Restrisiko an der Maschine.
TL;DR
  • Restrisiko ist nur das Risiko, das nach ernsthafter Konstruktion und wirksamen Schutzmaßnahmen übrig bleibt.
  • Ein Hinweis „nicht hineingreifen“ ersetzt keine Prüfung von Geometrie, Energie, Zugang, Schutzeinrichtungen und Betriebsarten.
  • ISO 12100 und Maschinenverordnung 2023/1230 setzen die Reihenfolge: zuerst sichere Konstruktion, dann Schutzmaßnahmen, zuletzt Information.
  • Hersteller dürfen ungelöste Risiken nicht an Betreiber abgeben; Betreiber bleiben für Verfahren, Schulung und Aufsicht verantwortlich.
  • Bei vernetzten Maschinen müssen auch Fernzugriff, Konten, Updates und Konfiguration sicherheitsbezogen bewertet werden.

Es gibt eine Zone, in die der Bediener mit der Hand greifen kann. Es gibt ein bewegtes Teil, das die Hand erfassen kann. Und es gibt eine Tätigkeit, die jemand wirklich ausführen wird: eine Störung beseitigen, reinigen, einrichten, nach dem Stillsetzen kontrollieren.

Und dann steht in der Risikobeurteilung: Restrisiko – Hinweis in der Betriebsanleitung – nicht hineingreifen.

Auf Papier sieht das sauber aus. Gefährdung beschrieben. Risiko benannt. Betriebsanleitung ergänzt. Nur: In der Maschinensicherheit ordnet so ein Satz das Thema oft nicht. Er deckt das Problem zu.

Denn Restrisiko ist kein Sack für alles, was im Projekt nicht gelöst wurde. Und es ist auch keine bequeme Methode, Verantwortung vom Hersteller auf den Betreiber abzuschieben. Restrisiko ist das, was bleibt, nachdem die Konstruktionsarbeit ernsthaft erledigt wurde: nach der Prüfung, ob sich die Gefährdung konstruktiv beseitigen lässt, nach der Auswahl technischer Schutzmaßnahmen und nach der Bewertung, ob diese Maßnahmen die Exposition des Menschen tatsächlich reduzieren.

Erst dann kann man ehrlich sagen: Hier bleibt noch etwas übrig, und der Benutzer muss es wissen.

In der Praxis wird diese Grenze aber gern vernebelt. Der Hersteller sagt: „Steht in der Betriebsanleitung.“ Der Integrator sagt: „Der Betreiber muss seine Leute schulen.“ Der Betreiber hört: „Das ist jetzt eure Arbeitsorganisation.“ Dabei bringen ISO 12100 und die Maschinenverordnung (EU) 2023/1230 die Reihenfolge ziemlich klar auf den Punkt: zuerst Konstruktion, dann Schutzmaßnahmen, am Ende Information.

Dasselbe Thema kommt heute bei vernetzten Maschinen zurück. Fernzugriff, Servicekonten, Steuerungskonfiguration, Updates und Daten sind nicht einfach nur Sache der IT des Betreibers, wenn sie die Sicherheit der Maschine beeinflussen können. Auch hier reicht der Satz „Der Benutzer muss das Netzwerk absichern“ nicht. Der Hersteller muss eine Maschine liefern, die solche Risiken von Anfang an berücksichtigt.

Die entscheidende Frage lautet also nicht: Steht irgendwo ein Warnhinweis?

Die entscheidende Frage lautet: Was hat der Hersteller getan, bevor er diesen Warnhinweis geschrieben hat?

Restrisiko ist kein freies Feld in der Tabelle

Bei ISO 12100 lohnt sich ein genauer Blick auf eine bestimmte Darstellung. Nicht nur auf die Definition. Nicht nur auf die berühmte Drei-Stufen-Methode. Sondern auf das Schema zur Risikominderung aus Sicht des Konstrukteurs.

Dieses Schema zieht eine unbequeme, aber wichtige Linie. Zuerst gibt es das Risiko, das mit der Maschine verbunden ist. Dann kommt der Beitrag des Konstrukteurs. Danach bleibt ein Restrisiko nach den Schutzmaßnahmen des Konstrukteurs. Anschließend kommt der Beitrag des Benutzers. Und erst ganz am Ende steht das Restrisiko nach Anwendung aller Schutzmaßnahmen.

Das ist kein hübsches Schulungsbild für die Folie 37. Das ist eine konkrete Grenze. Und diese Grenze darf man nicht verwischen.

Auf der Seite des Konstrukteurs stehen inhärent sichere Konstruktion, technische Schutzmaßnahmen, ergänzende Schutzmaßnahmen und Informationen für die Verwendung. Auf der Seite des Benutzers stehen Arbeitsorganisation, Verfahren, Aufsicht, Freigabesysteme, zusätzliche technische Maßnahmen, persönliche Schutzausrüstung und Schulung.

