrenbereichs |
· Der Bediener kann versuchen, nach dem Auslösen der Maschine in den Gefahrenbereich zu greifen |
Tor |
· Bietet eine Barriere zwischen Gefahrenbereich und Bediener oder anderen Personen |
· Kann das Hineingreifen oder Betreten des Gefahrenbereichs verhindern |
· Kann eine häufige Inspektion und regelmäßige Wartung erfordern |
Sicherheitskontrollgeräte
Alle diese Sicherheitskontrollvorrichtungen werden manuell aktiviert und müssen manuell zurückgesetzt werden, um die Maschine neu zu starten:
Abbildung 22. Druckempfindlicher Körperstab in einer Gummimühle
Abbildung 23. Sicherheitsauslösestange an einer Gummimühle
Abbildung 24. Stolperdraht-Sicherheitskabel am Kalander
Abbildung 25. Zweihand-Steuerknöpfe an der Kupplungskraftpresse mit Teilumdrehung
Abbildung 26. Zweihand-Steuertasten an der Kupplungskraftpresse mit voller Umdrehung
Abbildung 27. Kraftpresse mit Tor
Schutz nach Standort oder Entfernung
Um eine Maschine standortspezifisch abzusichern, müssen die Maschine oder ihre gefährlichen beweglichen Teile so aufgestellt werden, dass gefährliche Bereiche nicht zugänglich sind oder während des normalen Betriebs der Maschine keine Gefahr für einen Arbeiter darstellen. Dies kann mit Umzäunungen oder Zäunen erreicht werden, die den Zugang zu Maschinen einschränken, oder indem eine Maschine so aufgestellt wird, dass ein Konstruktionsmerkmal der Anlage, wie z. B. eine Wand, den Arbeiter und anderes Personal schützt. Eine andere Möglichkeit besteht darin, gefährliche Teile so hoch anzuordnen, dass sie außerhalb der normalen Reichweite eines Arbeiters liegen. Eine gründliche Gefahrenanalyse jeder Maschine und der jeweiligen Situation ist unerlässlich, bevor Sie diese Sicherungstechnik anwenden. Die nachfolgend genannten Beispiele sind einige der zahlreichen Anwendungen des Prinzips der Orts-/Entfernungssicherung.
Fütterungsprozess. Der Fütterungsprozess kann örtlich abgesichert werden, wenn ein Sicherheitsabstand zum Schutz der Hände des Arbeiters eingehalten werden kann. Die Abmessungen des bearbeiteten Materials können eine ausreichende Sicherheit bieten. Wenn zum Beispiel beim Betrieb einer Einzelendstanzmaschine das Material mehrere Fuß lang ist und nur an einem Ende des Materials gearbeitet wird, kann der Bediener möglicherweise das gegenüberliegende Ende halten, während die Arbeit durchgeführt wird. Je nach Maschine kann jedoch dennoch ein Schutz für andere Personen erforderlich sein.
Positionierungssteuerung. Die Positionierung der Kontrollstation des Bedieners bietet einen möglichen Ansatz zur Sicherung nach Standort. Bedienelemente dürfen sich in sicherer Entfernung von der Maschine befinden, wenn kein Grund für die Anwesenheit des Bedieners an der Maschine besteht.
Fütterungs- und Auswurfsicherungsmethoden
Bei vielen Zuführ- und Auswurfmethoden müssen die Bediener ihre Hände nicht in den Gefahrenbereich bringen. In einigen Fällen ist nach dem Einrichten der Maschine kein Eingreifen des Bedieners erforderlich, während in anderen Situationen Bediener das Material mit Hilfe eines Zuführmechanismus manuell zuführen können. Darüber hinaus können Ausstoßverfahren entworfen werden, die keine Bedienereingriffe erfordern, nachdem die Maschine zu funktionieren beginnt. Einige Zuführ- und Auswurfmethoden können sogar selbst Gefahren erzeugen, wie z. B. ein Roboter, der die Notwendigkeit eines Bedieners in der Nähe der Maschine beseitigen kann, aber durch die Bewegung seines Arms eine neue Gefahr schaffen kann. (Siehe Tabelle 3.)
Tabelle 3. Fütterungs- und Auswurfmethoden
Versandart |
Sicherungsmaßnahmen |
Vorteile |
Einschränkungen |
Automatischer Vorschub |
· Material wird von Rollen zugeführt, durch Maschinenmechanismus indexiert usw. |
· Beseitigt die Notwendigkeit des Eingreifens des Bedieners in den Gefahrenbereich |
· Für den Personenschutz sind auch andere Schutzeinrichtungen erforderlich – in der Regel feststehende Schutzeinrichtungen |
Semi-automatische |
· Das Material wird über Rutschen, bewegliche Matrizen und Wählscheiben zugeführt |
· Beseitigt die Notwendigkeit des Eingreifens des Bedieners in den Gefahrenbereich |
· Für den Personenschutz sind auch andere Schutzeinrichtungen erforderlich – in der Regel feststehende Schutzeinrichtungen |
automatische |
· Werkstücke werden durch Luft oder mechanisch ausgeworfen |
· Beseitigt die Notwendigkeit des Eingreifens des Bedieners in den Gefahrenbereich |
· Es besteht die Gefahr, dass Späne oder Fremdkörper aufgewirbelt werden |
Semi-automatische |
· Werkstücke werden mechanisch ausgeworfen |
· Der Bediener muss den Gefahrenbereich nicht betreten, um fertige Arbeiten zu entfernen |
· Für den Bediener sind weitere Schutzvorrichtungen erforderlich |
Roboter |
· Sie führen Arbeiten aus, die normalerweise vom Bediener ausgeführt werden |
· Bediener muss Gefahrenbereich nicht betreten |
· Können selbst Gefahren erzeugen |
Die Verwendung einer der folgenden fünf Zuführungs- und Auswurfmethoden zum Schutz von Maschinen beseitigt nicht die Notwendigkeit von Schutzvorrichtungen und anderen Vorrichtungen, die bei Bedarf verwendet werden müssen, um Schutz vor Gefahren zu bieten.
Automatischer Vorschub. Automatische Zuführungen reduzieren die Exposition des Bedieners während des Arbeitsprozesses und erfordern häufig keine Anstrengung des Bedieners, nachdem die Maschine eingerichtet und in Betrieb ist. Die Kraftpresse in Abbildung 28 hat einen automatischen Zuführmechanismus mit einem durchsichtigen feststehenden Schutzgitter im Gefahrenbereich.
Abbildung 28. Kraftpresse mit automatischem Vorschub
Halbautomatischer Vorschub. Bei der halbautomatischen Zuführung, wie im Fall einer Kraftpresse, verwendet der Bediener einen Mechanismus, um das zu bearbeitende Teil bei jedem Hub unter den Stößel zu legen. Der Bediener muss nicht in den Gefahrenbereich greifen, der Gefahrenbereich ist vollständig umschlossen. Abbildung 29 zeigt eine Schachtzuführung, in die jedes Stück von Hand gelegt wird. Die Verwendung eines Rutschenvorschubs bei einer geneigten Presse hilft nicht nur dabei, das Teil zu zentrieren, wenn es in die Matrize gleitet, sondern kann auch das Problem des Auswurfs vereinfachen.
Abbildung 29. Kraftpresse mit Schachtbeschickung
Automatischer Auswurf. Der automatische Auswurf kann entweder Luftdruck oder eine mechanische Vorrichtung verwenden, um das fertiggestellte Teil aus einer Presse zu entfernen, und kann mit den Betriebssteuerungen verriegelt sein, um den Betrieb zu verhindern, bis der Teileauswurf abgeschlossen ist. Der in Abbildung 30 gezeigte Pan-Shuttle-Mechanismus bewegt sich unter das fertige Teil, während sich der Schlitten in Richtung der oberen Position bewegt. Das Shuttle fängt dann das von den Auswerferstiften von der Rutsche abgestreifte Teil auf und lenkt es in eine Rutsche um. Wenn sich der Stößel nach unten in Richtung des nächsten Rohlings bewegt, bewegt sich der Pfannen-Shuttle vom Werkzeugbereich weg.
Abbildung 30. Shuttle-Auswurfsystem
Halbautomatischer Auswurf. Abbildung 31 zeigt einen halbautomatischen Auswurfmechanismus, der bei einer Kraftpresse verwendet wird. Wenn der Kolben aus dem Matrizenbereich zurückgezogen wird, stößt das mechanisch mit dem Kolben gekoppelte Auswerferbein das fertige Werkstück aus.
Abbildung 31. Halbautomatischer Auswurfmechanismus
Roboter. Roboter sind komplexe Vorrichtungen, die Lager be- und entladen, Teile zusammenbauen, Objekte transportieren oder Arbeiten ausführen, die ansonsten von einem Bediener ausgeführt werden, wodurch der Bediener keinen Gefahren ausgesetzt wird. Sie werden am besten in Hochproduktionsprozessen eingesetzt, die wiederholte Routinen erfordern, wo sie vor anderen Gefahren für Mitarbeiter schützen können. Roboter können Gefahren verursachen, und es müssen geeignete Schutzvorrichtungen verwendet werden. Abbildung 32 zeigt ein Beispiel eines Roboters, der eine Presse beschickt.
Abbildung 32. Verwendung von Schutzgittern zum Schutz der Roboterhülle
Diverse Sicherungshilfen
Obwohl verschiedene Schutzhilfen keinen vollständigen Schutz vor Maschinengefahren bieten, können sie den Bedienern einen zusätzlichen Sicherheitsspielraum bieten. Bei ihrer Anwendung und Verwendung ist ein gesundes Urteilsvermögen erforderlich.
Bewusstseinsbarrieren. Aufmerksamkeitsbarrieren bieten keinen physischen Schutz, sondern dienen nur dazu, Bediener daran zu erinnern, dass sie sich dem Gefahrenbereich nähern. Im Allgemeinen werden Bewusstseinsbarrieren nicht als angemessen angesehen, wenn eine kontinuierliche Exposition gegenüber der Gefahr besteht. Abbildung 33 zeigt ein Seil, das als Wahrnehmungsbarriere an der Rückseite einer elektrischen Tafelschere verwendet wird. Absperrungen hindern Personen nicht physisch am Betreten von Gefahrenbereichen, sondern sensibilisieren lediglich für die Gefahr.
Abbildung 33. Rückansicht des Power-Shear-Quadrats
Shields. Abschirmungen können zum Schutz vor umherfliegenden Partikeln, spritzenden Metallbearbeitungsflüssigkeiten oder Kühlmitteln verwendet werden. Abbildung 34 zeigt zwei mögliche Anwendungen.
Abbildung 34. Anwendungen von Abschirmungen
Werkzeuge halten. Haltewerkzeuge platzieren und Material entfernen. Eine typische Anwendung wäre das Greifen in den Gefahrenbereich einer Abkantpresse oder Abkantpresse. Abbildung 35 zeigt eine Auswahl an Werkzeugen für diesen Zweck. Haltewerkzeuge sollten nicht verwendet werden beantragen müssen von anderen Maschinenschutzvorrichtungen; sie sind lediglich eine Ergänzung zu dem Schutz, den andere Wachen bieten.
Abbildung 35. Haltewerkzeuge
Stöcke oder Blöcke schieben, wie in Abbildung 36 gezeigt, kann verwendet werden, wenn Material in eine Maschine eingeführt wird, wie z. B. ein Sägeblatt. Wenn es notwendig wird, dass sich die Hände in unmittelbarer Nähe der Klinge befinden, kann der Schiebestock oder -block einen Sicherheitsspielraum bieten und Verletzungen verhindern.
Abbildung 36. Verwendung von Schiebestock oder Schiebeblock
Allgemeine Entwicklungen in der Mikroelektronik und in der Sensortechnik lassen hoffen, dass durch die Verfügbarkeit von zuverlässigen, robusten, wartungsarmen und kostengünstigen Präsenz- und Näherungsmeldern eine Verbesserung der Arbeitssicherheit erreicht werden kann. Dieser Artikel beschreibt die Sensorik, die unterschiedlichen Detektionsverfahren, die Bedingungen und Einschränkungen für den Einsatz von Sensorsystemen sowie einige abgeschlossene Studien und Normungsarbeiten in Deutschland.
Präsenzmelder-Kriterien
Die Entwicklung und praktische Erprobung von Präsenzmeldern ist eine der größten zukünftigen Herausforderungen an die technischen Bemühungen zur Verbesserung der Arbeitssicherheit und des Personenschutzes im Allgemeinen. Präsenzmelder sind Sensoren, die das zuverlässig und sicher signalisieren nahe Anwesenheit oder Annäherung einer Person. Außerdem muss diese Warnung schnell erfolgen, damit ein Ausweichen, Bremsen oder Abschalten einer stehenden Maschine erfolgen kann, bevor es zu der prognostizierten Berührung kommt. Ob die Personen groß oder klein sind, welche Haltung sie haben oder wie sie gekleidet sind, sollte keinen Einfluss auf die Zuverlässigkeit des Sensors haben. Zudem muss der Sensor funktionssicher, robust und kostengünstig sein, damit er unter härtesten Bedingungen wie auf Baustellen und im mobilen Einsatz mit minimalem Wartungsaufwand eingesetzt werden kann. Sensoren müssen wie ein Airbag sein, wartungsfrei und immer einsatzbereit. Angesichts des Widerwillens einiger Benutzer, Geräte zu warten, die sie möglicherweise als nicht unbedingt erforderlich erachten, können Sensoren jahrelang ungenutzt bleiben. Eine weitere, viel häufiger nachgefragte Eigenschaft von Präsenzmeldern ist, dass sie auch andere Hindernisse als Menschen erkennen und den Bediener rechtzeitig auf Abwehrmaßnahmen hinweisen und so Reparaturkosten und Sachschäden reduzieren. Dies ist ein nicht zu unterschätzender Grund für die Installation von Präsenzmeldern.
