Der Performance Level bei der Risikobeurteilung nach Maschinenrichtlinie

In diesem Beitrag erfahren Sie was ein Performance Level ist. Wofür Sie diesen benötigen und wie Sie diesen festlegen und berechnen können.

Anhand eines Beispiels lernen Sie, wie der erforderliche Performance Level festgelegt wird und welche möglichen Wege Ihnen für den anschließenden Nachweis zur Verfügung stehen. Weiterhin werden die Methoden zur Berechnung des Performance Level vorgestellt.

1. Was ist ein Performance Level?

Der Performance Level, abgekürzt mit PL, ist ein Maß für die Zuverlässigkeit einer technischen Sicherheitsfunktion.

Bei der Risikobeurteilung nach Maschinenrichtlinie wird das sogenannte „Drei-Stufen-Verfahren“ angewandt. Erkannte Risiken werden mit diesem Verfahren schrittweise in drei Stufen gemindert. Stufe 1 sind alle konstruktiven Maßnahmen zu Risikominderung, technische Schutzmaßnahmen sind der Stufe 2 zugeordnet und Stufe 3 ist alles was durch die Benutzerinformation zur Risikominderung beiträgt.

So wird in der Stufe 1 versucht das Risiko möglichst vollständig durch konstruktive Maßnahmen zu mindern. Die Maschine wird beispielsweise so konstruiert, dass eine Quetschstelle von vornherein komplett vermieden wird.

In vielen Fällen ist es nicht möglich das Risiko der Quetschung durch konstruktive Maßnahme hinreichend zu mindern. Bei einem Pressvorgang entsteht zwangsläufig eine Quetschstelle, weil diese für den eigentlichen Prozess notwendig ist.

Zur weiteren Risikominderung wird daher in Stufe 2 eine technische Schutzmaßnahme gewählt. Der Zugang zu der Quetschstelle wird beispielsweise mit einem Lichtvorhang gesichert. 

Der Lichtvorhang erkennt, wenn ein Mitarbeiter durchgreift und meldet dies an die Steuerung. Die Steuerungslogik gibt den Befehl den Motor abzuschalten. Damit ist das Risiko augenscheinlich hinreichend gemindert.

Jetzt kommt der Performance Level ins Spiel. Der Lichtvorhang, die Steuerung und die Abschaltung des Motors bilden die technische Sicherheitsfunktion. Der Performance Level ist ein Maß für die Zuverlässigkeit dieser Sicherheitsfunktion.

Eine etwas kompliziertere Definition des Performance Level findet sich in der Norm EN 13849-1: „Diskreter Level, der die Fähigkeit von sicherheitsbezogenen Teilen einer Steuerung spezifiziert, eine Sicherheitsfunktion unter vorhersehbaren Bedingungen auszuführen.“

2. Wofür wird der Performance Level benötigt?

Nehmen wir mal die Sicherheitsfunktion bestehend aus Lichtvorhang, Steuerungslogik und Abschaltung des Motors und Sie bauen diese mit einem normalen Windows PC auf.

Wie lange würde es dauern, dass der Rechner ausfällt, ein Update installiert und neu startet oder sich einfach aufhängt? Dies wäre eine nicht sehr zuverlässige Sicherheitsfunktion. Das wäre ungefähr so sinnvoll, wie den Überhitzungsschutz eines Atomkraftwerkes mit einem Fieberthermometer zu realisieren…

Natürlich wollen Sie Ihre Maschine auch nicht mit der Sicherheitsfunktion aus einem Atomkraftwerk absichern. Hier wären Sie schnell nicht mehr im wirtschaftlichen Bereich unterwegs.

Abhilfe zur Auswahl der richtigen Sicherheitsfunktion schafft der Performance Level (PL). Er erstreckt sich von PL a (niedrigste Zuverlässigkeit) bis PL e (höchste Zuverlässigkeit).

Ein Blick in die Norm zeigt, dass Performance Level b mit 3 x 10^-6 < PFH_d < 10^-5 angegeben ist. Das PFH_d steht für die Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde.