Heißt: Restrisiko liegt tatsächlich an der Schnittstelle zwischen Hersteller und Betreiber. Aber nicht in dem Sinn, dass jeder dort einträgt, was gerade bequem ist. Der Hersteller darf keine Gefährdung in diese Zone verschieben, nur weil er sie konstruktiv nicht anfassen wollte. Der Betreiber darf umgekehrt nicht so tun, als wären Betriebsanleitung und Schulung egal, wenn der Hersteller die nicht mehr beseitigbaren Risiken sauber beschrieben hat.

Genau deshalb ist das Wort Restrisiko so gefährlich. Es klingt technisch. Es klingt fertig. Es klingt nach sauberer Dokumentation. Und genau dadurch überdeckt es schnell eine fehlende Konstruktionsentscheidung.

Jemand sieht eine Einzugsstelle. Jemand weiß, dass der Bediener Störungen beseitigen wird. Jemand weiß, dass beim Reinigen eine Hand in die Nähe eines bewegten Teils kommt. Und trotzdem steht in der Tabelle: „Restrisiko – nicht hineingreifen.“ Dieser Eintrag beweist noch gar nichts. Er sagt nur, dass jemand das Problem Restrisiko genannt hat.

Wer den Begriff sauber verwenden will, muss den Weg dorthin zeigen. Was wurde an der Konstruktion geändert? Wurden Geometrie, Abstand, Energie, Geschwindigkeit, Zugang oder Einrichtkonzept geprüft? Welche Abdeckungen, Schutzeinrichtungen, Verriegelungen, Zuhaltungen, Betriebsarten oder Sicherheitsfunktionen wurden betrachtet? Warum muss ein Teil des Risikos tatsächlich dem Benutzer beschrieben werden?

Erst eine solche Antwort hebt das Thema aus der Ecke „Wir haben es in die Betriebsanleitung geschrieben“ heraus und bringt es auf die Ebene einer Risikobeurteilung nach ISO 12100. Die Norm sagt sehr klar: Maßnahmen in der Konstruktionsphase haben Vorrang vor Maßnahmen auf Benutzerseite, weil sie in der Regel wirksamer sind. ISO/TR 14121-2 stützt denselben Gedanken: Informationen für den Benutzer sollen zur richtigen und sicheren Verwendung der Maschine führen und vor Risiken warnen, die nach Konstruktion und Schutzmaßnahmen übrig bleiben.

Verfahren, Schulungen oder LOTO haben ihren Platz. Natürlich. Aber sie retten nicht das, was der Hersteller konstruktiv nicht durchgearbeitet hat. Sonst sprechen wir nicht über Restrisiko. Dann sprechen wir über ein Risiko, das dem Betreiber liegen gelassen wurde.

Drei Situationen, in denen Restrisiko als bequemes Alibi herhalten muss

Schauen wir uns eine einfache Situation an.

Eine Maschine hat ein bewegtes Element. Der Bediener kann beim Beseitigen einer Störung, beim Reinigen, beim manuellen Zuführen eines Teils oder beim Einrichten in dessen Nähe greifen. In der Risikobeurteilung taucht die Gefährdung durch Erfassen auf. In der Spalte für Schutzmaßnahmen steht: „Warnhinweis in der Betriebsanleitung.“ Und in der Betriebsanleitung steht: „Nicht in den Arbeitsbereich der Maschine greifen.“

Klingt bekannt?

Auf den ersten Blick ist die Dokumentation gefüllt. Gefährdung da. Risiko da. Warnhinweis da. Nur besteht Maschinensicherheit nicht darin, dass jede leere Tabellenzelle irgendeinen Text bekommt. Die Frage ist eine andere: Was passierte vor diesem Warnhinweis?

Hat jemand versucht, die Einzugsstelle durch andere Geometrie zu beseitigen? Wurden Kraft, Geschwindigkeit oder Bewegungsenergie reduziert? Konnte die Einrichttätigkeit aus der Gefahrenzone heraus verlegt werden? Wurde ein Einrichtbetrieb mit reduziertem Risiko vorgesehen? Wurden Schutzeinrichtung, Verriegelung, Zuhaltung, Tippschaltung oder Zustimmungsschalter geprüft? Hat jemand beobachtet, wie der Bediener die Störung wirklich beseitigen wird – nicht wie er es in der perfekten Betriebsanleitung tun sollte?

Wenn die Antwort lautet: „Nein, aber wir haben geschrieben, dass man nicht hineingreifen darf“, dann reden wir noch nicht über Restrisiko. Wir reden über ein Risiko, das Restrisiko genannt wurde, weil das am einfachsten war.

