Logo des Herausgebers
Technische Regel für Betriebssicherheit

Sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen

TRBS 1115
Stand: 17. Februar 2021
zuletzt berichtigt am 26. April 2021
(GMBl. 28, S. 630 vom 12.05.2021)

Die Technischen Regeln für Betriebssicherheit (TRBS) geben den Stand der Technik, Arbeitsmedizin und Arbeitshygiene sowie sonstige gesicherte arbeitswissenschaftliche Erkenntnisse für die Verwendung von Arbeitsmitteln wieder.
Sie werden vom Ausschuss für Betriebssicherheit ermittelt bzw. angepasst und vom Bundesministerium für Arbeit und Soziales (BMAS) im Gemeinsamen Ministerialblatt (GMBl) bekannt gegeben.
Die TRBS 1115 konkretisiert im Rahmen ihres Anwendungsbereichs die Anforderungen der Betriebssicherheitsverordnung. Bei Einhaltung dieser Technischen Regeln kann der Arbeitgeber davon ausgehen, dass die entsprechenden Anforderungen der Verordnung erfüllt sind. Wählt der Arbeitgeber eine andere Lösung, muss er damit mindestens die gleiche Sicherheit und den gleichen Gesundheitsschutz für die Beschäftigten erreichen.

1   Anwendungsbereich

(1) Diese Technische Regel konkretisiert die Betriebssicherheitsverordnung (BetrSichV) im Hinblick auf die dauerhafte Sicherstellung der Funktionsfähigkeit von sicherheitsrelevanten Mess-, Steuer- und Regeleinrichtungen (MSR-Einrichtungen), die als technische Schutzmaßnahme für die sichere Verwendung eines Arbeitsmittels inklusive einer überwachungsbedürftigen Anlage eingesetzt werden. Belange der Cybersicherheit siehe EmpfBS 1115. Für nicht verwendungsfertig beschaffte Arbeitsmittel bietet diese Technische Regel auch Hilfestellung für die Spezifikation, Planung und Realisierung von sicherheitsrelevanten MSR-Einrichtungen.
(2) Diese TRBS beschreibt auch die Durchführung von Prüfungen sowie das Vorgehen bei Änderungen von Arbeitsmitteln in Zusammenhang mit sicherheitsrelevanten MSR-Einrichtungen.
(3) Diese Technische Regel kann auch für hinsichtlich der funktionalen Sicherheit zu bewertende Funktionseinheiten einer Ex-Vorrichtung gemäß TRGS 725 angewendet werden.
(4) Anhang A enthält Maßnahmen, die der Arbeitgeber berücksichtigen muss, wenn er ein Management der funktionalen Sicherheit im Betrieb einführt.

2   Begriffsbestimmungen

2.1   Allgemeines

Folgende Begriffe sind bereits in TRBS 1201 bestimmt:
  1. Kontrolle
  2. Art und Umfang erforderlicher Prüfungen
  3. Prüffrist
  4. Notbefehlseinrichtung
  5. Sicherheitseinrichtung
  6. Sicherheitsrelevante MSR-Einrichtungen

2.2   Funktionale Sicherheit

Funktionale Sicherheit ist der Teil der Gesamtsicherheit, der von der korrekten Funktion einer sicherheitsrelevanten MSR-Einrichtung und anderer Schutzmaßnahmen zur Verminderung von Gefährdungen abhängt.

2.3   Sicherheitslebenszyklus

Der Sicherheitslebenszyklus einer sicherheitsrelevanten MSR-Einrichtung beschreibt die für die einzelnen Lebensphasen notwendigen Aufgaben des Arbeitgebers zur Implementierung und Aufrechterhaltung ihrer Funktionsfähigkeit von der Konzeption bis zur Außerbetriebnahme. Der Sicherheitslebenszyklus ist gleichzusetzen mit der „gesamten Verwendungsdauer“, während der ein Arbeitsmittel gemäß § 10 Absatz 1 BetrSichV in einem sicheren Zustand erhalten werden muss.

3   Sicherheitsrelevante MSR-Einrichtungen

3.1   Allgemeines

(1) Gemäß § 5 Absatz 1 BetrSichV müssen Arbeitsmittel, also auch zugehörige sicherheitsrelevante MSR-Einrichtungen, für den Einsatzzweck geeignet und unter den vorgesehenen Einsatzbedingungen und den vorhersehbaren Beanspruchungen sicher sein.
(2) Gemäß § 5 Absatz 3 BetrSichV müssen auch Arbeitsmittel, die der Arbeitgeber für eigene Zwecke selbst hergestellt hat, den grundlegenden Sicherheitsanforderungen der für sie geltenden EU-Richtlinien und -Verordnungen entsprechen. Den formalen Anforderungen der für das Arbeitsmittel geltenden EU-Richtlinien brauchen die Arbeitsmittel nicht zu entsprechen, es sei denn, es ist in der jeweiligen Richtlinie ausdrücklich anders bestimmt.
(3) Sicherheitsrelevante MSR-Einrichtungen, ihre Integration in das Arbeitsmittel und ihre Anwendung müssen dem Stand der Technik entsprechen. Der Stand der Technik ergibt sich aus den einschlägigen Normen des z. B. Produktsicherheitsrechts und ggf. aus staatlichen Regeln. Sie bezeichnen sicherheitsrelevante MSR-Einrichtungen auch als sicherheitsbezogene Steuerungen oder PLT-Sicherheitseinrichtungen (PLT = Prozessleittechnik).
(4) Sicherheitsrelevante MSR-Einrichtungen dienen der Verhinderung von Gefährdungen bei der Verwendung von Arbeitsmitteln, die nicht durch inhärent sichere Konstruktion des Arbeitsmittels oder durch trennende Schutzeinrichtungen beseitigt oder ausreichend vermindert werden können.
(5) Die Einordnung einer sicherheitsrelevanten MSR-Einrichtung in den Prozess der Gefährdungsbeurteilung wird in Abbildung 1 dargestellt.
Abb. 1  Schematische Darstellung der Einordnung einer sicherheitsrelevanten MSR-Einrichtung in den Prozess der Gefährdungsbeurteilung
Abb. 1  Schematische Darstellung der Einordnung einer sicherheitsrelevanten MSR-Einrichtung in den Prozess der Gefährdungsbeurteilung
(6) Zu den sicherheitsrelevanten MSR-Einrichtungen gehören beispielsweise:
  1. Mess-, Steuer- und Regeleinrichtungen von Arbeitsmitteln, die gemäß § 8 Absatz 2 BetrSichV erforderlich sind. Dazu gehören beispielsweise:
    1. Steuerungen an Maschinen gemäß Richtlinie 2006/42/EG (Maschinen-Richtlinie), insbesondere solche Schutzeinrichtungen und Schutzmaßnahmen für besondere Betriebsarten (z. B. im Einrichtbetrieb) gemäß TRBS 2111, die in die Steuerung des Arbeitsmittels gemäß der Steuerungsaufgabe eingebunden sind,
    2. mess- und regeltechnische Sicherheitseinrichtungen (Safety Related Measurement Control and Regulation, SRMCR), die Ausrüstungsteile mit Sicherheitsfunktion im Sinne von Artikel 2 Absatz 4 der Richtlinie 2014/68/EU (Druckgeräte-Richtlinie) sind,
    3. elektrische Sicherheitseinrichtungen, die Sicherheitsbauteile im Sinne von Anhang III der Richtlinie 2014/33/EU (Aufzugsrichtlinie) sind u. a. elektrische Sicherheitseinrichtungen nach DIN EN 81-20:2014 Anhang A,
    4. Sicherheits-, Kontroll- und Regelvorrichtungen im Sinne der Richtlinie 2014/34/EU (ATEX-Richtlinie).
  2. Notbefehlseinrichtungen mit den zugehörigen Sicherheitsfunktionen, die gemäß § 8 Absatz 6 BetrSichV erforderlich sind, und
  3. hinsichtlich der funktionalen Sicherheit bewertete Funktionseinheiten einer Ex-Vorrichtung gemäß TRGS 725.

