Sicherheitssystem

Sicherheitssysteme sind aktive oder passive Anlagenkomponenten, die technische Anlagen für den Menschen sicher machen sollen.

Von Maschinen, Anlagen und allen anderen technischen Einrichtungen gehen Gefahren für den Menschen aus. Dabei sind oft nicht nur die Betreiber, sondern auch Wartungspersonal oder Unbeteiligte direkt oder indirekt gefährdet. Dabei hängt die Gefährdung sowohl von der Art und Funktionsweise der Maschine oder Anlage, als auch von dem Verhalten der Person ab. Zu den besonders gefährlichen Maschinen gehören beispielsweise Sägen oder Pressen, an denen sich eine Person schwerwiegend verletzen kann. Um den Menschen vor allen Gefahren zu schützen, dürfen derartige gefahrvolle Maschinen oder Einrichtungen nur mit geeigneten Schutzeinrichtungen betrieben oder gewartet werden. Oftmals schützt man Personen durch ein Schutzgitter, das jeglichen Zugang verwehrt. Derartige Gitter (oder Zäune) helfen nur während der Betriebsphase der Maschine. Doch während die Maschine mit Material versorgt wird, diese justiert oder gereinigt wird, kommt der Mensch mit gefährlichen Stellen in Berührung. Hier muss man sich stets darauf verlassen können, dass die Maschine u. a. nicht unerwartet anläuft und damit zu einer möglichen Verletzung der Person führt.

In der Regel werden Maschinen oder Anlagen mit elektrischen oder elektronischen Systemen gesteuert. Diese Systeme sind letztlich dafür verantwortlich, dass der Mensch keine Gefahr eingeht. An die Systeme werden daher gewisse Anforderungen gestellt, die sich aus dem Risiko ergeben, das für die involvierte Person besteht.

Um die Gefahren einer Maschine oder Anlage einstufen zu können, wird eine Risikoanalyse durchgeführt und zur Beurteilung des Risikos wird seit mehreren Jahrzehnten der Risikograph angewendet.

Risikoanalyse[Bearbeiten | Quelltext bearbeiten]

„Der Hersteller ist verpflichtet, eine Risikoanalyse vorzunehmen, um alle mit der Maschine verbundenen Gefahren zu ermitteln. Er muss die Maschine dann unter Berücksichtigung seiner Analyse entwerfen und bauen.“ (EG-Richtlinie 2006/42/EG (Maschinenrichtlinie), Anhang I) „Risikobeurteilung ist eine Folge von logischen Schritten, welche die systematische Untersuchung von Gefährdungen erlauben, die von Maschinen ausgehen.“ (DIN EN ISO 14121) Die DIN EN ISO 14121 schreibt die in folgendem Bild dargestellte Vorgehensweise für eine Risikobeurteilung vor (Die DIN EN ISO 14121-1 ist zum März 2011 zurückgezogen worden. Der „praktische Leitfaden und Verfahrensbeispiele“ in Teil 2 (DIN EN ISO 14121-2) behielt weiterhin seine Gültigkeit) Folgendes Diagramm ist Inhalt der DIN EN ISO 14121, nicht jedoch der Nachfolger Norm DIN EN ISO 12100:

Der Prozess zur Reduzierung des Risikos ist so oft zu durchlaufen, bis das Schutzziel erreicht und das Gerät oder die Maschine sicher ist. Im Einzelnen sind die folgenden Einzelschritte zu durchlaufen:

• Bestimmung der Grenzen
• Identifizierung der Gefährdung
• Risikoabschätzung
• Risikobewertung
• Dokumentation

Grundsätzlich gibt es zwei verschiedene Vorgehensweisen bei der Risikoanalyse:

• Deduktives Verfahren
• Induktives Verfahren

Bei der deduktiven Analyse wird ein Schlussergebnis angenommen und die Ereignisse gesucht, die dieses Schlussereignis eintreten lassen. Bei der induktiven Analyse wird der Ausfall eines Elementes angenommen und das Schlussereignis ermittelt.