Hier wird ISO 12100 unangenehm konkret. Das Schema trennt den Beitrag des Konstrukteurs vom Beitrag des Benutzers. Auf Herstellerseite stehen sichere Konstruktion, technische Schutzmaßnahmen, ergänzende Schutzmaßnahmen und Information. Auf Benutzerseite stehen Organisation, Verfahren, Aufsicht, Freigaben, zusätzliche technische Maßnahmen, persönliche Schutzausrüstung und Schulung.

Also ja: Restrisiko hat Grenzcharakter. Es betrifft beide Seiten. Aber gemeinsam heißt nicht undefiniert. Gemeinsam heißt nicht: „Der Hersteller schreibt eine Warnung, und der Betreiber wird es schon irgendwie regeln.“ Gemeinsam heißt: Der Hersteller zeigt, was er an der Maschine getan hat, was sich nicht sinnvoll weiter reduzieren ließ und welche Informationen er übergibt. Der Betreiber organisiert die Arbeit entsprechend.

Restrisiko beim Zugang: Der Podest ist kein Dekorationsstück

Das zweite Beispiel ist spannender, weil es oft nicht sofort als Thema der Risikobeurteilung erkannt wird.

Stellen wir uns eine Maschine vor, bei der ein Filter jede Woche gewechselt werden muss. Ein Sensor ist bei jedem Formatwechsel zu reinigen. Eine Schmierstelle sitzt zwei Meter über dem Boden. Ein Bauteil muss regelmäßig aus dem Maschineninneren herausgenommen werden. Der Hersteller schreibt in die Betriebsanleitung: „Arbeiten unter Beachtung der Arbeitsschutzregeln ausführen, geeignete Zugangsmittel verwenden.“

Gut. Aber welche Zugangsmittel?

Die Leiter aus der Halle? Ein Rollpodest der Instandhaltung? Auf die Maschinenstruktur steigen? Auf einem Profil stehen, weil „wir das immer so machen“? Oder soll der Bediener sich mit einer Hand an der Abdeckung festhalten, mit der zweiten Hand ein Bauteil lösen und mit der dritten Hand – die er nicht hat – das Werkzeug sichern?

Genau hier trifft Theorie auf Werkstattboden. Wenn der Hersteller eine regelmäßige Bedien-, Wartungs-, Reinigungs- oder Einstelltätigkeit vorsieht, muss er fragen: Wie kommt ein Mensch dort sicher hin? Wo steht er? Wie erledigt er die Arbeit ohne Improvisation?

Nicht jede Arbeit in Höhe an einer Maschine bedeutet automatisch, dass der Hersteller eine große Bühne bauen muss. Aber man darf auch nicht in die andere Richtung kippen und so tun, als sei der Zugang zu einer häufigen Servicestelle ausschließlich Sache des Betreibers. ISO 12100 weist darauf hin, dass routinemäßige Bedien-, Einricht- und Wartungstätigkeiten möglichst vom Boden aus erfolgen sollen. Wenn das nicht möglich ist, braucht es einen sicheren Zugang: Podeste, Treppen, Übergänge, Geländer oder andere geeignete Lösungen. Hier kommt ISO 14122 zu festen Zugängen an Maschinen ins Spiel.

Und dann wird es wirklich interessant.

Wenn es eine technische Maßnahme gibt, mit der regelmäßige Wechsel-, Einstell- oder Wartungsarbeiten sicher ausgeführt werden können, warum wird dann sofort angenommen, der Betreiber müsse das organisatorisch lösen? Warum wurde ein fester Podest nicht vorgesehen? Warum verlangt die Betriebsanleitung eine wöchentliche Tätigkeit an einer schwer erreichbaren Stelle, aber das Projekt gibt dem Menschen keinen sicheren Arbeitsplatz? Warum beschreibt der Hersteller die Tätigkeit, plant aber nicht die Bedingungen ihrer Ausführung?

Das sind keine akademischen Fragen. Das sind Fragen aus Abnahme, Audit und Produktion. Wenn der Betreiber eine Tätigkeit regelmäßig ausführen muss, ist der Zugang zu dieser Stelle kein Zubehör. Er ist Teil der Maschinensicherheit oder mindestens Teil der Installationsanforderungen, die der Hersteller klar festlegen muss.

Sonst steht wieder der bequeme Satz da: „Restrisiko – Benutzer muss geeignete Zugangsmittel verwenden.“ Nur beschreibt dieser Satz oft kein Restrisiko. Er beschreibt eine fehlende Konstruktionsentscheidung.

Restrisiko bei Fernzugriff und IT: Admin/admin ist kein Kavaliersdelikt

Das dritte Beispiel wirkt moderner. Der Mechanismus ist derselbe.

Eine Maschine hat Fernzugriff. Sie hat eine Steuerung, ein HMI, einen Industrie-PC, Servicekonten, Update-Möglichkeiten, Datenübertragung, manchmal auch eine Verbindung zu einem übergeordneten System. Der Hersteller sagt: „Der Benutzer muss das Netzwerk absichern.“ Die IT bekommt das Thema nach der Abnahme. Die Instandhaltung will, dass der Service schnell zugreifen kann. Die Produktion will, dass die Anlage läuft. Alle haben nachvollziehbare Interessen.

Aber stellen wir die einfache Frage: Kann ein Angriff auf diese Ebene die Sicherheit der Maschine beeinflussen?

Wenn der Fernzugriff Parameter, Betriebsarten, Steuerungslogik, HMI-Konfiguration oder Daten verändern kann, die für Sicherheitsfunktionen relevant sind, dann ist das nicht nur eine Sache der Unternehmens-Firewall. Wenn die Maschine mit Standardpasswörtern, nicht beschriebenen Konten, offenem Fernzugriff oder unklarer Update-Prozedur geliefert wird, kann man schwer behaupten, das gesamte Cyberrisiko liege beim Betreiber.

Der Betreiber hat Pflichten. Keine Frage. Er muss Netzwerke, Konten, Zugriffe, Sicherungen, Updates, Segmentierung und Änderungsverfahren beherrschen. Aber der Hersteller kann keine Maschine im Zustand „das sichert ihr euch dann schon irgendwie ab“ liefern und das Restrisiko nennen. Schon gar nicht unter der Maschinenverordnung (EU) 2023/1230, die Cybersicherheit näher an die Maschinensicherheit heranrückt, wenn Manipulationen an Hardware, Software oder Daten zu einer Gefährdung führen können.

Auch hier gilt dieselbe Reihenfolge: erst Konstruktion, dann technische Maßnahmen, dann Information für den Benutzer. Nicht andersherum.

In allen drei Beispielen – Erfassen, Zugang, Cybersicherheit – führt alles zurück zu einer Frage: Hat der Hersteller das Risiko wirklich reduziert, oder hat er es nur dem Benutzer beschrieben?

Diese Frage ist unbequem. Und genau deshalb ist sie wichtig. Restrisiko soll nicht dazu dienen, eine Tabelle schön zu schließen. Es soll zeigen, was nach der Maschinenauslegung, nach den technischen Maßnahmen und an der Schnittstelle zur Arbeitsorganisation tatsächlich übrig bleibt.

Wenn der Hersteller seinen Teil erledigt hat, muss der Betreiber die Informationen ernst nehmen. Er muss Menschen schulen, Schutzeinrichtungen erhalten, Arbeit organisieren und das Umgehen von Schutzmaßnahmen unterbinden. Wenn der Hersteller diesen Teil aber nicht erledigt hat, repariert die Betriebsanleitung den Entwurf nicht.

„Nicht hineingreifen“, „geeigneten Podest verwenden“ und „Netzwerk absichern“ können wichtige Informationen sein. Sie können Teil des abschließenden Sicherheitspakets sein. Aber sie dürfen nicht so tun, als hätte vorher niemand die schwierigeren Fragen stellen müssen.

Wann ist ein Restrisiko wirklich ein Restrisiko?

Nach diesen Beispielen ist eines klar: Nicht jedes Risiko, das an einer Maschine übrig bleibt, verdient sofort den Namen Restrisiko.

Denn was heißt eigentlich „übrig“?

Übrig nach einer konstruktiven Änderung? Übrig nach einer Abdeckung, Schutzeinrichtung, Verriegelung, Zuhaltung oder einem Einrichtbetrieb? Übrig nach der Verlegung einer Schmierstelle aus der Gefahrenzone? Übrig nach der Planung eines festen Zugangs zur Wartungsstelle? Oder übrig, weil niemand das Thema anfassen wollte und ein Warnhinweis schneller ging?

Das sind zwei völlig verschiedene Welten.

ISO 12100 trennt das sehr genau. Es gibt ein Restrisiko nach den Maßnahmen des Konstrukteurs und ein Restrisiko nach allen Maßnahmen, also auch nach denen auf Benutzerseite. In dieser Trennung liegt der Kern: Zuerst kommt der Beitrag des Herstellers. Dann kommt der Beitrag des Betreibers. Dazwischen liegt der Bereich, in dem die Herstellerinformation in der Arbeitsorganisation des Betreibers wirklich genutzt werden muss.

Deshalb darf Restrisiko keine lose Rubrik sein. Es ist kein Ort für den Satz: „Der Benutzer ist vorsichtig.“ Es ist der konkrete Schluss aus erledigter Konstruktionsarbeit.