3.2   Phasen im Sicherheitslebenszyklus

Der Sicherheitslebenszyklus einer sicherheitsrelevanten MSR-Einrichtung (siehe Abschnitt 2.3) umfasst die:
  1. Ermittlung des Sollzustands (Festlegung aller Schutzmaßnahmen für die Gesamtsicherheit des Arbeitsmittels und Zuordnung der daraus resultierenden Schutzmaßnahmen hin-sichtlich der sicherheitsrelevanten MSR-Einrichtungen),
  2. Planung und Realisierung einschließlich
    1. Spezifikation der MSR-Einrichtung
    2. Errichtung
    3. Inbetriebnahme der sicherheitsrelevanten MSR-Einrichtung,
  3. Überprüfung der Wirksamkeit der sicherheitsrelevanten MSR-Einrichtung,
  4. Verwendung (Betrieb) und Instandhaltung,
  5. Außerbetriebnahme.
Abb. 2  Abläufe bei Planung, Realisierung und Verwendung einer sicherheitsrelevanten MSR-Einrichtung
Abb. 2  Abläufe bei Planung, Realisierung und Verwendung einer sicherheitsrelevanten MSR-Einrichtung

3.3   Organisatorische Maßnahmen

3.3.1   Allgemeines

(1) Die Wirksamkeit sicherheitsrelevanter MSR-Einrichtungen als Schutzmaßnahme muss dauerhaft sichergestellt werden. Dafür ist es erforderlich, Fachkunde (Qualifikation), Tätigkeiten und Zuständigkeiten derjenigen Personen festzulegen, die für den Auswahl- und Beschaffungsprozess verantwortlich sind und die im Betrieb Umgang mit einer sicherheitsrelevanten MSR-Einrichtung haben. Ihre Verantwortlichkeiten und Aufgaben müssen eindeutig festgelegt werden und alle vorgenannten beteiligten Personen müssen über ein der Aufgabe entsprechendes Fachwissen verfügen.
(2) Für die Art und den Umfang der organisatorischen Maßnahmen sind zwei Fälle zu unterscheiden:
  1. die sicherheitsrelevante MSR-Einrichtung wird verwendungsfertig als Teil des Arbeitsmittels durch den Hersteller auf dem Markt bereitgestellt.
    In diesem Fall hat der Arbeitgeber die Installations- und Betriebsanleitung des Arbeitsmittels zu beachten und die Funktionsfähigkeit der sicherheitsrelevanten MSR-Einrichtung durch die Veranlassung von Instandhaltungsmaßnahmen, Prüfungen und Kontrollen unter Berücksichtigung entsprechender Herstellervorgaben aufrechtzuerhalten.
  2. die sicherheitsrelevante MSR-Einrichtung wird durch den Arbeitgeber in eigener Verantwortung zur Verfügung gestellt (z. B. Temperaturüberwachung bezüglich der Verhinderung des Durchgehens einer chemischen Reaktion oder der Selbstentzündung einer Staubschüttung). Dies kann entweder durch die Beschaffung einer sicherheitsrelevanten MSR-Einrichtung als verwendungsfertiges Produkt oder durch den Zusammenbau eigenständiger Bauteile durch den Arbeitgeber erfolgen.
    In diesen Fällen hat der Arbeitgeber eigene Verfahren festzulegen, um die Wirksamkeit und die Funktionsfähigkeit der sicherheitsrelevanten MSR-Einrichtung über die gesamte Verwendungsdauer sicherzustellen. Dafür sind die erforderliche Fachkunde, die Verantwortlichkeiten und die zu nutzenden Werkzeuge und Methoden festzulegen (siehe hierzu Abschnitt 4).
(3) Wenn der Arbeitgeber zur Aufrechterhaltung von Wirksamkeit und Funktionsfähigkeit sicherheitsrelevanter MSR-Einrichtungen ein Management der funktionalen Sicherheit im Betrieb einführt, sind die in Anhang A beschriebenen Maßnahmen zu berücksichtigen.