Risikographen[Bearbeiten | Quelltext bearbeiten]

Entwicklung[Bearbeiten | Quelltext bearbeiten]

Bis zum Ende der 1970er-Jahre gab es für jede Maschine oder Anlage spezifische Sicherheitsmaßnahmen, die zur Erhöhung der Sicherheit empfohlen oder vorgeschrieben waren. Dabei gab es kaum einen Zusammenhang zwischen der verwendeten Technik, dem tatsächlichen Risiko und der möglichen Gefährdung. Erst zu Beginn der Achtzigerjahre etablierte sich eine einheitliche Sichtweise, die auch in anderen Bereichen Anwendung findet (siehe Risikomatrix). Mit dem Produkthaftungsgesetz (1990) wurden die Anforderung an die Risikobetrachtungen größer und so wurden die Verfahren zum Beispiel für den Bereich der Sicherheitssysteme in Normen festgelegt.

Vorgehen[Bearbeiten | Quelltext bearbeiten]

Anhand des zu erwartenden Risikos einer Maschine oder Anlage erstellte man genaue technische oder organisatorische Forderungen, die eine einheitliche Reduzierung der Gefahr bewirkten.

Das Risiko (R) ergibt sich dabei durch eine Wahrscheinlichkeitsaussage, die die zu erwartende Häufigkeit (H) des Eintritts eines Schadens und das zu erwartende Schadensausmaß (S) nach der folgenden Berechnung berücksichtigt:

${\displaystyle R=H\cdot S}$

Eine der prinzipiellen Methoden, unabhängig vom Maschinentyp, eine geeignete Maßnahme zur Einhaltung der Sicherheit zu finden, besteht darin, das Risiko mittels des Risikographen zu beurteilen.

EN 954-1 Risikograph (zurückgezogen)[Bearbeiten | Quelltext bearbeiten]

Der im Bild dargestellte Risikograph stammt aus der zurückgezogenen Norm EN 954-1 und beurteilt das Risiko nach mehreren Kriterien:

• S (severity): Schwere der Verletzung
• F (frequency): Häufigkeit des Aufenthalts
• P (probability): Möglichkeit der Abwendbarkeit

Je nachdem, welche Verletzungen unterstellt werden können, wie oft der Mensch der Gefahr ausgesetzt ist und ob man der Gefahr eventuell entkommen kann, wird die Höhe des Risikos eingestuft. Zur Risikobeurteilung wird die Maschine ohne Schutzeinrichtungen betrachtet. Man beginnt dann am Startpunkt, danach wird festgestellt, welches Verletzungsrisiko vorliegt. Wenn die möglichen Verletzungen geringfügig sind, so wird der Weg S1 eingeschlagen (geringfügige Verletzungen sind reversible Verletzungen, wie beispielsweise kleine Schnittwunden oder Quetschungen). Wenn die Verletzungen dagegen schwerwiegend sind, so muss der Weg S2 gewählt werden (schwerwiegende Verletzungen sind irreversible Verletzungen, die bleibende Schäden hinterlassen; eingeschlossen ist hier auch der Todesfall). Im nächsten Schritt gilt es zu bewerten, wie oft der gefährliche Zustand auftritt, oder wie oft man diesem ausgesetzt ist. Im Falle von F1 kommt der Zustand eher selten vor (z. B. bei einer Wartung, die alle 3 Monate stattfindet). Im Falle, dass die Gefährdung oft oder regelmäßig auftritt, wird F2 gewählt (z. B. eine Person muss sich regelmäßig in die Gefahrenzone begeben). Zum Schluss ist noch die Möglichkeit zu bewerten, ob man die Gefahr erkennen und ihr damit eventuell entkommen kann. Wenn man der Gefahr entkommen kann, so wird P1 angenommen (z. B. eine Maschine läuft langsam an und anfangs sind kaum Gefährdungen möglich). Wenn aber ein Entkommen nahezu ausgeschlossen ist, so muss P2 gewählt werden (z. B. wenn eine Person ein Werkstück in eine Presse legt und diese sich plötzlich schließt).

Ein Beispiel soll die Risikobeurteilung darstellen: An einer Maschine muss eine Person ein Werkzeug wechseln. Wenn die Maschine anläuft, so kann sich die Person schwer verletzen. Nach dem Risikographen ergibt sich folgende Einstufung:

• S2: Schwerwiegende Verletzung (z. B. Verlust eines Fingers)
• F2: Der Werkzeugwechsel wird mehrmals in der Stunde durchgeführt
• P1: Da die Maschine langsam anläuft, kann man der Gefahr entkommen

Nach dem Risikographen der Norm ergibt sich damit eine Einstufung nach Kategorie 3. Der dicke schwarze Punkt sagt aus, dass dieses die bevorzugte Einstufung darstellt. Man kann freilich auch eine Technik wählen, die der Kategorie 4 entspricht (dicker weißer Punkt). Es ist allerdings auch möglich, eine Technik der Kategorie 2 zu wählen, allerdings sind dann zusätzliche organisatorische Maßnahmen notwendig. Um die Maschine (ohne organisatorische Maßnahmen) richtig auszurüsten, ist nach der soeben dargestellten Beurteilung eine Technik zu verwenden, die der Kategorie 3 entspricht. Sie reduziert das Risiko so weit, dass alle Gefahren auf ein erträgliches Maß gebracht werden.

Die hier dargestellte Einstufung führt zu 4 Kategorien. Hinter jeder dieser Kategorien befindet sich eine technische oder organisatorische Maßnahme, die für die Maschine adäquat ist. Damit erhält man eine genaue Vorgabe von Lösungen, die zu einer anzunehmenden Gefährdung passen. Der Risikograph hat sich in ähnlichen Strukturen in allen internationalen Normen etabliert. Beispielsweise stufen die Normen EN 954-1, IEC 61508 oder ISO 13849 das Risiko genau nach derselben Vorgehensweise ein. Allerdings sind innerhalb der genannten Normen die Einstufungen recht unterschiedlich (Kategorien nach EN 954-1, SIL nach IEC 61508, DAL nach DO-178B und PL nach ISO 13849, SIL steht für Safety Integrity Level, DAL für Design Assurance Level und PL für Performance Level, aus dem Englischen „Leistungsgrad“).

Die Risikobeurteilung nach EN 954-1 führt zu einer Einstufung nach 5 Kategorien. Zur Reduzierung des Risikos einer Maschine oder Anlage sind Techniken einzusetzen, die der geforderten Kategorie entsprechen:

• B: Basismaßnahmen sind zu berücksichtigen (z. B. Einhaltung von Qualitätskriterien)
• 1: Bewährte Bauelemente und bewährte Komponenten sind einzusetzen
• 2: Ein regelmäßiger Test der Sicherheitsfunktion muss durchgeführt werden
• 3: Die Technik muss fehlertolerant ausgelegt sein (ein Einzelfehler darf nicht zum Versagen führen und muss erkannt werden, d. h. das Wiedereinschalten ist dann nicht möglich)
• 4: Auch wenn mehrere Fehler in der Technik auftreten, darf die Sicherheitsfunktion nicht versagen

Hinweis: Die Basismaßnahmen sind auch bei den Kategorien 1–4 einzuplanen.

Aus der Einstufung nach EN 954-1 ergeben sich gewisse Sicherheitsstrukturen für die elektrische oder elektronische Steuerung oder Regelung der Maschine oder Anlage.

Die Norm EN 954-1 wurde im September 2009 zurückgezogen. Die zunächst geltende Übergangszeit wurde am letzten Tag, Ende 2009, um zwei Jahre verlängert.^[1] Bis Ende 2011 kann also ein Hersteller noch nach dieser Norm die Annahme der Konformitätsvermutung beantragen; ab 2012 allein nach EN ISO 13849-1.

ISO 13849 Risikograph[Bearbeiten | Quelltext bearbeiten]

Die Norm EN ISO 13849 ersetzt die Norm EN 954-1. Auch hier gibt es einen Risikographen, der zur Einstufung des Risikos führt:

Bei der Beurteilung wird wie bei der bereits bekannten Norm EN 954-1 vorgegangen. Allerdings führt die Auswertung nicht mehr zu einer Kategorie (wie in der EN 954-1), sondern zu einem PL-Wert (Performance Level). Die Einstufung des PL-Werts geht von a (niedriger Beitrag zur Risikoreduzierung) bis zu e (hoher Beitrag zur Risikoreduzierung). Im Unterschied zu den technischen Anforderungen aus der Norm EN 954-1 lässt die Norm ISO 13849 mehrere Wege zu, einen geforderten PL-Wert zu erreichen. Der Anwender kann daher geeignete Maßnahmen kombinieren, die seinen Vorstellungen am nächsten kommen. Hier können technische Randbedingungen oder Kostengesichtspunkte eine Rolle spielen. Nach wie vor sind festgelegte Sicherheitsstrukturen zu verwenden.

DIN EN 62061[Bearbeiten | Quelltext bearbeiten]

Definition von „Schwere der Verletzung“:

• 4 Irreversibel: Tod, Verlust eines Auges oder Arms
• 3 Irreversibel: gebrochene Gliedmaßen, Verlust (eines) mehrerer Finger(s)
• 2 Reversibel: Behandlung durch einen Mediziner erforderlich
• 1 Reversibel: erste Hilfe erforderlich

Dass schwere Verletzungen nicht wünschenswert sind, sollte jedem klar sein.

Andere Varianten[Bearbeiten | Quelltext bearbeiten]

Im Folgenden ist ein einfacher Risikograph gezeigt, wie er u. a. in der EN 60601 (mit Modifikationen in der Bewertung) verwendet wird:

Sicherheitsstrukturen[Bearbeiten | Quelltext bearbeiten]

Damit Steuerungen von Maschinen oder Anlagen sicher arbeiten, müssen sie gewissen Anforderungen entsprechen. Hierbei stehen 4 Kenngrößen im Vordergrund, die eine besonders wichtige Rolle bei Bewertung von elektrischen oder elektronischen Sicherheitssystemen spielen:

Architektur und Struktur des Systems

Sicherheitssysteme können einkanalig, zweikanalig oder mehrkanalig aufgebaut sein. Während einkanalige Systeme in der Regel auf Fehler mit einem Versagen reagieren, so können zwei- oder mehrkanalige Systeme sich gegenseitig prüfen und eventuelle Fehler erkennen. Die Messgröße für die Architektur ist der HFT-Wert (aus dem Englischen: Hardware Fault Tolerance). Wenn der HFT-Wert 0 ist, so liegt keine Hardwarefehlertoleranz vor und ein beliebiger Fehler kann zum Versagen führen. Eine Zweikanaligkeit (wie die Verwendung von zwei Spannungsprüfern) ist besser als eine Einkanaligkeit

Diagnosedeckungsgrad

Sowohl einkanalige als auch zweikanalige (oder gar mehrkanalige) Strukturen können versagen. Wenn man die Funktion der Struktur allerdings regelmäßig testet, so kann man ein Versagen oder einen Defekt erkennen. Freilich muss man schon einen sinnvollen Test durchführen, der auch die Fehler erkennt. Der Diagnosedeckungsgrad (DC: aus dem Englischen Diagnostic Coverage) gibt an, mit welcher Wahrscheinlichkeit die Fehler durch einen Test offenbart werden. Sicherheitssysteme müssen getestet werden, damit man weiß, ob sie noch funktionieren. Dabei hängt der Diagnosedeckungsgrad von der Güte des Tests ab. Schlechte Tests decken nur wenige, gute Tests viele oder sogar alle Fehler auf.

Ausfallrate

Wenn die Ausfallrate klein ist, braucht man Defekte kaum zu befürchten. Wenn beispielsweise die Ausfallrate für den Spannungsprüfer gleich 0 ist, fällt dieser nie aus (das gibt es zwar nicht, aber man kann das theoretisch einmal annehmen) und er zeigt auch immer die richtige Spannung an. Man braucht kein zweites Gerät und braucht ihn auch nie zu testen. Da das nicht der Praxis entspricht, ist man doch auf ein weiteres Gerät oder einen Test angewiesen.

Je niedriger die Ausfallrate von Sicherheitseinheiten ist, desto weniger muss man befürchten, dass ein Ausfall zum Versagen der Sicherheitsfunktion führt. Die Ausfallrate gibt die Anzahl der Ausfälle pro Zeitspanne an. In der Regel wird ein Maßstab von 1 Ausfall in 10⁹ Stunden gewählt (das ist eine extrem kleine Einheit, da ja nur ein Ausfall in ca. 100.000 Jahren diesem entspricht, dieser Wert wird auch als 1 fit, failure in time bezeichnet).

Fehler gemeinsamer Ursache

Hier sind Einflussgrößen gemeint, die sich auf mehrere Systeme gleichzeitig auswirken. Beispielsweise könnte die Spannung in dem Kabel so hoch sein, dass beide Spannungsprüfer überfordert sind und überhaupt nichts mehr anzeigen. Damit hat eine einzige Ursache eine fatale Wirkung auf alle Geräte. Es wäre nun extrem gefährlich, daraus den Schluss zu ziehen, dass das Kabel spannungslos sei. Auch wenn Systeme über zwei oder gar mehrere Kanäle verfügen, diese sogar getestet werden und zudem auch noch selten ausfallen, kann ein einziger bösartiger Einfluss doch alle Systeme beeinflussen oder sogar ausschalten. Bekannt sind in der Elektronik hierbei beispielsweise extreme Spannungspegel (wie Blitzeinschlag), die gleich mehrere Einheiten schlagartig unbrauchbar machen können. Diese Fehler gemeinsamer Ursache (CCF: aus dem Englischen Common Cause Failure) sind stets zu vermeiden.