Am einfachsten lässt sich das mit einem nüchternen Filter prüfen:

FrageWenn die Antwort „ja“ lautetWenn die Antwort „nein“ lautet
Ist die Gefährdung konkret beschrieben: wo, wann, wer ist exponiert und bei welcher Tätigkeit?Dann kann weiter geprüft werden, ob es um Restrisiko geht.Dann ist es noch keine Risikobeurteilung, sondern nur eine allgemeine Gefährdungsbeschreibung.
Hat der Hersteller geprüft, ob die Gefährdung konstruktiv beseitigt werden kann?Dann folgt die Betrachtung der Logik von ISO 12100.Der Warnhinweis in der Betriebsanleitung kommt zu früh.
Wurden technische Schutzmaßnahmen betrachtet: Abdeckungen, Schutzeinrichtungen, Verriegelungen, Zuhaltungen, Betriebsarten, Tippschaltung, Energie-, Geschwindigkeits- oder Kraftbegrenzung?Dann lässt sich begründen, warum ein Teil des Risikos bleibt.Das Risiko ist wahrscheinlich nicht „restlich“, sondern nicht fertig bearbeitet.
Hat der Hersteller begründet, warum eine bestimmte Maßnahme nicht eingesetzt wurde?Die Dokumentation zeigt eine technische Entscheidung.Es gibt eine Lücke. Eine Lücke wird nicht zum Restrisiko, nur weil jemand sie so nennt.
Ist die Information für den Benutzer konkret?Der Benutzer weiß, was er wann, wie, womit und unter welchen Bedingungen tun muss.„Vorsicht walten lassen“ oder „nicht hineingreifen“ reicht nicht.
Hat der Betreiber realen Einfluss auf die jeweilige Maßnahme?Dann kann es ein Bereich des Betreibers sein: Schulung, LOTO, Aufsicht, Verfahren, Instandhaltung, persönliche Schutzausrüstung, Arbeitsorganisation.Man darf nicht so tun, als übernehme der Betreiber etwas, das er praktisch nicht kontrollieren kann.
Lässt sich die Maßnahme auf Benutzerseite in der Praxis dauerhaft aufrechterhalten?Dann kann man über gemeinsame Verantwortung sprechen.Wenn sie nur durch permanentes „Leute überwachen“ funktioniert und eine technische Maßnahme möglich war, liegt das Problem wieder beim Hersteller.
Wurde nach Umsetzung der Schutzmaßnahme geprüft, ob neue Risiken entstanden sind?Die Risikobeurteilung hat eine geschlossene Schleife.Der Prozess ist nicht abgeschlossen. ISO/TR 14121-2 erinnert daran, dass nach Maßnahmen erneut geprüft werden muss, ob das Risiko wirklich gesunken ist und ob neue Gefährdungen entstanden sind.

Diese Tabelle ist kein formaler Algorithmus. Sie ist ein Filter für technischen Anstand. Wenn nach diesem Filter nur der Satz „Der Bediener muss aufpassen“ übrig bleibt, sind wir zu früh. Dann sind wir noch nicht beim Restrisiko angekommen.

Genauso wichtig ist die klare Trennung der Verantwortung:

BereichWas der Hersteller leisten mussWas der Betreiber real übernimmt
Erfassen, Quetschen, Kontakt mit BewegungKonstruktion, Geometrie, Energiebegrenzung, Abdeckungen, Schutzeinrichtungen, Verriegelungen, Betriebsarten, Sicherheitsfunktionen und eine klare Beschreibung des nicht weiter reduzierbaren Risikos.Schulung, Aufsicht, Instandhaltung von Abdeckungen und Verriegelungen, Verfahren zur Störungsbeseitigung, Verbot des Umgehens von Schutzmaßnahmen.
Reinigung, Einrichten, WartungBerücksichtigung dieser Tätigkeiten in der Risikobeurteilung, Begrenzung des Zugangs zu Gefahrenbereichen, Servicebetriebsarten, Einstellpunkte außerhalb der Gefahrenzone, sicherer Zugang.Arbeitsorganisation, Qualifikation des Personals, LOTO, Wartungsplan, Kontrolle des Zustands der Schutzmaßnahmen.
Zugang in Höhe, Podeste, ÜbergängeBewertung, ob die Tätigkeit häufig und vorhersehbar ist; Planung oder klare Festlegung der Anforderungen an feste Zugänge, wenn sie erforderlich sind.Erhaltung der Zugänge, Ordnung, Freigabe geeigneten Personals, Anwendung der vom Hersteller festgelegten Verfahren und Mittel.
Cybersicherheit und FernzugriffSichere Architektur, Zugangsbeschränkung, Kontensteuerung, Beschreibung der Schnittstellen, Update-Regeln, Schutz sicherheitsrelevanter Daten und Software.Netzsegmentierung, Kontenverwaltung, Änderungsverfahren, Sicherungskopien, Aufsicht über Servicezugriffe.
Information in der BetriebsanleitungKonkrete Warnungen, Beschreibung des Risikos, Bedingungen sicherer Verwendung, erforderliche Maßnahmen auf Benutzerseite, Verbote und Nutzungsgrenzen.Umsetzung in der Praxis: Schulung, Betriebsanweisungen, Aufsicht, Durchsetzung der Regeln.

Hier liegt der Kern.

Restrisiko kann gemeinsam sein. Aber gemeinsam heißt nicht unlesbar. Gemeinsam heißt nicht: „Der Hersteller hat es geschrieben, der Betreiber haftet.“ Gemeinsam heißt nicht: „Die Fachkraft für Arbeitssicherheit macht eine Anweisung, also ist die Konstruktion in Ordnung.“

Gemeinsam heißt etwas Anspruchsvolleres: Der Hersteller muss zeigen, was er an der Maschine getan hat. Der Betreiber muss übernehmen, was tatsächlich von Arbeitsorganisation, Aufsicht, Instandhaltung und Einsatzbedingungen abhängt.

In einer guten Risikobeurteilung ist die Position „Restrisiko“ deshalb nicht der letzte Rettungsanker. Sie ist das Ende einer sauberen technischen Argumentation: Hier war die Gefährdung. Das wurde konstruktiv getan. Das wurde technisch abgesichert. Das lässt sich ohne neue oder größere Probleme nicht weiter reduzieren. Diese Informationen und diese Anforderungen werden dem Benutzer übergeben.

Erst dann klingt Restrisiko wie ein Ergebnis der Risikobeurteilung. Nicht wie eine Decke über Entscheidungen, die gefehlt haben.

Tabellen ordnen das Thema, ersetzen aber keine echte Arbeit

So eine Aufteilung der Verantwortung sieht erst dann gut aus, wenn sie aus allgemeinen Schlagworten auf die konkrete Tätigkeit an der Maschine heruntergebrochen wird. Es ist leicht zu schreiben: „Der Benutzer stellt die Arbeitsorganisation sicher“, „der Benutzer verwendet geeignete Zugangsmittel“, „der Benutzer sichert das Netzwerk ab“. Schwieriger ist die Frage: Hat der Benutzer eine Maschine bekommen, die sich sicher bedienen, reinigen, warten und instand halten lässt?

Nehmen wir den Servicepodest.

Auf der Zeichnung sieht alles ordentlich aus. Stahlkonstruktion, Gitterrost, Geländer, Zugang. Zugang vorgesehen? Ja. Thema erledigt? Nicht unbedingt.

Zuerst muss die Frage lauten: Für welche Arbeit ist dieser Podest gedacht?

Wenn dort einmal im Jahr jemand hochgeht, um eine Anzeige abzulesen oder ein Typenschild zu prüfen, ist das eine Situation. Wenn von demselben Podest regelmäßig ein Motor, Getriebe, Zylinder, eine Rolle, ein Kopf, ein Filter oder ein anderes Verschleißteil gewechselt werden muss, sprechen wir nicht mehr nur über „Zugang“. Dann sprechen wir über einen Servicearbeitsplatz.

Und dann reicht ein allgemeiner Satz in der Betriebsanleitung nicht mehr.

Wer soll dort hinauf? Eine Person oder zwei Beschäftigte der Instandhaltung? Was nehmen sie mit: Werkzeugkoffer, Drehmomentschlüssel, Anschlagmittel, Ersatzteil? Was wird demontiert: eine 20-kg-Abdeckung, ein 80-kg-Getriebemotor, ein 150-kg-Getriebe oder ein 500-kg-Motor? Wo wird das gelöste Teil abgelegt? Auf dem Podest? Auf einem Wagen? Am Hebezeug? Gibt es ein Transporttor, einen Aufhängepunkt, ein Hebezeug, einen Ausziehweg und genug Platz für zwei Personen? Umfasst die Tragfähigkeit nur den Menschen oder auch Werkzeuge, Teile, lokale Lasten und Kräfte beim Lösen?

Das sind Fragen aus der Halle. Nicht aus einer Schulungspräsentation.

Wenn die Betriebsanleitung sagt, dass ein 500-kg-Motor vom Podest aus gewechselt wird, dann muss der Podest zu dieser Arbeit passen. Nicht zur Fantasie „Bediener mit Schraubenschlüssel“, sondern zur realen Aufgabe: zwei Personen, Werkzeug, demontiertes Bauteil, Manövrieren, Absturzsicherung, Transport des Teils und sicheres Absenken auf Bodenniveau.