Da im normalen Sprachgebrauch die Wahrscheinlichkeit gerne mit „1 zu“ angegeben wird, habe ich die Hochzahlen für Sie in der nachfolgenden Tabelle umgerechnet:

Damit Sie ein Gefühl für Wahrscheinlichkeiten bekommen habe ich ein paar Beispiele für Sie recherchiert:

- Die Wahrscheinlichkeit im Lotto zu gewinnen beträgt etwa 1 zu 15.000.000 vergleichbar mit PL e. 
- Von einem Blitz getroffen werden Sie mit einer Wahrscheinlichkeit von 1 zu 10.000.000 was gerade noch PL d entsprechen würde.
- Ihr Handy fällt Ihnen mit einer Wahrscheinlichkeit von 1 zu 22.000 in die Toilette.

3. Zwei Wege um den Performance Level (PLr) zu ermitteln

Die Wahrscheinlichkeiten sind ja schön und gut, aber woher wissen Sie welcher Performance Level für Ihre Sicherheitsfunktion notwendig ist?

Es wichtig zu wissen, dass es zwei unterschiedliche Performance Level gibt. Zuerst müssen Sie den erforderlichen Performance Level (PLr) ermitteln und danach den erreichten PL rechnerisch nachweisen.

Den erforderlichen Performance Level (PLr) ermitteln Sie auf zwei Wege. Der erste Weg ist den (PLr) mit dem Diagramm aus der Norm DIN EN ISO 13849-1 zu bestimmen.

Der zweite Weg ist, den erforderlichen Performance Level aus einer sogenannten C-Norm zu entnehmen. Eine C-Norm ist eine spezielle Norm für eine Maschinenart. So können Sie aus der C-Norm für Industrieroboter beispielsweise den PLr = d entnehmen. Für Assistenzroboter gibt es je nach Art des Roboters eine Tabelle, aus der Sie den entsprechenden PLr direkt ablesen können.

In der Norm für Textilmaschinen ist für unterschiedliche Sicherheitsfunktionen der Performance Level von c oder d gefordert.

Der Performance Level aus der C-Norm hat im Normalfall Vorrang. Ihr selbst ermittelter PLr mit dem Diagramm aus der Norm 13849-1 sollte nicht unter dem aus der C-Norm liegen. Ausnahmen bestätigen die Regel ;-). 

3.1 Den erforderlichen Performance Level (PLr) mit der Norm DIN EN ISO 13849-1 bestimmen

Je höher das Risiko ist, das Sie mit der gewählten Sicherheitsfunktion absichern, desto höher sind auch die Anforderungen an die Zuverlässigkeit der Sicherheitsfunktion.

Der erforderliche Performance Level lässt sich mit dem nachfolgenden Diagramm bestimmen. Zur Auswahl sind die Schwere des möglichen Schadens (S), die Aufenthaltsdauer im Gefahrenbereich (F) und die Möglichkeit zur Vermeidung der Gefährdung notwendig.

Die Risikoparameter werden dabei in der folgenden Größe bestimmt:

3.2 Beispiel zur Bestimmung des erforderlichen Performance Level

Als Beispiel ermitteln wir den erforderlichen Performance Level für folgende Sicherheitsfunktion:

An einer Maschine ist eine Quetschstelle vorhanden, die durch eine gefahrbringende Bewegung entsteht. Eine Schutztürabsicherung an der Maschine soll beim Öffnen der Schutztür die gefahrbringende Bewegung abschalten. Ein Ingangsetzen der Bewegung bei geöffneter Schutztür darf nicht möglich sein.

Unsere Sicherheitsfunktion besteht aus den drei Bausteinen:

Schritt 1 - Die Schwere des möglichen Schadens abschätzen

Um die Zuverlässigkeit der Sicherheitsfunktion zu bestimmen, wird im ersten Schritt die Schwere des möglichen Schadens eingeschätzt. Ich gehe davon aus, dass bei einer Quetschung durch die aufgebrachte Kraft der Maschine ein Finger abgetrennt werden kann. Für diese ernste (üblicherweise irreversible) Verletzung wähle ich S2.

Manchmal ist es nicht so eindeutig, ob ein auftretender Schaden tatsächlich ernst und irreversibel ist. Meine Empfehlung ist, im Zweifelsfall lieber strenger zu bewerten als zu leicht. Es sind viele Parameter dafür verantwortlich, wie schwer der Schaden bei einem Vorfall tatsächlich ausfällt: Fläche der Quetschstelle, Geschwindigkeit, Kraft, Winkel des Eingriffs und die Konstitution des Verletzten (Männerhand oder kleine Finger eines Kindes).