3.3.2   Qualifikation der fachkundigen Personen

(1) Nach § 3 Absatz 3 BetrSichV darf eine Gefährdungsbeurteilung nur von fachkundigen Personen durchgeführt werden. Diese müssen in der Lage sein, Gefährdungen der Beschäftigten bei der Verwendung von MSR-Einrichtungen bzw. Arbeitsmitteln mit MSR-Einrichtungen systematisch zu ermitteln und zu bewerten sowie aus dem Ergebnis Schutzmaßnahmen ab-zuleiten.
(2) Die nachstehend genannten Aspekte zur erforderlichen Fachkunde für eine Gefährdungsbeurteilung sind für die Arbeitgeber gedacht, die am Markt bereitgestellte sicherheitsrelevante MSR-Einrichtungen einsetzen.
Die erforderliche Fachkunde umfasst in Abhängigkeit von der Komplexität des Arbeitsmittels technische Kenntnisse, Ausbildung und Erfahrung auf mehreren Gebieten:
  1. regulatorische und normative Anforderungen
    1. Kenntnis gesetzlicher Vorschriften zum Arbeitsschutz
    2. Befähigung zur sachgerechten Durchführung einer Gefährdungsbeurteilung
    3. Kenntnis einschlägiger Sicherheitsanforderungen und Sicherheitsvorschriften
  2. Branchenkenntnisse
    Da die Gefährdungsbeurteilung dem Ziel dient, die notwendigen und geeigneten Schutzmaßnahmen für Sicherheit und Gesundheitsschutz festzulegen (siehe TRBS 1111 Abschnitt 2 Absatz 1), sind grundlegende Kenntnisse der Branche in Bezug auf die Gefährdungen unerlässlich. Zu diesen Kenntnissen können branchentypische Gegebenheiten gehören wie (nicht abschließende Aufzählung):
    1. branchenübliche Arbeitsprozesse und Arbeitsmittel
    2. typische Gefährdungen und Gefahrenschwerpunkte
    3. verarbeitete Materialien (Werkstoffe)
    4. Eigenschaften der Produkte
    5. Ausbildung der Beschäftigten
    6. Unfallstatistik
  3. spezifische Kenntnis über das jeweilige Unternehmen
    Für die Festlegung von wirksamen Schutzmaßnahmen müssen zusätzlich zu b) die individuellen Gegebenheiten des jeweiligen Unternehmens bekannt sein, insbesondere ortsabhängige Einflussfaktoren, wie (nicht abschließende Aufzählung):
    1. Besonderheiten des Betriebes, wie z. B. spezifische Gefährdungen, Zonen mit explosionsfähiger Atmosphäre usw.
    2. Arbeitsprozesse und verwendete Arbeitsmittel
    3. Aufstellung der Arbeitsmittel in der Betriebsstätte
    4. verarbeitete Materialien (Werkstoffe) und hergestellte Produkte
    5. übliche Betriebsvorgänge (Bedienung, Instandhaltung usw.)
    6. verfügbare Kommunikationsmittel und Warneinrichtungen
  4. angemessene Kenntnisse über sicherheitsrelevante MSR-Einrichtungen und funktionale Sicherheit
    Sicherheitsrelevante MSR-Einrichtungen wirken immer zusammen mit anderen Schutzmaßnahmen zur Verhinderung von Gefährdungen. Deshalb sind technisches Wissen und Erfahrung über die Verwendung von sicherheitsrelevanten MSR-Einrichtungen erforderlich:
    1. grundsätzliche Funktion von sicherheitsrelevanten MSR-Einrichtungen
    2. Beurteilung der Eignung von Sensoren und Aktoren für die jeweilige Arbeitsaufgabe unter dem Einfluss der örtlichen Betriebs- und Umgebungsbedingungen
    3. bei Bedarf Kenntnisse über die Festlegung eines erforderlichen Sicherheitsintegritätslevels (SIL) bzw. Performance Levels (PL).
(3) Falls der Arbeitgeber für eine sicherheitsrelevante MSR-Einrichtungen geeignete Produkte (z. B. Temperatursensoren, Drucksensoren) auswählt und installiert, sind gegenüber den Anforderungen des Absatzes 2 tiefergehende Fachkenntnisse und Qualifikationen erforderlich (siehe hierzu auch Anhang A Abschnitt 2.2).

3.4   Dokumentation

Entsprechend den Anforderungen des § 3 Absatz 8 BetrSichV sind auch die auf MSR-Einrichtungen beruhenden Schutzmaßnahmen sowie Art und Umfang der diesbezüglichen Festlegungen zu Kontrollen und Prüfungen und deren Fristen zu dokumentieren (elektronische Form der Dokumentation ist zulässig).

4   Planung und Realisierung der Ausrüstung eines Arbeitsmittels mit einer sicherheitsrelevanten MSR-Einrichtung durch den Arbeitgeber

4.1   Allgemeines

In diesem Abschnitt werden Maßnahmen beschrieben, die der Arbeitgeber im Zuge der Planung und Realisierung einer sicherheitsrelevanten MSR-Einrichtung zu treffen hat, sofern diese nicht als Bestandteil eines verwendungsfertigen Arbeitsmittels geliefert werden.

4.2   Festlegung des Schutzkonzepts für das Arbeitsmittel durch den Arbeitgeber

(1) Voraussetzung für die Festlegung von Schutzmaßnahmen ist die Ermittlung von Gefährdungen der Beschäftigten bei der Verwendung von Arbeitsmitteln im Rahmen der nach § 5 ArbSchG in Verbindung mit insbesondere § 3 BetrSichV und § 6 GefStoffV vorgeschriebenen Gefährdungsbeurteilung. Dabei sind sowohl technische als auch organisatorische und personenbezogene Schutzmaßnahmen zu betrachten, die zur sicheren Verwendung eines Arbeitsmittels notwendig sind (Schutzkonzept i. S. d. TRBS 1111).
(2) Es ist unerlässlich, zunächst alle erforderlichen Schutzmaßnahmen zu betrachten, damit im nächsten Schritt bei der Festlegung der Anforderung an die MSR-Einrichtung die Sicherheitsfunktionen korrekt zugeordnet werden können.
(3) Die Vorgaben der Hersteller sicherheitsrelevanter MSR-Einrichtungen zur Einbindung in das Arbeitsmittel sind zu beachten.

4.3   Umsetzung des Schutzkonzeptes bezogen auf sicherheitsrelevante MSR-Einrichtungen durch den Arbeitgeber

(1) Als technische Schutzmaßnahme führt eine sicherheitsrelevante MSR-Einrichtung die erforderlichen Sicherheitsfunktionen aus, um die sichere Verwendung des Arbeitsmittels zu erreichen und aufrechtzuerhalten. Es ist deshalb festzulegen, welche Sicherheitsfunktionen als Schutzmaßnahme erforderlich sind, um Gefährdungssituationen zu verhindern, zu begrenzen oder zu beenden.
(2) Entsprechend den möglichen Gefährdungen müssen für jede Sicherheitsfunktion, die von einer MSR-Einrichtung ausgeführt werden soll, die Anforderungen an ihre Zuverlässigkeit festgelegt werden. Dies kann z. B. auf Basis des Sicherheitsintegritätslevels (SIL) oder Performance Levels (PL) erfolgen (siehe Anhang B).
(3) Zu berücksichtigen sind neben den Anforderungen an die sicherheitsrelevante Funktion zusätzliche Anforderungen, die sich aus den Randbedingungen des Einsatzortes ergeben. Dazu gehören beispielsweise:
  1. Explosionsschutz
  2. elektrische Schutzklassen
  3. Blitzschutz
  4. klimatische und Aufstellungsbedingungen
  5. Eigenschaften der Arbeitsstoffe.

4.4   Beschaffenheit einer sicherheitsrelevanten MSR-Einrichtung

4.4.1   Anforderungen an die Sicherheitsfunktionen

(1) Sicherheitsfunktionen sind als Schutzmaßnahme für die sichere Verwendung für alle Betriebsarten eines Arbeitsmittels und Tätigkeiten mit einem Arbeitsmittel zu definieren.
Zu betrachten sind dabei z. B.
  1. Vorbereitung für die Verwendung, Einstellungen, Justage,
  2. Anlauf, Lernmodus,
  3. manueller Betrieb, halb-/automatischer Betrieb,
  4. stationärer Dauerbetrieb,
  5. Überwachen, stationärer Zustand ohne Betrieb,
  6. Rücksetzen, Abschaltung,
  7. Instandhaltung, Reinigen, Prüfen
als auch die unter normalen Umständen vorhersehbaren, nicht bestimmungsgemäßen Betriebszustände und Betriebsstörungen sowie die Demontage.
(2) Die Anforderungen (Spezifikation) an eine sicherheitsrelevante MSR-Einrichtung müssen alle Sicherheitsfunktionen in natürlicher Sprache und/oder Logik-, Ablauf- oder Ursache-Wirkungs-Diagrammen so formulieren, dass jede Sicherheitsfunktion
  1. unzweideutig,
  2. nachprüfbar,
  3. testbar und
  4. ausführbar ist sowie
  5. im Falle von Veränderungen am Arbeitsmittel oder im Arbeitsprozess angepasst werden kann.
Welche Angaben im Detail eine Spezifikation von Sicherheitsfunktionen enthalten muss, kann anhand des Standes der Technik je nach Anwendungsfall unter Berücksichtigung von z. B. in Anhang B aufgeführten Normen erfolgen.