Sonst haben wir nur den Anschein einer Lösung. Der Podest ist da, löst aber die Aufgabe nicht. Der Zugang ist da, ermöglicht aber keine sichere Instandhaltung. Die Betriebsanleitung beschreibt die Tätigkeit, aber die Konstruktion liefert nicht die Bedingungen für ihre Ausführung.

Und jetzt die wichtigste Frage: Ist das Restrisiko?

Wenn der Hersteller eine regelmäßige Servicetätigkeit vorsieht, aber keinen sicheren Weg für ihre Ausführung plant, dann ist das schwer als ehrlich beschriebenes Restrisiko zu verkaufen. Es ist eher ein unfertiges Bedien- und Wartungskonzept. Der Betreiber ist verantwortlich für Arbeitsorganisation, Qualifikation, LOTO, Aufsicht und Erhaltung des Podests. Aber er sollte nicht erst nach der Abnahme feststellen, dass der Wechsel einer schweren Baugruppe Improvisation verlangt.

Sehr ähnlich sieht es bei der Cybersicherheit aus.

Die Maschine kommt mit Servicekonto. Benutzername: admin. Passwort: admin. Fernzugriff funktioniert, weil „der Service sich ja irgendwie verbinden muss“. Die Dokumentation sagt, der Benutzer müsse das Netzwerk absichern. Die IT bekommt das Thema nach der Inbetriebnahme. Die Instandhaltung will den Zugriff nicht blockieren, weil die Maschine produzieren soll. Der Service will schnell reagieren. Jede Seite hat Argumente.

Aber die Frage ist einfach: Hat der Hersteller die Maschine in einer sicheren Grundeinstellung übergeben?

Es geht nicht darum, dass der Hersteller für das komplette Werksnetz des Betreibers verantwortlich ist. Das wäre weltfremd. Der Betreiber muss Zugriffe, Segmentierung, Sicherungen, Änderungsverfahren, Konten, Updates und Serviceverbindungen beherrschen.

Aber der Hersteller kann keine Maschine mit einer offensichtlichen Schwachstelle übergeben und sagen: „Das ist jetzt eure IT.“ Wenn Fernzugriff, Konten, Software, HMI-Konfiguration oder Daten das Verhalten der Maschine beeinflussen können, gehört diese Ebene in die Sicherheitsbetrachtung. Genauso wie eine Schutzeinrichtung, eine Verriegelung oder ein Servicebetrieb.

Admin/admin ist keine Kleinigkeit. Es ist das digitale Gegenstück zu einem Podest, der zwar existiert, aber für die echte Arbeit nicht tragfähig ist. In der Dokumentation steht etwas. In der Realität bekommt der Betreiber ein Problem zur Reparatur.

Gute Information für den Benutzer lautet deshalb nicht: „Netzwerk absichern.“ Gute Information sagt: Welche Konten gibt es? Welche Zugriffsrollen sind vorgesehen? Was muss bei der ersten Inbetriebnahme geändert werden? Wie funktioniert der Fernservice? Wer darf Software aktualisieren? Welche Konfigurationen sind sicherheitsrelevant? Wie werden Einstellungen wiederhergestellt? Welche Netzwerkbedingungen hat der Hersteller für den sicheren Maschinenbetrieb angenommen?

Erst dann kann man sauber über die Verantwortung des Betreibers sprechen. Dann weiß der Betreiber, was er übernimmt. Dann liegt Restrisiko wirklich an der Schnittstelle zwischen Maschine und Arbeitsorganisation.

Ohne das ist es nur Problemverschiebung.

Restrisiko schließt keine unbequemen Fragen

Genau deshalb darf man den Begriff Restrisiko nicht leichtfertig verwenden. Er soll keine unangenehmen Fragen beenden. Er soll zeigen, was beim Hersteller bleibt, was zum Betreiber übergeht und welche Bedingungen beide Seiten erfüllen müssen, damit die Maschine im Betrieb sicher bleibt.

Denn eine Maschine endet nicht mit der Konformitätserklärung.

Sie arbeitet weiter: beim Umrüsten, Reinigen, Warten, bei Störungen, Updates, Servicezugriffen und beim Austausch schwerer Baugruppen.

Wenn die Konstruktion diese Situationen nicht vorsieht, repariert die Betriebsanleitung sie nicht. Ein Warnhinweis kann Menschen informieren. Er kann eine Schutzmaßnahme ergänzen. Er kann ein echtes Restrisiko sichtbar machen. Aber er darf niemals die Stelle sein, an der technische Verantwortung einfach abgelegt wird.