Schritt 2 - Die Aufenthaltsdauer im Gefahrenbereich festlegen

Im zweiten Schritt wird die Aufenthaltsdauer im Gefahrenbereich ausgewählt. Der Arbeitsplatz an der Maschine befindet sich direkt vor der Schutztüre. Es ist davon auszugehen, dass sich permanent ein Mitarbeiter in dem Bereich der Maschine befindet. Die Aufenthaltsdauer im Gefahrenbereich ist lang und daher wähle ich den Parameter F2.

Hinweis: Es ist egal, ob sich immer dieselbe Person im Gefahrenbereich aufhält oder ob mehrere unterschiedliche Personen der Gefährdung ausgesetzt sind.

Schritt 3 - Die Möglichkeit zur Vermeidung der Gefährdung bestimmen

Im dritten Schritt geht es darum, ob es eine Möglichkeit gibt die Gefährdung bei einem Ausfall der Sicherheitsfunktion zu vermeiden. Der Parameter P1 sollte nur dann gewählt werden, wenn eine realistische Chance besteht, dass eine Gefährdung vermieden wird.

Die Gefährdung kann direkt durch ihre physikalischen Eigenschaften oder durch technische Hilfsmittel erkannt werden.

Für die Quetschstelle gehe ich davon aus, dass die Geschwindigkeit, mit der die Gefährdung auftritt, sehr langsam ist. Die Bediener haben eine Möglichkeit zur Vermeidung der Gefährdung durch Ausweichen. Weiterhin haben alle Nutzer der Maschine praktische Erfahrungen mit der Sicherheit in Bezug zum Prozess und sind speziell als Bedienungspersonal ausgebildet.

Unter diesen bestimmten Bedingungen gibt es eine Möglichkeit zum Ausweichen, daher wähle ich den Parameter P1.

Schritt 4 - Den erforderlichen Performance Level ablesen

Im letzten Schritt könne Sie den erforderlichen Performance Level von PLr = d aus dem Diagramm ablesen.

Hinweis: Mit dem oben gezeigten mechanischen Sicherheitsschalter an der Schutzzauntür wird es aufgrund der Kategorie schwierig den erforderlichen Performance Level von d zu erreichen.

Die Ausnahme bei niedriger Eintrittswahrscheinlichkeit

Es gibt noch eine kleine Ausnahme in der Norm: Wenn die Eintrittswahrscheinlichkeit eines Gefährdungsereignisses als niedrig eingestuft werden kann, dann darf der erforderliche Performance Level um eine Stufe reduziert werden.

Die Einschätzung der Eintrittswahrscheinlichkeit sollte anhand von Zuverlässigkeitsdaten und der Unfallgeschichte an vergleichbaren Maschinen erfolgen.

Meine dringende Empfehlung: Lassen Sie die Finger davon.

Es ist nicht logisch für mich aufgrund der geringen Zahl von Unfällen an einem bestimmten Maschinentyp die Zuverlässigkeit der Sicherheitsfunktionen negativ zu verändern. Vielleicht hat genau diese hohe Zuverlässigkeit zu den geringen Unfällen an diesem Maschinentyp geführt?

4 Performance Level Rechner - ein Tool zur Berechnung des erforderlichen Performance Level

Mit dem Performance Level Rechner können Sie den erforderlichen Performance Level für Ihre technische Sicherheitsfunktion berechnen. Eine Festlegung nach der Norm EN ISO 13849-1 ist nur dann erforderlich, wenn der erforderliche Performance Level nicht in einer Type-C Norm für Ihre Maschine festgelegt ist!

5. Performance Level – Schaltungsbeispiele der Kategorien

In der Norm EN ISO 13849-1 wurden verschieden Architekturen und Anforderungen festgelegt, um den jeweiligen Performance Level zu erreichen. Je höher der festgelegte Performance Level ist, umso aufwändiger sind die Anforderungen und die Schaltungsarchitektur.

Die nachfolgenden Abbildungen der Kategorien können nicht nur als Schaltplan, sondern auch als logische Schaltbilder verwendet werden.

In der Praxis wird für einen Performance Level bis c in der Regel eine "einkanalige Sicherheitsfunktion" nach Kategorie B, 1 oder 2 verwendet. Ab einem Performance Level von d wird im Maschinenbau meist direkt eine "zweikanalige Sicherheitsfunktion" nach Kategorie 3 oder 4 genutzt.