4.4.2   Anforderungen an sicherheitsrelevante MSR-Einrichtungen als Teil eines verwendungsfertigen Produktes

(1) Wird die sicherheitsrelevante MSR-Einrichtung als Teil eines verwendungsfertigen Produktes auf dem Markt bereitgestellt, unterliegt dieses Produkt insgesamt den Anforderungen der entsprechenden Rechtsvorschriften zum Inverkehrbringen und muss insoweit die produktsicherheitsrechtlich geforderten Anforderungen zum Zeitpunkt der Bereitstellung auf dem Markt erfüllen.
(2) Absatz 1 gilt auch für eine nach Abstimmung zwischen Arbeitgeber und Hersteller hinsichtlich der erforderlichen Anforderung an die funktionale Sicherheit spezifisch angepasste sicherheitsrelevante MSR-Einrichtung.
(3) Für die sicherheitsrelevanten MSR-Einrichtungen sowie ggf. für einzelne Komponenten sind die
  1. von den jeweiligen Herstellern erstellten Unterlagen wie z. B. Betriebsanleitung, Datenblätter, Sicherheitskennwerte (B10, Tm, MTTF, PFHd usw.) und Konformitätsnachweise sowie
  2. die Festlegungen der für die Gewährleistung der Funktionsfähigkeit einzuhaltenden Fristen der Prüfungen und Kontrollen
Bestandteil der technischen Dokumentation der MSR-Einrichtung.

4.4.3   Anforderungen an vom Arbeitgeber in eigener Verantwortung zur Verfügung gestellte sicherheitsrelevante MSR-Einrichtungen

(1) Die Anforderungen an die sicherheitsrelevanten MSR-Einrichtungen und deren Komponenten sind in einer Spezifikation als Teil der Dokumentation der Gefährdungsbeurteilung des Arbeitgebers festzuhalten.
(2) Die Spezifikation der sicherheitsrelevanten MSR-Einrichtungen muss mit den im Ergebnis der Gefährdungsbeurteilung festgelegten Schutzmaßnahmen vollständig übereinstimmen.
(3) Für die einzelnen Komponenten einer sicherheitsrelevanten MSR-Einrichtung sind
  1. die von den jeweiligen Herstellern erstellten Unterlagen wie z. B. Betriebsanleitung, Datenblätter, Sicherheitskennwerte (B10, Tm, MTTF, PFHd usw.) und Konformitätsnachweise sowie
  2. die Festlegungen der für die Gewährleistung der Funktionsfähigkeit einzuhaltenden Fristen der Prüfungen und Kontrollen
Bestandteil der technischen Dokumentation der MSR-Einrichtung und müssen mit dem Ergebnis der Gefährdungsbeurteilung übereinstimmen.
(4) Für die sicherheitsrelevante MSR-Einrichtung hat der Arbeitgeber Vorgaben für die Verwendung (z. B. Montage und Installation, Inbetriebnahme, Instandhaltung) sowie zur Kontrolle der Funktionsfähigkeit und zu Prüfungen festzulegen.

4.5   Errichtung der sicherheitsrelevanten MSR-Einrichtung und Vorbereitung der Inbetriebnahme des Arbeitsmittels durch den Arbeitgeber

4.5.1   Installation

Sicherheitsrelevante MSR-Einrichtungen einschließlich der verwendeten Sensoren, Aktoren, Verbindungskabel sowie der Leitungsführung müssen vom Arbeitgeber fachgerecht ausgewählt und installiert werden. Sie müssen sowohl den betrieblichen Beanspruchungen standhalten als auch den Einflüssen, die aus den Aufstellungs- und Umgebungsbedingungen resultieren. Dies gilt insbesondere in widriger Umgebung, wie z. B. bei aggressiver Atmosphäre oder bei stark beanspruchenden Arbeitsmedien, die unmittelbar mit Sensoren und Aktoren in Berührung kommen.

4.5.2   Inbetriebnahme

(1) Eine fachgerechte Inbetriebnahme der sicherheitsrelevanten MSR-Einrichtungen ist die Voraussetzung dafür, dass die Inbetriebsetzung des Arbeitsmittels erfolgreich abgeschlossen werden kann. Die Inbetriebnahme der sicherheitsrelevanten MSR-Einrichtung muss mindestens folgende Punkte sicherstellen:
  1. die Komponenten weisen keine physischen Schäden auf, ggf. versteckte Transportsicherungen und Verpackungsmaterial wurden entfernt;
  2. EMV-gerechte Anschlüsse
    1. verbundene Komponenten,
    2. Funktionserde (Masse) und Schutzerde,
    3. Energieversorgung(en);
  3. Messeinrichtungen (Sensoren) korrekt eingestellt/justiert;
  4. die Einstellparameter der sicherheitsrelevanten MSR-Einrichtung sind vollständig und nach Vorgabe konfiguriert, mit allen Ein-/Ausgängen sowie den Schnittstellen (Datenübertragung) zu anderen Systemen und nach außen;
  5. spezifische Herstellervorgaben für den Einbau und den Betrieb der MSR-Einrichtung wurden berücksichtigt.
(2) Bei der Inbetriebnahme der sicherheitsrelevanten MSR-Einrichtung ist sicherzustellen, dass die Installation keine Abweichungen von der Planung aufweist, die die Schutzmaßnahmen beeinträchtigen können.

5   Überprüfung der Wirksamkeit der sicherheitsrelevanten MSR-Einrichtungen

(1) Der Arbeitgeber hat die Wirksamkeit von Schutzmaßnahmen vor der erstmaligen Verwendung eines Arbeitsmittels zu überprüfen (siehe § 4 Absatz 5 BetrSichV und TRBS 1111 Abschnitt 5.7). Dies bedeutet für sicherheitsrelevante MSR-Einrichtungen, dass ihre Wirksamkeit in Anlehnung an TRBS 1111 Abschnitt 4.2 Absatz 7 angenommen werden kann, wenn
  1. die vorhandenen technischen Schutzmaßnahmen funktionsfähig sind, z. B.
    1. sicherheitsrelevante MSR-Einrichtungen nach Angaben in der Betriebsanleitung und nach dem Ergebnis der Gefährdungsbeurteilung, insbesondere hinsichtlich der vom Arbeitgeber vorgesehenen Verwendung vorhanden und aktiviert sind,
    2. eine Grenzwertüberwachung funktionsfähig ist
    und
  2. die Beschäftigten über in diesem Zusammenhang erforderliche organisatorische Schutzmaßnahmen (siehe hierzu Abschnitt 8.1) unterwiesen und erforderlichenfalls nach den Angaben in der Betriebsanleitung eingearbeitet sind.
Eine Überprüfung der Wirksamkeit gemäß § 4 Absatz 5 BetrSichV ist nicht erforderlich, wenn entsprechende Prüfungen nach § 14 oder § 15 BetrSichV durchgeführt wurden.
(2) Ziel ist die Bestätigung, dass die sicherheitsrelevante MSR-Einrichtung die festgelegten sicherheitstechnischen Anforderungen korrekt erfüllt, und dass somit die Schutzmaßnahme für die Beschäftigten wirksam implementiert ist. Dazu dürfen zu diesem Zeitpunkt vorliegende Bestätigungen aller vorhergehenden Phasen des Sicherheitslebenszyklus verwendet werden.
(3) In Abhängigkeit der Komplexität des Arbeitsmittels können bei der Überprüfung der Wirksamkeit der Schutzmaßnahmen insbesondere folgende Punkte relevant sein:
  1. Alle relevanten Betriebsarten und Tätigkeiten mit dem Arbeitsmittel sowie vorhersehbare nicht bestimmungsgemäße Verwendung oder Betriebsstörungen müssen eingeschlossen werden.
  2. Alle Komponenten der sicherheitsrelevanten MSR-Einrichtungen müssen funktionsfähig sein, auch die jeweiligen Anwendungsprogramme. Dasselbe gilt für kalibrierte Geräte, Werkzeuge und Ausrüstungen, die für die Überprüfung gebraucht werden. Es muss sichergestellt sein, dass
    1. andere Arbeitsmittel den Ablauf der Prüfung nicht stören,
    2. die Spezifikationen der Sensoren und Aktoren den Anforderungen der Gefährdungsbeurteilung entsprechen und
    3. übergeordnete Sicherheitssysteme (sofern zutreffend) einwandfrei arbeiten, auch bei vorhersehbaren nicht bestimmungsgemäßen Betriebszuständen oder Betriebsstörungen.
  3. Die Beurteilungskriterien zum Bewerten der sicheren Funktion im Zuge der Überprüfung der Wirksamkeit müssen eindeutig festgelegt sein. Sofern zutreffend, gehören zur Feststellung „in Ordnung“ – „nicht in Ordnung“ noch weitere Parameter zur Eignung, wie z. B. Zeitverhalten, Messwerte, Toleranzen. Es müssen auch Kriterien festgelegt werden, wie im Fall eines Mangels oder Versagens der Sicherheitsfunktion zu verfahren ist.
  4. Für die Überprüfung sind mindestens festzulegen:
    1. die Sicherheitsfunktionen, die für jede relevante Betriebsart zu überprüfen sind,
    2. die Durchführung der Überprüfung, d. h. für jede einzelne Funktion, wie sie getestet werden soll:
      • manuell/automatisch,
      • statisch/dynamisch,
      • analytisch/statistisch (100 % oder Stichproben),
      • Simulation/Realtest.
  5. Die Überprüfung der Wirksamkeit der sicherheitsrelevanten MSR-Einrichtung soll nachweisen, dass die in der Spezifikation der Sicherheitsfunktionen festgelegten Anforderungen umgesetzt wurden. Sie muss alle vorgegebenen Anforderungen erfüllen, auch unter Fehlerbedingungen oder im eingeschränkten Betrieb bzw. bei Fehlern an den Schnittstellen zu anderen Komponenten und Arbeitsmitteln. Das bedeutet z. B., dass
    1. Festlegungen zur Erkennung ungültiger Eingangsgrößen (z. B. defekte Sensoren) vorhanden sind,
    2. Festlegungen zur korrekten Ausführung vorgesehener Aktionen (z. B. Abschaltungen) vorhanden sind und in korrekter Reihenfolge erfolgen,
    3. Festlegungen zur korrekten Anzeige von Alarmen und Betriebszuständen vorhanden sind,
    4. Festlegungen zu Rücksetzfunktionen entsprechend der Spezifikation der Sicherheitsanforderungen vorhanden sind,
    5. Festlegungen zu prozessbedingten Überbrückungen (z. B. beim Anfahren) vorhanden sind und einwandfrei funktionieren,
    6. manuelle Abschalteinrichtungen einwandfrei funktionieren,
    7. Diagnosefunktionen wie spezifiziert arbeiten,
    8. das Verhalten bei Ausfall der Energieversorgung und nach deren Wiederkehr der Spezifikation entspricht und
    9. die Installation, auch unter Berücksichtigung der EMV-Störfestigkeit, fachgerecht erfolgte.
(4) Durch die Überprüfung dürfen keine Gefährdungssituationen entstehen, gegen die die sicherheitsrelevante MSR-Einrichtung schützen soll. Das bedeutet, dass die Methoden zur Überprüfung so zu wählen sind, dass weder an Arbeitsmitteln noch im Arbeitsprozess gefährliche Ereignisse provoziert werden. Nach der Überprüfung sind die sicherheitsrelevante MSR-Einrichtung und alle an der Prüfung beteiligten Arbeitsmittel wieder in den normalen Betriebszustand zurückzuversetzen, sofern temporäre Veränderungen vorgenommen wurden, um die Prüfung durchführen zu können.

6   Prüfung des Arbeitsmittels vor Inbetriebnahme und Wiederinbetriebnahme nach prüfpflichtiger Änderung (§§ 14 und 15 BetrSichV)

(1) Im Rahmen der Prüfung vor Inbetriebnahme und vor Wiederinbetriebnahme nach prüfpflichtiger Änderung des Arbeitsmittels ist die zugehörige Dokumentation des Herstellers, z. B. Konformitätserklärung mit Betriebsanleitung, zu berücksichtigen. Prüfinhalte, die im Rahmen eines Konformitätsbewertungsverfahrens geprüft und dokumentiert wurden, müssen nicht erneut geprüft werden (§ 14 Absatz 1 Satz 3, § 15 Absatz 1 Satz 4 BetrSichV).
(2) Die mit der Prüfung des Arbeitsmittels beauftragte Person kann sich die durch die Anwendung eines funktionalen Sicherheitsmanagements nach Anhang A erzeugten Ergebnisse zu eigen machen.
Die im Rahmen eines funktionalen Sicherheitsmanagements erzeugte Dokumentation erfüllt für sicherheitsrelevante MSR-Einrichtungen die Anforderungen nach § 3 Absatz 8 BetrSichV.
(3) Wird abweichend von Absatz 2 kein funktionales Sicherheitsmanagement nach Anhang A angewendet, kann sich die mit der Prüfung des Arbeitsmittels beauftragte Person die Ergebnisse von Prüfungen vor Inbetriebnahme und Überprüfung der Wirksamkeit der Schutzmaßnahmen zu eigen machen, wenn nachvollziehbar dargelegt wird, wie die geforderte Eignung und Funktionsfähigkeit der sicherheitsrelevanten MSR-Einrichtung erreicht wird.