Ein anschauliches Beispiel soll die Denkweise der Sicherheitstechnik verdeutlichen: Wenn man sich zu Hause an seiner Stromleitung zu schaffen macht, so sollte man sich zuerst darüber im Klaren sein, dass der Strom abgeschaltet ist, sonst besteht das Risiko eines elektrischen Schlags. Man benutzt daher einen Spannungsprüfer, der eine vorhandene Spannung anzeigt. Wenn dieser keine Spannung signalisiert, so kann man sich an die Arbeit begeben. Allerdings – so denkt man in der Sicherheitstechnik – könnte ja auch der Spannungsprüfer defekt sein und sich doch Spannung in der Stromleitung befinden. Also ist es sinnvoll, einen anderen Spannungsprüfer zu holen und mit diesem ebenfalls die Spannung zu prüfen. Wenn dieser ebenfalls keine Spannung signalisiert, so ist sehr wahrscheinlich wirklich keine Spannung im Kabel. Es sei denn, beide Prüfer sind defekt. Eine endgültige Gewissheit kann man daher nur erhalten, wenn man nun beide Prüfer an eine bekannte Spannung (z. B. eine Batterie) anlegt und damit nachweist, dass sie noch in Ordnung sind. Die hier vorgestellte Vorgehensweise lässt sich in die Sicherheitsstrukturen für sichere Steuerungen und Regelung übersetzen.

Die Sicherheitsstrukturen von Steuerungen und Regelungen verhalten sich ähnlich zu dem vorgestellten Beispiel.

Sie können entweder einkanalig oder mehrkanalig ausgeführt sein. Sie werden meist laufend getestet. Sie enthalten Bauteile oder Komponenten mit niedriger Ausfallrate und es werden besondere Maßnahmen ergriffen, Fehler mit gemeinsamer Ursache zu vermeiden.

Unterstützende Software vom Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung[Bearbeiten | Quelltext bearbeiten]

Das Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (IFA) hat den Software-Assistenten SISTEMA (Sicherheit von Steuerungen an Maschinen) entwickelt. Dieser bietet im Rahmen der Norm DIN EN ISO 13849-1 Hilfe bei der Bewertung der Sicherheit von Steuerungen. Das Windows-Tool bildet die Struktur der sicherheitsbezogenen Steuerungsteile auf der Basis der sogenannten vorgesehenen Architekturen nach und berechnet Zuverlässigkeitswerte auf verschiedenen Detailebenen. SISTEMA ist kostenlos online verfügbar. Die Haftung ist auf Vorsatz und grobe Fahrlässigkeit bzw. auf arglistig verschwiegene Fehler beschränkt.^[2]

Der kostenlose Software-Assistent SOFTEMA hilft, die Sicherheit von Steuerungen an Maschinen im Rahmen der relevanten Normen zu bewerten. Laut dieser Normen (z. B. DIN EN ISO 13849-1) sind Anwendungsprogramme nach einem strukturierten Arbeitsprozess zu entwickeln und fehlervermeidende Maßnahmen anzuwenden. In Zusammenarbeit mit der Hochschule Bonn-Rhein-Sieg und regionalen Maschinenbauunternehmen wurde die sogenannte IFA-Matrixmethode entwickelt, um sicherheitsgerichtete Anwendungsprogramme zu validieren und zu prüfen.^[3] SOFTEMA dient zur effizienten Anwendung der Matrixmethode und soll Maschinenhersteller bei der Programmentwicklung und externe Stellen bei deren Prüfung unterstützen.^[4]

Schutzeinrichtungen und ihre Manipulation[Bearbeiten | Quelltext bearbeiten]

Etwa ein Drittel aller Schutzeinrichtungen an industriell genutzten Maschinen werden regelmäßig manipuliert.^[5] Wenn Schutzeinrichtungen an einer Maschine das Ausführen bestimmter Arbeitsaufgaben erschweren, besteht ein Anreiz, diese Schutzeinrichtungen zu umgehen. Je größer der Vorteil (z. B. die Zeitersparnis) ist, der sich aus der Manipulation für die Bedienung der Maschine ergibt, desto eher wird die Schutzeinrichtung außer Kraft gesetzt. Unternehmen müssen jedoch der bedienenden Person sichere Maschinen zur Verfügung stellen: Maschinen mit hohem Manipulationsanreiz sind als unsicher zu betrachten und dürfen nicht betrieben werden^[6].