Detektoranwendungen
Unzählige tödliche Unfälle und schwere Verletzungen, die wie unvermeidbare, individuelle Schicksalsschläge erscheinen, können vermieden oder minimiert werden, wenn Präsenzmelder als Präventionsmaßnahme im Bereich der Arbeitssicherheit mehr Akzeptanz finden. Die Zeitungen berichten nur allzu oft über diese Unfälle: Hier wurde eine Person von einem rückwärts fahrenden Lader erfasst, dort übersah der Bediener jemanden, der vom Vorderrad eines Baggers überrollt wurde. Rückwärts fahrende Lkw auf Straßen, Firmengeländen und Baustellen sind die Ursache für viele Unfälle mit Menschen. Die durchrationalisierten Unternehmen von heute stellen keine Beifahrer oder andere Personen mehr zur Verfügung, die dem rückwärtsfahrenden Fahrer als Wegweiser dienen. Diese Beispiele für Verkehrsunfälle lassen sich leicht auf andere mobile Geräte wie Gabelstapler übertragen. Der Einsatz von Sensoren ist jedoch dringend erforderlich, um Unfälle mit semimobilen und rein stationären Anlagen zu verhindern. Ein Beispiel sind die hinteren Bereiche großer Lademaschinen, die von Sicherheitskräften als potenzielle Gefahrenbereiche identifiziert wurden, die durch den Einsatz kostengünstiger Sensoren verbessert werden könnten. Viele Variationen von Präsenzmeldern können innovativ an andere Fahrzeuge und mobile Großgeräte angepasst werden, um vor den in diesem Artikel diskutierten Arten von Unfällen zu schützen, die in der Regel große Schäden und schwere, wenn nicht tödliche Verletzungen verursachen.
Die Tendenz zur Verbreitung innovativer Lösungen scheint zu versprechen, dass Präsenzmelder auch in anderen Anwendungen zur Standard-Sicherheitstechnik werden; Dies ist jedoch nirgendwo der Fall. Der Durchbruch, motiviert durch Unfälle und hohe Sachschäden, wird bei der Überwachung hinter Lieferwagen und schweren Lkw und für die innovativsten Bereiche der „neuen Technologien“ – die mobilen Robotermaschinen der Zukunft – erwartet.
Die Vielfalt der Einsatzgebiete von Präsenzmeldern und die Variabilität der Aufgaben – beispielsweise das Tolerieren von (unter Umständen auch bewegten) Objekten, die zu einem Erfassungsfeld gehören und kein Signal auslösen sollen – erfordern Sensoren, bei denen „ intelligente“ Bewertungstechnologie unterstützt die Mechanismen der Sensorfunktion. Diese zukunftsträchtige Technologie kann aus Methoden der künstlichen Intelligenz (Schreiber und Kuhn 1995) herausgearbeitet werden. Bis heute hat eine begrenzte Universalität die derzeitigen Verwendungen von Sensoren stark eingeschränkt. Es gibt Lichtvorhänge; Lichtleisten; Kontaktmatten; passive Infrarotsensoren; Ultraschall- und Radarbewegungsmelder, die den Doppler-Effekt nutzen; Sensoren, die die verstrichene Zeit von Ultraschall-, Radar- und Lichtimpulsen messen; und Laserscanner. Normale Fernsehkameras, die an Monitore angeschlossen sind, sind in dieser Liste nicht enthalten, da sie keine Präsenzmelder sind. Jedoch sind diejenigen Kameras enthalten, die automatisch aktiviert werden, wenn sie die Anwesenheit einer Person erfassen.
Sensor Technology
Die Hauptthemen der Sensorik sind heute (1) die optimale Nutzung der physikalischen Effekte (Infrarot, Licht, Ultraschall, Radar etc.) und (2) die Selbstüberwachung. Laserscanner werden intensiv für den Einsatz als Navigationsinstrumente für mobile Roboter entwickelt. Dazu müssen zwei teilweise prinzipiell unterschiedliche Aufgaben gelöst werden: die Navigation des Roboters und der Schutz von anwesenden Personen (und Material oder Ausrüstung), damit diese nicht angefahren, überfahren oder gepackt werden (Freund, Dierks und Rossman 1993 ). Zukünftige mobile Roboter können nicht dieselbe Sicherheitsphilosophie der „räumlichen Trennung von Roboter und Mensch“ beibehalten, die für heutige stationäre Industrieroboter strikt gilt. Dabei wird großer Wert auf die zuverlässige Funktion des einzusetzenden Präsenzmelders gelegt.
Der Einsatz „neuer Technik“ ist oft mit Akzeptanzproblemen verbunden, und es ist davon auszugehen, dass der allgemeine Einsatz mobiler Roboter, die sich bewegen und greifen können, bei Menschen in Anlagen, auf öffentlichen Verkehrsflächen oder auch in Wohn- oder Erholungsgebieten erfolgt , werden nur akzeptiert, wenn sie mit sehr hochentwickelten, ausgeklügelten und zuverlässigen Präsenzmeldern ausgestattet sind. Spektakuläre Unfälle müssen unbedingt vermieden werden, um ein mögliches Akzeptanzproblem nicht zu verschärfen. Der derzeitige Aufwand für die Entwicklung derartiger Arbeitsschutzsensoren trägt dieser Überlegung nicht annähernd Rechnung. Um viele Kosten zu sparen, sollten Präsenzmelder gleichzeitig mit den mobilen Robotern und den Navigationssystemen entwickelt und getestet werden, nicht nachträglich.
Bei Kraftfahrzeugen haben Sicherheitsfragen zunehmend an Bedeutung gewonnen. Zur innovativen Insassensicherheit im Automobil gehören Dreipunktgurte, Kindersitze, Airbags und das durch Serien-Crashtests verifizierte Antiblockiersystem. Diese Sicherheitsmaßnahmen machen einen relativ steigenden Anteil der Produktionskosten aus. Der Seitenairbag und die Radarsensorik zur Abstandsmessung zum vorausfahrenden Fahrzeug sind evolutionäre Weiterentwicklungen des Insassenschutzes.
Die äußere Kraftfahrzeugsicherheit, also der Schutz Dritter, findet zunehmend Beachtung. Neuerdings wird vor allem für Lastkraftwagen ein Seitenschutz gefordert, um Motorradfahrer, Fahrradfahrer und Fußgänger vor der Gefahr zu bewahren, unter die Hinterräder zu fallen. Ein nächster logischer Schritt wäre die Überwachung des Bereichs hinter großen Fahrzeugen mit Präsenzmeldern und die Installation von Rückraumwarneinrichtungen. Dies hätte den positiven Nebeneffekt, die notwendigen Mittel bereitzustellen, um höchst leistungsfähige, selbstüberwachende, wartungsfreie und zuverlässig funktionierende, kostengünstige Sensoren für den Arbeitsschutz zu entwickeln, zu testen und verfügbar zu machen. Der mit dem breiten Einsatz von Sensoren bzw. Sensorsystemen einhergehende Erprobungsprozess würde Innovationen in anderen Bereichen erheblich erleichtern, etwa bei Baggern, Schwerlastern und anderen großen mobilen Arbeitsmaschinen, die während ihres Betriebs bis zur Hälfte zurückstehen. Der Evolutionsprozess von stationären Robotern zu mobilen Robotern ist ein weiterer Entwicklungspfad für Präsenzmelder. So könnten beispielsweise die derzeit eingesetzten Sensoren an mobilen Roboter-Materialbewegern oder „fahrerlosen Werkstraktoren“ verbessert werden, die festen Bahnen folgen und daher relativ geringe Sicherheitsanforderungen haben. Der Einsatz von Präsenzmeldern ist der nächste logische Schritt zur Verbesserung der Sicherheit im Bereich Material- und Personentransport.
Erkennungsverfahren
Zur Beurteilung und Lösung der oben genannten Aufgaben können verschiedene physikalische Prinzipien, die in Verbindung mit elektronischen Mess- und Selbstüberwachungsverfahren und teilweise Hochleistungsrechenverfahren zur Verfügung stehen, genutzt werden. Die in Science-Fiction-Filmen übliche scheinbar mühelose und sichere Bedienung automatisierter Maschinen (Roboter) wird in der realen Welt möglicherweise durch den Einsatz von bildgebenden Verfahren und leistungsstarken Mustererkennungsalgorithmen in Kombination mit analogen Entfernungsmessverfahren erreicht von Laserscannern eingesetzt. Die paradoxe Situation, dass alles, was für Menschen einfach erscheint, für Automaten schwierig ist, muss erkannt werden. Zum Beispiel kann eine schwierige Aufgabe wie ausgezeichnetes Schachspiel (das eine Aktivität des Vorderhirns erfordert) leichter von automatisierten Maschinen simuliert und ausgeführt werden als eine einfache Aufgabe wie aufrechtes Gehen oder Ausführen von Hand-Augen- und anderen Bewegungskoordinationen (vermittelt durch Mittel- und Hinterhirn). Einige dieser Prinzipien, Methoden und Verfahren, die auf Sensoranwendungen anwendbar sind, werden unten beschrieben. Daneben gibt es eine Vielzahl von Spezialverfahren für ganz spezielle Aufgabenstellungen, die zum Teil mit einer Kombination verschiedener physikalischer Einwirkungen arbeiten.
Lichtschrankenvorhänge und -stangen. Zu den ersten Präsenzmeldern gehörten Lichtschrankenvorhänge und Lichtschranken. Sie haben eine flache Überwachungsgeometrie; Das heißt, jemand, der die Barriere passiert hat, wird nicht mehr erkannt. Mit diesen Geräten kann beispielsweise die Hand eines Bedieners oder das Vorhandensein von Werkzeugen oder Teilen, die in der Hand eines Bedieners gehalten werden, schnell und zuverlässig erkannt werden. Sie leisten einen wichtigen Beitrag zur Arbeitssicherheit für Maschinen (wie Pressen und Stanzmaschinen), die eine manuelle Materialzuführung erfordern. Die Zuverlässigkeit muss statistisch extrem hoch sein, denn wenn die Hand nur zwei- bis dreimal pro Minute eingreift, werden in wenigen Jahren etwa eine Million Betätigungen ausgeführt. Die gegenseitige Selbstüberwachung von Sender- und Empfängerkomponenten ist technisch so weit entwickelt, dass sie einen Standard für alle anderen Anwesenheitserkennungsverfahren darstellt.
Kontaktmatten (Schaltmatten). Es gibt sowohl passive als auch aktive (Pumpen-) Typen von elektrischen und pneumatischen Kontaktmatten und -böden, die zunächst in großer Zahl in Servicefunktionen (Türöffner) eingesetzt wurden, bis sie durch Bewegungsmelder ersetzt wurden. Die Weiterentwicklung erfolgt durch den Einsatz von Präsenzmeldern in allen möglichen Gefahrenbereichen. Beispielsweise führte die Entwicklung der automatisierten Fertigung mit einem Funktionswandel des Werkers – von der Bedienung der Maschine zur strengen Überwachung ihrer Funktion – zu einer entsprechenden Nachfrage nach entsprechenden Detektoren. Die Standardisierung dieser Anwendung ist weit fortgeschritten (DIN 1995a), und spezielle Einschränkungen (Layout, Größe, maximal zulässige „tote“ Zonen) erforderten den Aufbau von Know-how für die Installation in diesem Anwendungsbereich.
Interessante Einsatzmöglichkeiten von Kontaktmatten ergeben sich in Verbindung mit computergesteuerten Mehrrobotersystemen. Ein Bediener schaltet ein oder zwei Elemente um, damit der Präsenzmelder seine genaue Position erfasst und den Computer informiert, der Robotersteuerungssysteme mit einem eingebauten Kollisionsvermeidungssystem verwaltet. In einem von der Bundesanstalt für Sicherheit (BAU) vorangetriebenen Versuch wurde zu diesem Zweck ein Kontaktmattenboden, bestehend aus kleinen Elektroschaltmatten, unter dem Arbeitsbereich des Roboterarms eingebaut (Freund, Dierks und Rossman 1993). Dieser Präsenzmelder hatte die Form eines Schachbretts. Das jeweils aktivierte Mattenfeld teilte dem Computer die Position des Bedieners mit (Bild 1) und wenn sich der Bediener dem Roboter zu nahe näherte, entfernte er sich. Ohne den Präsenzmelder wäre das Robotersystem nicht in der Lage, die Position des Bedieners zu ermitteln und der Bediener könnte dann nicht geschützt werden.
Abbildung 1. Eine Person (rechts) und zwei Roboter in berechneten Hüllenkörpern
Reflektoren (Bewegungsmelder und Präsenzmelder). So verdienstvoll die bisher diskutierten Sensoren auch sein mögen, sie sind keine Präsenzmelder im weiteren Sinne. Ihre Eignung – vor allem aus Gründen des Arbeitsschutzes – für große Fahrzeuge und mobile Großgeräte setzt zwei wichtige Eigenschaften voraus: (1) die Möglichkeit, einen Bereich von einer Position aus zu überwachen, und (2) die fehlerfreie Funktion ohne zusätzliche Maßnahmen der Teil – zum Beispiel die Verwendung von Reflektorgeräten. Das Erfassen der Anwesenheit einer Person, die den überwachten Bereich betritt und angehalten bleibt, bis diese Person gegangen ist, impliziert auch die Notwendigkeit, eine absolut stillstehende Person zu erfassen. Dies unterscheidet sogenannte Bewegungsmelder von Präsenzmeldern, zumindest in Verbindung mit mobilen Geräten; Bewegungssensoren werden fast immer ausgelöst, wenn das Fahrzeug in Bewegung gesetzt wird.
Bewegungssensoren. Die zwei Grundtypen von Bewegungsmeldern sind: (1) „Passiv-Infrarot-Sensoren“ (PIRS), die auf die kleinste Änderung des Infrarotstrahls im überwachten Bereich reagieren (der kleinste erkennbare Strahl ist ungefähr 10-9 W mit einem Wellenlängenbereich von etwa 7 bis 20 μm); und (2) Ultraschall- und Mikrowellensensoren, die das Doppler-Prinzip verwenden, das die Eigenschaften der Bewegung eines Objekts gemäß den Frequenzänderungen bestimmt. Beispielsweise erhöht der Doppler-Effekt die Frequenz des Horns einer Lokomotive für einen Beobachter, wenn er sich nähert, und verringert die Frequenz, wenn sich die Lokomotive entfernt. Der Dopplereffekt ermöglicht den Bau relativ einfacher Annäherungssensoren, da der Empfänger lediglich die Signalfrequenz benachbarter Frequenzbänder auf das Auftreten der Dopplerfrequenz überwachen muss.
Mitte der 1970er-Jahre setzte sich der Einsatz von Bewegungsmeldern in Servicefunktionsanwendungen wie Türöffner, Diebstahlsicherung und Objektschutz durch. Für den stationären Einsatz war die Erkennung einer sich nähernden Person in Richtung einer Gefahrenstelle ausreichend, um rechtzeitig zu warnen oder eine Maschine abzuschalten. Auf dieser Grundlage wurde die Eignung von Bewegungsmeldern für den Einsatz im Arbeitsschutz, insbesondere mittels PIRS, untersucht (Mester et al. 1980). Da eine bekleidete Person im Allgemeinen eine höhere Temperatur hat als die Umgebung (Kopf 34°C, Hände 31°C), ist das Erkennen einer sich nähernden Person etwas einfacher als das Erkennen von unbelebten Objekten. In begrenztem Umfang können sich Maschinenteile im überwachten Bereich bewegen, ohne dass der Melder auslöst.