7   Wiederkehrende Prüfung von Arbeitsmitteln mit sicherheitsrelevanten MSR-Einrichtungen (§§ 14 und 16 BetrSichV)

(1) Bei der wiederkehrenden Prüfung des Arbeitsmittels ist zu prüfen, ob Vorgaben zur regelmäßigen Kontrolle der Funktionsfähigkeit sicherheitsrelevanter MSR-Einrichtungen vorliegen.
(2) Wird kein funktionales Sicherheitsmanagement nach Anhang A angewendet, muss die mit der Prüfung des Arbeitsmittels beauftragte Person nachvollziehen, wie die geforderte Eignung und Funktionsfähigkeit der verwendeten sicherheitsrelevanten MSR-Einrichtung erreicht wird.
(3) Bestandteil der wiederkehrenden Prüfung sind auch
  1. die Kontrolle, ob prüfpflichtige Änderungen (siehe hierzu Abschnitt 6) an sicherheitsrelevanten MSR-Einrichtungen des Arbeitsmittels durchgeführt wurden und
  2. bei Änderungen gemäß Abschnitt 8.3.3 die Kontrolle, ob die erforderlichen Überprüfungen der Wirksamkeit durchgeführt wurden.

8   Verwendung und Instandhaltung

8.1   Unterweisung von Beschäftigten (§ 12 BetrSichV)

(1) Das Bedienungspersonal muss über die Funktion und Bedienung der sicherheitsrelevanten MSR-Einrichtung in seinem Zuständigkeitsbereich unterwiesen werden. Dabei muss dem Bedienungspersonal Folgendes vermittelt werden:
  1. die grundsätzliche Schutzaufgabe der sicherheitsrelevanten MSR-Einrichtung, d. h., gegen welche Gefahren die sicherheitsrelevante MSR-Einrichtung schützt;
  2. der richtige Umgang und unter welchen Umständen ggf. welche Bedienhandlungen durchzuführen sind, z. B. manuelles Eingreifen beim Anfahren des Arbeitsprozesses;
  3. die korrekte Reaktion auf Warnmeldungen, falls die Diagnoseeinrichtung der sicherheitsrelevanten MSR-Einrichtung einen Fehlzustand anzeigt;
  4. ggf. Überprüfung der Diagnose-Einrichtungen;
  5. ggf. manuelle Reaktionen, wie „System Rücksetzen“ und „System Neustart“ und
  6. Verhalten zum Weiterbetrieb des Arbeitsprozesses oder anderer Arbeitsmittel, falls die sicherheitsrelevante MSR-Einrichtung Schutzmaßnahmen ausgelöst hat.
(2) Das Instandhaltungspersonal muss fachkundig sowie über die betrieblichen Anforderungen unterwiesen sein, um die volle Funktion der sicherheitsrelevanten MSR-Einrichtung (Hardware und Software) aufrechtzuerhalten.

8.2   Betrieb, Instandhaltung und regelmäßige Funktionskontrolle (§ 4 Absatz 5 Satz 3 BetrSichV)

(1) Die vorgesehene Funktion sicherheitsrelevanter MSR-Einrichtungen muss während der gesamten Betriebsdauer des Arbeitsmittels gewährleistet sein. Dazu gehören auch Instandhaltungsmaßnahmen.
(2) Die Anlässe regelmäßiger Kontrollen der Funktionsfähigkeit sowie deren Inhalte werden in der Gefährdungsbeurteilung ermittelt. Bei der Ermittlung ist zu berücksichtigen, dass ggf. Funktionen durch geeignete und hinreichend sichere automatische Diagnosesysteme kontinuierlich überwacht werden.
(3) Die regelmäßige Kontrolle der Funktionsfähigkeit erfolgt durch für diese Aufgabe unterwiesene Beschäftigte und muss für die gesamte sicherheitsrelevante Kette (Sensor, Logik und Aktor einschließlich ihrer Verbindungselemente), ggf. auch in Teilschritten (Sensoren, Aktoren, etc.), erfolgen. Die Kontrolle der Funktionsfähigkeit kann z. B. durch
  1. direktes Auslösen der Sicherheitsfunktion oder
  2. geeignete Simulation der Sicherheitsanforderung
erfolgen.
(4) Bei der Festlegung von Maßnahmen für den Betrieb, die Instandhaltung und die regelmäßige Funktionskontrolle hat der Arbeitgeber mindestens folgende Aspekte zu berücksichtigen:
  1. Festlegung von Methoden und Verfahren so, dass die Funktionskontrolle im Betriebsablauf praktikabel ist und Anreize zur Manipulation vermieden sind;
  2. Berücksichtigung der Erfahrungen im Umgang mit der MSR-Einrichtung hinsichtlich Diagnose, Überprüfung und Funktionstests sowie festgestellter Fehler und Ausfälle;
  3. Beschreibung von Ersatzmaßnahmen für die Zeitdauer ausgeschalteter oder eingeschränkt verfügbarer sicherheitsrelevanter MSR-Einrichtungen z. B. in Betriebsanweisungen.
(5) Personen, die für Betrieb und Instandhaltung der sicherheitsrelevanten MSR-Einrichtungen verantwortlich sind, müssen Zugang zu den Festlegungen der sicherheitstechnischen Maßnahmen und der Betriebsanleitung und ggf. weiterer Unterlagen der Arbeitsmittel haben, soweit dies erforderlich ist, um die korrekte Funktion der Schutzmaßnahmen kontrollieren zu können.

8.3   Änderungen sicherheitsrelevanter MSR-Einrichtungen

8.3.1   Allgemeines

(1) Im Falle einer Änderung der sicherheitsrelevanten MSR-Einrichtung muss der Arbeitgeber ermitteln, ob die sicherheitstechnischen Anforderungen an die sicherheitsrelevante MSR-Einrichtung nach Abschnitt 4.3 neu festzulegen sind.
(2) Im Falle einer Änderung an sicherheitsrelevanten MSR-Einrichtungen hat der Arbeitgeber zu beurteilen, ob er bei den Änderungen Herstellerpflichten zu beachten hat, die sich aus anderen Rechtsvorschriften, insbesondere dem Produktsicherheitsgesetz oder einer Verordnung zum Produktsicherheitsgesetz ergeben (§ 10 Absatz 5 Satz 4 BetrSichV). Weiterhin hat er zu beurteilen, ob es sich um eine prüfpflichtige Änderung im Sinne der BetrSichV handelt (§ 10 Absatz 5 Satz 3 BetrSichV). Weiterhin hat der Arbeitgeber zu prüfen, ob eine erlaubnispflichtige Änderung im Sinne von § 18 BetrSichV vorliegt. Bei Änderungen an sicherheitsrelevanten MSR-Einrichtungen, die zu einer prüfpflichtigen Änderung des Arbeitsmittels führen, sind die geänderten Teile nach Abschnitt 6 zu prüfen.

