Wie ermittelt man den Performance Level nach der EN ISO 13849-1?

Grundsätzlich hat der Maschinenbauer den PL bei der Konstruktion und Planung einer Maschine aus zwei Perspektiven zu betrachten: Zunächst muss er den erforderlichen PL anhand einer Risikoabschätzung bestimmen; dann gilt es, den erreichten PL zu berechnen und nachzuweisen, dass die Mindestanforderung erfüllt ist.

Für die Berechnung der PL stellen die Hersteller von SRP/CS entsprechende Sicherheitskenngrößen zur Verfügung. Hierzu bietet das Eaton Sicherheitshandbuch weitere Informationen sowie nützliche Schaltungs- und Berechnungsbeispiele.

Neben dem PL gibt es noch eine weitere Kenngröße sicherheitstechnischer Leistungsfähigkeit, den Safety Integrity Level (SIL 1, 2, 3, 4 ) gemäß der IEC 62061. Beide Sicherheitsnormen benutzen unterschiedliche Klassifizierungssysteme und Definitionen für die Sicherheitsstufen. Je nach Technologie, Risikoeinstufung und Architektur ist entweder der iterative Prozess zur Gestaltung von SRP/CS nach EN ISO 13849-1 oder IEC 62061 anzuwenden.

In fünf Schritten zum validierten PL

Schritt 1 – Risikoabschätzung

Um im Rahmen der Risikoabschätzung das erforderliche Sicherheitsniveau PL_r (required Performance Level) zu ermitteln, betrachtet der Konstrukteur seine Maschine ohne vorgesehene Sicherheitsfunktionen. Als Grundlage für die Risikoabschätzung dient der Risikograf der EN ISO 13849-1 (siehe Abbildung). Der hier definierte Prozess bewertet das Schadensausmaß bzw. die Schwere der potenziellen Verletzungsgefahr S, die Häufigkeit und Dauer der Gefährdung F sowie die Möglichkeiten zur Vermeidung der Gefährdung P.

So geht es darum zu bewerten, ob eine mögliche Verletzung reversibel ist (S1) oder nicht und sogar tödliche Folgen haben kann (S2). Besteht die Gefährdung nur selten bzw. für eine kurze Dauer (F1) oder mehr als einmal pro Stunde bzw. für einen längeren Zeitraum (F2). Gibt es eine realistische Chance, den Unfall zu vermeiden oder die Auswirkungen erheblich zu verringern (P1) oder lässt sich die Gefährdung kaum vermeiden (P2).

Bei diesem Verfahren handelt es sich um eine qualitative Abschätzung, die mit geringem Aufwand meist eine ausreichende Genauigkeit bringt. Sie ist als ergänzender Teil im Rahmen der Risikobewertung nach der EN ISO 12100 zu verstehen.

Schritt 2 – Entwurf der Steuerungsarchitektur

Im nächsten Schritt geht es darum, die Struktur eines sicherheitsbezogenen Steuerungssystems zu bewerten und in eine Kategorie einzuordnen. Hier definiert die EN ISO 13849-1 die folgenden Kategorien:

• Kategorie B stellt die Basiskategorie dar, bei der die sicherheitsbezogenen Teile der Steuerung mindestens dem Stand der Technik entsprechen und den zu erwartenden Einflüssen standhalten.
• In Kategorie 1 sind bewährte Bauteile und Prinzipien vorgesehen (z. B. Positionsschalter mit zwangsöffnendem Kontakt).
• In Kategorie 2 sind die sicherheitsbezogenen Teile in bestimmten Abständen automatisch oder manuell zu überprüfen.
• Bei der Kategorie 3 führt ein einzelner Fehler in einem sicherheitsbezogenen Bauteil nicht zum Verlust der Sicherheitsfunktion, d. h. die Schaltung wird redundant aufgebaut.
• In Kategorie 4 führt ein einzelner Fehler ebenso wie in Kategorie 3 nicht zum Verlust der Sicherheitsfunktion. Darüber hinaus ist der Fehler sofort oder vor der nächsten potenziellen Gefährdung zu erkennen.

Schritt 3 – Ermittlung des erreichten PL

Um den erreichten PL zu ermitteln, sind folgende Parameter zu betrachten:

Steuerungsarchitektur (Kategorie)

Mittlere Zeit bis zum gefährlichen Ausfall MTTF_d (Mean Time to Dangerous Failure). Für elektromechanische Komponenten hängt dieser Wert stark von der Anzahl der Betätigungen ab. Die EN ISO 13849-1 stellt hierfür folgende Berechnungsformel zur Verfügung:

Ausfälle durch Fehler gemeinsamer Ursache CCF (Common Cause Failure). Mit dem CCF wird die Widerstandsfähigkeit gegen externe Einflüsse wie Umgebungsbedingungen qualitativ bewertet. Die Tabelle F.1 im Anhang F der Norm listet für den Maschinenbereich geeignete Maßnahmen und enthält eine Bewertung in Punkten.

Beziehung zwischen Kategorie, MTTFd, DC, CCF und PL. Hier bietet die Norm ein Diagramm, das die unterschiedlichen Kombinationen der Kategorie mit DC_avg und MTTF_d enthält und diese mit dem PL in Beziehung setzt.

Schritt 4 – Verifikation der erreichten Risikominderung

Im Zuge der Verifikation ist der erreichte PL aus Schritt 3 dem geforderten PL_r aus Schritt 1 gegenüberzustellen. Im Falle von PL ≥ PL_r erfüllen die sicherheitsbezogenen Teile der Steuerung die Anforderungen. Bei PL < PL_r muss der Konstrukteur entsprechend nachbessern und den Prozess erneut durchlaufen.

Schritt 5 – Validierung der Sicherheitsfunktionen

Die Validierung stellt die abschließende Bestätigung dafür dar, dass die gewählten Sicherheitsfunktionen die Anforderungen zur notwendigen Risikominderung erfüllen. In einem Validierungsplan sollte dokumentiert werden, welche Analysen und Prüfungen die Übereinstimmung der Lösung mit den Anforderungen nachzuweisen.

Fazit

Der Performance Level ist ein wichtiger Baustein auf dem Weg zur sicheren Maschine und damit zu Funktionaler Sicherheit . Die EN ISO 13849-1 gibt einen detaillierten iterativen Prozess zur Bestimmung und Validierung des PL vor. Die Berechnung ist nicht ganz einfach. Daher stehen heute Berechnungstools (z. B.  SISTEMA „Sicherheit von Steuerungen an Maschinen“ von der DGUV) zur Verfügung, die dem Konstrukteur Hilfestellung bei der Bewertung der Sicherheit von Steuerungen bieten.