Bild 1. Meldepflichtige Unfallzahlen an Werkzeugmaschinen in Deutschland, alle Schweregrade addiert, inklusive aller tödlichen Unfälle.

© VDW

Als im Zeitraum von 1994 bis 2003 die Produktsicherheitsstandards für Werkzeugmaschinen in CEN/TC 143 entstanden, wurde der Begriff Wahrscheinlichkeit im Bereich der Werkzeugmaschinensicherheit kaum benutzt. Diese CEN-Normen stellen trotzdem seit mehr als zehn Jahren einen weltweit einzigartigen Stand der Technik dar. Damals wurden bei der Gefährdungsanalyse prinzipielle Verletzungsmöglichkeiten betrachtet. Grundlage war eine deterministische Vorgehensweise nach der Gleichung: Identifiziere Gefährdungen + kompensiere sie durch ein Bündel an Sicherheitsmaßnahmen = sichere Maschine.

Unwägbarkeiten infolge des Versagens von Sicherheitsmaßnahmen wurden hier nicht konsequent betrachtet, schon gar nicht zahlenmäßig. Nur im Falle von verdoppelten Abschaltpfaden in der Steuerungskette wurde die Wahrscheinlichkeit eines simultanen Ausfalls beider Kanäle betrachtet und – im Vertrauen auf den Steuerungshersteller – als vernachlässigbar klein angesehen (Fehlerausschluss). Die so getroffenen Festlegungen sind in der Praxis in ganz Europa bewährt, wie die deutlich gesunkenen Unfallzahlen für Deutschland belegen. Die Probleme mit der Wahrscheinlichkeit sind also eher von theoretischer Art.

Bild 2. Zweidimensionales Pareto-Diagramm des verwendungsspezifisch abgeschätzten Risikoprofils einer normkonformen CNC-Werkzeugmaschine mit den Betriebsarten Einrichten EB, Automatikbetrieb AB und Sonderbetrieb SBA.

© VDW

EN ISO 13849-1 machte im Jahre 2011 nach einer zweijährigen Klärungsphase die Wahrscheinlichkeit (eines Steuerungsversagens) zu einem Schlüsselbegriff in der Normungswelt. Unter dem Arbeitstitel „Funktionale Sicherheit“ beschäftigen sich engagierte Firmenvertreter des VDW mit dem Paradigmenwechsel von einer nichtnumerischen Sicherheitstechnik (EN 954-1) hin zur wahrscheinlichkeitstheoretischen Probabilistik (EN ISO 13849-1). Dabei erleben sie eine allgemeine Unkenntnis und ungeklärte Kontroversen, etwa bei der Frage nach einem tolerierbaren Risiko. Zum Beispiel zog sich die Erarbeitung des neuen DGUV-Infoblatts zum Thema „Werkstückspannen“, welches speziell für Drehmaschinen zusammen mit dem VDW entwickelt wurde und bei der DGUV online ist [1], über mehr als vier Jahre hin, bis hierzu ein Konsens gefunden werden konnte.

Kurzum: In den Arbeitskreisen für Werkzeugmaschinen fehlt es weiterhin an Experten für einen professionellen, ingenieurmäßig korrekten Umgang mit der Wahrscheinlichkeit. Die Mehrheit der Experten des alten deterministischen Ansatzes ist teilweise noch sehr unsicher, wenn Diskussionen sich um die offensichtlich unterschiedlichen Bedeutungen von Wahrscheinlichkeit drehen. Vonnöten ist daher eine zielführende Diskussion zur Probabilistik, damit die Branche zu einem gemeinsamen Verständnis des Wahrscheinlichkeitsbegriffes in der Maschinensicherheit kommt.

Denn der Arbeitsschutz vertritt oft die Auffassung, dass schon die prinzipielle Möglichkeit eines schweren Schadens nicht sein darf. Das heißt, die Wahrscheinlichkeit eines schweren Schadens soll dann Null sein. In der bloßen Möglichkeit eines Schadens wird also fälschlicherweise eine Wahrscheinlichkeit von 1 gesehen. Nur für sehr große Grundgesamtheiten und unendlich lange Zeiträume trifft das zu, wie im Gesetz von Murphy – „If anything can go wrong, it will!“ – angedeutet.

Bild 3. Deterministische versus probabilistische Sicherheitsanforderungen nach EN ISO 13849-1: ­Geänderter Entscheidungsbaum für die Ableitung der Sollwerte (Performance Level required statt Kategorien).

© VDW

Für die Konstruktion einer Maschine ist es unerlässlich, die Möglichkeit von unerwünschten Ereignissen nicht prinzipiell zu betrachten, sondern in einem gegebenen Kontext. Zum Beispiel auf Basis der 3-stufigen Risikoreduktion gemäß Maschinenrichtlinie und im Rahmen einer begrenzten Verwendungsdauer einer Maschine beziehungsweise von mehreren gleichartigen Maschinen, natürlich bestimmungsgemäß verwendet von geschulten Bedienern. In der Folge wird aus der prinzipiellen Möglichkeit einer Gefährdung eine – mehr oder weniger große – Möglichkeit, die als Wahrscheinlichkeit weiter betrachtet wird. Es stellt sich dann die Frage nach der Grenze der Wahrscheinlichkeit, die quasi die Möglichkeit von der Unmöglichkeit gedanklich als tolerierbare Grenzwahrscheinlichkeit unterscheidet. Der Unterschied zwischen Chance und Risiko der Technik liegt dabei eben in der Grenzwahrscheinlichkeit. Mit der Forderung nach einem „Null-Risiko“ gibt es allerdings keine Chance. Auch die Forderung einiger Arbeitsschützer „Jeder technische Aufwand ist gerechtfertigt, einen schweren Unfall zu verhindern“ ist fragwürdig, weil damit ein unzumutbares wirtschaftliches Risiko provoziert wird, ohne die Maßnahmen der betrieblichen Sicherheit angemessen mit zu betrachten, zum Beispiel um Manipulation zu ahnden.

Die Technische Mathematik stellt bei Wahrscheinlichkeitsbetrachtungen sowohl eine Relation zum zeitlichen Rahmen als auch zum Umfang einer Stichprobe her. Mit Fehlerbäumen zur Relation von Ursache und Wirkung erkennt man schnell, dass die Möglichkeit schwerwiegender Ereignisse prinzipiell meistens zwar da ist, aber die Wahrscheinlichkeit des Eintretens sehr gering ist. Zum Beispiel, dass in einem diversitär redundanten System, das gegen Fehler gemeinsamer Ursache geschützt ist, beide Kanäle gleichzeitig ausfallen. Hierfür nimmt man einen Fehlerausschluss an, weil die Ausfallwahrscheinlichkeit durch die Produktbildung (für unabhängige Wahrscheinlichkeiten auf Basis von Maßnahmen gegen Fehler gemeinsamer Ursache) sehr kleine Werte annimmt. Das bedeutet also, dass eine genügend geringe Wahrscheinlichkeit quasi mit einer Unmöglichkeit gleichgesetzt wird. Dieses Risiko wird also toleriert, auch in der EN ISO 13849-1, wenn die Zuverlässigkeit jedes einzelnen Kanals ausreichend groß ist.

Bild 4. Steuerungsketten werden nach Wahrscheinlichkeiten eines Gefahr bringenden Ausfalls pro Stunde (PFHd – Probability of dangerous Failure per Hour) quantifiziert. Die Grafik zeigt den Vergleich der PFHd für Exponential- und Weibullverteilung: Auffällig ist die Abweichung zwischen der Theorie der EN ISO 13849-1 und den realen Felddaten, die eher einer Weibullverteilung entsprechen.

© VDW

Für praktische Zuverlässigkeitsbetrachtungen ist die Relation zwischen einem experimentell gewonnenen Histogramm und einer empirischen Dichtefunktion sehr wichtig, um den PFHd-Wert gemäß EN ISO 13849-1 zu ermitteln (Bild 4). Dabei lassen sich Verteilungsfunktionen ableiten – etwa eine Weibullverteilung oder eine Exponentialverteilung. EN ISO 13849-1 bezieht sich – ohne es explizit zu sagen – durchgängig auf das Modell einer konstanten Ausfallrate mit der Exponentialverteilung für zufällige Fehler. In VDW-Studien zur Betriebsbewährtheit wird dagegen die Weibullverteilung für die Auswertung empirischer Felddaten verwendet, weil an Werkzeugmaschinen die Ausfälle nicht rein zufällig sind, sondern mit zunehmender Betriebszeit infolge Verschleiß oder Alterung ansteigen (siehe dazu die Sanduhr-Analogie des Autors bei YouTube [2]).

Für die praxisgerechte Nachbesserung der EN ISO 13849-1 unterstützt der VDW einen Vorschlag zur Erfassung der Betriebsbewährtheit in der Aktorik. Dabei werden logarithmisch gemittelte PFHd-Werte angenommen, falls anwendungsspezifische Kennwerte von aktorischen Komponenten fehlen, andererseits aber die Betriebsbewährtheit belegt werden kann.

Weil die Kontroversen bei der Nachbesserung der EN ISO 13849-1 in ihrem finalen Ausgang noch unwägbar sind, engagiert sich der VDW nicht zuletzt bei der Zusammenführung der Parallelnormen EN ISO 13849-1 und IEC 62061 zur IEC/ISO 17305. In der Sub-Group 3, die vom VDW betreut wird, werden unter anderem „Terms and Definitions“ diskutiert; diese sollen in plausibler Relation stehen zu Typ-C-Normen und zu den Begrifflichkeiten, die von Maschinenherstellern im Kontext der Verfügbarkeitsbetrachtungen bereits verwendet werden. Die für Werkzeugmaschinen besonders wichtige Diagnose-Deckung im Prozess soll außerdem über Fehlerbäume ermittelt werden. Und der Begriff „Systematische Integrität“ soll auf die 3-Stufen-Methode zur Risikoreduktion in den Typ-C-Normen als Analogie übertragen werden.
In der Sub-Group 5 wird zu den Methoden der Risikobeurteilung ein umfangreicher informativer Anhang vorbereitet, allerdings ohne eine bestimmte Methode zu empfehlen.

Bild 5. Im Rahmen eines Technologietages, der Mitte März auf der Metav stattfand, hat der VDW die Sicherheit von Werkzeugmaschinen beleuchtet.

© VDW

Deshalb soll die grundsätzliche Darstellung des Risikos diskutiert werden, um einen Vergleichsmaßstab zu etablieren. Dazu stellt der VDW auf dem nächsten ESREL-Symposium für Sicherheit und Zuverlässigkeit vom 14. bis 18. Sept. 2014 in Breslau (http://www.esrel2014.org) drei Papiere vor, die mit Partner-Universitäten in Deutschland und Italien verfasst wurden, um einen Abgleich der laufenden Normungsaktivitäten mit etablierten Probabilistik-Experten an den Universitäten auf den Weg zu bringen – ein Vorhaben, das längst fällig ist.

Eine Bemerkung zum Abschluss: Verwunderlich ist, dass die Forderung nach Verschärfung von Normen zur Zeit stark von Nationen getrieben wird, die Werkzeugmaschinen nur anwenden, aber nicht selbst herstellen. Daraus resultieren teilweise überzogene Forderungen hinsichtlich einer zu realisierenden absoluten Risikovermeidung. Länder, die für ihre starke Werkzeugmaschinen-Industrie bekannt sind, kommen so immer wieder in einen Rechtfertigungszwang, dem nur mit fundiertem Verständnis entgegengewirkt werden kann. Auch ist die Marktüberwachung großteils nicht wirksam, weil zum einen Kapazitäten, zum anderen aber auch tiefe Fachkenntnis fehlen – insbesondere bei der Interpretation von Wahrscheinlichkeitswerten.

[1]    www.dguv.de/medien/fb-holzundmetall/publikationen/infoblaetter/infobl_deutsch/039_werkstueckspannung.pdf
[2]    siehe dazu die Sanduhr-Analogie des Autors bei Youtube, erster Fund unter „Hourglass Analogy“

Autor: Heinrich Mödden ist Referent für Maschinen­sicherheit beim VDW.

Wahrscheinlichkeit – die Tücken des Begriffes

In der Technik sind drei Definitionen beziehungsweise Wesensmerkmale der Wahrscheinlichkeit etabliert:

1. Quotient: relevante geteilt durch mögliche Fälle

Beim Quotienten handelt es sich um einen theoretischen Wert, z.B. mit zweimal Würfeln mind. eine 6 zu würfeln. Konkret: P(min. eine 6|2-mal Würfeln) = 11/36 = 30,6%. Bei dieser Definition der Wahrscheinlichkeit besteht in Bezug auf Sicherheit eine enge Verbindung zu jeder Form von Einbildungskraft und hypothetischen Zweifeln, weil theoretische Werte auf die prinzipielle Möglichkeit fokussieren und diese von einigen Arbeitsschützern mit der Wahrscheinlichkeit verwechselt wird. Sie fordern dann eine sicherheitstechnische Nachrüstung, ohne sich selbst und Betroffenen Rechenschaft über die wirkliche Notwendigkeit abzulegen, z.B. mit der Darstellung relativer Häufigkeiten von theoretischen Schreckensszenarien.

2. Relative Häufigkeit, zum Beispiel „112 Tage ohne Regen in einem Jahr“, P(ohne Regen) = 112/365 = 30,7 %.

Bei der relativen Häufigkeit besteht eine enge Verknüpfung mit der Statistik, bei der Ereignisse beispielsweise in Form eines Histogramms sortiert werden. Für einen Realitätssinn ist dies gut geeignet (siehe Bild 1 und Bild 4). Das Unfallgeschehen an Werkzeugmaschinen kann jedenfalls Nachrüstungen zur funktionalen Sicherheit nicht begründen, denn bekannt ist, dass nichttechnische Ursachen mit den schweren Unfällen in enger Verbindung stehen (zum Beispiel Manipulation).

3. Überzeugungsgrad – zum Beispiel die Aussage: „normkonform gebaute deutsche Werkzeugmaschinen sind sicher“

Der Überzeugungsgrad hat Verwandtschaft mit Erfahrungswissen, das beispielsweise zu Vertrauen in die Betriebsbewährtheit geführt hat. Dies ist auch die Zielrichtung für die empirischen Betriebsbewährtheitsnachweise des VDW wie in Bild 4 zu sehen.

Unterschiedliche Überzeugungen im Arbeitsschutz stellen sich derzeit folgendermaßen dar, und sie können sich nur auf Basis von realen relativen Häufigkeiten einigen:

Pro: Der Stand der Technik an deutschen Werkzeugmaschinen ist erfahrungsgemäß weitgehend sicher (Argumentation mit Bezug zu Punkt 2).

Contra: Zum Beispiel einige Steuerungshersteller aus der „Gelben Fraktion“, die fordern, dass der Stand der Steuerungstechnik aus theoretischen Gründen generell aufgerüstet werden muss (Argumente ohne Bezug zu Punkt 2).