8.3.2   Austausch von Komponenten gegen identische oder baugleiche Teile

(1) Werden Teile von sicherheitsrelevanten MSR-Einrichtungen durch identische oder baugleiche (mit identischen Sicherheits- und Betriebsparametern) Teile ausgetauscht und
  1. die Maßnahmen haben keine Folgewirkungen auf die Sicherheit des Arbeitsmittels und
  2. die Montage erfolgt durch fachkundiges Personal und
  3. sowohl die Montage-, Installations- und Aufstellbedingungen als auch die sichere Funktion bleiben unverändert und
  4. der Arbeitgeber stellt die Verwendung der Ersatzteile und deren ordnungsgemäße Montage und Installation durch geeignete organisatorische Abläufe sicher,
ist dies keine prüfpflichtige Änderung.
(2) Der ordnungsgemäße Austausch von Komponenten gegen identische oder baugleiche Teile ist zu dokumentieren. Dabei ist eine Kontrolle der Funktionsfähigkeit (§ 4 Absatz 5 BetrSichV) durchzuführen.

8.3.3   Austausch von Komponenten gegen nicht identische oder nicht baugleiche Teile

(1) Der Austausch von Komponenten einer sicherheitsrelevanten MSR-Einrichtung durch nicht identische oder nicht baugleiche Teile erfordert eine Bewertung ihrer Sicherheitsrelevanz.
(2) Im Hinblick auf die Anforderungen an verwendungsfertige Produkte führt der Leitfaden für die Umsetzung der Produktvorschriften der EU („Blue Guide“ 2016) in Abschnitt 2.1 zur Reparatur oder Instandhaltung von Produkten aus, dass instandgesetzte Produkte nicht als neu gelten (und deshalb keine erneute Konformitätsbewertung brauchen). Dies gilt mit der Einschränkung, dass dabei keine Herstellerpflichten entstehen. Instandsetzung (Reparatur) kann dabei bedeuten:
  1. Austausch eines defekten oder verschlissenen Teils durch ein Ersatzteil, das dem Originalteil entweder identisch oder ihm zumindest ähnlich ist,
  2. Ersatz des kompletten Geräts durch ein (in der Funktion) identisches,
  3. Software-Aktualisierung, die die zugrundeliegenden Sicherheitsanforderungen nicht beeinträchtigt.
Auch Instandsetzungsarbeiten können prüfpflichtige Änderungen sein (§ 2 Absatz 9 Satz 2 BetrSichV).
(3) Falls der Austausch von Bauteilen zu einer Änderung der sicherheitsrelevanten Eigenschaften der sicherheitsrelevanten MSR-Einrichtung führt, ist eine Überprüfung der Wirksamkeit der Schutzmaßnahmen der sicherheitsrelevanten MSR-Einrichtung notwendig. Eine Prüfung ist zu veranlassen, soweit sich nach der mit diesem Austausch erforderlichen Gefährdungsbeurteilung ergibt, dass es sich um eine prüfpflichtige Änderung (§ 2 Absatz 9 Satz 1 BetrSichV) handelt.

8.3.4   Änderung des Schutzkonzepts

Wird das Schutzkonzept geändert, sind dabei die sicherheitstechnischen Anforderungen an die sicherheitsrelevante MSR-Einrichtung neu zu bewerten.

8.4   Außerbetriebnahme der sicherheitsrelevanten MSR-Einrichtung

(1) Wird eine sicherheitsrelevante MSR-Einrichtung dauerhaft außer Betrieb genommen (z. B. bei Wegfall der Gefährdung), ist sicherzustellen, dass die Außerbetriebnahme rückwirkungsfrei auf das Schutzkonzept für die verbleibenden Arbeitsmittel und den Arbeitsprozess erfolgt.
(2) Die Außerbetriebnahme und deren Auswirkung auf den Arbeitsprozess ist zu dokumentieren.
(3) Die Beschäftigten sind über die geänderte Situation zu unterweisen.

Anhang A
Management der funktionalen Sicherheit

A1   Anwendungsbereich

Dieser Anhang gilt für die erforderlichen Maßnahmen des Arbeitgebers, der ein Management der funktionalen Sicherheit zum Erreichen der Anforderungen der BetrSichV im Betrieb einführen und aufrechterhalten will.

A2   Management der funktionalen Sicherheit

A2.1   Allgemeines

(1) Wenn der Arbeitgeber ein Management der funktionalen Sicherheit einführt, müssen insbesondere die folgenden Inhalte dokumentiert werden:
  1. Festlegung eines Sicherheitsplanes
  2. Festlegung von Rollen und Verantwortlichkeiten
  3. Fachkunde und deren Nachweis
  4. Festlegung von Validierungs-/Verifikationsaktivitäten
  5. Erzeugung der notwendigen Dokumentationen
  6. Erstellung von Betriebsunterlagen
  7. Überprüfung der Wirksamkeit der sicherheitsrelevanten MSR-Einrichtungen im Betrieb
  8. regelmäßige Kontrolle der Funktionsfähigkeit
  9. Verfahren der Sicherstellung der Anwendung des Managements der funktionalen Sicherheit
(2) Wenn der Arbeitgeber ein Management der funktionalen Sicherheit einführt, muss er entweder
  1. dieses Sicherheitsmanagement über den gesamten Sicherheitslebenszyklus etablieren und regelmäßig auf seine Wirksamkeit überprüfen oder
  2. zumindest zutreffende Teile des Sicherheitslebenszyklus sinngemäß anwenden. In diesem Fall sind die besonderen Anforderungen bei der Prüfung des zugehörigen Arbeitsmittels gemäß Abschnitt 6 zu beachten.
(3) Für das funktionale Sicherheitsmanagement sind die Festlegung der beteiligten Personen und deren erforderliche Fachkunde, der Verantwortlichkeiten und der zu nutzenden Werkzeuge und Methoden sowie für die Prozessschritte nach Abbildung 2 „Planung und Realisierung“ sowie „Verwendung“ deren Dokumentation, qualitätssichernde Maßnahmen und deren dokumentierte Umsetzung erforderlich. Es kann separat oder als Teil des allgemeinen Qualitätsmanagements implementiert werden.
Abb. A1  Angepasste Darstellung des Lebenszyklus bei Verwendung eines Managements funktionaler Sicherheit
Abb. A1  Angepasste Darstellung des Lebenszyklus bei Verwendung eines Managements funktionaler Sicherheit