Das Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (IFA) hat ein Verfahren entwickelt, das den Anreiz zur Manipulation von Schutzeinrichtungen bewertet. Diese Methode findet sich auch in der Norm DIN EN ISO 14119. Die Bewertung kann mit einer MS-Excel-Tabelle erfolgen oder mithilfe einer App zur Nutzung auf Smartphones und Tablets. Die Software ist kostenlos verfügbar.^[6]

Der Einsatz der Software ist jederzeit möglich, sollte aber von einer Person durchgeführt werden, die gute Kenntnisse über die Bedienung der Maschine hat. Wenn sich dabei ein Anreiz zur Manipulation von Schutzeinrichtungen zeigt, müssen Maßnahmen zur Minderung dieses Anreizes implementiert werden.^[7]

Normen[Bearbeiten | Quelltext bearbeiten]

• EN ISO 13849-1, Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze (ISO 13849-1)
• EN ISO 13849-2, Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 2: Validierung (ISO 13849-2)
• EN 62061, VDE 0113-50, Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme
• IEC 61508, VDE 0803: Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme, Version November 2002, DIN (Kapitel 1–7)
• EN 954-1: Sicherheitsbezogene Teile von Steuerungen (wurde ersetzt durch EN 13849-1)

Literatur[Bearbeiten | Quelltext bearbeiten]

• Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (IFA): BGIA-Report 2/2008, Funktionale Sicherheit von Maschinensteuerungen – Anwendung der DIN EN ISO 13849. Deutsche Gesetzliche Unfallversicherung (DGUV), Sankt Augustin 2008, ISBN 978-3-88383-771-0 ([1]). 
• Patrick Gehlen: Funktionale Sicherheit von Maschinen und Anlagen - Umsetzung der Europäischen Maschinenrichtlinie in der Praxis. Publicis Corporate Publishing, ISBN 978-3-89578-281-7. 
• Josef Börcsök: Elektronische Sicherheitssysteme. Hüthig, Heidelberg 2004, ISBN 3-7785-2939-0. 
• Josef Börcsök: Funktionale Sicherheit Grundzüge sicherheitstechnischer Systeme. Hüthig, Heidelberg 2006, ISBN 3-7785-2985-4. 
• Winfried Gräf: Maschinensicherheit. Vogel-Verlag, Würzburg 2004, ISBN 3-7785-2941-2. 
• Peter Wratil, Michael Kieviet: Sicherheitstechnik für Komponenten und Systeme. Hüthig, Heidelberg 2007, ISBN 3-7785-2984-6. 
• Peter Wratil: Speicherprogrammierbare Steuerungen in der Automatisierungstechnik. Vogel-Verlag, Würzburg 1989, ISBN 3-8023-0235-4. 
• SICK AG: Leitfaden „Sichere Maschinen“. 2008. 
• Carsten Gregorius: Funktionale Sicherheit von Maschinen. Beuth-Verlag, 2016, ISBN 978-3-410-25249-8. 
• AVENTICS GmbH: „Maschinensicherheit - Expertise für Pneumatik“. 2017. 

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ Mitteilung 2009/C 321/09 (PDF) im Amtsblatt der Europäischen Union
2. ↑ Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (IFA): Software-Assistent SISTEMA. Abgerufen am 30. Januar 2019. 
3. ↑ Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (IFA): Sicherheitsbezogene Anwendungssoftware von Maschinen – Die Matrixmethode des IFA (IFA Report 2/2016). Abgerufen am 24. Januar 2020. 
4. ↑ Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (IFA): Software-Assistent SOFTEMA. Abgerufen am 24. Januar 2020. 
5. ↑ arbeitssicherheit.de: Manipulation an Schutzeinrichtungen erkennen. Abgerufen am 6. August 2018. 
6. ↑ ^{a b} Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (IFA): Anreiz für die Manipulation von Schutzeinrichtungen. Abgerufen am 6. August 2018. 
7. ↑ Mannheimer Verein zur internationalen Förderung der Maschinen- und Systemsicherheit e.V.: Manipulation von Schutzeinrichtungen an Maschinen verhindern. Abgerufen am 6. August 2018.