Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. ▢Regelwerk, Technische Regeln, TRBS - Arbeitsschutz

...

---

Siehe Fn. *

Die Technischen Regeln für Betriebssicherheit (TRBS) geben den Stand der Technik, Arbeitsmedizin und Arbeitshygiene sowie sonstige gesicherte arbeitswissenschaftliche Erkenntnisse für die Verwendung von Arbeitsmitteln wieder.

Sie werden vom Ausschuss für Betriebssicherheit ermittelt bzw. angepasst und vom Bundesministerium für Arbeit und Soziales (BMAS) im Gemeinsamen Ministerialblatt (GMBl) bekannt gegeben.

Die TRBS 1115 konkretisiert im Rahmen ihres Anwendungsbereichs die Anforderungen der Betriebssicherheitsverordnung. Bei Einhaltung dieser Technischen Regeln kann der Arbeitgeber davon ausgehen, dass die entsprechenden Anforderungen der Verordnung erfüllt sind. Wählt der Arbeitgeber eine andere Lösung, muss er damit mindestens die gleiche Sicherheit und den gleichen Gesundheitsschutz für die Beschäftigten erreichen.

1 Anwendungsbereich ^{23 24}

(1) Diese Technische Regel konkretisiert die Betriebssicherheitsverordnung (BetrSichV) im Hinblick auf die dauerhafte Sicherstellung der Funktionsfähigkeit von sicherheitsrelevanten Mess-, Steuer- und Regeleinrichtungen (MSR-Einrichtungen), die als technische Schutzmaßnahme für die sichere Verwendung eines Arbeitsmittels inklusive einer überwachungsbedürftigen Anlage eingesetzt werden. Belange der Cybersicherheit siehe EmpfBS 1115. Für nicht verwendungsfertig beschaffte Arbeitsmittel bietet diese Technische Regel auch Hilfestellung für die Spezifikation, Planung und Realisierung von sicherheitsrelevanten MSR-Einrichtungen.

(2) Diese TRBS beschreibt auch die Durchführung von Prüfungen sowie das Vorgehen bei Änderungen von Arbeitsmitteln in Zusammenhang mit sicherheitsrelevanten MSR-Einrichtungen. Spezifische Anforderungen in Bezug auf Druckanlagen sind in Anhang B, in Bezug auf Ex-Anlagen in Anhang C und in Bezug auf Aufzugsanlagen in Anhang D aufgeführt.

(3) Diese Technische Regel kann auch für hinsichtlich der funktionalen Sicherheit zu bewertende Funktionseinheiten einer Ex-Einrichtung gemäß TRGS 725 angewendet werden.

(4) Anhang A enthält Maßnahmen, die der Arbeitgeber berücksichtigen muss, wenn er ein Management der funktionalen Sicherheit im Betrieb einführt.

2 Begriffsbestimmungen

2.1 Allgemeines

Folgende Begriffe sind bereits in TRBS 1201 bestimmt:

1. Kontrolle
2. Art und Umfang erforderlicher Prüfungen
3. Prüffrist
4. Notbefehlseinrichtung
5. Sicherheitseinrichtung
6. Sicherheitsrelevante MSR-Einrichtungen

2.2 Funktionale Sicherheit

Funktionale Sicherheit ist der Teil der Gesamtsicherheit, der von der korrekten Funktion einer sicherheitsrelevanten MSR-Einrichtung und anderer Schutzmaßnahmen zur Verminderung von Gefährdungen abhängt.

2.3 Sicherheitslebenszyklus

Der Sicherheitslebenszyklus einer sicherheitsrelevanten MSR-Einrichtung beschreibt die für die einzelnen Lebensphasen notwendigen Aufgaben des Arbeitgebers zur Implementierung und Aufrechterhaltung ihrer Funktionsfähigkeit von der Konzeption bis zur Außerbetriebnahme. Der Sicherheitslebenszyklus ist gleichzusetzen mit der "gesamten Verwendungsdauer", während der ein Arbeitsmittel gemäß § 10 Absatz 1 BetrSichV in einem sicheren Zustand erhalten werden muss.

3 Sicherheitsrelevante MSR-Einrichtungen

3.1 Allgemeines ²³

(1) Gemäß § 5 Absatz 1 BetrSichV müssen Arbeitsmittel, also auch zugehörige sicherheitsrelevante MSR-Einrichtungen, für den Einsatzzweck geeignet und unter den vorgesehenen Einsatzbedingungen und den vorhersehbaren Beanspruchungen sicher sein.

(2) Gemäß § 5 Absatz 3 BetrSichV müssen auch Arbeitsmittel, die der Arbeitgeber für eigene Zwecke selbst hergestellt hat, den grundlegenden Sicherheitsanforderungen der für sie geltenden EU-Richtlinien und -Verordnungen entsprechen. Den formalen Anforderungen der für das Arbeitsmittel geltenden EU-Richtlinien brauchen die Arbeitsmittel nicht zu entsprechen, es sei denn, es ist in der jeweiligen Richtlinie ausdrücklich anders bestimmt.

(3) Sicherheitsrelevante MSR-Einrichtungen, ihre Integration in das Arbeitsmittel und ihre Anwendung müssen dem Stand der Technik entsprechen. Der Stand der Technik ergibt sich aus den einschlägigen Normen des z.B. Produktsicherheitsrechts und ggf. aus staatlichen Regeln. Sie bezeichnen sicherheitsrelevante MSR-Einrichtungen auch als sicherheitsbezogene Steuerungen oder PLT-Sicherheitseinrichtungen (PLT = Prozessleittechnik).

(4) Sicherheitsrelevante MSR-Einrichtungen dienen der Verhinderung von Gefährdungen bei der Verwendung von Arbeitsmitteln, die nicht durch inhärent sichere Konstruktion des Arbeitsmittels oder durch trennende Schutzeinrichtungen beseitigt oder ausreichend vermindert werden können.

(5) Die Einordnung einer sicherheitsrelevanten MSR-Einrichtung in den Prozess der Gefährdungsbeurteilung wird in Abbildung 1 dargestellt.

Abb. 1: Schematische Darstellung der Einordnung einer sicherheitsrelevanten MSR-Einrichtung in den Prozess der Gefährdungsbeurteilung

(6) Zu den sicherheitsrelevanten MSR-Einrichtungen gehören beispielsweise:

1. Mess-, Steuer- und Regeleinrichtungen von Arbeitsmitteln, die gemäß § 8 Absatz 2 BetrSichV erforderlich sind.
   Dazu gehören beispielsweise:
   1. Steuerungen an Maschinen gemäß Richtlinie 2006/42/EG (Maschinen-Richtlinie), insbesondere solche Schutzeinrichtungen und Schutzmaßnahmen für besondere Betriebsarten (z.B. im Einrichtbetrieb) gemäß TRBS 2111, die in die Steuerung des Arbeitsmittels gemäß der Steuerungsaufgabe eingebunden sind,
   2. mess- und regeltechnische Sicherheitseinrichtungen (Safety Related Measurement Control and Regulation, SRMCR), die Ausrüstungsteile mit Sicherheitsfunktion im Sinne von Artikel 2 Absatz 4 der Richtlinie 2014/68/EU (Druckgeräte-Richtlinie) sind,
   3. elektrische Sicherheitseinrichtungen, die Sicherheitsbauteile im Sinne von Anhang III der Richtlinie 2014/33/EU (Aufzugsrichtlinie) sind u. a. elektrische Sicherheitseinrichtungen nach DIN EN 8120:2014 Anhang A,
   4. Sicherheits-, Kontroll- und Regelvorrichtungen im Sinne der Richtlinie 2014/34/EU (ATEX-Richtlinie).
2. Notbefehlseinrichtungen mit den zugehörigen Sicherheitsfunktionen, die gemäß § 8 Absatz 6 BetrSichV erforderlich sind, und
3. hinsichtlich der funktionalen Sicherheit bewertete Funktionseinheiten einer Ex-Einrichtung gemäß TRGS 725.

3.2 Phasen im Sicherheitslebenszyklus

Der Sicherheitslebenszyklus einer sicherheitsrelevanten MSR-Einrichtung (siehe Abschnitt 2.3) umfasst die:

1. Ermittlung des Sollzustands (Festlegung aller Schutzmaßnahmen für die Gesamtsicherheit des Arbeitsmittels und Zuordnung der daraus resultierenden Schutzmaßnahmen hinsichtlich der sicherheitsrelevanten MSR-Einrichtungen),
2. Planung und Realisierung einschließlich
1. Spezifikation der MSR-Einrichtung
2. Errichtung
3. Inbetriebnahme der sicherheitsrelevanten MSR-Einrichtung,
3. Überprüfung der Wirksamkeit der sicherheitsrelevanten MSR-Einrichtung,
4. Verwendung (Betrieb) und Instandhaltung,
5. Außerbetriebnahme.

Abb. 2: Abläufe bei Planung, Realisierung und Verwendung einer sicherheitsrelevanten MSR-Einrichtung

3.3 Organisatorische Maßnahmen

3.3.1 Allgemeines

(1) Die Wirksamkeit sicherheitsrelevanter MSR-Einrichtungen als Schutzmaßnahme muss dauerhaft sichergestellt werden. Dafür ist es erforderlich, Fachkunde (Qualifikation), Tätigkeiten und Zuständigkeiten derjenigen Personen festzulegen, die für den Auswahl- und Beschaffungsprozess verantwortlich sind und die im Betrieb Umgang mit einer sicherheitsrelevanten MSR-Einrichtung haben. Ihre Verantwortlichkeiten und Aufgaben müssen eindeutig festgelegt werden und alle vorgenannten beteiligten Personen müssen über ein der Aufgabe entsprechendes Fachwissen verfügen.

(2) Für die Art und den Umfang der organisatorischen Maßnahmen sind zwei Fälle zu unterscheiden:

1. die sicherheitsrelevante MSR-Einrichtung wird verwendungsfertig als Teil des Arbeitsmittels durch den Hersteller auf dem Markt bereitgestellt.
   In diesem Fall hat der Arbeitgeber die Installations- und Betriebsanleitung des Arbeitsmittels zu beachten und die Funktionsfähigkeit der sicherheitsrelevanten MSR-Einrichtung durch die Veranlassung von Instandhaltungsmaßnahmen, Prüfungen und Kontrollen unter Berücksichtigung entsprechender Herstellervorgaben aufrechtzuerhalten.
2. die sicherheitsrelevante MSR-Einrichtung wird durch den Arbeitgeber in eigener Verantwortung zur Verfügung gestellt (z.B. Temperaturüberwachung bezüglich der Verhinderung des Durchgehens einer chemischen Reaktion oder der Selbstentzündung einer Staubschüttung). Dies kann entweder durch die Beschaffung einer sicherheitsrelevanten MSR-Einrichtung als verwendungsfertiges Produkt oder durch den Zusammenbau eigenständiger Bauteile durch den Arbeitgeber erfolgen.
   In diesen Fällen hat der Arbeitgeber eigene Verfahren festzulegen, um die Wirksamkeit und die Funktionsfähigkeit der sicherheitsrelevanten MSR-Einrichtung über die gesamte Verwendungsdauer sicherzustellen. Dafür sind die erforderliche Fachkunde, die Verantwortlichkeiten und die zu nutzenden Werkzeuge und Methoden festzulegen (siehe hierzu Abschnitt 4).

(3) Wenn der Arbeitgeber zur Aufrechterhaltung von Wirksamkeit und Funktionsfähigkeit sicherheitsrelevanter MSR-Einrichtungen ein Management der funktionalen Sicherheit im Betrieb einführt, sind die in Anhang A beschriebenen Maßnahmen zu berücksichtigen.

3.3.2 Qualifikation der fachkundigen Personen

(1) Nach § 3 Absatz 3 BetrSichV darf eine Gefährdungsbeurteilung nur von fachkundigen Personen durchgeführt werden. Diese müssen in der Lage sein, Gefährdungen der Beschäftigten bei der Verwendung von MSR-Einrichtungen bzw. Arbeitsmitteln mit MSR-Einrichtungen systematisch zu ermitteln und zu bewerten sowie aus dem Ergebnis Schutzmaßnahmen abzuleiten.

(2) Die nachstehend genannten Aspekte zur erforderlichen Fachkunde für eine Gefährdungsbeurteilung sind für die Arbeitgeber gedacht, die am Markt bereitgestellte sicherheitsrelevante MSR-Einrichtungen einsetzen.

Die erforderliche Fachkunde umfasst in Abhängigkeit von der Komplexität des Arbeitsmittels technische Kenntnisse, Ausbildung und Erfahrung auf mehreren Gebieten:

1. regulatorische und normative Anforderungen
1. Kenntnis gesetzlicher Vorschriften zum Arbeitsschutz
2. Befähigung zur sachgerechten Durchführung einer Gefährdungsbeurteilung
3. Kenntnis einschlägiger Sicherheitsanforderungen und Sicherheitsvorschriften
2. Branchenkenntnisse

   Da die Gefährdungsbeurteilung dem Ziel dient, die notwendigen und geeigneten Schutzmaßnahmen für Sicherheit und Gesundheitsschutz festzulegen (siehe TRBS 1111 Abschnitt 2 Absatz 1), sind grundlegende Kenntnisse der Branche in Bezug auf die Gefährdungen unerlässlich. Zu diesen Kenntnissen können branchentypische Gegebenheiten gehören wie (nicht abschließende Aufzählung):

   1. branchenübliche Arbeitsprozesse und Arbeitsmittel
   2. typische Gefährdungen und Gefahrenschwerpunkte
   3. verarbeitete Materialien (Werkstoffe)
   4. Eigenschaften der Produkte
   5. Ausbildung der Beschäftigten
   6. Unfallstatistik
3. spezifische Kenntnis über das jeweilige Unternehmen

   Für die Festlegung von wirksamen Schutzmaßnahmen müssen zusätzlich zu b) die individuellen Gegebenheiten des jeweiligen Unternehmens bekannt sein, insbesondere ortsabhängige Einflussfaktoren, wie (nicht abschließende Aufzählung):

   1. Besonderheiten des Betriebes, wie z.B. spezifische Gefährdungen, Zonen mit explosionsfähiger Atmosphäre usw.
   2. Arbeitsprozesse und verwendete Arbeitsmittel
   3. Aufstellung der Arbeitsmittel in der Betriebsstätte
   4. verarbeitete Materialien (Werkstoffe) und hergestellte Produkte
   5. übliche Betriebsvorgänge (Bedienung, Instandhaltung usw.)
   6. verfügbare Kommunikationsmittel und Warneinrichtungen
4. angemessene Kenntnisse über sicherheitsrelevante MSR-Einrichtungen und funktionale Sicherheit

   Sicherheitsrelevante MSR-Einrichtungen wirken immer zusammen mit anderen Schutzmaßnahmen zur Verhinderung von Gefährdungen. Deshalb sind technisches Wissen und Erfahrung über die Verwendung von sicherheitsrelevanten MSR-Einrichtungen erforderlich:

   1. grundsätzliche Funktion von sicherheitsrelevanten MSR-Einrichtungen
   2. Beurteilung der Eignung von Sensoren und Aktoren für die jeweilige Arbeitsaufgabe unter dem Einfluss der örtlichen Betriebs- und Umgebungsbedingungen
   3. bei Bedarf Kenntnisse über die Festlegung eines erforderlichen Sicherheitsintegritätslevels (SIL) bzw. Performance Levels (PL).

(3) Falls der Arbeitgeber für eine sicherheitsrelevante MSR-Einrichtungen geeignete Produkte (z.B. Temperatursensoren, Drucksensoren) auswählt und installiert, sind gegenüber den Anforderungen des Absatzes 2 tiefergehende Fachkenntnisse und Qualifikationen erforderlich (siehe hierzu auch Anhang A Abschnitt 2.2).

3.4 Dokumentation

Entsprechend den Anforderungen des § 3 Absatz 8 BetrSichV sind auch die auf MSR-Einrichtungen beruhenden Schutzmaßnahmen sowie Art und Umfang der diesbezüglichen Festlegungen zu Kontrollen und Prüfungen und deren Fristen zu dokumentieren (elektronische Form der Dokumentation ist zulässig).

4 Planung und Realisierung der Ausrüstung eines

Arbeitsmittels mit einer sicherheitsrelevanten MSR-Einrichtung durch den Arbeitgeber

4.1 Allgemeines

In diesem Abschnitt werden Maßnahmen beschrieben, die der Arbeitgeber im Zuge der Planung und Realisierung einer sicherheitsrelevanten MSR-Einrichtung zu treffen hat, sofern diese nicht als Bestandteil eines verwendungsfertigen Arbeitsmittels geliefert werden.

4.2 Festlegung des Schutzkonzepts für das Arbeitsmittel durch den Arbeitgeber

(1) Voraussetzung für die Festlegung von Schutzmaßnahmen ist die Ermittlung von Gefährdungen der Beschäftigten bei der Verwendung von Arbeitsmitteln im Rahmen der nach § 5 ArbSchG in Verbindung mit insbesondere § 3 BetrSichV und § 6 GefStoffV vorgeschriebenen Gefährdungsbeurteilung. Dabei sind sowohl technische als auch organisatorische und personenbezogene Schutzmaßnahmen zu betrachten, die zur sicheren Verwendung eines Arbeitsmittels notwendig sind (Schutzkonzept i. S. d. TRBS 1111).

(2) Es ist unerlässlich, zunächst alle erforderlichen Schutzmaßnahmen zu betrachten, damit im nächsten Schritt bei der Festlegung der Anforderung an die MSR-Einrichtung die Sicherheitsfunktionen korrekt zugeordnet werden können.

(3) Die Vorgaben der Hersteller sicherheitsrelevanter MSR-Einrichtungen zur Einbindung in das Arbeitsmittel sind zu beachten.

4.3 Umsetzung des Schutzkonzeptes bezogen auf sicherheitsrelevante MSR-Einrichtungen durch den Arbeitgeber ²³

(1) Als technische Schutzmaßnahme führt eine sicherheitsrelevante MSR-Einrichtung die erforderlichen Sicherheitsfunktionen aus, um die sichere Verwendung des Arbeitsmittels zu erreichen und aufrechtzuerhalten. Es ist deshalb festzulegen, welche Sicherheitsfunktionen als Schutzmaßnahme erforderlich sind, um Gefährdungssituationen zu verhindern, zu begrenzen oder zu beenden.

(2) Entsprechend den möglichen Gefährdungen müssen für jede Sicherheitsfunktion, die von einer MSR-Einrichtung ausgeführt werden soll, die Anforderungen an ihre Zuverlässigkeit festgelegt werden. Dies kann z.B. auf Basis des Sicherheitsintegritätslevels (SIL) oder Performance Levels (PL) erfolgen (siehe Anhang D).

(3) Zu berücksichtigen sind neben den Anforderungen an die sicherheitsrelevante Funktion zusätzliche Anforderungen, die sich aus den Randbedingungen des Einsatzortes ergeben. Dazu gehören beispielsweise:

1. Explosionsschutz
2. elektrische Schutzklassen
3. Blitzschutz
4. klimatische und Aufstellungsbedingungen
5. Eigenschaften der Arbeitsstoffe.

4.4 Beschaffenheit einer sicherheitsrelevanten MSR-Einrichtung

4.4.1 Anforderungen an die Sicherheitsfunktionen ²³

(1) Sicherheitsfunktionen sind als Schutzmaßnahme für die sichere Verwendung für alle Betriebsarten eines Arbeitsmittels und Tätigkeiten mit einem Arbeitsmittel zu definieren.

Zu betrachten sind dabei z.B.

1. Vorbereitung für die Verwendung, Einstellungen, Justage,
2. Anlauf, Lernmodus,
3. manueller Betrieb, halb-/automatischer Betrieb,
4. stationärer Dauerbetrieb,
5. Überwachen, stationärer Zustand ohne Betrieb,
6. Rücksetzen, Abschaltung,
7. Instandhaltung, Reinigen, Prüfen

als auch die unter normalen Umständen vorhersehbaren, nicht bestimmungsgemäßen Betriebszustände und Betriebsstörungen sowie die Demontage.

(2) Die Anforderungen (Spezifikation) an eine sicherheitsrelevante MSR-Einrichtung müssen alle Sicherheitsfunktionen in natürlicher Sprache und/oder Logik-, Ablauf- oder Ursache-Wirkungs-Diagrammen so formulieren, dass jede Sicherheitsfunktion

1. unzweideutig,
2. nachprüfbar,
3. testbar und
4. ausführbar ist sowie
5. im Falle von Veränderungen am Arbeitsmittel oder im Arbeitsprozess angepasst werden kann.

Welche Angaben im Detail eine Spezifikation von Sicherheitsfunktionen enthalten muss, kann anhand des Standes der Technik je nach Anwendungsfall unter Berücksichtigung von z.B. in Anhang D aufgeführten Normen erfolgen.

4.4.2 Anforderungen an sicherheitsrelevante MSR-Einrichtungen als Teil eines verwendungsfertigen Produktes

(1) Wird die sicherheitsrelevante MSR-Einrichtung als Teil eines verwendungsfertigen Produktes auf dem Markt bereitgestellt, unterliegt dieses Produkt insgesamt den Anforderungen der entsprechenden Rechtsvorschriften zum Inverkehrbringen und muss insoweit die produktsicherheitsrechtlich geforderten Anforderungen zum Zeitpunkt der Bereitstellung auf dem Markt erfüllen.

(2) Absatz 1 gilt auch für eine nach Abstimmung zwischen Arbeitgeber und Hersteller hinsichtlich der erforderlichen Anforderung an die funktionale Sicherheit spezifisch angepasste sicherheitsrelevante MSR-Einrichtung.

(3) Für die sicherheitsrelevanten MSR-Einrichtungen sowie ggf. für einzelne Komponenten sind die

1. von den jeweiligen Herstellern erstellten Unterlagen wie z.B. Betriebsanleitung, Datenblätter, Sicherheitskennwerte (B10, Tm, MTTF, PFHd usw.) und Konformitätsnachweise sowie
2. die Festlegungen der für die Gewährleistung der Funktionsfähigkeit einzuhaltenden Fristen der Prüfungen und Kontrollen

Bestandteil der technischen Dokumentation der MSR-Einrichtung.

4.4.3 Anforderungen an vom Arbeitgeber in eigener Verantwortung zur Verfügung gestellte sicherheitsrelevante MSR-Einrichtungen

(1) Die Anforderungen an die sicherheitsrelevanten MSR-Einrichtungen und deren Komponenten sind in einer Spezifikation als Teil der Dokumentation der Gefährdungsbeurteilung des Arbeitgebers festzuhalten.

(2) Die Spezifikation der sicherheitsrelevanten MSR-Einrichtungen muss mit den im Ergebnis der Gefährdungsbeurteilung festgelegten Schutzmaßnahmen vollständig übereinstimmen.

(3) Für die einzelnen Komponenten einer sicherheitsrelevanten MSR-Einrichtung sind

1. die von den jeweiligen Herstellern erstellten Unterlagen wie z.B. Betriebsanleitung, Datenblätter, Sicherheitskennwerte (B₁₀, T_m, MTTF, PFH_d usw.) und Konformitätsnachweise sowie
2. die Festlegungen der für die Gewährleistung der Funktionsfähigkeit einzuhaltenden Fristen der Prüfungen und Kontrollen

Bestandteil der technischen Dokumentation der MSR-Einrichtung und müssen mit dem Ergebnis der Gefährdungsbeurteilung übereinstimmen.

(4) Für die sicherheitsrelevante MSR-Einrichtung hat der Arbeitgeber Vorgaben für die Verwendung (z.B. Montage und Installation, Inbetriebnahme, Instandhaltung) sowie zur Kontrolle der Funktionsfähigkeit und zu Prüfungen festzulegen.

4.5 Errichtung der sicherheitsrelevanten MSR-Einrichtung und Vorbereitung der Inbetriebnahme des Arbeitsmittels durch den Arbeitgeber

4.5.1 Installation

Sicherheitsrelevante MSR-Einrichtungen einschließlich der verwendeten Sensoren, Aktoren, Verbindungskabel sowie der Leitungsführung müssen vom Arbeitgeber fachgerecht ausgewählt und installiert werden. Sie müssen sowohl den betrieblichen Beanspruchungen standhalten als auch den Einflüssen, die aus den Aufstellungs- und Umgebungsbedingungen resultieren. Dies gilt insbesondere in widriger Umgebung, wie z.B. bei aggressiver Atmosphäre oder bei stark beanspruchenden Arbeitsmedien, die unmittelbar mit Sensoren und Aktoren in Berührung kommen.

4.5.2 Inbetriebnahme

(1) Eine fachgerechte Inbetriebnahme der sicherheitsrelevanten MSR-Einrichtungen ist die Voraussetzung dafür, dass die Inbetriebsetzung des Arbeitsmittels erfolgreich abgeschlossen werden kann. Die Inbetriebnahme der sicherheitsrelevanten MSR-Einrichtung muss mindestens folgende Punkte sicherstellen:

1. die Komponenten weisen keine physischen Schäden auf, ggf. versteckte Transportsicherungen und Verpackungsmaterial wurden entfernt;
2. EMV-gerechte Anschlüsse
1. verbundene Komponenten,
2. Funktionserde (Masse) und Schutzerde,
3. Energieversorgung(en);
3. Messeinrichtungen (Sensoren) korrekt eingestellt/justiert;
4. die Einstellparameter der sicherheitsrelevanten MSR-Einrichtung sind vollständig und nach Vorgabe konfiguriert, mit allen Ein-/Ausgängen sowie den Schnittstellen (Datenübertragung) zu anderen Systemen und nach außen;
5. spezifische Herstellervorgaben für den Einbau und den Betrieb der MSR-Einrichtung wurden berücksichtigt.

(2) Bei der Inbetriebnahme der sicherheitsrelevanten MSR-Einrichtung ist sicherzustellen, dass die Installation keine Abweichungen von der Planung aufweist, die die Schutzmaßnahmen beeinträchtigen können.

5 Überprüfung der Wirksamkeit der sicherheitsrelevanten MSR-Einrichtungen

(1) Der Arbeitgeber hat die Wirksamkeit von Schutzmaßnahmen vor der erstmaligen Verwendung eines Arbeitsmittels zu überprüfen (siehe § 4 Absatz 5 BetrSichV und TRBS 1111 Abschnitt 5.7). Dies bedeutet für sicherheitsrelevante MSR-Einrichtungen, dass ihre Wirksamkeit in Anlehnung an TRBS 1111 Abschnitt 4.2 Absatz 7 angenommen werden kann, wenn

1. die vorhandenen technischen Schutzmaßnahmen funktionsfähig sind, z.B.
1. sicherheitsrelevante MSR-Einrichtungen nach Angaben in der Betriebsanleitung und nach dem Ergebnis der Gefährdungsbeurteilung, insbesondere hinsichtlich der vom Arbeitgeber vorgesehenen Verwendung vorhanden und aktiviert sind,
2. eine Grenzwertüberwachung funktionsfähig ist und
2. die Beschäftigten über in diesem Zusammenhang erforderliche organisatorische Schutzmaßnahmen (siehe hierzu Abschnitt 8.1) unterwiesen und erforderlichenfalls nach den Angaben in der Betriebsanleitung eingearbeitet sind.

Eine Überprüfung der Wirksamkeit gemäß § 4 Absatz 5 BetrSichV ist nicht erforderlich, wenn entsprechende Prüfungen nach § 14 oder § 15 BetrSichV durchgeführt wurden.

(2) Ziel ist die Bestätigung, dass die sicherheitsrelevante MSR-Einrichtung die festgelegten sicherheitstechnischen Anforderungen korrekt erfüllt, und dass somit die Schutzmaßnahme für die Beschäftigten wirksam implementiert ist. Dazu dürfen zu diesem Zeitpunkt vorliegende Bestätigungen aller vorhergehenden Phasen des Sicherheitslebenszyklus verwendet werden.

(3) In Abhängigkeit der Komplexität des Arbeitsmittels können bei der Überprüfung der Wirksamkeit der Schutzmaßnahmen insbesondere folgende Punkte relevant sein:

1. Alle relevanten Betriebsarten und Tätigkeiten mit dem Arbeitsmittel sowie vorhersehbare nicht bestimmungsgemäße Verwendung oder Betriebsstörungen müssen eingeschlossen werden.
2. Alle Komponenten der sicherheitsrelevanten MSR-Einrichtungen müssen funktionsfähig sein, auch die jeweiligen Anwendungsprogramme. Dasselbe gilt für kalibrierte Geräte, Werkzeuge und Ausrüstungen, die für die Überprüfung gebraucht werden. Es muss sichergestellt sein, dass
1. andere Arbeitsmittel den Ablauf der Prüfung nicht stören,
2. die Spezifikationen der Sensoren und Aktoren den Anforderungen der Gefährdungsbeurteilung entsprechen und
3. übergeordnete Sicherheitssysteme (sofern zutreffend) einwandfrei arbeiten, auch bei vorhersehbaren nicht bestimmungsgemäßen Betriebszuständen oder Betriebsstörungen.
3. Die Beurteilungskriterien zum Bewerten der sicheren Funktion im Zuge der Überprüfung der Wirksamkeit müssen eindeutig festgelegt sein. Sofern zutreffend, gehören zur Feststellung "in Ordnung" - "nicht in Ordnung" noch weitere Parameter zur Eignung, wie z.B. Zeitverhalten, Messwerte, Toleranzen. Es müssen auch Kriterien festgelegt werden, wie im Fall eines Mangels oder Versagens der Sicherheitsfunktion zu verfahren ist.
4. Für die Überprüfung sind mindestens festzulegen:
1. die Sicherheitsfunktionen, die für jede relevante Betriebsart zu überprüfen sind,
2. die Durchführung der Überprüfung, d. h. für jede einzelne Funktion, wie sie getestet werden soll:
• manuell/automatisch,
• statisch/dynamisch,
• analytisch/statistisch (100 % oder Stichproben),
• Simulation/Realtest.
5. Die Überprüfung der Wirksamkeit der sicherheitsrelevanten MSR-Einrichtung soll nachweisen, dass die in der Spezifikation der Sicherheitsfunktionen festgelegten Anforderungen umgesetzt wurden. Sie muss alle vorgegebenen Anforderungen erfüllen, auch unter Fehlerbedingungen oder im eingeschränkten Betrieb bzw. bei Fehlern an den Schnittstellen zu anderen Komponenten und Arbeitsmitteln. Das bedeutet z.B., dass
1. Festlegungen zur Erkennung ungültiger Eingangsgrößen (z.B. defekte Sensoren) vorhanden sind,
2. Festlegungen zur korrekten Ausführung vorgesehener Aktionen (z.B. Abschaltungen) vorhanden sind und in korrekter Reihenfolge erfolgen,
3. Festlegungen zur korrekten Anzeige von Alarmen und Betriebszuständen vorhanden sind,
4. Festlegungen zu Rücksetzfunktionen entsprechend der Spezifikation der Sicherheitsanforderungen vorhanden sind,
5. Festlegungen zu prozessbedingten Überbrückungen (z.B. beim Anfahren) vorhanden sind und einwandfrei funktionieren,
6. manuelle Abschalteinrichtungen einwandfrei funktionieren,
7. Diagnosefunktionen wie spezifiziert arbeiten,
8. das Verhalten bei Ausfall der Energieversorgung und nach deren Wiederkehr der Spezifikation entspricht und
9. die Installation, auch unter Berücksichtigung der EMV-Störfestigkeit, fachgerecht erfolgte.

(4) Durch die Überprüfung dürfen keine Gefährdungssituationen entstehen, gegen die die sicherheitsrelevante MSR-Einrichtung schützen soll. Das bedeutet, dass die Methoden zur Überprüfung so zu wählen sind, dass weder an Arbeitsmitteln noch im Arbeitsprozess gefährliche Ereignisse provoziert werden. Nach der Überprüfung sind die sicherheitsrelevante MSR-Einrichtung und alle an der Prüfung beteiligten Arbeitsmittel wieder in den normalen Betriebszustand zurückzuversetzen, sofern temporäre Veränderungen vorgenommen wurden, um die Prüfung durchführen zu können.

6 Prüfung des Arbeitsmittels vor Inbetriebnahme und Wiederinbetriebnahme nach prüfpflichtiger Änderung
(§§ 14 und 15 BetrSichV)

(1) Im Rahmen der Prüfung vor Inbetriebnahme und vor Wiederinbetriebnahme nach prüfpflichtiger Änderung des Arbeitsmittels ist die zugehörige Dokumentation des Herstellers, z.B. Konformitätserklärung mit Betriebsanleitung, zu berücksichtigen. Prüfinhalte, die im Rahmen eines Konformitätsbewertungsverfahrens geprüft und dokumentiert wurden, müssen nicht erneut geprüft werden (§ 14 Absatz 1 Satz 3, § 15 Absatz 1 Satz 4 BetrSichV).

(2) Die mit der Prüfung des Arbeitsmittels beauftragte Person kann sich die durch die Anwendung eines funktionalen Sicherheitsmanagements nach Anhang A erzeugten Ergebnisse zu eigen machen. Die im Rahmen eines funktionalen Sicherheitsmanagements erzeugte Dokumentation erfüllt für sicherheitsrelevante MSR-Einrichtungen die Anforderungen nach § 3 Absatz 8 BetrSichV.

(3) Wird abweichend von Absatz 2 kein funktionales Sicherheitsmanagement nach Anhang A angewendet, kann sich die mit der Prüfung des Arbeitsmittels beauftragte Person die Ergebnisse von Prüfungen vor Inbetriebnahme und Überprüfung der Wirksamkeit der Schutzmaßnahmen zu eigen machen, wenn nachvollziehbar dargelegt wird, wie die geforderte Eignung und Funktionsfähigkeit der sicherheitsrelevanten MSR-Einrichtung erreicht wird.

7 Wiederkehrende Prüfung von Arbeitsmitteln mit sicherheitsrelevanten MSR-Einrichtungen
(§§ 14 und 16 BetrSichV)

(1) Bei der wiederkehrenden Prüfung des Arbeitsmittels ist zu prüfen, ob Vorgaben zur regelmäßigen Kontrolle der Funktionsfähigkeit sicherheitsrelevanter MSR-Einrichtungen vorliegen.

(2) Wird kein funktionales Sicherheitsmanagement nach Anhang A angewendet, muss die mit der Prüfung des Arbeitsmittels beauftragte Person nachvollziehen, wie die geforderte Eignung und Funktionsfähigkeit der verwendeten sicherheitsrelevanten MSR-Einrichtung erreicht wird.

(3) Bestandteil der wiederkehrenden Prüfung sind auch

1. die Kontrolle, ob prüfpflichtige Änderungen (siehe hierzu Abschnitt 6) an sicherheitsrelevanten MSR-Einrichtungen des Arbeitsmittels durchgeführt wurden und
2. bei Änderungen gemäß Abschnitt 8.3.3 die Kontrolle, ob die erforderlichen Überprüfungen der Wirksamkeit durchgeführt wurden.

8 Verwendung und Instandhaltung

8.1 Unterweisung von Beschäftigten
(§ 12 BetrSichV)

(1) Das Bedienungspersonal muss über die Funktion und Bedienung der sicherheitsrelevanten MSR-Einrichtung in seinem Zuständigkeitsbereich unterwiesen werden. Dabei muss dem Bedienungspersonal Folgendes vermittelt werden:

1. die grundsätzliche Schutzaufgabe der sicherheitsrelevanten MSR-Einrichtung, d. h., gegen welche Gefahren die sicherheitsrelevante MSR-Einrichtung schützt;
2. der richtige Umgang und unter welchen Umständen ggf. welche Bedienhandlungen durchzuführen sind, z.B. manuelles Eingreifen beim Anfahren des Arbeitsprozesses;
3. die korrekte Reaktion auf Warnmeldungen, falls die Diagnoseeinrichtung der sicherheitsrelevanten MSR-Einrichtung einen Fehlzustand anzeigt;
4. ggf. Überprüfung der Diagnose-Einrichtungen;
5. ggf. manuelle Reaktionen, wie "System Rücksetzen" und "System Neustart" und
6. Verhalten zum Weiterbetrieb des Arbeitsprozesses oder anderer Arbeitsmittel, falls die sicherheitsrelevante MSR-Einrichtung Schutzmaßnahmen ausgelöst hat.

(2) Das Instandhaltungspersonal muss fachkundig sowie über die betrieblichen Anforderungen unterwiesen sein, um die volle Funktion der sicherheitsrelevanten MSR-Einrichtung (Hardware und Software) aufrechtzuerhalten.

8.2 Betrieb, Instandhaltung und regelmäßige Funktionskontrolle
(§ 4 Absatz 5 Satz 3 BetrSichV)

(1) Die vorgesehene Funktion sicherheitsrelevanter MSR-Einrichtungen muss während der gesamten Betriebsdauer des Arbeitsmittels gewährleistet sein. Dazu gehören auch Instandhaltungsmaßnahmen.

(2) Die Anlässe regelmäßiger Kontrollen der Funktionsfähigkeit sowie deren Inhalte werden in der Gefährdungsbeurteilung ermittelt. Bei der Ermittlung ist zu berücksichtigen, dass ggf. Funktionen durch geeignete und hinreichend sichere automatische Diagnosesysteme kontinuierlich überwacht werden.

(3) Die regelmäßige Kontrolle der Funktionsfähigkeit erfolgt durch für diese Aufgabe unterwiesene Beschäftigte und muss für die gesamte sicherheitsrelevante Kette (Sensor, Logik und Aktor einschließlich ihrer Verbindungselemente), ggf. auch in Teilschritten (Sensoren, Aktoren, etc.), erfolgen. Die Kontrolle der Funktionsfähigkeit kann z.B. durch

1. direktes Auslösen der Sicherheitsfunktion oder
2. geeignete Simulation der Sicherheitsanforderung erfolgen.

(4) Bei der Festlegung von Maßnahmen für den Betrieb, die Instandhaltung und die regelmäßige Funktionskontrolle hat der Arbeitgeber mindestens folgende Aspekte zu berücksichtigen:

1. Festlegung von Methoden und Verfahren so, dass die Funktionskontrolle im Betriebsablauf praktikabel ist und Anreize zur Manipulation vermieden sind;
2. Berücksichtigung der Erfahrungen im Umgang mit der MSR-Einrichtung hinsichtlich Diagnose, Überprüfung und Funktionstests sowie festgestellter Fehler und Ausfälle;
3. Beschreibung von Ersatzmaßnahmen für die Zeitdauer ausgeschalteter oder eingeschränkt verfügbarer sicherheitsrelevanter MSR-Einrichtungen z.B. in Betriebsanweisungen.

(5) Personen, die für Betrieb und Instandhaltung der sicherheitsrelevanten MSR-Einrichtungen verantwortlich sind, müssen Zugang zu den Festlegungen der sicherheitstechnischen Maßnahmen und der Betriebsanleitung und ggf. weiterer Unterlagen der Arbeitsmittel haben, soweit dies erforderlich ist, um die korrekte Funktion der Schutzmaßnahmen kontrollieren zu können.

8.3 Änderungen sicherheitsrelevanter MSR-Einrichtungen

8.3.1 Allgemeines

(1) Im Falle einer Änderung der sicherheitsrelevanten MSR-Einrichtung muss der Arbeitgeber ermitteln, ob die sicherheitstechnischen Anforderungen an die sicherheitsrelevante MSR-Einrichtung nach Abschnitt 4.3 neu festzulegen sind.

(2) Im Falle einer Änderung an sicherheitsrelevanten MSR-Einrichtungen hat der Arbeitgeber zu beurteilen, ob er bei den Änderungen Herstellerpflichten zu beachten hat, die sich aus anderen Rechtsvorschriften, insbesondere dem Produktsicherheitsgesetz oder einer Verordnung zum Produktsicherheitsgesetz ergeben (§ 10 Absatz 5 Satz 4 BetrSichV). Weiterhin hat er zu beurteilen, ob es sich um eine prüfpflichtige Änderung im Sinne der BetrSichV handelt (§ 10 Absatz 5 Satz 3 BetrSichV). Weiterhin hat der Arbeitgeber zu prüfen, ob eine erlaubnispflichtige Änderung im Sinne von § 18 BetrSichV vorliegt. Bei Änderungen an sicherheitsrelevanten MSR-Einrichtungen, die zu einer prüfpflichtigen Änderung des Arbeitsmittels führen, sind die geänderten Teile nach Abschnitt 6 zu prüfen.

8.3.2 Austausch von Komponenten gegen identische oder baugleiche Teile

(1) Werden Teile von sicherheitsrelevanten MSR-Einrichtungen durch identische oder baugleiche (mit identischen Sicherheits- und Betriebsparametern) Teile ausgetauscht und

1. die Maßnahmen haben keine Folgewirkungen auf die Sicherheit des Arbeitsmittels und
2. die Montage erfolgt durch fachkundiges Personal und
3. sowohl die Montage-, Installations- und Aufstellbedingungen als auch die sichere Funktion bleiben unverändert und
4. der Arbeitgeber stellt die Verwendung der Ersatzteile und deren ordnungsgemäße Montage und Installation durch geeignete organisatorische Abläufe sicher,

ist dies keine prüfpflichtige Änderung.

(2) Der ordnungsgemäße Austausch von Komponenten gegen identische oder baugleiche Teile ist zu dokumentieren. Dabei ist eine Kontrolle der Funktionsfähigkeit (§ 4 Absatz 5 BetrSichV) durchzuführen.

8.3.3 Austausch von Komponenten gegen nicht identische oder nicht baugleiche Teile ²⁴

(1) Der Austausch von Komponenten einer sicherheitsrelevanten MSR-Einrichtung durch nicht identische oder nicht baugleiche Teile erfordert eine Bewertung ihrer Sicherheitsrelevanz.

(2) Im Hinblick auf die Anforderungen an verwendungsfertige Produkte führt der Leitfaden für die Umsetzung der Produktvorschriften der EU ("Blue Guide" 2022) in Abschnitt 2.1 zur Reparatur oder Instandhaltung von Produkten aus, dass bei Produkten, die (z.B. nach Auftreten eines Fehlers) instand gesetzt worden sind, ohne als neue Produkte angesehen zu werden, keine erneute Konformitätsbewertung erforderlich ist, ganz gleich, ob das Originalprodukt vor oder nach dem Inkrafttreten der Rechtsvorschrift in Verkehr gebracht wurde. Instandsetzung (Reparatur) kann dabei bedeuten:

1. Austausch eines defekten oder verschlissenen Teils durch ein Ersatzteil, das dem Originalteil entweder identisch oder ihm zumindest ähnlich ist,
2. Ersatz des kompletten Geräts durch ein (in der Funktion) identisches,
3. Software-Aktualisierung, die die zugrundeliegenden Sicherheitsanforderungen nicht beeinträchtigt.

Auch Instandsetzungsarbeiten können prüfpflichtige Änderungen sein (§ 2 Absatz 9 Satz 2 BetrSichV).

(3) Falls der Austausch von Bauteilen zu einer Änderung der sicherheitsrelevanten Eigenschaften der sicherheitsrelevanten MSR-Einrichtung führt, ist eine Überprüfung der Wirksamkeit der Schutzmaßnahmen der sicherheitsrelevanten MSR-Einrichtung notwendig. Eine Prüfung ist zu veranlassen, soweit sich nach der mit diesem Austausch erforderlichen Gefährdungsbeurteilung ergibt, dass es sich um eine prüfpflichtige Änderung (§ 2 Absatz 9 Satz 1 BetrSichV) handelt.

8.3.4 Änderung des Schutzkonzepts

Wird das Schutzkonzept geändert, sind dabei die sicherheitstechnischen Anforderungen an die sicherheitsrelevante MSR-Einrichtung neu zu bewerten.

8.4 Außerbetriebnahme der sicherheitsrelevanten MSR-Einrichtung

(1) Wird eine sicherheitsrelevante MSR-Einrichtung dauerhaft außer Betrieb genommen (z.B. bei Wegfall der Gefährdung), ist sicherzustellen, dass die Außerbetriebnahme rückwirkungsfrei auf das Schutzkonzept für die verbleibenden Arbeitsmittel und den Arbeitsprozess erfolgt.

(2) Die Außerbetriebnahme und deren Auswirkung auf den Arbeitsprozess ist zu dokumentieren.

(3) Die Beschäftigten sind über die geänderte Situation zu unterweisen.

.

Management der funktionalen Sicherheit

Anhang A

A1 Anwendungsbereich

Dieser Anhang gilt für die erforderlichen Maßnahmen des Arbeitgebers, der ein Management der funktionalen Sicherheit zum Erreichen der Anforderungen der BetrSichV im Betrieb einführen und aufrechterhalten will.

A2 Management der funktionalen Sicherheit

A2.1 Allgemeines

(1) Wenn der Arbeitgeber ein Management der funktionalen Sicherheit einführt, müssen insbesondere die folgenden Inhalte dokumentiert werden:

1. Festlegung eines Sicherheitsplanes
2. Festlegung von Rollen und Verantwortlichkeiten
3. Fachkunde und deren Nachweis
4. Festlegung von Validierungs-/Verifikationsaktivitäten
5. Erzeugung der notwendigen Dokumentationen
6. Erstellung von Betriebsunterlagen
7. Überprüfung der Wirksamkeit der sicherheitsrelevanten MSR-Einrichtungen im Betrieb
8. regelmäßige Kontrolle der Funktionsfähigkeit
9. Verfahren der Sicherstellung der Anwendung des Managements der funktionalen Sicherheit

(2) Wenn der Arbeitgeber ein Management der funktionalen Sicherheit einführt, muss er entweder

1. dieses Sicherheitsmanagement über den gesamten Sicherheitslebenszyklus etablieren und regelmäßig auf seine Wirksamkeit überprüfen oder
2. zumindest zutreffende Teile des Sicherheitslebenszyklus sinngemäß anwenden. In diesem Fall sind die besonderen Anforderungen bei der Prüfung des zugehörigen Arbeitsmittels gemäß Abschnitt 6 zu beachten.

(3) Für das funktionale Sicherheitsmanagement sind die Festlegung der beteiligten Personen und deren erforderliche Fachkunde, der Verantwortlichkeiten und der zu nutzenden Werkzeuge und Methoden sowie für die Prozessschritte nach Abbildung 2 "Planung und Realisierung" sowie "Verwendung" deren Dokumentation, qualitätssichernde Maßnahmen und deren dokumentierte Umsetzung erforderlich. Es kann separat oder als Teil des allgemeinen Qualitätsmanagements implementiert werden.

Abb. A1 Angepasste Darstellung des Lebenszyklus bei Verwendung eines Managements funktionaler Sicherheit

A2.2 Erforderliche Fachkunde für die an sicherheitsrelevanten MSR-Einrichtungen beteiligten Personen

(1) Qualitätssichernde Maßnahmen sowie die finale Validierung als Abschluss der Planungs- und Realisierungsphase (siehe Abschnitt 5) haben durch fachkundige Personen entsprechend den Festlegungen im funktionalen Sicherheitsmanagement (siehe Anhang Abschnitt A2.1 Absatz 2 Nummer 1) zu erfolgen.

(2) Die fachkundigen Personen nach Absatz 1 müssen in der Lage sein, die verantworteten Tätigkeiten fachgerecht auszuführen. Bei der Beurteilung der Fachkunde sind über Abschnitt 3.3.2 Absatz 2 Nummer 4 folgende Anforderungen zu berücksichtigen:

1. technisches Wissen, Ausbildung und Erfahrung bezogen auf die
1. jeweilige Verwendung der sicherheitsrelevanten MSR-Einrichtung sowie das Verständnis für die möglichen Folgen eines Ereignisses,
2. eingesetzte Technologie der funktionalen Sicherheit (z.B. elektrische, elektronische oder programmierbare elektronische Systeme),
3. Sensoren und Aktoren und
2. Kenntnis der im Bereich der funktionalen Sicherheit geltenden gesetzlichen, behördlichen und normativen Anforderungen.

Die erforderliche Fachkunde muss den im Management der funktionalen Sicherheit festgelegten Anforderungen entsprechen und individuell dokumentiert werden.

(3) Regelmäßige Kontrollen der Funktionsfähigkeit (siehe Abschnitt 8.2) sicherheitsrelevanter MSR-Einrichtungen müssen durch besonders für diese Aufgabe unterwiesene Beschäftigte durchgeführt werden. Wenn sich über Abschnitt 8.2 hinaus aus dem funktionalen Sicherheitsmanagement Anforderungen an die erforderliche Fachkunde ergeben, sind folgende Anforderungen zu berücksichtigen:

1. technisches Wissen, Ausbildung und Erfahrung über
1. die eingesetzte Technologie der funktionalen Sicherheit (z.B. elektrische, elektronische oder programmierbare elektronische Systeme),
2. die verwendeten Sensoren und Aktoren und
2. sicherheitstechnisches Wissen, soweit erforderlich.

A2.3 Verifikation

Als begleitende qualitätssichernde Maßnahme hat in jeder Phase des Sicherheitslebenszyklus der dokumentierte Nachweis, dass die notwendigen Anforderungen der jeweiligen Phase erfüllt sind, zu erfolgen.

A2.4 Validierung

Als abschließende qualitätssichernde Maßnahme hat vor der Inbetriebnahme einer sicherheitsrelevanten MSR-Einrichtung der dokumentierte Nachweis, dass die betrachteten sicherheitstechnischen Funktionen und die sicherheitsrelevanten MSR-Einrichtungen nach der Montage die Spezifikation der Sicherheitsanforderungen erfüllen, zu erfolgen.

A2.5 Wirksamkeit des funktionalen Sicherheitsmanagements

Bei Verwendung eines funktionalen Sicherheitsmanagements ist zum Nachweis der Wirksamkeit regelmäßig ein Audit der funktionalen Sicherheit durchzuführen, mit dem der Arbeitgeber überprüft, ob die Maßnahmen und Verfahren zum Erreichen der funktionalen Sicherheit wirksam durchgeführt wurden und angemessen sind.

A3 Planung und Realisierung

A3.1 Festlegen der Anforderungen

Die Anforderungen an die sicherheitsrelevanten MSR-Einrichtungen und deren Komponenten sind in einer Spezifikation gemäß Abschnitt 4.4 zu dokumentieren.

A3.2 Installation

(1) Auf Basis der Spezifikation nach Abschnitt 4.4.3 ist die sicherheitsrelevante MSR-Einrichtung zu planen und zu errichten.

(2) Der Arbeitgeber muss durch geeignete qualitätssichernde Maßnahmen und Verifikationen durch entsprechend Abschnitt A2.2 Absatz 2 fachkundiges Personal nachweisen, dass der Entwurf (z.B. Funktionspläne, Redundanzen, Grenzwerte, Umgebungsbedingungen) den sicherheitstechnischen Anforderungen entspricht.

(3) Für die einzelnen Komponenten der sicherheitsrelevanten MSR-Einrichtung sind die von den jeweiligen Herstellern oder vom Arbeitgeber erstellten Nachweise der funktionalen Sicherheit sowie der Eignungsnachweis für den vorgesehenen Einsatzfall zu berücksichtigen.

(4) Für die sicherheitsrelevante MSR-Einrichtung hat der Arbeitgeber Vorgaben zur Installation, Inbetriebnahme, Instandhaltung und Kontrolle der Funktionsfähigkeit sowie Prüfpläne zu erstellen und zu dokumentieren.

A3.3 Inbetriebnahme

(1) Sicherheitsrelevante MSR-Einrichtungen sind gemäß Abschnitt 4.5.2 in Betrieb zu nehmen.

(2) Im Rahmen der Inbetriebnahme von sicherheitsrelevanten MSR-Einrichtungen ist zu dokumentieren, dass diese geeignet sind und bestimmungsgemäß funktionieren. Diese Validierung muss durch fachkundiges Personal entsprechend Abschnitt A2.2 Absatz 2 erfolgen.

(3) Die Validierung der sicheren Funktion bezieht sich auf die vollständige sicherheitsrelevante Kette, bestehend aus Sensor, Signalverarbeitung (Logik) und Aktor sowie zugehörigen Verbindungseinrichtungen und die Prozessanschlüsse. Die Validierung führt den Nachweis, dass die sicherheitsrelevanten MSR-Einrichtungen den festgelegten sicherheitstechnischen Anforderungen entsprechen.

(4) Ergebnisse aus vorhergehenden Schritten des Sicherheitslebenszyklus sind bei der Validierung zu berücksichtigen, wenn dies zur Beurteilung erforderlich ist.

.

Sicherheitsrelevante MSR-Einrichtungen in Druckanlagen

Anhang B 23 24

B1 Anwendungsbereich

(1) Sicherheitsrelevante MSR-Einrichtungen können Teil des Schutzkonzeptes für Druckanlagen sein. Grundlage für das Schutzkonzept ist die Gefährdungsbeurteilung im Sinne der TRBS 1111 durch den Arbeitgeber. Aus dem Schutzkonzept sind auch die Prüfungen und Kontrollen von sicherheitsrelevanten MSR-Einrichtungen abzuleiten.

(2) Die Prüfinhalte zur Bewertung der funktionalen Sicherheit an Druckanlagen umfassen sowohl verfahrenstechnische als auch elektrotechnische Aspekte. Die Prüfungen von sicherheitsrelevanten MSR-Einrichtungen erfolgen deshalb in der Regel als Teilprüfungen im Sinne der TRBS 1201 Abschnitt 3.1 Absatz 5.

(3) Zu diesem Zweck kann sich die zur Prüfung befähigte Person oder ZÜS bei der Prüfung gemäß TRBS 1201 Teil 2 die Aussagen qualifizierter Teilprüfungen zu eigen machen (für ZÜS siehe hierzu auch die Richtlinie "Anforderungen an zugelassene Überwachungsstellen" der Zentralstelle der Länder für Sicherheitstechnik (ZLS)).

(4) Nachfolgend werden daher Inhalte von Prüfungen und Kontrollen sowie Teilprüfungen von sicherheitsrelevanten MSR-Einrichtungen nach TRBS 1201 Teil 2 dargestellt. Weiterhin wird in Beispielen die Verwendung von MSR-Einrichtungen als technische Schutzmaßnahmen gemäß TRBS 2141 dargestellt.

B2 Begriffsbestimmung

Über die Begriffsbestimmungen in Abschnitt 2 hinaus werden folgende Begriffe verwendet:

B2.1 Verriegelung

Unterbrechung der Energie- oder Medienzufuhr, die ein manuelles Eingreifen zur Wiederherstellung des Betriebszustandes erfordert.

B2.2 Begrenzung

Abschaltung und Verriegelung der Energie- oder Medienzufuhr bei Überschreiten eines Grenzwertes für eine oder mehrere Betriebsgrößen. Die Wiederherstellung des Betriebszustandes ist nur möglich, wenn die Betriebsgrößen wieder einen zulässigen Wert erreicht haben.

B2.3 Freigabe

Herstellung des Betriebszustandes, der eine Energie- oder Medienzufuhr bzw. den Start eines Anfahrvorgangs ermöglicht.

B3 Allgemeine Anforderungen

(1) Der Arbeitgeber hat entsprechend Abschnitt 3.3 Qualifikationen und Zuständigkeiten der mit Auswahl, Beschaffung und Betrieb von sicherheitsrelevanten MSR-Einrichtungen befassten Personen festzulegen.

(2) Das Schutzkonzept ist nachvollziehbar zu dokumentieren, wobei auch der sichere Zustand definiert werden muss. Hierzu können z.B.

1. Verfahrensfließbilder,
2. Rohrleitungs- und Instrumentenfließschemata (R&I-Schemata),
3. Skizzen der Wirkketten der geplanten Sicherheitsfunktionen oder
4. verbale Beschreibungen

dienen.

(3) Für sicherheitsrelevante MSR-Einrichtungen sind die Anforderungen an die Zuverlässigkeit der Sicherheitsfunktionen entsprechend entsprechend Abschnitt 4.3 Absatz 2 festzulegen. Die Sicherheitsfunktionen sind nachvollziehbar zu dokumentieren, z.B. in einer Abschaltmatrix oder einem Ursachen-Wirkungs-Diagramm.

(4) Wurde die Umsetzung der Schutzmaßnahmen durch sicherheitsrelevante MSR-Einrichtungen im Gefahrenfeld Druck im Rahmen eines Konformitätsbewertungsverfahrens für das komplette Sicherheitssystem (siehe hierzu Leitlinie A-25 zur Druckgeräte-Richtlinie) bereits geprüft, muss die Umsetzung durch die zur Prüfung befähigte Person oder durch die ZÜS (je nach Prüfzuständigkeit) nicht erneut geprüft werden, sofern eine Plausibilitätsprüfung ergeben hat, dass identische Betrachtungsgrenzen vorliegen und die Herstellerangaben in Bezug auf Aufstellung und Betriebsweise eingehalten werden.

Die sicherheitstechnischen Maßnahmen in Bezug auf die Cybersicherheit sind durch den Arbeitgeber nach TRBS 1115 Teil 1 festzulegen.

B4 Prüfung vor Inbetriebnahme und vor Wiederinbetriebnahme nach prüfpflichtigen Änderungen der Druckanlage

(1) Die Prüfung vor erstmaliger Inbetriebnahme der Druckanlage durch die zur Prüfung befähigte Person oder durch die ZÜS bezieht sich auf die gesamtheitliche Erfüllung des Schutzkonzeptes zum sicheren Betrieb der Druckanlage. Es ist Abschnitt 6 zu beachten.

(2) Sicherheitsrelevante MSR-Einrichtungen sind - als Bestandteil der Druckanlage - vor erstmaliger Inbetriebnahme und vor Wiederinbetriebnahme nach prüfpflichtigen Änderungen (z.B. Änderungen des Schutzkonzeptes nach Abschnitt 8.3.4) im Rahmen der Prüfung nach Anhang 2 Abschnitt 4 Nummer 4.1 BetrSichV auf Eignung und Funktionsfähigkeit zu prüfen.

(3) Bei einem Austausch von sicherheitsrelevanten MSR-Einrichtungen sind Abschnitt 8.3.2 und Abschnitt 8.3.3 zu berücksichtigen.

B4.1 Prüfungen von sicherheitsrelevanten MSR-Einrichtungen bei der Ordnungsprüfung

(1) Es werden die Dokumentation der vorlaufenden Arbeitsschritte entsprechend Abschnitten 4.4, 4.5 und 5 auf Vorhandensein und Plausibilität sowie die Einhaltung des Schutzkonzeptes überprüft. Diese Prüfung umfasst z.B.:

1. Prüfung auf Plausibilität und Vollständigkeit des Schutzkonzeptes im Hinblick auf Eignung zum Erreichen der Schutzziele,
2. Überprüfung der Spezifikationen der Schutzschaltungen gegenüber den Festlegungen aus dem Schutzkonzept im Hinblick auf z.B. Grenzwerte, Abschaltungen und Freigaben sowie Zuverlässigkeit/Qualität von Komponenten,
3. Plausibilitätskontrolle der Stromlaufpläne der Sicherheitsstromkreise,
4. Plausibilitätskontrolle der richtigen Programmierung z.B. von speicherprogrammierbaren Steuerungen anhand von Funktionsplänen inklusive Feststellung der Checksumme sowie die Parametrierung programmierbarer Sensorik/Aktorik,
5. Kontrolle der Dokumentation der eingesetzten Komponenten auf Übereinstimmung mit der Spezifikation für die jeweilige sicherheitsrelevante MSR-Einrichtung,
6. Prüfung auf Plausibilität und Vollständigkeit der dokumentierten Prüfungen der Beschaffenheit und elektrotechnischen Funktion der Sicherheitsstromkreise,
7. Plausibilitätsprüfung der Festlegungen des Arbeitgebers zur Vorgehensweise bei der Prüfung von sicherheitsrelevanten MSR-Einrichtungen und deren Prüfzyklen,
8. Prüfung auf Vorhandensein von dokumentierten Schutzmaßnahmen zur Cybersicherheit (siehe TRBS 1115 Teil 1).

(2) Hierbei kann sich auch auf die durch den Hersteller und Arbeitgeber bereitgestellte Dokumentation bezogen werden. Bei unvollständiger oder nicht aussagekräftiger Dokumentation sind ggf. weitere Prüfungen oder eine größere Prüftiefe erforderlich.

(3) Notwendige Dokumentationsunterlagen können unter anderem sein:

1. Betriebsanleitung in deutscher Sprache,
2. Dokumentation der Schutzmaßnahmen als Ergebnis der Gefährdungsbeurteilung,
3. Dokumentation der sicherheitsrelevanten Schaltungen und der geforderten Funktionsweisen, z.B. Abschaltmatrix oder Ursachen-Wirkungs-Diagramm,
4. Messstellenlisten,
5. Eignungsnachweise der eingesetzten Bauteile, z.B. Zertifikate, Sicherheitshandbücher, inklusive Gebrauchsdauern,
6. Berechnungsunterlagen zum Nachweis der Ausfallsicherheit,
7. Funktionsbeschreibung der relevanten Sicherheitsfunktionen,
8. Stromlaufpläne,
9. Logikpläne der sicherheitsgerichteten Steuerung (Funktionsschaltpläne) und Dokumentation der Checksumme,
10. Prüfanweisungen, inklusive Beschreibung der Maßnahmen zur Aufdeckung nicht erkannter, gefährlicher Fehler (z.B. Überprüfung des Drifts von Sensoren).

B4.2 Prüfungen von sicherheitsrelevanten MSR-Einrichtungen bei der technischen Prüfung

(1) Der Arbeitgeber hat Art und Umfang erforderlicher Prüfungen zu ermitteln und festzulegen.

(2) Die Maßnahmen zur Durchführung der Prüfung der sicherheitsrelevanten MSR-Einrichtungen werden zwischen dem Arbeitgeber und der zur Prüfung befähigten Person oder der ZÜS abgestimmt. Diese Prüfung umfasst z.B.:

1. Prüfung der in der Anlage eingebauten Komponenten (z.B. Einbaulage, -position, Prozessanbindung, Parametrierung von programmierbarer Sensorik/Aktorik, Absicherung gegen unbeabsichtigtes Verstellen),
2. Prüfung der Schaltungen, der Sensoren und Aktoren entsprechend den Prüfanweisungen im Hinblick auf z.B. Einhaltung festgelegter Grenzwerte, Ansprechzeiten, bei Bedarf als integrale Funktionsprüfung über die gesamte Wirkkette bei repräsentativen Betriebsparametern,
3. Kontrolle der Ausführung der Schrittketten/Funktionen in der speicherprogrammierbaren Steuerung,
4. Feststellung und Dokumentation der Checksumme für wiederkehrende Prüfungen bzw. Vergleich mit der Checksumme der Ordnungsprüfung,
5. Prüfung auf eindeutige Zuordenbarkeit der Komponenten zur Dokumentation,
6. Bewertung der Gebrauchsdauer der eingebauten Komponenten.

(3) Die Prüfung erfolgt für die gesamte sicherheitsrelevante Kette (Sensor, Logik und Aktor) und kann nach Abstimmung mit der ZÜS oder der zur Prüfung befähigten Person auch in Teilschritten (Sensoren, Aktoren etc.) erfolgen, sofern damit die sichere Funktion der sicherheitsrelevanten MSR-Sicherheitseinrichtung nachgewiesen werden kann.

(4) Durch die Prüfungen dürfen keine Gefährdungssituationen entstehen. Können Gefährdungssituationen nicht verhindert werden, ist vom Arbeitgeber ein Arbeitsprogramm entsprechend Anhang 1 Nummer 5.1 BetrSichV zu erstellen. Die für die Prüfungen erforderlichen Veränderungen an den MSR-Einrichtungen, beispielsweise Simulationen, sind unmittelbar nach Abschluss der Prüfungen vor Inbetriebnahme zurückzunehmen.

B5 Wiederkehrende Prüfungen

(1) Im Rahmen der wiederkehrenden Prüfungen des Arbeitsmittels ist die Funktionsfähigkeit der sicherheitsrelevanten MSR-Einrichtungen festzustellen (siehe hierzu Abschnitt 7). Die Prüfungen der sicherheitsrelevanten MSR-Einrichtungen können von den Intervallen bzw. von den Prüffälligkeiten für die wiederkehrenden Prüfungen des Arbeitsmittels nach Anhang 2 Abschnitt 4 Nummer 5.8 und 5.9 BetrSichV abweichen. Zu den wiederkehrenden Prüfungen des Arbeitsmittels müssen die Ergebnisse der Teilprüfungen der sicherheitsrelevanten MSR-Einrichtungen vorliegen.

(2) Die Prüfung der sicheren Funktion der sicherheitsrelevanten MSR-Einrichtungen hat mithilfe der erstellten schriftlichen Prüfanweisungen zu erfolgen und ist zu dokumentieren.

B5.1 Prüfungen von sicherheitsrelevanten MSR-Einrichtungen bei der Ordnungsprüfung

(1) Die zur Prüfung befähigte Person oder die ZÜS überprüft die Instandhaltung der sicherheitsrelevanten MSR-Einrichtungen anhand der vom Arbeitgeber vorgelegten Aufzeichnungen. Die Überprüfung umfasst dabei z.B.:

1. Prüfung zur Änderung der Betriebsweise der Druckanlage nach Aussage des Arbeitgebers, z.B. durch
1. Änderung von sicherheitsrelevanten Betriebsparametern (Druck, Temperatur),
2. Änderung von Lastwechselparametern (z.B. infolge geänderter Produktionsabläufe),
3. Änderungen von organisatorischen Maßnahmen,
4. Änderung von Hilfsstoffen,
5. andere Änderungen von Schutzmaßnahmen im Ergebnis der Gefährdungsbeurteilung,
2. Vergleich der Checksumme des sicherheitsgerichteten Anwenderprogramms der speicherprogrammierbaren Steuerungen, um Softwareänderungen auszuschließen,
3. Kontrolle der Aufzeichnungen auf Vollständigkeit und Plausibilität der Prüfungen, insbesondere der Einhaltung der Prüfzyklen entsprechend den Festlegungen des Arbeitgebers,
4. Prüfung der erreichten Gebrauchsdauer gegenüber Herstellervorgaben/Vorgaben des Arbeitgebers für die sicherheitsrelevanten MSR-Einrichtungen.

(2) Zur Bewertung der Wirksamkeit von Schutzmaßnahmen gehört auch die Frage nach aufgetretenen sicherheitsrelevanten Abweichungen vom bestimmungsgemäßen Betrieb z.B. in Form von Eingriffen Unbefugter.

B5.2 Prüfungen von sicherheitsrelevanten MSR-Einrichtungen bei der technischen Prüfung

(1) Der Arbeitgeber hat seine Festlegungen zu der Art und dem Umfang erforderlicher Prüfungen bei der wiederkehrenden Überprüfung der Gefährdungsbeurteilung zu bewerten.

(2) Die Maßnahmen zur Durchführung der wiederkehrenden Prüfungen der sicherheitsrelevanten MSR-Einrichtungen werden zwischen dem Arbeitgeber und der zur Prüfung befähigten Person oder der ZÜS abgestimmt. Diese Prüfungen umfassen z.B.:

1. Funktionsprüfung der Schaltungen, der Sensoren und Aktoren entsprechend den Prüfanweisungen als integrale Funktionsprüfungen über die gesamte Wirkkette bei repräsentativen Betriebsparametern oder in Teilschritten (Sensoren, Aktoren etc.), ggf. unter Berücksichtigung der Ergebnisse kontinuierlicher Diagnosesysteme,
2. stichprobenweise Sichtprüfung der Sensoren, Aktoren und der Kabelverbindungen der sicherheitsrelevanten MSR-Einrichtungen auf z.B. Vorhandensein von Kennzeichnungen und offensichtlichen Beschädigungen sowie Prüfung der sicheren Anschlüsse der Teile der sicherheitsrelevanten MSR-Einrichtungen.

(3) Bei den wiederkehrenden Prüfungen kann die zur Prüfung befähigte Person oder die ZÜS Aufzeichnungen von betrieblichen Auslösungen durch sicherheitsrelevante MSR-Einrichtungen heranziehen. Die Bewertung von betrieblichen Auslösungen, integralen Funktionsprüfungen, Teilprüfungen oder Diagnoseergebnissen muss den Nachweis der sicheren Funktion der sicherheitsrelevanten MSR-Einrichtung zulassen.

B6 Beispiele

Nachfolgend sind Druckanlagen und Druckanlagenteile aufgeführt, die die Umsetzung der Schutzmaßnahmen beispielhaft aufzeigen.

B6.1 Beispiel Rührreaktor

In diesem Beispiel wird das Schutzkonzept durch den Arbeitgeber festgelegt. Die zur Prüfung befähigte Person oder ZÜS prüft das Schutzkonzept auf Plausibilität und Vollständigkeit.

B6.1.1 Verfahrensbeschreibung

In einer Batchreaktion reagieren Stoff A und Stoff B unmittelbar während der Zugabe miteinander unter Bildung des Endproduktes. Dazu wird zunächst der Stoff A vorgelegt und der Stoff B (reaktionsfreudig) wird kontrolliert und gleichmäßig zugefahren, wobei er unter guter Durchmischung mit Stoff A zum Endprodukt reagiert (siehe Abbildung B1).

Abb. B1 Prinzipskizze der verfahrenstechnischen Einrichtungen und der steuerungstechnischen Zusammenhänge für das Beispiel Rührreaktor

B6.1.2 Festlegung und Umsetzung des Schutzkonzepts

(1) Im vorliegenden Fall ist das in der Gefährdungsbeurteilung ermittelte Schutzziel die Vermeidung einer unkontrollierten Durchgehreaktion.

(2) Folgende technische Schutzmaßnahmen werden vom Arbeitgeber festgelegt:

1. Dosierung von Stoff B ist nur möglich, wenn der Rührer läuft, Erfassung der Rührerdrehzahl und Freigabe für Stoff B als sicherheitsrelevante MSR-Einrichtung,
2. Dosierung (Menge und Dauer) von Stoff B ist außerdem nur möglich, wenn Stoff A in ausreichender Menge im Rührreaktor vorgelegt wurde, Erfassung der vorgelegten Masse Stoffstrom A und Freigabe Stoffstrom B als sicherheitsrelevante MSR-Einrichtung,
3. Begrenzung des Massenstroms von Stoff B als Sicherheitseinrichtung durch eine Begrenzungsblende, um eine Akkumulation zu verhindern.

(3) Für die Schutzmaßnahmen Nummer 1 und 2 werden die Anforderungen an die Zuverlässigkeit der Sicherheitsfunktionen entsprechend Abschnitt 4.3 festgelegt.

B6.2 Beispiel Autoklav

(1) In diesem Beispiel wird das Schutzkonzept durch den Hersteller des Autoklavs festgelegt und die Umsetzung im Rahmen des Konformitätsbewertungsverfahrens für die Baugruppe nach Artikel 14 Absatz 6 der Druckgeräterichtlinie geprüft. Durch die zur Prüfung befähigte Person oder ZÜS wird geprüft, ob identische Betrachtungsgrenzen vorliegen und die Herstellerangaben in Bezug auf Aufstellung und Betriebsweise eingehalten werden.

(2) Der Autoklav im vorliegenden Beispiel wird nach DIN EN 285 oder DIN EN 13060 ausgeführt.

B6.2.1 Verfahrensbeschreibung

Zur Formgebung werden Ausgangsprodukte und eine Form in einen Autoklav eingebracht. Unter Zuführung von Sattdampf mit einer definierten Haltezeit erfolgt das Formgebungsverfahren. Nach dem Formgebungsprozess erfolgt das Öffnen des Schnellverschlusses mit anschließender Entladung von Endprodukt und Form.

B6.2.2 Festlegung und Umsetzung des Schutzkonzepts

(1) Schutzziel ist die Absicherung gegen unkontrollierte Druckentlastung während der Betriebsphase und beim Öffnen des Schnellverschlusses sowie des maximal zulässigen Betriebsdruckes des Autoklavs.

(2) Folgende technische Schutzmaßnahmen werden festgelegt:

1. sichere Verriegelung des geschlossenen Schnellverschlusses für Betriebsbedingungen unter Überdruck größer 0,2 bar (ü),
2. Absicherung des maximal zulässigen Betriebsüberdruckes von 12 bar (ü).

(3) Folgende sicherheitsrelevante MSR-Einrichtungen sind vorgesehen:

1. Endlagenüberwachung, Überwachung Öffnungsdruck
1. Schnellverschluss Endlagenüberwachung durch Schaltkontakte (Stößelschalter), zwei unabhängig voneinander wirkende Endlagenschalter,
2. Sicherheitsdruckbegrenzer zur Überwachung der Öffnungsfreigabe für Mindestöffnungsdruck von 0,2 bar (ü), z.B. mittels Fangeinrichtung entsprechend AD 2000 A5 oder Türzuhaltung,
3. Aktor: Endlagensignal und Drucküberwachung führen zur Öffnungsfreigabe (Freigabesignal aus der sicherheitsgerichteten Steuerung/SPS) des Verriegelungsmechanismus vom Schnellverschluss;
2. Überwachung des maximal zulässigen Betriebsdruckes
1. Sicherheitsdruckbegrenzer 12 bar (ü),
2. Aktor: Unterbrechung der Dampfzufuhr mittels Schnellschlussventil (Magnetventil Sicherheitsstellung geschlossen).

B6.3 Beispiel Großwasserraumkessel

(1) Das Schutzkonzept stützt sich in diesem Beispiel auf ein anlagenspezifisches Regelwerk (z.B. DIN EN 12953 Teile 6 und 9, DIN EN 676, DIN EN 50156) ab, aus dem die Sicherheitsfunktionen ableitbar sind. Die Prüfung des Schutzkonzeptes durch die zur Prüfung befähigte Person oder ZÜS bezieht sich auf die Vollständigkeit der Umsetzung und auf die Festlegungen der Anforderungen an die Zuverlässigkeit dieser Sicherheitsfunktionen entsprechend Abschnitt 4.3.

(2) Sofern das überhitzungsgefährdete Druckgerät als Baugruppe einem Konformitätsbewertungsverfahren nach Artikel 14 Absatz 6 der Druckgeräterichtlinie unterzogen wird, beschränkt sich die Prüfung der zur Prüfung befähigten Person oder ZÜS auf Einhaltung der Aufstellungsbedingungen und die richtige Installation.

B6.3.1 Verfahrensbeschreibung

(1) In einem befeuerten Druckgerät (Kessel) erfolgt die Erzeugung von Sattdampf, der in ein Dampfnetz eingespeist wird und als Prozess- oder Heizdampf verwendet wird.

(2) Die Befeuerung erfolgt über einen nach Druckgeräte-Richtlinie baumustergeprüften Gasgebläsebrenner (ausgeführt nach DIN EN 676), der an einem Flammrohr angeordnet ist. Das Flammrohr dient als Feuerraumzug und ist gleichzeitig in einem umgebenden Wasser-/Dampfraum als Heizfläche ausgebildet. Die weitere Ableitung der durch die Feuerung entstehenden Rauchgase erfolgt in zwei weiteren Rauchrohrzügen mit Wendekammern, die ebenfalls den Wasser-/Dampfraum durchziehen. Durch die Beheizung erfolgt eine Drucksteigerung und Verdampfung innerhalb des Wasser-/Dampfraumes. Zur Kompensation des in das Dampfnetz eingespeisten Sattdampfes wird dem Wasser-/Dampfraum Speisewasser zugeführt.

(3) Das Verfahren erfordert folgende Regelkreise:

1. Regelung des betrieblich erforderlichen Dampfdruckes im Wasser-/Dampfraum über die Leistungssteuerung (Steuerung der Brennstoffmenge) der Feuerung,
2. Regelung der Luftzufuhr des Gasgebläsebrenners entsprechend der zugeführten Brennstoffmenge (Brennstoff/Luftverbund),
3. Regelung des Wasserstandes im Wasser-/Dampfraum zur Bereitstellung von Kesselwasser für den Verdampfungsprozess.

(4) Die Entnahme des entstehenden Sattdampfes erfolgt ungeregelt über die Abnahme der an das Dampfnetz angeschlossenen Verbraucher.

B6.3.2 Festlegung und Umsetzung des Schutzkonzepts

(1) Das in der Gefährdungsbeurteilung unter Berücksichtigung der vorhandenen anlagenspezifischen technischen Regeln ermittelte Schutzziel ist die Vermeidung des Versagens von drucktragenden Wandungen aufgrund von:

1. Drucksteigerungen im Wasser-/Dampfraum, die in der Auslegung des Druckgerätes nicht berücksichtigt sind,
2. Überhitzung der druckbeaufschlagten Heizflächen (Flammrohr, Rauchrohre, Wendekammern) durch mangelnde Kühlung auf der Wasser-/Dampfseite,
3. Korrosionen der drucktragenden Wandungen im Kessel und dem angeschlossenen Dampfnetz aufgrund von Sauerstoffeintrag, Salzfrachten und anderen korrosionsfördernden Kesselwassereigenschaften,
4. Korrosionen im angeschlossenen Dampfnetz durch salzfrachtbedingte Schaumbildung bei der Verdampfung,
5. erosiven Beschädigungen der Rohrwandungen infolge von Wasserschlägen im angeschlossenen Dampfnetz durch mitgerissenes Kesselwasser bei starker Dampfentnahme,
6. Druckstößen durch Verpuffungen im Feuerraum durch mangelnde Brennstoffzündung beim Anfahren und im Betrieb oder Störung der Verbrennung durch mangelnde Luft- oder Brennstoffversorgung oder Rauchgasabführung.

(2) Folgende technische Schutzmaßnahmen werden auf der Grundlage der Anforderungen des anlagenspezifischen Regelwerkes als sicherheitsrelevante MSR-Einrichtungen, die über die Ansteuerung der selbsttätigen Brennstoffschnellschlussabsperreinrichtungen auf den Betrieb der Feuerung wirken, festgelegt:

1. Freigabe vor dem Anfahren der Feuerung und Abschaltung und Verriegelung der Brennstoffzufuhr im Betrieb bei Ansprechen folgender sicherheitsrelevanter MSR-Einrichtungen (Kesselschutz):
1. Wassermangelsicherung mittels Wasserstandelektrode für Wasserstand Min (Min-Wasserstandbegrenzer),
2. Drucksensor für Max-Druck Wasser-/Dampfraum (Max-Druckbegrenzer),
3. Kesselwasserleitfähigkeitsmessung (Max-Leitfähigkeitsbegrenzer),
4. Betätigung Gefahrenschalter zur Abschaltung der Feuerung;
2. Freigabe der Brennstoffzufuhr vor dem Anfahren und Betrieb der Feuerung durch Wirkung beispielsweise folgender sicherheitsrelevanter MSR-Einrichtungen:
1. Abschluss einer definierten Vorbelüftung (Luftwechsel) des Feuerraumes und der Rauchgaswege bis zum Eintritt Kamin,
2. Ventilüberwachungssystem (z.B. nach DIN EN 1643) zur Feststellung von inneren Leckraten zur Überprüfung des wirksamen Schließens der Brennstoffschnellschlussabsperreinrichtungen oder eine mittels MSR-Einrichtung umgesetzte Dichtheitskontrolle,
3. Stellungsüberwachung von Absperreinrichtungen im Rauchgasweg zur Sicherstellung des freien Rauchgasweges,
4. Drucküberwachung der Verbrennungsluft (Min-Druckwächter),
5. Gasdrucküberwachung (Min-/Max-Drucküberwachung),
6. Flammenüberwachungseinrichtung, z.B.:
• Fremdlichtüberwachung vor dem Anfahren (während Vorbelüftung),
• Überwachung des Vorhandenseins einer Flamme im Betrieb.

(3) Die vorgenannten sicherheitsrelevanten MSR-Einrichtungen können nach Produktnorm typgeprüfte Geräte ausgeführt werden, was in der Folge zu unterschiedlichen Architekturen führen kann.

B6.4 Beispiel Kälteverdichteranlage

In diesem Beispiel wird das Schutzkonzept durch den Hersteller der Kälteverdichteranlage festgelegt und die Umsetzung im Rahmen des Konformitätsbewertungsverfahrens nach Artikel 14 Absatz 6 der Druckgeräterichtlinie geprüft. Dabei wird sich auf anlagenspezifisches Regelwerk (z.B. DIN EN 378) abgestützt. Durch die zur Prüfung befähigte Person oder ZÜS wird geprüft, ob identische Betrachtungsgrenzen vorliegen und die Herstellerangaben in Bezug auf Betriebsweise und Aufstellung insbesondere im Hinblick auf das Freisetzen von Kältemitteln eingehalten sind.

B6.4.1 Verfahrensbeschreibung

(1) Mithilfe eines Verdichters wird ein Kältemittel mit einem Saugdruck P1 von 2 bar (ü) verdichtet. Der maximal mögliche Enddruck des Verdichters ist größer als 16 bar (ü). Der angeschlossene Druckbehälter hat einen maximalen Auslegungsdruck von PS = 16 bar (siehe Abbildung B2).

Abb. B2 Prinzipskizze der verfahrenstechnischen Einrichtungen und der steuerungstechnischen Zusammenhänge für das Beispiel Kälteverdichteranlage

(2) Das Überströmventil ist auf 16 bar (ü) eingestellt und hat keine Zulassung als Sicherheitsventil. Der Verdichter steht in unmittelbarer Nähe zu einer Produktionshalle, in der sich ständig Beschäftigte aufhalten.

(3) In diesem Beispiel wird davon ausgegangen, dass der Verdichter selbst als ausreichend abgesichert gilt (entspricht den Anforderungen der Maschinenrichtlinie) und deshalb nicht näher zu betrachten ist.

B6.4.2 Festlegung und Umsetzung des Schutzkonzepts

(1) Im Rahmen der Gefährdungsbeurteilung des Arbeitgebers wurde als ein Schutzziel der Schutz vor Bersten der drucktragenden Wandung definiert. Um ein Bersten der drucktragenden Wandung des Behälters zu vermeiden, soll der Enddruck des Verdichters überwacht werden. Vor Überschreiten des zulässigen Druckes soll das Ventil V1 schließen.

(2) Folgende technische Schutzmaßnahmen werden vom Arbeitgeber festgelegt:

1. Erfassung des Verdichterenddruckes,
2. Absperren der Medienzuführung zum Behälter.

(3) Die Auslegung der sicherheitsrelevanten MSR-Einrichtung ist so auszuführen, dass die Anforderungen der Druckgeräterichtlinie (insbesondere Anhang I Nummer 2.11. als Ausrüstungsteil mit Sicherheitsfunktion) erfüllt werden. Hierbei sind fehlerbeherrschende Maßnahmen vorzusehen, damit ein Fehler nicht zum Verlust der sicherheitsrelevanten MSR-Einrichtung führen kann (siehe z.B. DIN EN 764-7).

(4) Das Schutzkonzept kann wie folgt umgesetzt werden:

1. Realisierung mit Geräten, welche nach Produktnorm typgeprüft sind (diskreter Aufbau):

1. Einsatz eines Sicherheitsdruckbegrenzers (z.B. nach DIN EN 1854),
2. Einsatz eines baumustergeprüften Ventils (Sicherheitsstellung geschlossen),
3. Verdrahtung erfolgt im Ruhestromprinzip, Hilfsschütze werden mittels Fehlerausschlussverfahren ausgewählt (z.B. nach DIN EN 50156-1 Abschnitt 10.5.5)

oder

2. Realisierung mit Geräten, welche nach Normen zur funktionalen Sicherheit (z.B. DIN EN 61508) entwickelt und für den Anwendungsfall geeignet sind:

1. Einsatz von z.B. Drucktransmittern,
2. Einsatz einer fehlersicheren Steuerung,
3. Einsatz eines geeigneten Ventils (Sicherheitsstellung geschlossen),
4. Verdrahtung erfolgt im Ruhestromprinzip,
5. Hilfsschütze werden mittels Fehlerausschlussverfahren ausgewählt (z.B. nach DIN EN 50156-1 Abschnitt 10.5.5).

Die vorgenannten Umsetzungsvarianten nach den Nummern 1 oder 2 können zu unterschiedlichen Architekturen führen.

.

Ex-Anlagen

Anhang C 23 24

C1 Anwendungsbereich

(1) Grundlage für die Festlegung von Prüfungen und Kontrollen sowie deren Fristen ist die Gefährdungsbeurteilung und die sich daraus ergebende Festlegung eines Schutzkonzeptes im Sinne der TRGS 400 in Verbindung mit TRGS 720 bis TRGS 724 durch den Arbeitgeber. Die Ermittlung erforderlicher sicherheitsrelevanter MSR-Einrichtungen (im Folgenden Ex-Einrichtungen) erfolgt mithilfe der TRGS 725.

(2) Da die Gefährdungsbeurteilung von Brand- und Explosionsgefahren auf der Grundlage des § 6 der GefStoffV erfolgt, sind die Anforderungen an die Gefährdungsbeurteilung, an die Ermittlung von Explosionsschutzmaßnahmen und Ex-Einrichtungen in den entsprechenden technischen Regeln zur Gefahrstoffverordnung konkretisiert (insbesondere TRGS 720 bis TRGS 725). Diese enthalten auch Beispiele zur Festlegung von Ex-Einrichtungen (TRGS 725 Anhang 1).

(3) Daher wird im Folgenden auf die entsprechenden Technischen Regeln verwiesen und von einer Wiederholung von Inhalten abgesehen. Die nachfolgenden Passagen konzentrieren sich daher im Wesentlichen auf die Anforderungen an die Prüfung von Ex-Einrichtungen.

C2 Begriffsbestimmungen

Über die Begriffsbestimmungen in Abschnitt 2 hinaus werden Begriffe aus den technischen Regeln zur GefStoffV TRGS 720 bis TRGS 727, insbesondere TRGS 725 verwendet.

C3 Allgemeine Anforderungen

(1) Die Ermittlung des Sollzustandes und die Festlegung von Schutzmaßnahmen erfolgt als Explosionsschutzkonzept im Rahmen der nach § 6 GefStoffV vorgeschriebenen Gefährdungsbeurteilung unter Berücksichtigung der technischen Regeln TRGS 720 bis TRGS 727.

(2) Die Anforderungen aus Abschnitt 4 zur Planung, Realisierung und Dokumentation können durch Einhaltung der Anforderungen aus den Anhängen 2 und 3 der TRGS 725 erfüllt werden.

(3) In Bezug auf die Funktionsfähigkeit der Ex-Einrichtungen dienen die Prüfungen insbesondere dazu, passive (unentdeckte) Fehler durch geeignete Maßnahmen (z.B. Prüfroutinen oder Funktionstests) zu erkennen.

(4) Die sicherheitstechnischen Maßnahmen in Bezug auf die Cybersicherheit sind durch den Arbeitgeber nach TRBS 1115 Teil 1 festzulegen.

C4 Prüfung vor Inbetriebnahme und vor Wiederinbetriebnahme nach prüfpflichtigen Änderungen der Ex-Anlage

(1) Ex-Einrichtungen sind - als Bestandteil der Ex-Anlage - vor erstmaliger Inbetriebnahme und vor Wiederinbetriebnahme nach prüfpflichtigen Änderungen (z.B. Änderungen des Schutzkonzeptes nach Abschnitt 8.3.4) im Rahmen der Prüfung der Explosionssicherheit nach Anhang 2 Abschnitt 3 Nummer 4.1 BetrSichV auf Eignung und Funktionsfähigkeit zu prüfen.

(2) Bei einem Austausch von Funktionseinheiten einer Ex-Einrichtung sind Abschnitt 8.3.2 und Abschnitt 8.3.3 zu berücksichtigen.

C4.1 Prüfungen von sicherheitsrelevanten MSR - Einrichtungen bei der Ordnungsprüfung

Anforderungen an die Ordnungsprüfung von Anlagen in explosionsgefährdeten Bereichen und der darin enthaltenen Arbeitsmittel vor Inbetriebnahme oder Wiederinbetriebnahme sind in der TRBS 1201 Teil 1 geregelt.

C4.2 Prüfungen von sicherheitsrelevanten MSR - Einrichtungen bei der technischen Prüfung

Anforderungen an die technische Prüfung von Anlagen in explosionsgefährdeten Bereichen und der darin enthaltenen Arbeitsmittel vor Inbetriebnahme oder Wiederinbetriebnahme sind in der TRBS 1201 Teil 1 geregelt.

C5 Wiederkehrende Prüfungen

(1) Die Festlegung von Prüffristen und Prüfumfängen hinsichtlich der Funktionsfähigkeit der Ex-Einrichtungen erfolgen unter Berücksichtigung der Ergebnisse der Gefährdungsbeurteilung. Prüfungen dienen dazu, den Ausfall der Ex-Einrichtung oder ggfs. ihrer Redundanzen zu erkennen. Anhaltspunkte hierzu können z.B. Festlegungen der Hersteller oder Erfahrungen des Arbeitgebers liefern.

(2) In der Regel ist eine Prüffrist von zwölf Monaten ausreichend. Das Prüfintervall kann verändert werden, wenn dies im Rahmen der Prüffristermittlung in der Gefährdungsbeurteilung dargelegt wurde. Die so ermittelten Prüfintervalle zum Nachweis der Zuverlässigkeit können im Einzelfall über die für die gesamte Ex-Maßnahme festgelegten Maximalfristen der BetrSichV hinausgehen.

Einflüsse auf Prüffristen und Prüfumfänge haben z.B.:

1. Herstellerangaben der verwendeten Komponenten,
2. die verwendete Technologie, z.B. VPS, PLS/SPS, SSPS, sowie deren Software,
3. festgelegte Anforderungen (z.B. Betriebsbewährung, SIL, Performance Level, Wartungs- und Inspektionspläne etc.),
4. die Mean-time-to-failure (MTTF),
5. die Anforderungsrate der Betriebsart (high oder low demand) oder
6. organisatorische Maßnahmen.

(3) Soweit erforderlich, hat der Arbeitgeber für die Ex-Einrichtungen Vorgaben zur Kontrolle der Funktionsfähigkeit festzulegen. Die Umfänge der Kontrolle hängen von der gewählten Architektur der Funktionseinheiten der Ex-Einrichtung ab.

(4) Wenn die ordnungsgemäße Funktion einer Funktionseinheit im Rahmen von produktionstechnischen Abläufen kontrolliert wird, z.B. das Schließen eines Stellgeräts bei jedem Batch, ist eine zusätzliche wiederkehrende Kontrolle dieser Einrichtungen nicht erforderlich.

Diese Vorgehensweise erfordert jedoch eine entsprechende Festlegung z.B. in einer Arbeitsanweisung.

(5) Prüfungen und Kontrollen sind gemäß TRBS 1201 Teil 1 und nach Abschnitt 7 dieser TRBS aufzuzeichnen.

C5.1 Prüfungen von sicherheitsrelevanten MSR-Einrichtungen bei der Ordnungsprüfung

Anforderungen an die wiederkehrende Ordnungsprüfung von Anlagen in explosionsgefährdeten Bereichen und der darin enthaltenen Arbeitsmittel sind in der TRBS 1201 Teil 1 geregelt.

C5.2 Prüfungen von sicherheitsrelevanten MSR-Einrichtungen bei der technischen Prüfung

Anforderungen an die wiederkehrende technische Prüfung von Anlagen in explosionsgefährdeten Bereichen und der darin enthaltenen Arbeitsmittel sind in der TRBS 1201 Teil 1 geregelt.

C6 Beispiele

Beispiele zur Ermittlung der Anforderungen an Ex-Einrichtungen im Rahmen der Gefährdungsbeurteilung können Anhang 1 der TRGS 725 entnommen werden.

.

Aufzugsanlagen

Anhang D 23 24

D1 Anwendungsbereich

Vorbemerkung 1: Die Erstellung eines Schutzkonzepts seitens des Arbeitgebers ist bei der Auslegung und Realisierung von Sicherheitsfunktionen für Aufzugsanlagen, die in dieser TRBS als MSR-Einrichtungen bezeichnet werden, nicht üblich und nicht erforderlich. Die Sicherheitsfunktionen, die bei Aufzugsanlagen eingesetzt werden, sind aufgrund Bauart und Betriebsweise standardisiert und in den Regelwerken zur Beschaffenheit beschrieben.

Vorbemerkung 2: Die Hersteller, die Sicherheitsbauteile für Aufzüge oder die Montagebetriebe, die Aufzugsanlagen nach Aufzugsrichtlinie in Verkehr bringen, ebenso die Instandhaltungsunternehmen, die Änderungen an bestehenden Aufzugsanlagen durchführen, nutzen die Produktnorm DIN EN 81-20 "Sicherheitsregeln für die Konstruktion und den Einbau von Aufzügen - Aufzüge für den Personen- und Gütertransport", in der die Anforderungen für alle Sicherheitsfunktionen einer Aufzugsanlage im Hinblick auf die funktionale Sicherheit und auch entsprechende SIL-Level beschrieben sind und so eine geeignete Grundlage zur Auslegung und Realisierung darstellt.

Vorbemerkung 3: Bei Sicherheitsbauteilen für Aufzüge nach Aufzugsrichtlinie ist eine notifizierte Stelle im Konformitätsbewertungsverfahren beteiligt.

Vorbemerkung 4: Aufzugsanlagen nach Maschinenrichtlinie sind in der Regel nicht mit Sicherheitsfunktionen, die PESSRAL-Komponenten nutzen, ausgestattet. Teilweise werden Sicherheitsbauteile für Aufzüge gemäß Aufzugsrichtlinie eingesetzt. Die Sicherheitsfunktionen werden in gleicher Weise bewertet, um die sichere Verwendung zu gewährleisten.

(1) Grundlage für die Festlegung von Prüfumfängen und Prüffristen ist die Gefährdungsbeurteilung durch den Arbeitgeber und die sich daraus ergebende Festlegung eines Schutzkonzeptes auf Basis von TRBS 3121 in Verbindung mit anderen Regelwerken.

(2) Im Folgenden wird auf die entsprechenden Regelwerke verwiesen und von einer Wiederholung von Inhalten abgesehen. Die nachfolgenden Passagen konzentrieren sich daher im Wesentlichen auf die Anforderungen an die Ausführung, Prüfung und Kontrolle sowie deren Dokumentationen von sicherheitsrelevanten MSR-Einrichtungen (PESSRAL) in Aufzugsanlagen.

D2 Begriffsbestimmungen

Über die Begriffsbestimmungen in Abschnitt 2 hinaus wird der folgende Begriff verwendet:

PESSRAL

Programmierbares elektronisches System in sicherheitsbezogenen Anwendungen für Aufzüge (englisch: Programmable Electronic System in Safety Related Applications for Lifts).

System zur Steuerung, Schutz oder Überwachung, dass aus einer oder mehreren programmierbaren elektronischen Einrichtungen, einschließlich aller Systembestandteile, wie Energieversorgung, Sensoren und anderen Eingängen, Datenübertragungsstrecken und anderen Kommunikationswegen sowie Bedienteilen und anderen Ausgängen besteht, und das in den in DIN EN 81-20 Anhang A aufgeführten sicherheitsbezogenen Anwendungen eingesetzt wird.

Hinweis: In der Aufzugstechnik wird der Begriff "PESSRAL" im Sinne von sicherheitsrelevanten MSR-Einrichtungen verstanden. Qualitätsanforderungen insbesondere an die funktionale Sicherheit sind nicht mit dem Begriff verbunden, sondern ergeben sich aus DIN EN 81-20 Anhang A. Eine PESSRAL-Sicherheitsfunktion besteht immer aus Sensor, Logik und Aktor. Ein Aktor einer Einrichtung kann auch ein Sicherheitsrelais zur Unterbrechung der elektrischen Sicherheitskette oder ein entsprechend "sicheres" Signal an eine nachgeschaltete Komponente sein.

D3 Allgemeine Anforderungen

(1) Insbesondere die in DIN EN 81-20 Anhang A aufgeführten elektrischen Sicherheitseinrichtungen, die mit PESSRAL umgesetzt werden, sind sicherheitsrelevante MSR-Einrichtungen im Sinne der vorliegenden TRBS. Die Überprüfungen der sicherheitsrelevanten MSR-Einrichtungen, die nicht mit PESSRAL realisiert sind, sind in der TRBS 1201 Teil 4 beschrieben.

(2) Die Anforderungen aus Abschnitt 4 zur Planung, Realisierung und Dokumentation können durch Einhaltung der Anforderungen nach DIN EN 81-50 erfüllt werden. Die Anforderungen an die Zuverlässigkeit der Sicherheitsfunktionen können dabei DIN EN 8120 Anhang A entnommen werden.

(3) Es muss möglich sein, den Softwarestand, die Checksumme und den Fehlerstatus von PESSRAL durch ein eingebautes System oder externe Hilfsmittel festzustellen. Ist dieses externe Hilfsmittel ein Spezialwerkzeug, muss es an der Anlage vorhanden sein.

(4) Die sicherheitstechnischen Maßnahmen in Bezug auf die Cybersicherheit sind durch den Arbeitgeber nach TRBS 1115 Teil 1 festzulegen.

D4 Prüfung vor Inbetriebnahme und vor Wiederinbetriebnahme nach prüfpflichtigen Änderungen

(1) Prüfung vor erstmaliger Inbetriebnahme

Für die Prüfung vor erstmaliger Inbetriebnahme sind erforderliche Informationen des PESSRAL-Systems zur Verfügung zu stellen (wie z.B. Softwarestand, Checksumme, Parametrierung, Gebrauchsdauer), die darlegen, wie die geforderte Eignung und Funktionsfähigkeit erreicht werden.

Hinweis: Prüfinhalte, die im Rahmen eines Konformitätsbewertungsverfahrens geprüft und dokumentiert wurden, müssen nicht erneut geprüft werden, z.B. Eignung und Funktionsfähigkeit des PESSRAL-Systems.

(2) Prüfung vor Wiederinbetriebnahme nach prüfpflichtiger Änderung

Für die Prüfung vor Wiederinbetriebnahme nach prüfpflichtiger Änderung des PESSRAL-Systems sind erforderliche Informationen des PESSRAL-Systems zur Verfügung zu stellen (wie z.B. Softwarestand, Checksumme, Parametrierung, Gebrauchsdauer), die darlegen, wie die geforderte Eignung und Funktionsfähigkeit erreicht ist bzw. wird.

Diese Informationen können Bestandteil der Betriebsanleitung der Anlage bzw. des PESSRAL-Systems sein.

D4.1 Prüfungen von PESSRAL-Systemen bei der Ordnungsprüfung

(1) Es wird das Vorliegen der technischen Unterlagen zu den PESSRAL-Systemen im Hinblick auf z.B.

1. Softwarestand,
2. Checksumme,
3. Parametrierung,
4. Gebrauchsdauer

überprüft.

(2) Die Dokumentation der Prüfungen erfolgt über die Prüfbescheinigung nach BetrSichV.

D4.2 Prüfungen von PESSRAL-Systemen bei der technischen Prüfung

(1) Prüfung vor erstmaliger Inbetriebnahme

Es ist zu prüfen, ob die geforderte Funktionsfähigkeit vorliegt und die Übereinstimmung mit der Dokumentation gegeben ist

Auf die Prüfung kann verzichtet werden, wenn entsprechende Prüfungen bereits im Rahmen von Konformitätsbewertungsverfahren einer Aufzugsanlage geprüft und dokumentiert wurden.

(2) Prüfung vor Wiederinbetriebnahme nach prüfpflichtiger Änderung

Es ist zu prüfen, ob die geforderte Funktionsfähigkeit vorliegt und die Übereinstimmung mit der Dokumentation gegeben ist.

(3) Der Softwarestand und die Checksumme des PESSRAL-Systems werden in der Prüfbescheinigung dokumentiert.

D5 Wiederkehrende Prüfung

Im Rahmen der wiederkehrenden Prüfung (Hauptprüfung) sind erforderliche Informationen des PESSRAL-Systems (wie z.B. Softwarestand, CRC/Checksumme, Parametrierung, Gebrauchsdauer) zur Verfügung zu stellen.

Es ist zu prüfen, ob die geforderte Funktionsfähigkeit vorliegt.

Die Prüffristen der Funktionsfähigkeit der PESSRAL-Systeme entsprechen den Prüffristen der wiederkehrenden Prüfungen nach BetrSichV.

D5.1 Prüfungen von sicherheitsrelevanten PESSRAL-Systemen bei der Ordnungsprüfung

Es wird das Vorliegen der technischen Unterlagen zu PESSRAL-System(en) im Hinblick auf z.B.

1. Softwarestand,
2. Checksumme,
3. Gebrauchsdauer überprüft.

D5.2 Prüfungen von sicherheitsrelevanten PESSRAL-Systemen bei der technischen Prüfung

Es ist zu prüfen, ob die geforderte Funktionsfähigkeit vorliegt und die Übereinstimmung mit der Dokumentation gegeben ist.

D6 Beispiele

D6.1 Digitales Positionierungssystem

Digitales Positionierungssystem mit sicherheitsrelevanten MSR-Funktionen, z.B. als Ersatz für Notendschalter, Türzonen zum Einfahren und Nachstellen mit geöffneten Türen, Fahrgeschwindigkeit.

.

Regelwerke und Normen mit Bezug auf sicherheitsrelevante MSR-Einrichtungen

Anhang E 23 24

In den folgenden Regelwerken und Normen sind applikations- und technologiespezifische Vorgehensweisen und Methoden beschrieben und werden Anforderungen an die Zuverlässigkeit von erforderlichen sicherheitsrelevanten MSR-Einrichtungen definiert:

[1] Technische Regeln wie TRGS 725

[2] die Normen der Reihe DIN EN 50156 "Elektrische Ausrüstung von Feuerungsanlagen und zugehörigen Einrichtungen"

[3] die Normen der Reihe DIN EN ISO 13849 "Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen"

[4] DIN EN 62061 "Sicherheit von Maschinen - Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme"

[5] die Normen der Reihe DIN EN 61508 "Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme"

[6] die Normen der Reihe DIN EN 61511 "Funktionale Sicherheit - Sicherheitstechnische Systeme für die Prozessindustrie"

*) Gemäß § 21 Absatz 6 der Betriebssicherheitsverordnung macht das Bundesministerium für Arbeit und Soziales die anliegende vom Ausschuss für Betriebssicherheit (ABS) beschlossene Technische Regel für Betriebssicherheit bekannt:

ENDE