A2.2   Erforderliche Fachkunde für die an sicherheitsrelevanten MSR-Einrichtungen beteiligten Personen

(1) Qualitätssichernde Maßnahmen sowie die finale Validierung als Abschluss der Planungs- und Realisierungsphase (siehe Abschnitt 5) haben durch fachkundige Personen entsprechend den Festlegungen im funktionalen Sicherheitsmanagement (siehe Anhang Abschnitt A2.1 Absatz 2 Nummer 1) zu erfolgen.
(2) Die fachkundigen Personen nach Absatz 1 müssen in der Lage sein, die verantworteten Tätigkeiten fachgerecht auszuführen. Bei der Beurteilung der Fachkunde sind über Abschnitt 3.3.2 Absatz 2 Nummer 4 folgende Anforderungen zu berücksichtigen:
  1. technisches Wissen, Ausbildung und Erfahrung bezogen auf die
    1. jeweilige Verwendung der sicherheitsrelevanten MSR-Einrichtung sowie das Verständnis für die möglichen Folgen eines Ereignisses,
    2. eingesetzte Technologie der funktionalen Sicherheit (z. B. elektrische, elektronische oder programmierbare elektronische Systeme),
    3. Sensoren und Aktoren
    und
  2. Kenntnis der im Bereich der funktionalen Sicherheit geltenden gesetzlichen, behördlichen und normativen Anforderungen.
Die erforderliche Fachkunde muss den im Management der funktionalen Sicherheit festgelegten Anforderungen entsprechen und individuell dokumentiert werden.
(3) Regelmäßige Kontrollen der Funktionsfähigkeit (siehe Abschnitt 8.2) sicherheitsrelevanter MSR-Einrichtungen müssen durch besonders für diese Aufgabe unterwiesene Beschäftigte durchgeführt werden. Wenn sich über Abschnitt 8.2 hinaus aus dem funktionalen Sicherheitsmanagement Anforderungen an die erforderliche Fachkunde ergeben, sind folgende Anforderungen zu berücksichtigen:
  1. technisches Wissen, Ausbildung und Erfahrung über
    1. die eingesetzte Technologie der funktionalen Sicherheit (z. B. elektrische, elektronische oder programmierbare elektronische Systeme),
    2. die verwendeten Sensoren und Aktoren
    und
  2. sicherheitstechnisches Wissen, soweit erforderlich.

A2.3   Verifikation

Als begleitende qualitätssichernde Maßnahme hat in jeder Phase des Sicherheitslebenszyklus der dokumentierte Nachweis, dass die notwendigen Anforderungen der jeweiligen Phase erfüllt sind, zu erfolgen.

A2.4   Validierung

Als abschließende qualitätssichernde Maßnahme hat vor der Inbetriebnahme einer sicherheitsrelevanten MSR-Einrichtung der dokumentierte Nachweis, dass die betrachteten sicherheitstechnischen Funktionen und die sicherheitsrelevanten MSR-Einrichtungen nach der Montage die Spezifikation der Sicherheitsanforderungen erfüllen, zu erfolgen.

A2.5   Wirksamkeit des funktionalen Sicherheitsmanagements

Bei Verwendung eines funktionalen Sicherheitsmanagements ist zum Nachweis der Wirksamkeit regelmäßig ein Audit der funktionalen Sicherheit durchzuführen, mit dem der Arbeitgeber überprüft, ob die Maßnahmen und Verfahren zum Erreichen der funktionalen Sicherheit wirksam durchgeführt wurden und angemessen sind.

A3   Planung und Realisierung

A3.1   Festlegen der Anforderungen

Die Anforderungen an die sicherheitsrelevanten MSR-Einrichtungen und deren Komponenten sind in einer Spezifikation gemäß Abschnitt 4.4 zu dokumentieren.

A3.2   Installation

(1) Auf Basis der Spezifikation nach Abschnitt 4.4.3 ist die sicherheitsrelevante MSR-Einrichtung zu planen und zu errichten.
(2) Der Arbeitgeber muss durch geeignete qualitätssichernde Maßnahmen und Verifikationen durch entsprechend Abschnitt A2.2 Absatz 2 fachkundiges Personal nachweisen, dass der Entwurf (z. B. Funktionspläne, Redundanzen, Grenzwerte, Umgebungsbedingungen) den sicherheitstechnischen Anforderungen entspricht.
(3) Für die einzelnen Komponenten der sicherheitsrelevanten MSR-Einrichtung sind die von den jeweiligen Herstellern oder vom Arbeitgeber erstellten Nachweise der funktionalen Sicherheit sowie der Eignungsnachweis für den vorgesehenen Einsatzfall zu berücksichtigen.
(4) Für die sicherheitsrelevante MSR-Einrichtung hat der Arbeitgeber Vorgaben zur Installation, Inbetriebnahme, Instandhaltung und Kontrolle der Funktionsfähigkeit sowie Prüfpläne zu erstellen und zu dokumentieren.

A3.3   Inbetriebnahme

(1) Sicherheitsrelevante MSR-Einrichtungen sind gemäß Abschnitt 4.5.2 in Betrieb zu nehmen.
(2) Im Rahmen der Inbetriebnahme von sicherheitsrelevanten MSR-Einrichtungen ist zu dokumentieren, dass diese geeignet sind und bestimmungsgemäß funktionieren. Diese Validierung muss durch fachkundiges Personal entsprechend Abschnitt A2.2 Absatz 2 erfolgen.
(3) Die Validierung der sicheren Funktion bezieht sich auf die vollständige sicherheitsrelevante Kette, bestehend aus Sensor, Signalverarbeitung (Logik) und Aktor sowie zugehörigen Verbindungseinrichtungen und die Prozessanschlüsse. Die Validierung führt den Nachweis, dass die sicherheitsrelevanten MSR-Einrichtungen den festgelegten sicherheitstechnischen Anforderungen entsprechen.
(4) Ergebnisse aus vorhergehenden Schritten des Sicherheitslebenszyklus sind bei der Validierung zu berücksichtigen, wenn dies zur Beurteilung erforderlich ist.

Anhang B
Regelwerke und Normen

In den folgenden Regelwerken und Normen sind applikations- und technologiespezifische Vorgehensweisen und Methoden beschrieben und werden Anforderungen an die Zuverlässigkeit von erforderlichen sicherheitsrelevanten MSR-Einrichtungen definiert:
  1. Technische Regeln wie TRGS 725
  2. die Normen der Reihe DIN EN 50156 „Elektrische Ausrüstung von Feuerungsanlagen und zugehörigen Einrichtungen“
  3. die Normen der Reihe DIN EN ISO 13849 „Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen“
  4. DIN EN 62061 „Sicherheit von Maschinen – Funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme“
  5. die Normen der Reihe DIN EN 61508 „Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme“
  6. die Normen der Reihe DIN EN 61511 „Funktionale Sicherheit – Sicherheitstechnische Systeme für die Prozessindustrie“