5.1 Schaltungsbeispiel für Performance Level a und b – Kategorie B

Mit der Kategorie B kann maximal ein Performance Level von PL = b erreicht werden.

Ein Fehler an einem Bauteil kann zum Verlust der Sicherheitsfunktion führen.

Mittlere Zeit bis zum gefährlichen Ausfall MTTF_d ist niedrig oder mittel

5.2 Schaltungsbeispiel für Performance Level a, b und c – Kategorie 1

Mit der Kategorie 1 kann maximal ein Performance Level von PL = c erreicht werden.

Für Schaltungen der Kategorie 1 müssen „bewährte Bauteile“ eingesetzt werden.

Ein Fehler an einem Bauteil kann zum Verlust der Sicherheitsfunktion führen. Die Wahrscheinlich-keit ist aber geringer als bei der Kategorie B.

5.3 Schaltungsbeispiel für Performance Level a bis d – Kategorie 2

Mit der Kategorie 2 kann maximal ein Performance Level von PL = d erreicht werden. In der Praxis wird für einen erforderlichen Performance Level von d meist die Kategorie 3 genutzt bzw. durch Produktnormen gefordert.

Für Schaltungen der Kategorie 2 müssen „bewährte Sicherheitsprinzipien“ genutzt werden. Die Sicherheitsfunktion muss in angemessenen Zeitabständen von der Steuerung getestet werden.

Ein Fehler kann zum Verlust der Sicherheitsfunktion zwischen den Tests führen. Der Fehler an der Sicherheitsfunktion wird durch den Test erkannt.

5.4 Schaltungsbeispiel für Performance Level d – Kategorie 3

Mit der Kategorie 3 kann maximal ein Performance Level von PL = e erreicht werden. Durch den redundanten Aufbau spricht man in der Praxis von einer „zweikanaligen Sicherheitsfunktion“.

Für Schaltungen der Kategorie 3 müssen „bewährte Sicherheitsprinzipien“ eingesetzt werden.

Bei einem Fehler bleibt die Sicherheitsfunktion durch die zweikanalige Ausführung erhalten. Die meisten Fehler werden erkannt. Mehrere unerkannte Fehler können jedoch zum Ausfall der Sicherheitsfunktion führen.

5.5 Schaltungsbeispiel für Performance Level e – Kategorie 4

Mit der Kategorie 4 kann ein Performance Level von PL = e erreicht werden. Die Schaltung der Sicherheitsfunktion ist wie die Schaltung der Kategorie 3 aufgebaut, der Unterschied ist der hohe Diagnosedeckungsgrad.

Bei einem Fehler bleibt die Sicherheitsfunktion durch die zweikanalige Ausführung erhalten. Fehler werden durch einen hohen Diagnosedeckungsgrad rechtzeitig erkannt. 

6. Der rechnerische Performance Level (PL) Nachweis

Nachdem der erforderliche Performance Level ermittelt wurde, ist es selbstverständlich erforderlich auch nachvollziehbar zu prüfen, ob dieser tatsächlich von der Sicherheitsfunktion eingehalten wird.

In unserem Beispiel haben wir einen PLr = d ermittelt. Konkret bedeutet das, die Wahrscheinlichkeit eines gefährlichen Ausfalls der Sicherheitsfunktion je Stunde muss zwischen 1 zu 1.000.000 und 1 zu 10.000.000 liegen, um den Performance Level von d zu erreichen.

Der kritische Grenzwert ist bei 1:1.000.000. Wenn die Wahrscheinlichkeit eines Ausfalls noch geringer als 1 zu 10.000.000 wird, ist uns das absolut recht. Je geringer die Wahrscheinlichkeit eines Ausfalls, desto sicherer sind Sie unterwegs.

Betrachten müssen Sie hierbei die komplette Sicherheitsfunktion, die meist aus dem Eingang, der Logik und dem Ausgang besteht.

In der Praxis erflogt im Hinblick auf die Sicherheitsfunktionen einer Maschine meist eine Arbeitsteilung. Der Konstrukteur erstellt die Risikobeurteilung, dabei definiert er die risikomindernde Maßnahme Sicherheitsfunktion und legt dafür den erforderlichen Performance Level (PLr) fest.