Der harte Praxistest bleibt simpel: Wenn der Satz in der Betriebsanleitung gestrichen wird, bleibt die Maschine dann immer noch technisch sinnvoll abgesichert? Wenn nein, war der Satz wahrscheinlich keine Information über Restrisiko. Dann war er die Schutzmaßnahme. Und genau dort beginnt das Problem.

Häufig gestellte Fragen

Was ist das Restrisiko bei einer Maschine?

Restrisiko ist das Risiko, das nach der Anwendung von Risikominderungsmaßnahmen durch den Konstrukteur der Maschine verbleibt. Im Ansatz der ISO 12100 ist zunächst eine inhärent sichere Konstruktion anzustreben, anschließend sind technische und ergänzende Schutzmaßnahmen auszuwählen, und erst danach sind dem Benutzer Informationen über die verbleibenden Gefährdungen zu übermitteln.

Es handelt sich also nicht um einen „Behälter“ für im Projekt ungelöste Probleme. Um von Restrisiko sprechen zu können, muss nachgewiesen werden, welche Maßnahmen zur Risikominderung zuvor in Betracht gezogen und angewendet wurden.

Reicht der Hinweis „Nicht hineingreifen“ als Schutzmaßnahme aus?

In der Regel nicht. Ein Warnhinweis allein in der Betriebsanleitung ersetzt weder eine trennende Schutzeinrichtung, Verriegelung, Zuhaltung, Energiebegrenzung, Änderung der Geometrie noch einen sicheren Einrichtbetrieb, wenn solche Maßnahmen möglich und der Gefährdung angemessen sind.

Benutzerinformation ist erst dann sinnvoll, wenn der Konstrukteur nachgewiesen hat, dass das Risiko zuvor gemäß der Maßnahmenhierarchie nach ISO 12100 reduziert wurde und dennoch ein Restrisiko verbleibt, das beschrieben werden muss.

Wer ist für das Restrisiko verantwortlich: der Hersteller oder der Benutzer?

Die Verantwortung ist aufgeteilt, aber nicht beliebig. Der Hersteller ist verantwortlich für die Risikobeurteilung, die Risikominderung in der Konstruktionsphase sowie für die sachgerechte Information über das Restrisiko, das sich durch konstruktive Maßnahmen nicht eliminieren oder ausreichend mindern ließ.

Der Betreiber ist verantwortlich für die sichere Arbeitsorganisation, Schulung, Aufsicht, Verfahren, persönliche Schutzausrüstung und die Anwendung der Betriebsanleitung. Dies bedeutet jedoch nicht, dass der Hersteller eine Gefährdung, die konstruktiv oder technisch zu lösen wäre, auf den Betreiber abwälzen darf.

Woran erkennt man, dass ein Risiko zu früh als Restrisiko bezeichnet wurde?

Ein Warnsignal ist eine Situation, in der in der Risikobeurteilung eine zugängliche Einzugs-, Quetsch- oder Schneidstelle auftaucht und die einzige Maßnahme eine Warnung vom Typ „Hände nicht hineinstecken“ ist. Das beweist noch nicht, dass ein tatsächliches Restrisiko vorliegt.

In der Dokumentation sollte erkennbar sein, ob eine Konstruktionsänderung, eine Begrenzung von Energie oder Geschwindigkeit, die Verlagerung der Tätigkeit aus dem Gefahrenbereich heraus, trennende Schutzeinrichtungen, Verriegelungen, Zuhaltungen, Sicherheitsfunktionen sowie Betriebsarten mit reduziertem Risiko in Betracht gezogen wurden.

Wie dokumentiert man das Restrisiko in der Risikobeurteilung einer Maschine?

Ein gut dokumentiertes Restrisiko sollte nicht nur ein einzelner Eintrag in einer Tabelle sein. Es sollte den Herleitungsweg aufzeigen: Gefährdung, vom Menschen ausgeführte Aufgabe, Lebensphase der Maschine, gefährdete Personen, Risikobeurteilung vor der Risikominderung sowie die angewendeten Schutzmaßnahmen.

  • beschreiben, welche konstruktiven und technischen Lösungen in Betracht gezogen wurden,
  • angeben, welche Maßnahmen angewendet wurden und wie sie die Exposition begrenzen,
  • festlegen, was nach der Risikominderung weiterhin verbleibt,
  • konkrete Informationen in die Betriebsanleitung, Kennzeichnungen und Nutzungsverfahren übernehmen.

Restrisiken nicht stehen lassen, sondern sauber begründen

Führen Sie die Risikobeurteilung so, dass jede Warnung auf dokumentierte Konstruktionsentscheidungen und Schutzmaßnahmen zurückgeht. So wird klar, was nach der Risikominderung tatsächlich verbleibt.

Konto anlegen Sie können mit einer einzelnen Maschine beginnen.