Die passive Methode (ohne Sender) hat Vor- und Nachteile. Der Vorteil ist, dass ein PIRS nicht zu Lärm- und Elektrosmogproblemen beiträgt. Für die Diebstahlsicherung und den Objektschutz ist es besonders wichtig, dass der Melder nicht leicht zu finden ist. Ein Sensor, der nur ein Empfänger ist, kann jedoch kaum seine eigene Wirksamkeit überwachen, was für die Arbeitssicherheit unerlässlich ist. Eine Methode zur Überwindung dieses Nachteils bestand darin, kleine modulierte (5 bis 20 Hz) Infrarotstrahler zu testen, die im Überwachungsbereich installiert waren und den Sensor nicht auslösten, deren Strahlen jedoch mit einer fest auf die Modulationsfrequenz eingestellten elektronischen Verstärkung registriert wurden. Diese Modifikation machte ihn von einem „passiven“ Sensor zu einem „aktiven“ Sensor. Auf diese Weise konnte auch die geometrische Genauigkeit des überwachten Bereichs überprüft werden. Spiegel können tote Winkel haben, und die Richtung eines passiven Sensors kann durch die raue Aktivität in einer Anlage abgelenkt werden. Bild 2 zeigt ein Versuchslayout mit einem PIRS mit überwachter Geometrie in Form eines Pyramidenmantels. Wegen ihrer großen Reichweite werden Passiv-Infrarot-Sensoren zum Beispiel in den Durchgängen von Regallagern installiert.
Bild 2. Passiv-Infrarot-Sensor als Annäherungsmelder im Gefahrenbereich
Insgesamt zeigten Tests, dass Bewegungsmelder für den Arbeitsschutz nicht geeignet sind. Ein nächtlicher Museumsboden ist nicht mit Gefahrenzonen am Arbeitsplatz zu vergleichen.
Ultraschall-, Radar- und Lichtimpulsdetektoren. Sensoren, die nach dem Impuls/Echo-Prinzip arbeiten, also Laufzeitmessungen von Ultraschall-, Radar- oder Lichtimpulsen, haben ein großes Potenzial als Präsenzmelder. Mit Laserscannern können Lichtimpulse schnell hintereinander (meist rotatorisch) beispielsweise horizontal überstreichen und mit Hilfe eines Computers ein Abstandsprofil der lichtreflektierenden Objekte auf einer Ebene erhalten. Will man beispielsweise nicht nur eine einzelne Linie, sondern das gesamte, was vor dem mobilen Roboter im Bereich bis zu einer Höhe von 2 Metern liegt, müssen große Datenmengen verarbeitet werden, um die Umgebung abzubilden. Ein zukünftiger „idealer“ Präsenzmelder wird aus einer Kombination der folgenden beiden Verfahren bestehen:
Abbildung 3 zeigt aus dem bereits zitierten BAU-Projekt (Freund, Dierks und Rossman 1993) den Einsatz eines Laserscanners auf einem mobilen Roboter, der auch Navigationsaufgaben (über einen Richtungserkennungsstrahl) und den Kollisionsschutz für Objekte in unmittelbarer Nähe übernimmt Umgebung (über einen Bodenmessstrahl zur Anwesenheitserkennung). Angesichts dieser Eigenschaften hat der mobile Roboter die Fähigkeit aktives automatisiertes freies Fahren (dh die Fähigkeit, um Hindernisse herumzufahren). Technisch wird dies dadurch erreicht, dass neben dem 45°-Winkel nach vorne auch der 180°-Winkel der Scannerrotation nach hinten auf beiden Seiten (nach Backbord und Steuerbord des Roboters) genutzt wird. Diese Strahlen sind mit einem speziellen Spiegel verbunden, der als Lichtvorhang auf dem Boden vor dem mobilen Roboter wirkt (und eine Bodensichtlinie bereitstellt). Kommt von dort eine Laserreflexion, stoppt der Roboter. Während für den Arbeitsschutz zertifizierte Laser- und Lichtscanner auf dem Markt sind, haben diese Präsenzmelder ein großes Entwicklungspotential.
Abbildung 3. Mobiler Roboter mit Laserscanner zur Navigation und Anwesenheitserkennung
Ultraschall- und Radarsensoren, die die verstrichene Zeit vom Signal bis zur Antwort zur Entfernungsbestimmung nutzen, sind technisch weniger anspruchsvoll und damit kostengünstiger herstellbar. Der Sensorbereich ist keulenförmig und hat eine oder mehrere kleinere Seitenkeulen, die symmetrisch angeordnet sind. Die Ausbreitungsgeschwindigkeit des Signals (Schall: 330 m/s; elektromagnetische Welle: 300,000 km/s) bestimmt die erforderliche Geschwindigkeit der eingesetzten Elektronik.
Warneinrichtungen für den rückwärtigen Bereich. Auf der Hannover Messe 1985 zeigte die BAU die Ergebnisse eines ersten Projektes zum Einsatz von Ultraschallsensoren zur Bereichssicherung hinter Großfahrzeugen (Langer und Kurfürst 1985). An der Rückwand eines Versorgungslastwagens wurde ein Modell eines Sensorkopfs aus Polaroid™-Sensoren in Originalgröße aufgebaut. Abbildung 4 zeigt seine Funktionsweise schematisch. Der große Durchmesser dieses Sensors erzeugt relativ kleinwinklige (ca. 18°), weitreichende keulenförmige Messfelder, die nebeneinander angeordnet und auf unterschiedliche maximale Signalbereiche eingestellt sind. In der Praxis lässt sich damit jede gewünschte Überwachungsgeometrie einstellen, die von den Sensoren etwa viermal pro Sekunde auf Anwesenheit oder Zutritt von Personen abgetastet wird. Andere demonstrierte Rückraum-Warnsysteme hatten mehrere parallel angeordnete einzelne Sensoren.
Abbildung 4. Anordnung des Messkopfes und überwachter Bereich auf der Rückseite eines Lastwagens
Diese anschauliche Demonstration war ein großer Erfolg auf der Messe. Dabei zeigte sich, dass die Sicherung des Heckbereichs von Großfahrzeugen und -geräten vielerorts – beispielsweise von Fachausschüssen der gewerblichen Berufsgenossenschaften – untersucht wird (Berufsgenossenschaften), die kommunalen Unfallversicherer (die für Kommunalfahrzeuge zuständig sind), die staatlichen Gewerbeaufsichtsbeamten und die Hersteller von Sensoren, die das Automobil eher als Servicefahrzeug (im Sinne einer Fokussierung auf Parksysteme zum Schutz vor Karosserieschaden). Ein aus den Kreisen berufener Ad-hoc-Ausschuss zur Förderung von Rückraumwarneinrichtungen wurde spontan gebildet und nahm als erste Aufgabe die Erstellung eines Anforderungskatalogs aus Sicht der Arbeitssicherheit auf. Zehn Jahre sind vergangen, in denen viel an der Rückraumüberwachung – der vielleicht wichtigsten Aufgabe von Präsenzmeldern – gearbeitet wurde; aber der große durchbruch fehlt noch.
Viele Projekte wurden mit Ultraschallsensoren durchgeführt, beispielsweise an Rundholzsortierkränen, Hydraulikbaggern, speziellen Kommunalfahrzeugen und anderen Nutzfahrzeugen sowie an Gabelstaplern und Ladern (Schreiber 1990). Rückraumwarneinrichtungen sind besonders wichtig für große Maschinen, die viel zurücksetzen. Ultraschall-Präsenzmelder werden zum Beispiel zum Schutz spezialisierter fahrerloser Fahrzeuge wie Roboter-Fördermaschinen eingesetzt. Im Vergleich zu Gummipuffern haben diese Sensoren einen größeren Erfassungsbereich, der ein Bremsen vor dem Kontakt zwischen der Maschine und einem Objekt ermöglicht. Entsprechende Sensoren für Automobile sind entsprechende Entwicklungen und stellen deutlich weniger strenge Anforderungen.
Inzwischen hat der Normenausschuss Verkehrswesentechnik im DIN die Norm 75031 „Hinderniserkennung beim Rückwärtsfahren“ (DIN 1995b) erarbeitet. Die Anforderungen und Tests wurden für zwei Reichweiten festgelegt: 1.8 m für Versorgungs-Lkw und 3.0 m – ein zusätzlicher Warnbereich – für größere Lkw. Der überwachte Bereich wird durch die Erkennung von zylindrischen Prüfkörpern festgelegt. Auch die 3-m-Reichweite liegt an der Grenze des derzeit technisch Machbaren, da Ultraschallsensoren aufgrund ihrer rauen Arbeitsbedingungen geschlossene Metallmembranen haben müssen. Die Anforderungen an die Selbstüberwachung des Sensorsystems werden gestellt, da die geforderte überwachte Geometrie erst mit einem System aus drei oder mehr Sensoren erreicht werden kann. Bild 5 zeigt eine Rückraumwarneinrichtung bestehend aus drei Ultraschallsensoren (Microsonic GmbH 1996). Gleiches gilt für die Meldeeinrichtung im Führerhaus und die Art des Warnsignals. Die Inhalte der DIN-Norm 75031 sind auch im internationalen technischen ISO-Bericht TR 12155 „Nutzfahrzeuge – Hinderniserkennung beim Rückwärtsfahren“ (ISO 1994) dargelegt. Verschiedene Sensorhersteller haben Prototypen nach dieser Norm entwickelt.
Abbildung 5. Mittelgroßer Lkw, ausgestattet mit einem Warngerät für den hinteren Bereich (Mikrosonic-Foto).
Fazit
Seit Anfang der 1970er Jahre haben mehrere Institutionen und Sensorhersteller an der Entwicklung und Etablierung von „Präsenzmeldern“ gearbeitet. In der Spezialanwendung „Rückraumwarneinrichtungen“ gibt es die DIN-Norm 75031 und den ISO-Report TR 12155. Derzeit führt die Deutsche Post AG einen Großversuch durch. Mehrere Sensorhersteller haben jeweils fünf mittelgroße Lkw mit solchen Geräten ausgestattet. Ein positives Ergebnis dieser Prüfung ist sehr im Sinne des Arbeitsschutzes. Wie eingangs betont wurde, sind Präsenzmelder in den geforderten Stückzahlen eine große Herausforderung für die Sicherheitstechnik in den vielen genannten Anwendungsbereichen. Sie müssen daher kostengünstig realisierbar sein, wenn Schäden an Geräten, Maschinen und Materialien und vor allem oft schwerste Personenschäden der Vergangenheit angehören sollen.
Befehlsgeräte und Geräte zum Trennen und Schalten sind immer im Zusammenhang zu diskutieren technische Systeme, ein Begriff, der in diesem Artikel verwendet wird, um Maschinen, Anlagen und Geräte einzuschließen. Jedes technische System erfüllt eine spezifische und zugewiesene praktische Aufgabe. Damit diese praktische Aufgabe bewältigbar oder überhaupt unter sicheren Bedingungen möglich ist, sind entsprechende Sicherheits-Steuerungs- und Schaltgeräte erforderlich. Solche Vorrichtungen werden verwendet, um den Strom und/oder die Impulse von elektrischen, hydraulischen, pneumatischen und auch potentiellen Energien zu steuern, zu unterbrechen oder zu verzögern.
Isolation und Energiereduktion
Trenneinrichtungen dienen der Energietrennung durch Trennung der Versorgungsleitung zwischen der Energiequelle und der technischen Anlage. Die Trenneinrichtung muss normalerweise eine eindeutig bestimmbare tatsächliche Unterbrechung der Energieversorgung bewirken. Eine Abschaltung der Energieversorgung sollte auch immer mit dem Abbau gespeicherter Energie in allen Teilen des technischen Systems einhergehen. Wird die technische Anlage von mehreren Energiequellen gespeist, müssen alle diese Versorgungsleitungen zuverlässig trennbar sein. Personen, die im Umgang mit der jeweiligen Energieart geschult sind und auf der Energieseite der technischen Anlage tätig sind, schirmen sich mit Trenneinrichtungen von den Gefahren der Energie ab. Aus Sicherheitsgründen prüfen diese Personen immer, ob keine potentiell gefährliche Energie in der technischen Anlage verbleibt, z. B. durch Feststellung der Spannungsfreiheit bei elektrischer Energie. Der gefahrlose Umgang mit bestimmten Isoliermitteln ist nur für geschultes Fachpersonal möglich; in solchen Fällen muss die Trenneinrichtung für Unbefugte unzugänglich gemacht werden. (Siehe Abbildung 1.)
Abbildung 1. Prinzipien elektrischer und pneumatischer Trennvorrichtungen
Der Hauptschalter
Eine Hauptschalteinrichtung trennt die technische Anlage von der Energieversorgung. Anders als die Trenneinrichtung kann sie auch von „Nicht-Energiefachkräften“ gefahrlos bedient werden. Die Hauptschalteinrichtung dient dazu, gerade nicht genutzte technische Anlagen freizuschalten, wenn z. B. deren Betrieb durch unbefugte Dritte behindert wird. Es wird auch verwendet, um eine Abschaltung für Wartungszwecke, Störungsbeseitigung, Reinigung, Neueinstellung und Umrüstung vorzunehmen, sofern diese Arbeiten ohne Energie in der Anlage durchgeführt werden können. Wenn eine Hauptschalteinrichtung auch die Eigenschaften einer Trenneinrichtung besitzt, kann sie natürlich auch deren Funktion übernehmen und/oder teilen. (Siehe Abbildung 2.)