Mit diesen Informationen kann der Elektrokonstrukteur die notwendigen Bauteile auswählen und die Art des elektrischen Anschlusses der Bauteile festlegen.

Den Nachweis erbringt der Elektrokonstrukteur entweder mit der vereinfachten Methode oder mit einer detaillierten Berechnung. Für die detaillierte Berechnung gibt es einige spezielle Software-Produkte.

6.1 Vereinfachte Methode zum Nachweis des Performance Level

Für eine einfache Reihenschaltung kann für die Ermittlung des PL eine vereinfachte Methode durch die nachfolgende Tabelle aus der Norm DIN EN ISO 13849-1 verwendet werden.

Bei einem weiteren Bauteil hätten wir den erforderlichen Performancelevel nach dieser vereinfachten Methode nicht mehr erreichen können. Denn mehr als drei Bauteile mit PL d in Reihe geschaltet, ergibt nach der Tabelle einen Performance Level von c.

Genauso würde es sich verhalten, wenn ein Bauteil in der Reihenschaltung nur einen PL c entsprechen würde.

Hier passt das Sprichwort: Die Kette ist nur so stark, wie ihr schwächstes Glied.

Die Sicherheitsfunktion ist maximal so zuverlässig, wie das Bauteil mit der niedrigsten Zuverlässigkeit.

6.2 Berechnung und Nachweis des Performance Level (PL)

In der Praxis erhält der Elektrokonstrukteur zum Nachweis des Performance Level meist nicht den PL der einzelnen Bauteile. Daher stoßen Sie mit der vereinfachten Tabelle schnell an Ihre Grenzen.

Für die Berechnung des Performance Level sind folgende Parameter notwendig:

Um diese Parameter zu bestimmen sind meist recht komplexe Berechnungen notwendig. Hier empfehlt sich ganz klar die Verwendung spezieller Software-Tools wie z.B. die kostenlose Software SISTEMA.

Weiterführende Informationen zur Berechnung und zum Nachweis des Performance Level erhalten Sie in meiner CE-Bibliothek. Dort finden Sie auch den ein oder anderen Leitfaden.

6.2.1 Kostenlose Software SISTEMA zur Berechnung des PL

Für diese rechnerischen Nachweise kann der Elektrokonstrukteur die kostenlose Software SISTEMA (Sicherheit von Steuerungen von Maschinen) verwenden. Die Software können Sie auf der Website der IFA (Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung) kostenlos herunterlanden.

Link zur Software SISTEMA

Die Software bildet die Struktur der Sicherheitsfunktion nach und berechnet Zuverlässigkeitswerte auf verschiedenen Detailebenen einschließlich des erreichten Performance Level (PL).

Risikoparameter zur Bestimmung des erforderlichen Performance Level, wie die Kategorie, die Maßnahmen gegen Fehler gemeinsamer Ursache (CCF) bei mehrkanaligen Systemen, Mittlere Zeit bis zum gefährlichen Ausfall (MTTF_d) und der Diagnosedeckungsgrad (DC) lassen sich Schritt für Schritt erfassen und berechnen.

Die Auswirkung jeder Parameteränderung auf das Gesamtsystem wird in der Software direkt angezeigt. Der finale Report kann für den späteren Nachweis ausgedruckt abgelegt werden.

7. Zusammenfassung

In diesem Beitrag haben Sie erfahren, dass ein Performance Level ein Maß für die Zuverlässigkeit einer technischen Sicherheitsfunktion ist. Er gibt an wie hoch die Wahrscheinlichkeit eines Ausfalls dieser Sicherheitsfunktion ist. 

Je kritischer die Gefährdung, die mit der Sicherheitsfunktion abgesichert wird, desto höher muss auch der Performance Level der Sicherheitsfunktion sein.

Der Performance Level wird in Stufen von PL a bis PL e angegeben. Dabei erfolgt eine Unterscheidung zwischen dem erforderlichen Performance Level (PLr) und dem nachgewiesenen Performance Level (PL). 

Der PLr wird mit der Norm DIN EN ISO 13849-1 festgelegt oder aus einer speziellen C-Norm für die Maschinen entnommen.

Der Nachweis des Performance Level (PL) erfolgt entweder nach der vereinfachten Methode oder durch Berechnung mit einer Software, wie das kostenlose SISTEMA-Tool vom Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung.