Wer legt den Performance Level fest? Haftungsrisiken für Steuerungsbauer vermeiden

3. Interpretationsspielräume führen zu Unsicherheit

Ein einfaches Beispiel zeigt, wie schnell technische Anforderungen unterschiedlich interpretiert werden. Wird einem Programmierer gesagt, dass beim Drücken eines Startknopfs eine Lampe leuchten soll, stellen sich sofort mehrere Fragen:

• Leuchtet die Lampe nur während des Tastendrucks?
• Bleibt sie dauerhaft an?
• Schaltet sie sich beim Stoppen der Maschine aus oder braucht es dafür eine separate Logik?

Solche Unklarheiten sind bei normalen Maschinenfunktionen meist unproblematisch, weil der Programmierer sie auf Grundlage seiner Erfahrung entscheidet. Doch bei Sicherheitsfunktionen hört der Spielraum auf. Hier entscheidet jede Kleinigkeit über die Wirksamkeit der Maßnahme und über mögliche rechtliche Konsequenzen.

4. Warum Sicherheitsfunktionen klare Festlegungen benötigen

Sicherheitsfunktionen sind kein Interpretationsspielraum, sondern das Ergebnis einer strukturierten und nachvollziehbaren Planung. Sie dienen dem Schutz von Menschen. Deshalb müssen sie eindeutig definiert und dokumentiert sein, inklusive aller Parameter wie Nachlaufzeiten, Stopp-Kategorien, Performance Level und Kategorie.

Ich empfehle, Sicherheitsfunktionen grundsätzlich aus der Risikobeurteilung heraus zu entwickeln. Nur wenn klar beschrieben ist, was im Fall einer Störung passieren soll, kann der Steuerungsbauer diese Funktion technisch korrekt umsetzen. Eine klare Festlegung verhindert spätere Diskussionen und reduziert die Fehlerwahrscheinlichkeit bei der Umsetzung erheblich.

5. Praxisbeispiel: Fehlerhafte Performance Level bei Beschichtungsanlage

In einem aktuellen Projekt bei einer Tauchbeschichtungsanlage hat der Steuerungsbauer die Sicherheitsfunktionen eigenständig festgelegt. Für die mechanischen Bewegungen wurden die Risiken korrekt bewertet, der Performance Level entsprach den Anforderungen. Allerdings wurden die Risiken durch lösungsmittelhaltige Farben im Tauchprozess nicht ausreichend berücksichtigt.

Die Sicherheitsfunktion zur Überwachung der Absaugung entsprach nicht dem erforderlichen Performance Level. Auch die Steuerung der pneumatischen Bewegungen entsprach nicht dem notwendigen Sicherheitsniveau.

Die Folge waren kostspielige Nachrüstungen, ein aufwendiger Umbau und ein ungeplanter Anlagenstillstand von mehreren Wochen.

Dieses Beispiel zeigt deutlich, wie wichtig es ist, auch verfahrenstechnische Gefährdungen vollständig in der Risikobeurteilung zu erfassen und die Anforderungen an die Sicherheitsfunktionen korrekt zuzuordnen.

6. Der richtige Ablauf zur Festlegung von Sicherheitsfunktionen

Jede Sicherheitsfunktion muss aus einer systematischen Risikobeurteilung hervorgehen. Der erste Schritt besteht darin, alle konstruktiven Möglichkeiten zur Risikominderung auszuschöpfen. Erst danach werden technische Schutzmaßnahmen definiert. Für jede dieser technischen Schutzmaßnahmen wird ein erforderlicher Performance Level bestimmt.

In der Praxis bedeutet das:
Sobald z. B. eine Schutztür (beweglich trennende Schutzeinrichtung) eingesetzt wird, muss klar festgelegt werden, ob es sich

• um eine Verriegelungseinrichtung mit oder ohne Zuhaltung handelt,
• wie die Steuerung reagieren soll und
• welche Reaktion im Fehlerfall erfolgen soll.

Diese Informationen fließen in eine Funktionsbeschreibung, die dem Steuerungsbauer als verbindliche Vorgabe dient.

7. Die Rolle der Risikobeurteilung bei der Performance Level Bestimmung

Die Risikobeurteilung ist das zentrale Werkzeug zur Festlegung von Sicherheitsfunktionen. Sie dokumentiert alle Gefährdungen der Maschine und bewertet diese systematisch. Aus der Kombination von Schwere des möglichen Schadens, Aufenthaltsdauer im Gefahrenbereich und Möglichkeit der Vermeidung ergibt sich der erforderliche Performance Level gemäß DIN EN ISO 13849-1.

Wir erstellen für unsere Kunden strukturierte Risikobeurteilungen, die nicht nur die mechanischen Gefährdungen abdecken, sondern auch thermische, chemische und verfahrenstechnische Risiken berücksichtigen. Nur wenn alle Gefährdungen erkannt und bewertet sind, kann der Performance Level für jede einzelne Sicherheitsfunktion korrekt festgelegt werden.

8. Aufbau einer Sicherheitsfunktionsliste mit Sensoren, Logik und Aktoren

Aus der Risikobeurteilung sollte eine Liste der Sicherheitsfunktionen erstellt werden, die alle relevanten Elemente strukturiert darstellt. Sie enthält drei Hauptkomponenten:

• Sensor (z. B. Sicherheitsschalter)
• Logik (z. B. Sicherheits-SPS)
• Aktor (z. B. Lastschütze oder Antriebsregler)

Für jede Sicherheitsfunktion wird festgehalten, welche Komponenten verwendet werden und wie diese zusammenwirken.

Diese Liste ist nicht nur für die Umsetzung wichtig, sondern auch für die Validierung und spätere Wartung der Anlage. Ich empfehle, jede Funktion so zu dokumentieren, dass auch Dritte, wie etwa Prüfer oder Behörden, nachvollziehen können, wie die Sicherheitsfunktion aufgebaut ist und welchen Performance Level sie erreicht.

9. Nutzen und Funktion einer Abschaltmatrix

Bei komplexeren Anlagen ist die Abschaltmatrix ein unverzichtbares Hilfsmittel. In dieser Matrix werden alle Eingangs- und Ausgangssignale systematisch zugeordnet. Auf der einen Achse stehen die auslösenden Sensoren, wie Taster, Schalter oder Not-Halt-Geräte. Auf der anderen Achse sind die betroffenen Verbraucher aufgeführt, wie zum Beispiel Antriebe, Ventile oder Heizungen.

Die Abschaltmatrix zeigt auf einen Blick, welche Aktion welche Reaktion auslöst. Sie ist ein praxisnahes Werkzeug, um Steuerungsfunktionen zu überprüfen, Testabläufe zu planen und Fehlerquellen zu minimieren. Wir integrieren diese Abschaltmatrix regelmäßig in unsere Sicherheitsdokumentation, um klare Transparenz für alle Beteiligten zu schaffen.

10. Dokumentation als Nachweis – So sichern Sie sich ab

Eine vollständige und nachvollziehbare Dokumentation ist der beste Schutz vor späteren Auseinandersetzungen. Sobald der Steuerungsbauer auf eine saubere Risikobeurteilung, eine verbindliche Sicherheitsfunktionsliste und eine klare Abschaltmatrix zurückgreifen kann, hat er die Möglichkeit, die notwendigen Komponenten zu planen und festzulegen. Mit der anschließenden Verifikation und Validierung ist seine Haftung deutlich reduziert.

Wir dokumentieren in unseren Projekten jede sicherheitsrelevante Maßnahme so, dass sie technisch geprüft, nachvollziehbar und revisionssicher ist. Für die spätere Prüfung durch Behörden oder für Zertifizierungen ist diese Dokumentation ein zentrales Element. Ich empfehle, alle Sicherheitsfunktionen mit Prüflisten zu verknüpfen, um später nachweisen zu können, dass sie korrekt umgesetzt und getestet wurden.

11. Fazit: Zusammenarbeit und klare Prozesse reduzieren Haftungsrisiken

Die Festlegung des Performance Levels darf nicht dem Steuerungsbauer allein überlassen bleiben. Sie ist Teil eines systematischen Prozesses, der mit der Risikobeurteilung beginnt und in der technischen Umsetzung endet. Erst wenn alle Beteiligten aus Mechanik, Verfahrenstechnik, Elektrokonstruktion und Programmierung gemeinsam die Anforderungen definieren, entsteht eine rechtssichere und funktionierende Sicherheitsarchitektur.

Ich sehe in der Praxis immer wieder, dass dieser Abstimmungsprozess vernachlässigt wird und das mit teilweise gravierenden Folgen. Eine strukturierte Vorgehensweise spart nicht nur Zeit und Kosten, sondern verhindert auch persönliche Haftungsrisiken.

12. Kostenloses Erstgespräch zur Risikobeurteilung und Sicherheitsstrategie

Wenn Sie in Ihrem Projekt klare Vorgaben für Sicherheitsfunktionen benötigen oder bestehende Lösungen überprüfen lassen möchten, unterstützen wir Sie gerne. Wir begleiten Sie bei der Risikobeurteilung, der Definition der Sicherheitsfunktionen und der Umsetzung mit prüffähiger Dokumentation.

Vereinbaren Sie ein kostenloses Erstgespräch und gemeinsam besprechen wir die notwendigen Schritte für eine CE-konforme Maschine und um Ihre persönliche Haftung zu begrenzen.