Abbildung 2. Beispielhafte Darstellung von elektrischen und pneumatischen Hauptschaltgeräten
Sicherheits-Trennvorrichtung
Eine Sicherheits-Trenneinrichtung trennt nicht die gesamte technische Anlage von der Energiequelle; vielmehr entzieht es den Teilen des Systems, die für ein bestimmtes betriebsbereites Subsystem kritisch sind, Energie. Bei betrieblichen Teilsystemen können Eingriffe von kurzer Dauer vorgesehen werden, z. B. zum Einrichten oder Umrüsten des Systems, zur Behebung von Störungen, zur regelmäßigen Reinigung sowie zu wesentlichen und vorgesehenen Bewegungs- und Funktionsabläufen, die während des Studiums erforderlich sind B. beim Einrichten, Um-/Umrüsten oder Testläufen. Komplexe Produktionsanlagen und Anlagen können in diesen Fällen nicht einfach mit einem Hauptschaltgerät abgeschaltet werden, da die gesamte technische Anlage nach der Behebung einer Störung nicht dort wieder anlaufen könnte, wo sie aufgehört hat. Außerdem befindet sich die Hauptschalteinrichtung bei den umfangreicheren technischen Anlagen selten an der Stelle, an der eingegriffen werden muss. Somit muss die Sicherheits-Trenneinrichtung eine Reihe von Anforderungen erfüllen, wie z. B. die folgenden:
Sofern die in einer technischen Anlage eingesetzte Hauptschalteinrichtung alle Anforderungen an eine Sicherheits-Trenneinrichtung erfüllen kann, kann sie auch diese Funktion übernehmen. Aber das wird natürlich nur in sehr einfachen technischen Systemen ein zuverlässiger Ausweg sein. (Siehe Abbildung 3.)
Bild 3. Darstellung elementarer Prinzipien einer Sicherheits-Trenneinrichtung
Vorschaltgeräte für betriebliche Subsysteme
Vorschaltgeräte ermöglichen es, Bewegungen und Funktionsabläufe, die für funktionsfähige Teilsysteme des technischen Systems erforderlich sind, sicher auszuführen und zu steuern. Vorschaltgeräte für betriebsbereite Teilsysteme können für die Einrichtung (wenn Testläufe durchgeführt werden sollen) erforderlich sein; zur Regulierung (wenn Störungen im Betrieb der Anlage behoben oder Blockaden beseitigt werden müssen); oder Schulungszwecke (Demonstration von Operationen). In solchen Fällen kann der normale Betrieb des Systems nicht einfach wieder aufgenommen werden, da die eingreifende Person durch Bewegungen und Prozesse gefährdet würde, die durch fehlerhaft eingegebene oder fehlerhaft erzeugte Steuersignale ausgelöst werden. Ein Betriebsgerät für betriebsbereite Teilsysteme muss folgende Anforderungen erfüllen:
Abbildung 4. Betätigungseinrichtungen in den Vorschaltgeräten für bewegliche und stationäre Betriebssubsysteme
Der Notschalter
Notschalter sind dort erforderlich, wo durch den normalen Betrieb technischer Anlagen Gefahren entstehen können, die weder durch geeignete Anlagengestaltung noch durch entsprechende Sicherheitsvorkehrungen verhindert werden können. In betriebsbereiten Teilsystemen ist der Notschalter häufig Teil des Betriebsgeräts des betriebsfähigen Teilsystems. Der Notschalter setzt bei Betätigung im Gefahrenfall Vorgänge um, die das technische System schnellstmöglich in einen sicheren Betriebszustand zurückführen. Bei den Sicherheitsprioritäten steht der Personenschutz im Vordergrund; Die Vermeidung von Sachschäden ist zweitrangig, es sei denn, dass diese auch Personen gefährden könnten. Der Notschalter muss folgende Anforderungen erfüllen:
Abbildung 5. Veranschaulichung der Prinzipien von Bedienfeldern in Notschaltern
Funktionsschalter-Steuergerät
Funktionsschalter-Steuergeräte dienen dazu, die technische Anlage für den Normalbetrieb einzuschalten und die für den Normalbetrieb vorgesehenen Bewegungen und Vorgänge einzuleiten, auszuführen und zu unterbrechen. Das Funktionsschalter-Steuergerät wird ausschließlich im Rahmen des normalen Betriebs des technischen Systems, also während der ungestörten Ausführung aller zugeordneten Funktionen, verwendet. Sie wird von den Personen, die das technische System betreiben, entsprechend genutzt. Die Funktionsschalter-Steuergeräte müssen folgende Anforderungen erfüllen:
Abbildung 6. Schematische Darstellung eines Operations Control Panels
Überwachungsschalter
Überwachungsschalter verhindern das Anlaufen des technischen Systems, solange die überwachten Sicherheitsbedingungen nicht erfüllt sind, und sie unterbrechen den Betrieb, sobald eine Sicherheitsbedingung nicht mehr erfüllt ist. Sie werden beispielsweise eingesetzt, um Türen in Schutzräumen zu überwachen, die korrekte Position von Schutzeinrichtungen zu kontrollieren oder sicherzustellen, dass Geschwindigkeits- oder Wegbegrenzungen nicht überschritten werden. Entsprechend müssen Überwachungsschalter folgende Sicherheits- und Zuverlässigkeitsanforderungen erfüllen:
Abbildung 7. Diagramm eines Schalters mit positiver mechanischer Betätigung und positiver Trennung
Sicherheitssteuerkreise
Einige der oben beschriebenen Sicherheitsschaltgeräte führen die Sicherheitsfunktion nicht direkt aus, sondern durch Abgabe eines Signals, das dann von einem Sicherheitssteuerkreis übertragen und verarbeitet wird und schließlich die Teile der technischen Anlage erreicht, die die eigentliche Sicherheitsfunktion ausüben. Beispielsweise bewirkt die Sicherheits-Trenneinrichtung häufig indirekt die Trennung der Energie an neuralgischen Punkten, während ein Hauptschalter meist direkt die Stromzufuhr zum technischen System unterbricht.
Da Sicherheitssteuerkreise Sicherheitssignale zuverlässig übertragen müssen, sind daher folgende Grundsätze zu beachten:
Die in Sicherheitsschaltkreisen verwendeten Komponenten müssen die Sicherheitsfunktion besonders zuverlässig ausführen. Die Funktionen von Komponenten, die diese Anforderung nicht erfüllen, sind durch eine möglichst diversifizierte Redundanz zu realisieren und zu überwachen.
Mikroprozessoren spielen in den letzten Jahren eine immer größere Rolle im Bereich der Sicherheitstechnik. Da mittlerweile ganze Rechner (dh Zentraleinheit, Speicher und Peripheriekomponenten) als "Single-Chip-Rechner" in einem einzigen Bauteil verfügbar sind, findet die Mikroprozessortechnik nicht nur in komplexen Maschinensteuerungen, sondern auch in relativ einfach aufgebauten Absicherungen Anwendung (z. B. Lichtgitter, Zweihandsteuerungen und Schaltleisten). Die Software, die diese Systeme steuert, umfasst zwischen tausend und mehreren zehntausend Einzelbefehlen und besteht in der Regel aus mehreren hundert Programmzweigen. Die Programme arbeiten in Echtzeit und sind meist in der Assemblersprache der Programmierer geschrieben.
Die Einführung computergesteuerter Systeme im Bereich der Sicherheitstechnik ist bei allen technischen Großgeräten nicht nur mit aufwendigen Forschungs- und Entwicklungsprojekten, sondern auch mit erheblichen Einschränkungen zur Erhöhung der Sicherheit einhergegangen. (Als Beispiele für großtechnische Anwendungen seien hier die Luft- und Raumfahrttechnik, die Militärtechnik und die Atomkrafttechnik genannt.) Das Sammelgebiet der industriellen Massenproduktion ist bisher nur sehr begrenzt behandelt worden. Dies liegt unter anderem daran, dass die für den industriellen Maschinenbau charakteristischen schnellen Innovationszyklen eine nur sehr eingeschränkte Übertragbarkeit von Erkenntnissen aus Forschungsprojekten zur Enderprobung im Großmaßstab erschweren Sicherheitsgeräte. Dies macht die Entwicklung schneller und kostengünstiger Bewertungsverfahren zu einem Desiderat (Reinert und Reuss 1991).
Dieser Artikel untersucht zunächst Maschinen und Anlagen, in denen Computersysteme heute Sicherheitsaufgaben übernehmen, und zeigt anhand von Beispielen von Unfällen, die sich überwiegend im Bereich der Maschinenabsicherung ereignen, die besondere Rolle von Computern in der Sicherheitstechnik auf. Diese Unfälle geben Aufschluss darüber, welche Vorkehrungen zu treffen sind, damit die heute immer häufiger eingesetzten computergesteuerten Sicherheitseinrichtungen nicht zu einem Anstieg der Unfallzahlen führen. Der letzte Abschnitt des Artikels skizziert ein Verfahren, mit dem auch kleine Computersysteme mit vertretbarem Aufwand und in vertretbarer Zeit auf ein angemessenes Maß an technischer Sicherheit gebracht werden können. Die in diesem letzten Teil aufgezeigten Prinzipien werden derzeit in internationale Standardisierungsverfahren eingeführt und werden Auswirkungen auf alle Bereiche der Sicherheitstechnik haben, in denen Computer Anwendung finden.
Beispiele für den Einsatz von Software und Computern im Bereich der Maschinenabsicherung
Die folgenden vier Beispiele verdeutlichen, dass Software und Computer derzeit immer mehr Einzug in sicherheitsrelevante Anwendungen im gewerblichen Bereich halten.
Personen-Notsignalanlagen bestehen in der Regel aus einer zentralen Empfangsstelle und mehreren Personen-Notsignaleinrichtungen. Die Geräte werden von den vor Ort tätigen Personen selbst getragen. Befindet sich eine dieser allein arbeitenden Personen in einer Notsituation, kann sie über das Gerät per Funksignal in der zentralen Empfangsstelle einen Alarm auslösen. Eine solche willensabhängige Alarmauslösung kann auch durch einen willensunabhängigen Auslösemechanismus ergänzt werden, der durch in die Personennotrufgeräte eingebaute Sensoren aktiviert wird. Sowohl die einzelnen Geräte als auch die zentrale Empfangsstation werden häufig von Mikrocomputern gesteuert. Es ist denkbar, dass der Ausfall bestimmter Einzelfunktionen des eingebauten Computers in einer Notfallsituation dazu führen kann, dass der Alarm nicht ausgelöst wird. Es müssen daher Vorkehrungen getroffen werden, um einen solchen Funktionsverlust rechtzeitig zu erkennen und zu beheben.
Druckmaschinen, die heute zum Drucken von Zeitschriften verwendet werden, sind große Maschinen. Die Papierbahnen werden normalerweise von einer separaten Maschine so vorbereitet, dass ein nahtloser Übergang zu einer neuen Papierrolle möglich ist. Die bedruckten Seiten werden von einer Falzmaschine gefalzt und anschließend durch eine Kette weiterer Maschinen bearbeitet. Das Ergebnis sind Paletten, die mit vollständig vernähten Magazinen beladen sind. Obwohl solche Anlagen automatisiert sind, müssen an zwei Stellen manuelle Eingriffe vorgenommen werden: (1) beim Einfädeln der Papierwege und (2) beim Beseitigen von Hindernissen durch Papierrisse an Gefahrenstellen an den rotierenden Walzen. Aus diesem Grund muss während der Verstellung der Pressen eine reduzierte Arbeitsgeschwindigkeit oder ein weg- oder zeitbegrenzter Tippbetrieb steuerungstechnisch gewährleistet sein. Aufgrund der komplexen Steuerungsvorgänge muss jede einzelne Druckstation mit einer eigenen speicherprogrammierbaren Steuerung ausgestattet werden. Ein auftretender Fehler in der Steuerung einer Druckerei bei geöffneten Schutzgittern muss verhindert werden, dass es entweder zu einem unerwarteten Anlauf einer stillstehenden Maschine oder zu einem Betrieb über angemessen reduzierten Drehzahlen kommt.
In großen Fabriken und Lagern bewegen sich fahrerlose, fahrerlose Roboterfahrzeuge auf speziell gekennzeichneten Gleisen. Diese Gleise können jederzeit von Personen begangen oder Materialien und Geräte versehentlich auf den Gleisen zurückgelassen werden, da sie baulich nicht von anderen Verkehrswegen getrennt sind. Aus diesem Grund muss eine Art Kollisionsverhütungsausrüstung verwendet werden, um sicherzustellen, dass das Fahrzeug zum Stillstand gebracht wird, bevor es zu einer gefährlichen Kollision mit einer Person oder einem Objekt kommt. In neueren Anwendungen erfolgt die Kollisionsvermeidung mittels Ultraschall- oder Laserlichttaster in Kombination mit einem Sicherheitsbumper. Da diese Systeme computergesteuert arbeiten, ist es möglich, mehrere permanente Erfassungszonen zu konfigurieren, sodass ein Fahrzeug seine Reaktion abhängig von der spezifischen Erfassungszone, in der sich eine Person befindet, modifizieren kann. Fehler in der Schutzeinrichtung dürfen nicht zu einer gefährlichen Kollision mit einer Person führen.
Guillotinen mit Papierschneidesteuerung werden verwendet, um dicke Papierstapel zu pressen und dann zu schneiden. Sie werden durch eine Zweihandbedienung ausgelöst. Der Benutzer muss nach jedem Schnitt in den Gefahrenbereich der Maschine greifen. Eine immaterielle Schutzeinrichtung, meist ein Lichtgitter, dient in Verbindung mit der Zweihandbedienung und einer sicheren Maschinensteuerung dazu, Verletzungen beim Zuführen von Papier während des Schneidvorgangs zu vermeiden. Nahezu alle heute verwendeten größeren, moderneren Guillotinen werden von Mehrkanal-Mikrocomputersystemen gesteuert. Auch die Zweihandbedienung und das Lichtgitter müssen sicher funktionieren.
Unfälle mit computergesteuerten Systemen
In nahezu allen industriellen Anwendungsbereichen werden Unfälle mit Software und Computern gemeldet (Neumann 1994). Computerausfälle führen in den meisten Fällen nicht zu Personenschäden. Solche Versäumnisse werden ohnehin nur öffentlich gemacht, wenn sie von allgemeinem öffentlichem Interesse sind. Das bedeutet, dass die Fehlfunktionen oder Unfälle im Zusammenhang mit Computern und Software, bei denen Personenschäden im Spiel waren, einen relativ hohen Anteil an allen bekannt gewordenen Fällen ausmachen. Leider werden Unfälle, die kein großes öffentliches Aufsehen erregen, nicht mit der gleichen Intensität auf ihre Ursachen hin untersucht wie größere Unfälle, typischerweise in Großanlagen. Aus diesem Grund beziehen sich die folgenden Beispiele auf vier für computergesteuerte Systeme typische Beschreibungen von Fehlfunktionen oder Unfällen außerhalb des Bereichs der Maschinenabsicherung, die Hinweise darauf geben, was bei sicherheitstechnischen Beurteilungen zu berücksichtigen ist.
Unfälle, die durch zufällige Fehler in der Hardware verursacht werden
Das folgende Missgeschick wurde durch eine Konzentration zufälliger Fehler in der Hardware in Verbindung mit Programmierfehlern verursacht: Ein Reaktor überhitzt in einer Chemiefabrik, woraufhin Überdruckventile geöffnet wurden, wodurch der Inhalt des Reaktors in die Atmosphäre abgelassen werden konnte. Dieses Missgeschick ereignete sich kurz nach einer Warnung, dass der Ölstand in einem Getriebe zu niedrig sei. Eine sorgfältige Untersuchung des Missgeschicks ergab, dass kurz nachdem der Katalysator die Reaktion im Reaktor ausgelöst hatte – wodurch der Reaktor mehr Kühlung benötigt hätte – der Computer aufgrund der Meldung von niedrigem Ölstand im Getriebe alles eingefroren hatte Größen unter seiner Kontrolle auf einen festen Wert. Dadurch blieb der Kaltwasserdurchfluss zu niedrig und der Reaktor überhitzt. Weitere Untersuchungen ergaben, dass die Anzeige eines niedrigen Ölstands durch eine fehlerhafte Komponente signalisiert worden war.
Die Software hatte entsprechend der Spezifikation mit der Auslösung eines Alarms und der Fixierung aller Betriebsvariablen reagiert. Dies war eine Folge der HAZOP-Studie (Hazards and Operability Analysis) (Knowlton 1986), die vor dem Ereignis durchgeführt wurde und die verlangte, dass alle kontrollierten Variablen im Falle eines Ausfalls nicht modifiziert werden. Da der Programmierer die Vorgehensweise im Detail nicht kannte, wurde diese Forderung dahingehend interpretiert, dass die angesteuerten Aktoren (hier Regelventile) nicht verändert werden sollten; Die Möglichkeit eines Temperaturanstiegs wurde nicht beachtet. Der Programmierer hat nicht berücksichtigt, dass sich das System nach dem Empfang eines fehlerhaften Signals in einer dynamischen Situation befinden könnte, die das aktive Eingreifen des Computers erfordert, um ein Missgeschick zu verhindern. Die Situation, die zu dem Missgeschick führte, war zudem so unwahrscheinlich, dass sie in der HAZOP-Studie (Levenson 1986) nicht im Detail analysiert worden war. Dieses Beispiel bietet einen Übergang zu einer zweiten Kategorie von Ursachen für Software- und Computerunfälle. Dies sind die systematischen Fehler, die von Anfang an im System vorhanden sind, sich aber nur in ganz bestimmten Situationen manifestieren, die der Entwickler nicht berücksichtigt hat.
Unfälle durch Betriebsstörungen
Bei Feldversuchen bei der Endkontrolle von Robotern lieh sich ein Techniker die Kassette eines benachbarten Roboters aus und tauschte sie gegen eine andere aus, ohne seinen Kollegen darüber zu informieren. Bei der Rückkehr an seinen Arbeitsplatz legte der Kollege die falsche Kassette ein. Da er neben dem Roboter stand und von ihm einen bestimmten Bewegungsablauf erwartete, der aufgrund des ausgetauschten Programms anders herauskam, kam es zu einer Kollision zwischen Roboter und Mensch. Dieser Unfall beschreibt das klassische Beispiel eines Betriebsausfalls. Die Rolle solcher Ausfälle bei Störungen und Unfällen nimmt derzeit aufgrund der zunehmenden Komplexität bei der Anwendung von computergesteuerten Sicherheitsmechanismen zu.
Unfälle, die durch systematische Fehler in Hard- oder Software verursacht werden
Ein Torpedo mit Sprengkopf sollte zu Übungszwecken von einem Kriegsschiff auf hoher See abgefeuert werden. Aufgrund eines Defekts im Antriebsapparat blieb der Torpedo im Torpedorohr. Der Kapitän beschloss, zum Heimathafen zurückzukehren, um den Torpedo zu bergen. Kurz nachdem das Schiff seinen Heimweg angetreten hatte, explodierte der Torpedo. Eine Analyse des Unfalls ergab, dass die Entwickler des Torpedos gezwungen waren, in den Torpedo einen Mechanismus einzubauen, der verhindern sollte, dass er nach dem Abfeuern zur Startrampe zurückkehrt und damit das Schiff zerstört, das ihn gestartet hat. Der dafür gewählte Mechanismus war folgender: Nach dem Abfeuern des Torpedos wurde mit dem Trägheitsnavigationssystem überprüft, ob sich dessen Kurs um 180° geändert hatte. Sobald der Torpedo spürte, dass er sich um 180 ° gedreht hatte, detonierte der Torpedo sofort, angeblich in sicherer Entfernung von der Startrampe. Dieser Detektionsmechanismus wurde bei dem nicht ordnungsgemäß abgefeuerten Torpedo ausgelöst, so dass der Torpedo explodierte, nachdem das Schiff seinen Kurs um 180° geändert hatte. Dies ist ein typisches Beispiel für einen Unfall, der aufgrund eines Fehlers in den Spezifikationen auftritt. Die Anforderung im Lastenheft, dass der Torpedo bei einer Kursänderung das eigene Schiff nicht zerstören dürfe, sei nicht präzise genug formuliert; die Vorsichtsmaßnahme wurde also falsch programmiert. Der Fehler trat nur in einer bestimmten Situation auf, die der Programmierer nicht als Möglichkeit in Betracht gezogen hatte.
Am 14. September 1993 stürzte ein Airbus A 320 der Lufthansa bei der Landung in Warschau ab (Bild 1). Eine sorgfältige Untersuchung des Unfalls ergab, dass Änderungen in der Landelogik des Bordcomputers nach einem Unfall mit einer Boeing 767 der Lauda Air im Jahr 1991 mitverantwortlich für diese Bruchlandung waren. Was beim Unfall von 1991 passiert war, war, dass die Schubumlenkung, die einen Teil der Motorgase umleitet, um das Flugzeug bei der Landung abzubremsen, noch in der Luft eingesetzt hatte, wodurch die Maschine in einen unkontrollierbaren Sturzflug gezwungen wurde. Aus diesem Grund war in die Airbus-Maschinen eine elektronische Verriegelung der Schubumlenkung eingebaut worden. Dieser Mechanismus ließ die Schubumlenkung erst wirksam werden, nachdem Sensoren an beiden Fahrwerkssätzen das Zusammendrücken der Stoßdämpfer unter dem Druck der aufsetzenden Räder signalisiert hatten. Aufgrund falscher Angaben rechneten die Piloten des Flugzeugs in Warschau mit starkem Seitenwind.
Abbildung 1. Lufthansa Airbus nach dem Unfall in Warschau 1993
Aus diesem Grund brachten sie die Maschine leicht geneigt an und der Airbus setzte nur mit dem rechten Rad auf, wobei das linke Lager weniger als das volle Gewicht beließ. Aufgrund der elektronischen Verriegelung der Schubumlenkung verweigerte der Bordcomputer dem Piloten für die Dauer von neun Sekunden solche Manöver, die dem Flugzeug trotz widriger Umstände eine sichere Landung ermöglicht hätten. Dieser Unfall zeigt sehr deutlich, dass Änderungen an Computersystemen zu neuen und gefährlichen Situationen führen können, wenn die Bandbreite ihrer möglichen Folgen nicht im Voraus berücksichtigt wird.
Auch das folgende Beispiel einer Fehlfunktion zeigt, welche verheerenden Auswirkungen die Änderung eines einzigen Befehls in Computersystemen haben kann. Der Alkoholgehalt des Blutes wird in chemischen Tests mit klarem Blutserum bestimmt, aus dem zuvor die Blutkörperchen abzentrifugiert wurden. Der Alkoholgehalt des Serums ist daher um den Faktor 1.2 höher als der des dickeren Vollbluts. Aus diesem Grund müssen die Alkoholwerte im Serum durch den Faktor 1.2 dividiert werden, um die rechtlich und medizinisch kritischen Promillezahlen zu ermitteln. Bei dem 1984 durchgeführten Ringversuch sollten die in identischen Tests an verschiedenen Forschungseinrichtungen mit Serum ermittelten Blutalkoholwerte miteinander verglichen werden. Da es sich nur um einen Vergleich handelte, wurde außerdem der Befehl zum Teilen durch 1.2 für die Dauer des Experiments an einer der Institutionen aus dem Programm gestrichen. Nach Beendigung des Ringversuchs wurde an dieser Stelle fälschlicherweise ein Befehl zum Multiplizieren mit 1.2 in das Programm eingefügt. Als Folge wurden zwischen August 1,500 und März 1984 rund 1985 falsche Promillewerte berechnet. Dieser Fehler war für die Berufskarrieren von Lkw-Fahrern mit Blutalkoholwerten zwischen 1.0 und 1.3 Promille kritisch, da bei einem Wert von 1.3 Promille eine strafrechtliche Ahndung des Führerscheins über einen längeren Zeitraum die Folge ist.
Unfälle, die durch Einwirkungen von Betriebsbeanspruchungen oder Umweltbelastungen verursacht werden
Als Folge einer durch Abfallansammlung verursachten Störung im Wirkbereich einer CNC (Computer Numeric Control) Stanz- und Nibbelmaschine hat der Anwender den „programmierten Stopp“ veranlasst. Als er versuchte, den Abfall mit den Händen zu entfernen, geriet die Schubstange der Maschine trotz des programmierten Stopps in Bewegung und verletzte den Benutzer schwer. Eine Analyse des Unfalls ergab, dass es sich nicht um einen Programmfehler gehandelt hatte. Der unerwartete Anlauf konnte nicht reproduziert werden. Ähnliche Unregelmäßigkeiten waren in der Vergangenheit bei anderen Maschinen des gleichen Typs beobachtet worden. Daraus lässt sich plausibel ableiten, dass der Unfall durch elektromagnetische Störungen verursacht worden sein muss. Ähnliche Unfälle mit Industrierobotern werden aus Japan berichtet (Neumann 1987).
Eine Fehlfunktion der Raumsonde Voyager 2 am 18. Januar 1986 macht den Einfluss von Umweltbelastungen auf computergesteuerte Systeme noch deutlicher. Sechs Tage vor der größten Annäherung an Uranus bedeckten große Felder aus schwarz-weißen Linien die Bilder von Voyager 2. Eine genaue Analyse ergab, dass ein einziges Bit in einem Befehlswort des Flugdaten-Subsystems den Ausfall verursacht hatte, beobachtet als die Bilder wurden in der Sonde komprimiert. Dieses Bit war höchstwahrscheinlich durch den Einschlag eines kosmischen Teilchens im Programmspeicher verschoben worden. Die fehlerfreie Übertragung der komprimierten Aufnahmen der Sonde erfolgte bereits zwei Tage später mit einem Ersatzprogramm, das den ausgefallenen Speicherpunkt umgehen konnte (Laeser, McLaughlin und Wolff 1987).
Zusammenfassung der vorgestellten Unfälle
Die analysierten Unfälle zeigen, dass bestimmte Risiken, die unter Bedingungen einfacher, elektromechanischer Technik vernachlässigt werden könnten, durch den Einsatz von Computern an Bedeutung gewinnen. Computer erlauben die Verarbeitung komplexer und situationsspezifischer Sicherheitsfunktionen. Eine eindeutige, fehlerfreie, vollständige und prüfbare Spezifikation aller Sicherheitsfunktionen wird aus diesem Grund besonders wichtig. Fehler in Spezifikationen sind schwer zu entdecken und häufig die Ursache für Unfälle in komplexen Systemen. Frei programmierbare Steuerungen werden meist mit der Absicht eingeführt, flexibel und schnell auf sich verändernde Märkte reagieren zu können. Modifikationen haben jedoch – insbesondere in komplexen Systemen – schwer vorhersehbare Nebenwirkungen. Alle Änderungen müssen daher einem streng formalen Änderungsmanagement unterzogen werden, bei dem eine klare Trennung von Sicherheitsfunktionen von nicht sicherheitsrelevanten Teilsystemen dazu beiträgt, die Folgen von Änderungen für die Sicherheitstechnik überschaubar zu halten.
Computer arbeiten mit geringem Stromverbrauch. Sie sind daher anfällig für Störungen durch externe Strahlungsquellen. Da die Veränderung eines einzigen Signals unter Millionen zu einer Fehlfunktion führen kann, lohnt es sich, dem Thema Elektromagnetische Verträglichkeit im Zusammenhang mit Computern besondere Aufmerksamkeit zu schenken.
Die Wartung computergesteuerter Systeme wird derzeit immer komplexer und damit unübersichtlicher. Die Software-Ergonomie von Bedien- und Konfigurationssoftware wird daher aus sicherheitstechnischer Sicht immer interessanter.
Kein Computersystem ist zu 100 % testbar. Eine einfache Steuerung mit 32 binären Eingangsports und 1,000 verschiedenen Softwarepfaden benötigt 4.3 × 1012 Tests für eine vollständige Überprüfung. Bei einer Rate von 100 durchgeführten und ausgewerteten Tests pro Sekunde würde ein vollständiger Test 1,362 Jahre dauern.
Verfahren und Maßnahmen zur Verbesserung computergesteuerter Sicherheitseinrichtungen
In den letzten 10 Jahren wurden Verfahren entwickelt, die es ermöglichen, spezifische sicherheitstechnische Herausforderungen im Zusammenhang mit Computern zu meistern. Diese Verfahren beziehen sich auf die in diesem Abschnitt beschriebenen Computerfehler. Die beschriebenen Beispiele von Software und Computern in der Maschinenabsicherung und die analysierten Unfälle zeigen, dass das Schadensausmaß und damit auch das Risiko bei verschiedenen Anwendungen sehr unterschiedlich sind. Es ist daher klar, dass die erforderlichen Vorkehrungen zur Verbesserung von Computern und Software, die in der Sicherheitstechnik verwendet werden, in Bezug auf das Risiko getroffen werden sollten.
Abbildung 2 zeigt ein qualitatives Verfahren, mit dem die durch Sicherheitssysteme erzielbare notwendige Risikominderung unabhängig von Schadensausmaß und -häufigkeit ermittelt werden kann (Bell und Reinert 1992). Die im Abschnitt „Unfälle mit computergesteuerten Systemen“ (oben) analysierten Fehlerarten in Computersystemen können mit den sogenannten Safety Integrity Levels – also den technischen Einrichtungen zur Risikominderung – in Beziehung gesetzt werden.
Abbildung 2. Qualitatives Verfahren zur Risikobestimmung
Abbildung 3 verdeutlicht, dass die Effektivität der jeweils getroffenen Maßnahmen zur Fehlerreduzierung in Software und Computern mit steigendem Risiko steigen muss (DIN 1994; IEC 1993).
Abbildung 3, Wirksamkeit der getroffenen Vorkehrungen gegen Fehler unabhängig vom Risiko
Die Analyse der oben skizzierten Unfälle zeigt, dass das Versagen computergesteuerter Schutzeinrichtungen nicht nur durch zufällige Bauteilfehler verursacht wird, sondern auch durch besondere Betriebsbedingungen, die der Programmierer nicht berücksichtigt hat. Eine weitere Fehlerquelle sind die nicht sofort ersichtlichen Folgen von Programmänderungen im Rahmen der Systemwartung. Daraus folgt, dass in mikroprozessorgesteuerten Sicherheitssystemen Fehler auftreten können, die zwar während der Entwicklung des Systems entstanden sind, aber erst im Betrieb zu einer gefährlichen Situation führen können. Bereits in der Entwicklungsphase sicherheitsrelevanter Systeme müssen daher Vorkehrungen gegen solche Ausfälle getroffen werden. Diese sogenannten Fehlervermeidungsmaßnahmen müssen nicht nur in der Konzeptphase, sondern auch im Prozess der Entwicklung, Installation und Modifikation getroffen werden. Bestimmte Fehler können vermieden werden, wenn sie dabei entdeckt und behoben werden (DIN 1990).
Wie das zuletzt beschriebene Missgeschick verdeutlicht, kann der Ausfall eines einzigen Transistors zum technischen Ausfall hochkomplexer automatisierter Anlagen führen. Da jede einzelne Schaltung aus vielen tausend Transistoren und anderen Komponenten zusammengesetzt ist, müssen zahlreiche Maßnahmen zur Fehlervermeidung ergriffen werden, um auftretende Fehler im Betrieb zu erkennen und eine entsprechende Reaktion im Computersystem einzuleiten. Abbildung 4 beschreibt Fehlerarten in programmierbaren elektronischen Systemen sowie Beispiele für Vorkehrungen, die getroffen werden können, um Fehler in Computersystemen zu vermeiden und zu beherrschen (DIN 1990; IEC 1992).
Abbildung 4. Beispiele für Vorkehrungen zur Kontrolle und Vermeidung von Fehlern in Computersystemen
Möglichkeiten und Perspektiven programmierbarer elektronischer Systeme in der Sicherheitstechnik
Moderne Maschinen und Anlagen werden immer komplexer und müssen immer umfangreichere Aufgaben in immer kürzerer Zeit bewältigen. Aus diesem Grund haben Computersysteme seit Mitte der 1970er Jahre nahezu alle Bereiche der Industrie erobert. Allein diese Zunahme der Komplexität hat maßgeblich zu den steigenden Kosten für die Verbesserung der Sicherheitstechnik in solchen Systemen beigetragen. Obwohl Software und Computer eine große Herausforderung an die Sicherheit am Arbeitsplatz darstellen, ermöglichen sie auch die Umsetzung neuer fehlerfreundlicher Systeme im Bereich der Sicherheitstechnik.
Ein skurriler, aber lehrreicher Vers von Ernst Jandl hilft zu erklären, was mit dem Begriff gemeint ist fehlerfreundlich. „Lichtung: Manche meinen Lechten und Rinks kann man nicht velwechsern, werch ein Illtum“. („Dilkation: Viele glauben, dass Licht und Reft nicht ausgetauscht werden können, was für ein Ello.“) Trotz des Austauschs der Briefe r und l, dieser Satz wird von einem normalen erwachsenen Menschen leicht verstanden. Sogar jemand mit geringen Englischkenntnissen kann es ins Englische übersetzen. Diese Aufgabe ist jedoch für einen Übersetzungscomputer allein nahezu unmöglich.
Dieses Beispiel zeigt, dass ein Mensch wesentlich fehlerfreundlicher reagieren kann als ein Sprachcomputer. Das bedeutet, dass der Mensch, wie alle anderen Lebewesen, Fehler tolerieren kann, indem er sie auf Erfahrung bezieht. Betrachtet man die heute im Einsatz befindlichen Maschinen, so sieht man, dass die Mehrzahl der Maschinen Ausfälle der Anwender nicht mit einem Unfall, sondern mit einem Produktionsrückgang bestrafen. Diese Eigenschaft führt zur Manipulation oder Umgehung von Schutzmaßnahmen. Moderne Computertechnik stellt dem Arbeitsschutz Systeme zur Verfügung, die intelligent – also modifiziert – reagieren können. Solche Systeme ermöglichen somit ein fehlerfreundliches Verhalten in neuartigen Maschinen. Sie warnen den Benutzer zunächst bei einer Fehlbedienung und schalten die Maschine erst dann ab, wenn nur so ein Unfall vermieden werden kann. Die Unfallanalyse zeigt, dass in diesem Bereich ein erhebliches Potenzial zur Reduzierung von Unfällen besteht (Reinert und Reuss 1991).
Ein hybrides automatisiertes System (HAS) zielt darauf ab, die Fähigkeiten künstlich intelligenter Maschinen (basierend auf Computertechnologie) mit den Fähigkeiten der Menschen zu integrieren, die im Rahmen ihrer Arbeitstätigkeiten mit diesen Maschinen interagieren. Die Hauptanliegen der HAS-Nutzung beziehen sich darauf, wie die menschlichen und maschinellen Subsysteme gestaltet werden sollten, um das Wissen und die Fähigkeiten beider Teile des Hybridsystems optimal zu nutzen, und wie die menschlichen Bediener und Maschinenkomponenten miteinander interagieren sollten sicherzustellen, dass sich ihre Funktionen ergänzen. Viele hybride automatisierte Systeme haben sich als Produkte von Anwendungen moderner informations- und steuerungsbasierter Methoden entwickelt, um verschiedene Funktionen von oft komplexen technologischen Systemen zu automatisieren und zu integrieren. HAS wurde ursprünglich mit der Einführung computergestützter Systeme identifiziert, die beim Entwurf und Betrieb von Echtzeit-Steuerungssystemen für Kernkraftwerke, für chemische Verarbeitungsanlagen und für die Fertigungstechnologie für diskrete Teile verwendet werden. HAS sind mittlerweile auch in vielen Dienstleistungsbranchen zu finden, etwa bei Flugsicherungs- und Flugzeugnavigationsverfahren im Bereich der zivilen Luftfahrt sowie bei der Gestaltung und dem Einsatz von intelligenten Fahrzeug- und Autobahnnavigationssystemen im Straßenverkehr.
Mit fortschreitendem Fortschritt in der computergestützten Automatisierung verlagert sich die Natur menschlicher Aufgaben in modernen technologischen Systemen von solchen, die wahrnehmungsmotorische Fähigkeiten erfordern, hin zu solchen, die kognitive Aktivitäten erfordern, die für die Problemlösung, für die Entscheidungsfindung bei der Systemüberwachung usw. erforderlich sind aufsichtsrechtliche Kontrollaufgaben. Beispielsweise fungieren die menschlichen Bediener in computerintegrierten Fertigungssystemen hauptsächlich als Systemüberwacher, Problemlöser und Entscheidungsträger. Die kognitiven Aktivitäten des menschlichen Supervisors in jeder HAS-Umgebung sind (1) das Planen, was für einen bestimmten Zeitraum getan werden sollte, (2) das Entwickeln von Verfahren (oder Schritten), um die Reihe geplanter Ziele zu erreichen, (3) das Überwachen des Fortschritts von (technologischen) Prozessen, (4) „Lernen“ des Systems durch einen menschlich-interaktiven Computer, (5) Eingreifen, wenn sich das System abnormal verhält oder wenn sich die Steuerungsprioritäten ändern, und (6) Lernen durch Feedback vom System über die Auswirkungen von Aufsichtsmaßnahmen (Sheridan 1987).
Hybrides Systemdesign
Die Mensch-Maschine-Interaktionen in einem HAS beinhalten die Nutzung dynamischer Kommunikationsschleifen zwischen den menschlichen Bedienern und intelligenten Maschinen – ein Prozess, der das Erfassen und Verarbeiten von Informationen sowie das Initiieren und Ausführen von Steuerungsaufgaben und die Entscheidungsfindung umfasst – innerhalb einer gegebenen Struktur der Funktionszuordnung dazwischen Menschen und Maschinen. Die Interaktionen zwischen Menschen und Automatisierung sollten zumindest die hohe Komplexität hybrider automatisierter Systeme sowie relevante Eigenschaften der menschlichen Bediener und Aufgabenanforderungen widerspiegeln. Daher kann das hybride automatisierte System formal als Quintupel in der folgenden Formel definiert werden:
HAT = (T, U, C, E, I)
woher T = Aufgabenanforderungen (physisch und kognitiv); U = Benutzereigenschaften (physisch und kognitiv); C = die Automatisierungsmerkmale (Hardware und Software, einschließlich Computerschnittstellen); E = die Umgebung des Systems; I = eine Reihe von Wechselwirkungen zwischen den oben genannten Elementen.
Die Menge der Interaktionen I verkörpert alle möglichen Interaktionen zwischen T, U und C in E unabhängig von ihrer Art oder Stärke der Assoziation. Beispielsweise könnte eine der möglichen Interaktionen die Beziehung der im Computerspeicher gespeicherten Daten zu dem entsprechenden Wissen des menschlichen Bedieners, falls vorhanden, beinhalten. Die Wechselwirkungen I kann elementar (dh beschränkt auf eine Eins-zu-eins-Assoziation) oder komplex sein, wie z. B. Interaktionen zwischen dem menschlichen Bediener, der speziellen Software, die verwendet wird, um die gewünschte Aufgabe zu erfüllen, und der verfügbaren physikalischen Schnittstelle mit dem Computer.
Designer vieler hybrider automatisierter Systeme konzentrieren sich hauptsächlich auf die computergestützte Integration hochentwickelter Maschinen und anderer Geräte als Teile computerbasierter Technologie, wobei sie selten viel Aufmerksamkeit auf die vorrangige Notwendigkeit einer effektiven menschlichen Integration in solche Systeme richten. Daher sind derzeit viele der computerintegrierten (technologischen) Systeme nicht vollständig kompatibel mit den inhärenten Fähigkeiten der menschlichen Bediener, wie sie sich in den Fähigkeiten und Kenntnissen ausdrücken, die für die wirksame Steuerung und Überwachung dieser Systeme erforderlich sind. Eine solche Inkompatibilität tritt auf allen Ebenen der menschlichen, maschinellen und Mensch-Maschine-Funktion auf und kann im Rahmen des Individuums und der gesamten Organisation oder Einrichtung definiert werden. Beispielsweise treten die Probleme der Integration von Menschen und Technologie in fortgeschrittenen Fertigungsunternehmen früh in der HAS-Designphase auf. Diese Probleme können mit dem folgenden Systemintegrationsmodell der Komplexität von Interaktionen konzeptualisiert werden, I, zwischen den Systemdesignern, D, menschliche Operatoren, Hoder potenzielle Systembenutzer und Technologie, T:
Ich (H, T) = F [ Ich (H, D), Ich (D, T)]
woher I steht für relevante Interaktionen, die in einer gegebenen HAS-Struktur stattfinden, während F weist auf funktionale Beziehungen zwischen Designern, menschlichen Bedienern und Technologie hin.
Das obige Systemintegrationsmodell hebt die Tatsache hervor, dass die Interaktionen zwischen den Benutzern und der Technologie durch das Ergebnis der Integration der beiden früheren Interaktionen bestimmt werden – nämlich (1) die zwischen HAS-Designern und potenziellen Benutzern und (2) die zwischen den Designern und die HAS-Technologie (auf der Ebene der Maschinen und ihrer Integration). Es sollte beachtet werden, dass, obwohl typischerweise starke Interaktionen zwischen Designern und Technologie bestehen, nur sehr wenige Beispiele für ebenso starke Wechselbeziehungen zwischen Designern und menschlichen Bedienern gefunden werden können.
Es kann argumentiert werden, dass selbst in den am stärksten automatisierten Systemen die Rolle des Menschen für eine erfolgreiche Systemleistung auf Betriebsebene entscheidend bleibt. Bainbridge (1983) identifizierte eine Reihe von Problemen, die für den Betrieb des HAS relevant sind und auf die Natur der Automatisierung selbst zurückzuführen sind, wie folgt:
Aufgabenverteilung
Eines der wichtigsten Themen für das HAS-Design ist die Bestimmung, wie viele und welche Funktionen oder Verantwortlichkeiten den menschlichen Bedienern und welche und wie viele den Computern zugewiesen werden sollten. Im Allgemeinen gibt es drei grundlegende Klassen von Aufgabenzuweisungsproblemen, die berücksichtigt werden sollten: (1) die Aufgabenzuweisung zwischen Mensch und Computer, (2) die Aufgabenzuweisung zwischen Mensch und Mensch und (3) die Aufgabenzuweisung zwischen Computer und Computer. Idealerweise sollten die Zuweisungsentscheidungen durch ein strukturiertes Zuweisungsverfahren getroffen werden, bevor mit dem grundlegenden Systemdesign begonnen wird. Leider ist ein solches systematisches Vorgehen selten möglich, da die zuzuweisenden Funktionen entweder einer weiteren Prüfung bedürfen oder interaktiv zwischen den Systemkomponenten Mensch und Maschine – also durch Anwendung des Supervisory Control Paradigmas – durchgeführt werden müssen. Die Aufgabenzuweisung in hybriden automatisierten Systemen sollte sich auf das Ausmaß der menschlichen und computergestützten Überwachungsverantwortlichkeiten konzentrieren und sollte die Art der Interaktionen zwischen dem menschlichen Bediener und computergestützten Entscheidungsunterstützungssystemen berücksichtigen. Auch die Mittel der Informationsübertragung zwischen Maschinen und den menschlichen Input-Output-Schnittstellen sowie die Kompatibilität von Software mit menschlichen kognitiven Problemlösungsfähigkeiten sollten berücksichtigt werden.
In traditionellen Ansätzen zum Design und Management hybrider automatisierter Systeme wurden Arbeiter als deterministische Input-Output-Systeme betrachtet, und es gab eine Tendenz, die teleologische Natur menschlichen Verhaltens zu missachten – das heißt, das zielorientierte Verhalten, das auf dem Erwerb von basiert relevanten Informationen und der Auswahl von Zielen (Goodstein et al. 1988). Um erfolgreich zu sein, müssen das Design und die Verwaltung fortschrittlicher hybrider automatisierter Systeme auf einer Beschreibung der menschlichen mentalen Funktionen basieren, die für eine bestimmte Aufgabe benötigt werden. Der „Cognitive Engineering“-Ansatz (weiter unten beschrieben) schlägt vor, dass Mensch-Maschine- (Hybrid-)Systeme in Bezug auf menschliche mentale Prozesse konzipiert, entworfen, analysiert und bewertet werden müssen (dh das mentale Modell des Bedieners der adaptiven Systeme wird berücksichtigt). Konto). Das Folgende sind die Anforderungen des menschenzentrierten Ansatzes für HAS-Design und -Betrieb, wie er von Corbett (1988) formuliert wurde:
Kognitives Human Factors Engineering
Cognitive Human Factors Engineering konzentriert sich darauf, wie menschliche Bediener am Arbeitsplatz Entscheidungen treffen, Probleme lösen, Pläne formulieren und neue Fähigkeiten erlernen (Hollnagel und Woods 1983). Die Rollen der menschlichen Bediener, die in jedem HAS tätig sind, können unter Verwendung des Schemas von Rasmussen (1983) in drei Hauptkategorien eingeteilt werden:
Bei der Gestaltung und Verwaltung eines HAS sollten die kognitiven Merkmale der Arbeiter berücksichtigt werden, um die Kompatibilität des Systembetriebs mit dem internen Modell des Arbeiters sicherzustellen, das seine Funktionen beschreibt. Folglich sollte die Beschreibungsebene des Systems von den kompetenzbasierten zu den regelbasierten und wissensbasierten Aspekten des menschlichen Funktionierens verschoben werden und geeignete Methoden der kognitiven Aufgabenanalyse sollten verwendet werden, um das Bedienermodell eines Systems zu identifizieren. Ein verwandtes Problem bei der Entwicklung eines HAS ist die Gestaltung von Mitteln zur Informationsübertragung zwischen dem menschlichen Bediener und automatisierten Systemkomponenten, sowohl auf physischer als auch auf kognitiver Ebene. Eine solche Informationsübertragung sollte mit den Informationsmodi kompatibel sein, die auf verschiedenen Ebenen des Systembetriebs verwendet werden – d. h. visuell, verbal, taktil oder hybrid. Diese Informationskompatibilität stellt sicher, dass verschiedene Formen der Informationsübertragung eine minimale Inkompatibilität zwischen dem Medium und der Art der Informationen erfordern. Beispielsweise eignet sich eine visuelle Anzeige am besten für die Übertragung räumlicher Informationen, während eine akustische Eingabe verwendet werden kann, um Textinformationen zu übermitteln.
Nicht selten entwickelt der menschliche Bediener ein internes Modell, das den Betrieb und die Funktion des Systems gemäß seiner Erfahrung, Schulung und Anweisungen in Verbindung mit der gegebenen Art von Mensch-Maschine-Schnittstelle beschreibt. Angesichts dieser Realität sollten die Designer eines HAS versuchen, in die Maschinen (oder andere künstliche Systeme) ein Modell der physischen und kognitiven Eigenschaften des menschlichen Bedieners einzubauen – das heißt, das Systembild des Bedieners (Hollnagel und Woods 1983). . Die Designer eines HAS müssen auch die Abstraktionsebene in der Systembeschreibung sowie verschiedene relevante Kategorien des Verhaltens des menschlichen Bedieners berücksichtigen. Diese Abstraktionsebenen zur Modellierung menschlicher Funktionen in der Arbeitsumgebung sind wie folgt (Rasmussen 1983): (1) physische Form (anatomische Struktur), (2) physische Funktionen (physiologische Funktionen), (3) generalisierte Funktionen (psychologische Mechanismen und kognitive und affektive Prozesse), (4) abstrakte Funktionen (Informationsverarbeitung) und (5) funktionaler Zweck (Wertstrukturen, Mythen, Religionen, menschliche Interaktionen). Diese fünf Ebenen müssen von den Designern gleichzeitig berücksichtigt werden, um eine effektive HAS-Leistung sicherzustellen.
Systemsoftware-Design
Da die Computersoftware eine primäre Komponente jeder HAS-Umgebung ist, müssen Softwareentwicklung, einschließlich Design, Testen, Betrieb und Modifikation, sowie Fragen der Softwarezuverlässigkeit auch in den frühen Stadien der HAS-Entwicklung berücksichtigt werden. Auf diese Weise sollte man in der Lage sein, die Kosten für die Erkennung und Beseitigung von Softwarefehlern zu senken. Es ist jedoch schwierig, die Zuverlässigkeit der menschlichen Komponenten eines HAS abzuschätzen, da wir nur eingeschränkt in der Lage sind, die Leistung menschlicher Aufgaben, die damit verbundene Arbeitsbelastung und potenzielle Fehler zu modellieren. Eine zu hohe oder zu geringe mentale Belastung kann zu Informationsüberlastung bzw. Langeweile führen und kann zu einer verminderten menschlichen Leistungsfähigkeit führen, was zu Fehlern und einer zunehmenden Unfallwahrscheinlichkeit führt. Die Designer eines HAS sollten adaptive Schnittstellen verwenden, die Techniken der künstlichen Intelligenz verwenden, um diese Probleme zu lösen. Neben der Mensch-Maschine-Kompatibilität muss auch die Frage der Mensch-Maschine-Anpassungsfähigkeit aneinander betrachtet werden, um die Belastungen zu reduzieren, die durch eine mögliche Überschreitung menschlicher Fähigkeiten entstehen.
Aufgrund der hohen Komplexität vieler hybrider automatisierter Systeme ist die Identifizierung potenzieller Gefahren in Bezug auf Hardware, Software, Betriebsabläufe und Mensch-Maschine-Interaktionen dieser Systeme entscheidend für den Erfolg von Bemühungen zur Reduzierung von Verletzungen und Geräteschäden . Sicherheits- und Gesundheitsgefahren im Zusammenhang mit komplexen hybriden automatisierten Systemen, wie z. B. Computer-Integrated Manufacturing Technology (CIM), sind eindeutig einer der kritischsten Aspekte des Systemdesigns und -betriebs.
Probleme mit der Systemsicherheit
Hybride automatisierte Umgebungen mit ihrem erheblichen Potenzial für unberechenbares Verhalten der Steuerungssoftware unter Systemstörungsbedingungen schaffen eine neue Generation von Unfallrisiken. Da hybride automatisierte Systeme vielseitiger und komplexer werden, können Systemstörungen, einschließlich Start- und Abschaltproblemen und Abweichungen in der Systemsteuerung, die Möglichkeit einer ernsthaften Gefahr für die menschlichen Bediener erheblich erhöhen. Ironischerweise verlassen sich die Bediener in vielen anormalen Situationen normalerweise auf das ordnungsgemäße Funktionieren der automatisierten Sicherheitssubsysteme, eine Praxis, die das Risiko schwerer Verletzungen erhöhen kann. So zeigte beispielsweise eine Untersuchung von Unfällen im Zusammenhang mit Fehlfunktionen technischer Steuerungssysteme, dass etwa ein Drittel der Unfallabläufe einen menschlichen Eingriff in den Regelkreis des gestörten Systems beinhaltete.
Da traditionelle Sicherheitsmaßnahmen nicht einfach an die Bedürfnisse von HAS-Umgebungen angepasst werden können, müssen Strategien zur Verletzungskontrolle und Unfallverhütung angesichts der inhärenten Eigenschaften dieser Systeme überdacht werden. Beispielsweise sind im Bereich der fortschrittlichen Fertigungstechnologie viele Prozesse durch das Vorhandensein erheblicher Mengen an Energieströmen gekennzeichnet, die von den menschlichen Bedienern nicht ohne weiteres vorhergesehen werden können. Darüber hinaus treten Sicherheitsprobleme typischerweise an den Schnittstellen zwischen Teilsystemen auf oder wenn Systemstörungen von einem Teilsystem zum anderen fortschreiten. Gemäß der Internationalen Organisation für Normung (ISO 1991) variieren die Risiken im Zusammenhang mit Gefahren durch industrielle Automatisierung mit den Arten von Industriemaschinen, die in das jeweilige Fertigungssystem integriert sind, und mit der Art und Weise, wie das System installiert, programmiert, betrieben und gewartet wird und repariert. Beispielsweise zeigte ein Vergleich von Unfällen im Zusammenhang mit Robotern in Schweden mit anderen Arten von Unfällen, dass Roboter möglicherweise die gefährlichsten Industriemaschinen sind, die in der fortgeschrittenen Fertigungsindustrie eingesetzt werden. Die geschätzte Unfallrate für Industrieroboter war ein schwerer Unfall pro 45 Roboterjahre, eine höhere Rate als die für Industriepressen, die mit einem Unfall pro 50 Maschinenjahre angegeben wurde. An dieser Stelle sei darauf hingewiesen, dass Industriepressen in den Vereinigten Staaten im Zeitraum 23–1980 etwa 1985 % aller Todesfälle im Zusammenhang mit Metallbearbeitungsmaschinen ausmachten, wobei Kraftpressen in Bezug auf das Schwere-Häufigkeits-Produkt für nicht tödliche Verletzungen an erster Stelle rangierten.
Im Bereich der fortschrittlichen Fertigungstechnologie gibt es viele bewegliche Teile, die für Arbeiter gefährlich sind, da sie ihre Position auf komplexe Weise außerhalb des Sichtfelds der menschlichen Bediener ändern. Die schnellen technologischen Entwicklungen in der computerintegrierten Fertigung machten es erforderlich, die Auswirkungen fortschrittlicher Fertigungstechnologien auf die Arbeitnehmer zu untersuchen. Um die Gefahren zu identifizieren, die von verschiedenen Komponenten einer solchen HAS-Umgebung ausgehen, müssen vergangene Unfälle sorgfältig analysiert werden. Unglücklicherweise lassen sich Unfälle mit Robotereinsatz nur schwer von Berichten über Unfälle im Zusammenhang mit von Menschen bedienten Maschinen isolieren, und daher kann es einen hohen Prozentsatz an nicht erfassten Unfällen geben. Die Arbeitsschutzvorschriften Japans besagen, dass „Industrieroboter derzeit keine zuverlässigen Sicherheitsmittel haben und Arbeiter nicht vor ihnen geschützt werden können, wenn ihre Verwendung nicht geregelt ist“. Beispielsweise zeigten die Ergebnisse der vom Arbeitsministerium Japans (Sugimoto 1987) durchgeführten Erhebung zu Unfällen im Zusammenhang mit Industrierobotern in den 190 untersuchten Fabriken (mit 4,341 Arbeitsrobotern), dass es 300 roboterbedingte Störungen gab, davon 37 Fälle der unsicheren Handlungen führten zu Beinahe-Unfällen, 9 Unfälle mit Verletzungen und 2 tödliche Unfälle. Die Ergebnisse anderer Studien weisen darauf hin, dass computergestützte Automatisierung nicht unbedingt das Gesamtsicherheitsniveau erhöht, da die Systemhardware nicht allein durch Sicherheitsfunktionen in der Computersoftware ausfallsicher gemacht werden kann und Systemsteuerungen nicht immer sehr zuverlässig sind. Darüber hinaus kann man sich in einem komplexen HAS nicht ausschließlich auf Sicherheitserfassungsgeräte verlassen, um gefährliche Bedingungen zu erkennen und geeignete Gefahrenvermeidungsstrategien zu ergreifen.
Auswirkungen der Automatisierung auf die menschliche Gesundheit
Wie oben diskutiert, sind Arbeiteraktivitäten in vielen HAS-Umgebungen im Grunde solche der Überwachung, Überwachung, Systemunterstützung und Wartung. Diese Aktivitäten können auch wie folgt in vier grundlegende Gruppen eingeteilt werden: (1) Programmieraufgaben, dh Codieren der Informationen, die den Maschinenbetrieb führen und lenken, (2) Überwachung der HAS-Produktions- und Steuerkomponenten, (3) Wartung von HAS-Komponenten zur Verhinderung oder Maschinenfehlfunktionen zu lindern und (4) eine Vielzahl von Unterstützungsaufgaben durchzuführen usw. Viele neuere Untersuchungen der Auswirkungen des HAS auf das Wohlbefinden der Arbeiter kamen zu dem Schluss, dass die Verwendung eines HAS im Fertigungsbereich schwere und gefährliche Aufgaben beseitigen kann , kann die Arbeit in einer HAS-Umgebung für die Arbeitnehmer unbefriedigend und stressig sein. Zu den Stressquellen gehörten die ständige Überwachung, die bei vielen HAS-Anwendungen erforderlich ist, der begrenzte Umfang der zugewiesenen Aktivitäten, das geringe Maß an Arbeiterinteraktion, das durch das Systemdesign zulässig ist, und Sicherheitsrisiken im Zusammenhang mit der unvorhersehbaren und unkontrollierbaren Natur der Ausrüstung. Auch wenn einige Mitarbeiter, die an Programmier- und Wartungsaktivitäten beteiligt sind, die Elemente der Herausforderung spüren, die sich positiv auf ihr Wohlbefinden auswirken können, werden diese Auswirkungen oft durch die komplexe und anspruchsvolle Natur dieser Aktivitäten sowie durch den Druck ausgeglichen Anstrengungen des Managements, diese Aktivitäten schnell abzuschließen.
Obwohl in einigen HAS-Umgebungen die menschlichen Bediener während normaler Betriebsbedingungen von traditionellen Energiequellen (Arbeitsfluss und Bewegung der Maschine) getrennt sind, müssen viele Aufgaben in automatisierten Systemen immer noch in direktem Kontakt mit anderen Energiequellen ausgeführt werden. Da die Zahl der unterschiedlichen HAS-Komponenten ständig zunimmt, muss besonderes Augenmerk auf den Komfort und die Sicherheit der Arbeiter und auf die Entwicklung wirksamer Vorkehrungen zur Vermeidung von Verletzungen gelegt werden, insbesondere angesichts der Tatsache, dass die Arbeiter nicht mehr in der Lage sind, mit den Anforderungen Schritt zu halten Ausgereiftheit und Komplexität solcher Systeme.
Um den aktuellen Anforderungen an Verletzungskontrolle und Arbeitssicherheit in computerintegrierten Fertigungssystemen gerecht zu werden, hat das ISO-Komitee für industrielle Automatisierungssysteme eine neue Sicherheitsnorm mit dem Titel „Sicherheit integrierter Fertigungssysteme“ (1991) vorgeschlagen. Diese neue internationale Norm, die in Anbetracht der besonderen Gefahren entwickelt wurde, die in integrierten Fertigungssystemen mit Industriemaschinen und zugehöriger Ausrüstung bestehen, zielt darauf ab, die Möglichkeit von Verletzungen des Personals bei der Arbeit an oder neben einem integrierten Fertigungssystem zu minimieren. Die durch diese Norm identifizierten Hauptquellen potenzieller Gefahren für die menschlichen Bediener in CIM sind in Abbildung 1 dargestellt.
Abbildung 1. Hauptgefahrenquellen in der computerintegrierten Fertigung (CIM) (nach ISO 1991)
Menschliche und Systemfehler
Im Allgemeinen können Gefahren in einem HAS aus dem System selbst, aus seiner Verbindung mit anderen in der physischen Umgebung vorhandenen Geräten oder aus Interaktionen von menschlichem Personal mit dem System entstehen. Ein Unfall ist nur eine von mehreren Folgen von Interaktionen zwischen Mensch und Maschine, die unter gefährlichen Bedingungen auftreten können; Beinahunfälle und Schadensereignisse sind viel häufiger (Zimolong und Duda 1992). Das Auftreten eines Fehlers kann zu einer dieser Folgen führen: (1) der Fehler bleibt unbemerkt, (2) das System kann den Fehler kompensieren, (3) der Fehler führt zu einem Maschinen- und/oder Anlagenstillstand oder (4 ) führt der Fehler zu einem Unfall.
Da nicht jeder menschliche Fehler, der zu einem kritischen Vorfall führt, einen tatsächlichen Unfall verursacht, ist es angemessen, zwischen den Ergebniskategorien wie folgt weiter zu unterscheiden: (1) ein unsicherer Vorfall (d. h. jedes unbeabsichtigte Ereignis, unabhängig davon, ob es zu Verletzungen, Schäden oder Verlust), (2) ein Unfall (dh ein unsicheres Ereignis, das zu Verletzungen, Schäden oder Verlusten führt), (3) ein Schadensereignis (dh ein unsicheres Ereignis, das nur zu einer Art Sachschaden führt), (4) a Beinahe-Unfall oder „Beinahe-Unfall“ (d. h. ein unsicheres Ereignis, bei dem Verletzungen, Schäden oder Verluste zufällig nur knapp vermieden wurden) und (5) das Vorhandensein eines Unfallpotenzials (d. h. unsichere Ereignisse, die zu Verletzungen, Schäden hätten führen können oder Verlust, aber aufgrund der Umstände nicht einmal zu einem Beinahe-Unfall geführt hat).
Man kann drei grundlegende Arten von menschlichem Versagen bei HAS unterscheiden:
Diese von Reason (1990) entwickelte Taxonomie basiert auf einer Modifikation von Rasmussens Fähigkeit-Regel-Wissen-Klassifikation menschlicher Leistung, wie oben beschrieben. Auf der fähigkeitsbasierten Ebene wird die menschliche Leistung durch gespeicherte Muster vorprogrammierter Anweisungen bestimmt, die als analoge Strukturen in einem Raum-Zeit-Bereich dargestellt werden. Die regelbasierte Ebene ist anwendbar, um vertraute Probleme anzugehen, bei denen Lösungen durch gespeicherte Regeln geregelt werden (als „Produktionen“ bezeichnet, da auf sie bei Bedarf zugegriffen oder sie erzeugt werden). Diese Regeln erfordern bestimmte Diagnosen (oder Beurteilungen) oder bestimmte Abhilfemaßnahmen, wenn bestimmte Bedingungen eingetreten sind, die eine angemessene Reaktion erfordern. Auf dieser Ebene sind menschliche Fehler typischerweise mit der Fehlklassifizierung von Situationen verbunden, was entweder zur Anwendung der falschen Regel oder zur falschen Erinnerung an daraus resultierende Urteile oder Verfahren führt. Wissensbasierte Fehler treten in neuartigen Situationen auf, für die Aktionen „online“ (zu einem bestimmten Zeitpunkt) geplant werden müssen, wobei bewusste analytische Prozesse und gespeichertes Wissen verwendet werden. Fehler auf dieser Ebene entstehen durch Ressourcenbeschränkungen und unvollständiges oder falsches Wissen.
Die von Reason (1990) vorgeschlagenen generischen Fehlermodellierungssysteme (GEMS), die versuchen, die Ursprünge der grundlegenden menschlichen Fehlertypen zu lokalisieren, können verwendet werden, um die Gesamttaxonomie des menschlichen Verhaltens in einem HAS abzuleiten. GEMS versucht, zwei unterschiedliche Bereiche der Fehlerforschung zu integrieren: (1) Ausrutscher und Versäumnisse, bei denen Aktionen aufgrund von Ausführungsfehlern und/oder Speicherfehlern von der aktuellen Absicht abweichen, und (2) Fehler, bei denen die Aktionen planmäßig ablaufen können, aber der Plan reicht nicht aus, um das gewünschte Ergebnis zu erzielen.
Gefährdungsbeurteilung und -prävention im CIM
Gemäß ISO (1991) sollte eine Risikobewertung in CIM durchgeführt werden, um alle Risiken zu minimieren und als Grundlage für die Festlegung von Sicherheitszielen und -maßnahmen bei der Entwicklung von Programmen oder Plänen zu dienen, um sowohl ein sicheres Arbeitsumfeld zu schaffen als auch zu gewährleisten auch die Sicherheit und Gesundheit des Personals. Zum Beispiel können Arbeitsgefahren in produktionsbasierten HAS-Umgebungen wie folgt charakterisiert werden: (1) der menschliche Bediener muss möglicherweise den Gefahrenbereich während der Fehlerbehebung, Service- und Wartungsarbeiten betreten, (2) der Gefahrenbereich ist schwer zu bestimmen, wahrzunehmen und zu kontrollieren, (3) die Arbeit kann eintönig sein und (4) die Unfälle, die sich in computerintegrierten Fertigungssystemen ereignen, sind oft schwerwiegend. Jede identifizierte Gefahr sollte auf ihr Risiko hin bewertet werden, und geeignete Sicherheitsmaßnahmen sollten festgelegt und umgesetzt werden, um dieses Risiko zu minimieren. Gefahren sollten auch in Bezug auf alle folgenden Aspekte eines bestimmten Prozesses festgestellt werden: die einzelne Einheit selbst; die Interaktion zwischen einzelnen Einheiten; die Betriebsabschnitte des Systems; und den Betrieb des vollständigen Systems für alle beabsichtigten Betriebsmodi und Bedingungen, einschließlich Bedingungen, unter denen normale Schutzmaßnahmen für Vorgänge wie Programmierung, Überprüfung, Fehlersuche, Wartung oder Reparatur außer Kraft gesetzt sind.
Die Entwurfsphase der ISO (1991) Sicherheitsstrategie für CIM umfasst:
Die Systemsicherheitsspezifikation sollte Folgendes umfassen:
Gemäß ISO (1991) müssen alle notwendigen Anforderungen zur Gewährleistung eines sicheren CIM-Systembetriebs bei der Gestaltung systematischer Sicherheitsplanungsverfahren berücksichtigt werden. Dies umfasst alle Schutzmaßnahmen zur wirksamen Minderung von Gefahren und erfordert:
Das Sicherheitsplanungsverfahren sollte unter anderem die folgenden Sicherheitsaspekte von CIM berücksichtigen:
Systemstörungskontrolle
In vielen HAS-Installationen, die im Bereich der computerintegrierten Fertigung verwendet werden, werden menschliche Bediener typischerweise zum Zweck des Steuerns, Programmierens, Wartens, Voreinstellens, Wartens oder Behebens von Aufgaben benötigt. Störungen in der Anlage führen zu Situationen, die ein Betreten der Gefahrenbereiche durch die Arbeiter erforderlich machen. Insofern ist davon auszugehen, dass Störungen weiterhin der wichtigste Grund für menschliche Eingriffe in CIM bleiben, da die Systeme häufig von außerhalb der Sperrgebiete programmiert werden. Eines der wichtigsten Themen für die CIM-Sicherheit ist die Vermeidung von Störungen, da die meisten Risiken in der Fehlerbehebungsphase des Systems auftreten. Die Vermeidung von Störungen ist das gemeinsame Ziel hinsichtlich Sicherheit und Wirtschaftlichkeit.
Eine Störung in einem CIM-System ist ein Zustand oder eine Funktion eines Systems, die vom geplanten oder gewünschten Zustand abweicht. Neben der Produktivität wirken sich Störungen beim Betrieb eines CIM direkt auf die Sicherheit der am Betrieb der Anlage beteiligten Personen aus. Eine finnische Studie (Kuivanen 1990) zeigte, dass etwa die Hälfte der Störungen in der automatisierten Fertigung die Sicherheit der Arbeiter beeinträchtigen. Die Hauptursachen für Störungen waren Fehler im Systemdesign (34 %), Ausfälle von Systemkomponenten (31 %), menschliches Versagen (20 %) und externe Faktoren (15 %). Die meisten Maschinenausfälle wurden durch das Steuersystem verursacht, und im Steuersystem traten die meisten Fehler in Sensoren auf. Eine effektive Möglichkeit, das Sicherheitsniveau von CIM-Anlagen zu erhöhen, besteht darin, die Anzahl der Störungen zu reduzieren. Obwohl menschliche Handlungen in gestörten Systemen das Auftreten von Unfällen in der HAS-Umgebung verhindern, tragen sie auch dazu bei. So zeigte beispielsweise eine Untersuchung von Unfällen im Zusammenhang mit Fehlfunktionen technischer Steuerungssysteme, dass etwa ein Drittel der Unfallabläufe einen menschlichen Eingriff in den Regelkreis des gestörten Systems beinhaltete.
Die Hauptforschungsthemen in der CIM-Störungsprävention betreffen (1) Hauptursachen von Störungen, (2) unzuverlässige Komponenten und Funktionen, (3) die Auswirkungen von Störungen auf die Sicherheit, (4) die Auswirkungen von Störungen auf die Funktion des Systems, ( 5) Sachschäden und (6) Reparaturen. Die Sicherheit von HAS sollte frühzeitig in der Phase des Systementwurfs unter gebührender Berücksichtigung von Technologie, Personal und Organisation geplant werden und ein integraler Bestandteil des gesamten technischen HAS-Planungsprozesses sein.
HAS-Design: Zukünftige Herausforderungen
Um den größtmöglichen Nutzen aus hybriden automatisierten Systemen, wie oben diskutiert, sicherzustellen, ist eine viel breitere Vision der Systementwicklung erforderlich, die auf der Integration von Menschen, Organisation und Technologie basiert. Drei Haupttypen der Systemintegration sollten hier angewendet werden:
Die Mindestdesignanforderungen für hybride automatisierte Systeme sollten Folgendes umfassen: (1) Flexibilität, (2) dynamische Anpassung, (3) verbesserte Reaktionsfähigkeit und (4) die Notwendigkeit, Menschen zu motivieren und ihre Fähigkeiten, ihr Urteilsvermögen und ihre Erfahrung besser zu nutzen . Das oben Gesagte erfordert auch, dass Organisationsstrukturen, Arbeitspraktiken und Technologien entwickelt werden, die es Menschen auf allen Ebenen des Systems ermöglichen, ihre Arbeitsstrategien an die Vielfalt der Systemsteuerungssituationen anzupassen. Daher müssen die Organisationen, Arbeitsweisen und Technologien von HAS als offene Systeme konzipiert und entwickelt werden (Kidd 1994).
Ein offenes hybrides automatisiertes System (OHAS) ist ein System, das Eingaben von seiner Umgebung empfängt und Ausgaben an diese sendet. Die Idee eines offenen Systems lässt sich nicht nur auf Systemarchitekturen und Organisationsstrukturen anwenden, sondern auch auf Arbeitspraktiken, Mensch-Computer-Schnittstellen und die Beziehung zwischen Menschen und Technologien: Zu nennen sind beispielsweise Planungssysteme, Steuerungssysteme und Entscheidungsunterstützungssysteme. Ein offenes System ist auch dann ein adaptives System, wenn es den Menschen einen großen Freiheitsgrad bei der Definition der Betriebsweise des Systems lässt. Beispielsweise können im Bereich Advanced Manufacturing die Anforderungen an ein offenes hybrides automatisiertes System durch das Konzept von realisiert werden menschen- und computerintegrierte Fertigung (HCIM). Aus dieser Sicht sollte das Design der Technologie die gesamte HCIM-Systemarchitektur berücksichtigen, einschließlich der folgenden: (1) Überlegungen zum Netzwerk von Gruppen, (2) die Struktur jeder Gruppe, (3) die Interaktion zwischen Gruppen, (4) die Art der unterstützenden Software und (5) technische Kommunikations- und Integrationsanforderungen zwischen unterstützenden Softwaremodulen.
Das adaptive hybride automatisierte System schränkt im Gegensatz zum geschlossenen System nicht ein, was die menschlichen Bediener tun können. Die Rolle des Designers eines HAS besteht darin, ein System zu schaffen, das die persönlichen Vorlieben des Benutzers erfüllt und es seinen Benutzern ermöglicht, so zu arbeiten, wie sie es am geeignetsten finden. Eine Voraussetzung für das Zulassen von Benutzereingaben ist die Entwicklung einer adaptiven Entwurfsmethodik – also eines OHAS, der es ermöglicht, computergestützte Technologie für seine Implementierung im Entwurfsprozess zu ermöglichen. Die Notwendigkeit, eine Methodik für adaptives Design zu entwickeln, ist eine der unmittelbaren Voraussetzungen, um das OHAS-Konzept in die Praxis umzusetzen. Es muss auch eine neue Ebene der adaptiven menschlichen Überwachungssteuerungstechnologie entwickelt werden. Eine solche Technologie sollte es dem menschlichen Bediener ermöglichen, das ansonsten unsichtbare Steuersystem der HAS-Funktion „durchzuschauen“ – beispielsweise durch Anwendung eines interaktiven Hochgeschwindigkeits-Videosystems an jedem Punkt der Systemsteuerung und des Betriebs. Schließlich wird auch dringend eine Methodik zur Entwicklung einer intelligenten und hochgradig anpassungsfähigen computergestützten Unterstützung menschlicher Rollen und menschlicher Funktionen in hybriden automatisierten Systemen benötigt.
HAFTUNGSAUSSCHLUSS: Die ILO übernimmt keine Verantwortung für auf diesem Webportal präsentierte Inhalte, die in einer anderen Sprache als Englisch präsentiert werden, der Sprache, die für die Erstproduktion und Peer-Review von Originalinhalten verwendet wird. Bestimmte Statistiken wurden seitdem nicht aktualisiert die Produktion der 4. Auflage der Encyclopaedia (1998)."