Das Performance Level (PL) – die wichtigsten „Bausteine“

Ziel & Bedeutung des Performance Level nach EN ISO 13849

Autor: Manuel Urbach

Um die identifizierten Risiken an einer Maschine, die nach dem Verfahren der Risikobeurteilung gemäß EN ISO 12100 ermittelt wurden, auf ein akzeptables Risiko zu reduzieren, nutzen Konstrukteur oft technische Schutzmaßnahme zur Risikominderung, z. B. beweglich trennende Schutzeinrichtungen mit Verriegelungssystem (= sicher abgefragte Schutztür) – entspricht der zweiten Stufe gemäß Drei-Stufen-Prinzip zur Risikominderung nach EN ISO 12100. Die damit verbundenen Steuerungskreise der Maschine übernehmen somit sicherheitsbezogenen Funktionen (= Sicherheitsfunktionen), die spezifischen Anforderungen und Eigenschaften unterliegen, um die Risikominderung zu erzielen. Diese Sicherheitsfunktionen dienen somit als Teil einer Gesamtrisikominderung für die Maschine.

Die Sicherheitsfunktion werden durch eine oder mehrere sicherheitsbezogene Steuerungsteile (SRP/CS) realisiert. Um die jeweiligen Sicherheitsfunktionen zielgerichtet umzusetzen, werden die SRP/CS in Teilsysteme (Subsystemen) zerlegt. Diese Teilsysteme führen somit Teilfunktionen für einer oder mehrerer Sicherheitsfunktionen aus.
Die Sicherheitsintegrität („Güte“) der SRP/CS wird mit dem Performance Level (PL) ausgedrückt. Das PL wird in fünf diskreten Stufen (PL a-e) eingeteilt. Das Performance Level wird definiert als die durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde (PFHd – average probability of dangerous failure per hour). Je höher das Performance Level ist, desto geringer ist das Risiko eines gefährlichen Ausfalls der Steuerung bzw. Steuerungsteile.

Hinweis: Da wir hier von Wahrscheinlichkeiten sprechen, ist klar zu erkennen, dass es nach Umsetzung der Sicherheitsfunktion im Kontext der Risikobeurteilung und dem Risikominderungsprozess nach EN ISO 12100 kein Risiko „0“ geben kann. Da davon ausgegangen werden muss, dass die SRP/CS bzw. ein Teilsystem über kurz oder lang einen (gefahrbringenden) Ausfall haben wird. Somit beeinflusst also eine Sicherheitsfunktion immer nur den Bewertungsparameter „Eintrittswahrscheinlichkeit“ bei der Risikoeinschätzung.

Die Bausteine des PL

1. PFHD – mittlere Häufigkeit eines gefahrbringenden Ausfalls je Stunde

Dieser Parameter gibt an, wie wahrscheinlich es ist, dass ein sicherheitsrelevanter Teil der Maschinensteuerung einen gefährlichen Ausfall aufweist.
Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Sicherheitsfunktion hängt von mehreren Parametern ab:

  • Architektur bzw. Struktur der SRP/CS und deren qualitativen Anforderungen (Kategorie) – diese bestimmt ihre Widerstandsfähigkeit gegen Fehler und ihr Verhalten im Fehlerfall (Fehlertoleranz), basierend auf der Zuverlässigkeit und/oder der strukturellen Anordnung;
  • dem Umfang der Fehler-Detektionsmechanismen (sog. Diagnosedeckungsgrad [DC]);
  • der Zuverlässigkeit von Bauteilen [mittlere Zeit bis zum gefahrbringenden Ausfall (MTTFD);
  • den Ausfällen infolge gemeinsamer Ursache (CCF);
  • Vermeidung und Beherrschung von systematischen Fehlern im Gestaltungsprozess, aufgrund der Belastung im Betrieb, sowie den Umgebungsbedingungen und den betrieblichen Einsatzbedingungen – hierzu zählt auch die Umsetzung von sicherheitsbezogener Software.

2. Kategorien (Kat.)

Die Kategorien stufen die sicherheitsbezogenen Teile einer Steuerung (SRP/CS) in Bezug auf ihre Widerstandsfähigkeit gegen Fehler und ihr Verhalten im Fehlerfall ein.
Dies basiert auf der Zuverlässigkeit und/oder der strukturellen Anordnung (Architektur) der Steuerungsteile bzw. Teilsysteme. Die Kategorien der Steuerungsteile sind die größten Einflussgrößen (das Rückgrat) zur Bestimmung des PL.

  • Die Architekturen (des Gesamtsystems oder der Kombination von Teilsystemen) bieten dabei die Möglichkeiten:
  • einkanalige ungetestete Systeme mit unterschiedlich zuverlässigen Bauteilen (Kategorie B oder 1) zu verwenden,
  • einkanalige Systeme mit zusätzlichen Tests aufzuwerten (Kategorie 2)
  • bis hin zu den „klassischen“ zweikanalig, hochwertig getesteten Systemen (Kategorie 3 oder 4).

3. MTTFd – Mittlere Zeit bis zum gefahrbringenden Ausfall

Hierbei handelt es sich um die Zuverlässigkeit der einzelnen Komponenten, aus denen die Maschinensteuerung aufgebaut wird. Dabei werden die zufälligen gefährlichen Ausfälle, also Bauteildefekte, die zu einer Nicht-(Mehr-)Ausführung der vorgesehenen Sicherheitsfunktion führen können, betrachtet. Diese Betrachtung der Ausfälle geht entscheidend in die Gesamtzuverlässigkeit des Systems mit ein.

Die Zuverlässigkeit wird als Zeit im Sinne einer Lebensdauer angegeben. Üblicherweise wird die MTTFd in Jahren (abgekürzt „a“) angegeben.
Die MTTFd wird in Klassen eingeteilt. Diese Klassifizierung sieht wie folgt aus:

Aber Achtung, bei dem MTTFd handelt es sich um einen statischen Mittelwert.

    4. DC – Diagnosedeckungsgrad (Diagnostic Coverage)

    Als weitere Einflussgröße für den PL sind die (Selbst-) Test- und Überwachungsmaßnahmen in den sicherheitsbezogenen Steuerungsteilen (SRP/CS) bei mehrkanaligen Architekturen (Kategorie 2,3 oder 4) zu betrachten. Durch wirksame Tests lässt sich z. B. eine schlechte Zuverlässigkeit (zufälliger gefahrbringender Ausfall) der Komponenten (teilweise) erkennen und „kompensieren“. Die Güte der Tests wird in der EN ISO 13849-1 mit dem sogenannten Diagnosedeckungsgrad DC (Diagnostic Coverage) gemessen.

    Der DC ist definiert als Anteil der erkannten gefahrbringenden Ausfälle im Verhältnis zu allen denkbaren gefahrbringenden Ausfällen. Das Verhältnis wird in Prozent (%) ausgedrückt. Dabei dient als Bezugsgröße eine einzelne Komponente, ein gesamter Kanal mit mehreren Komponenten, ein Teilsystem oder das gesamte SRP/CS. Bezogen auf das gesamte SRP/CS handelt es sich dann um den durchschnittlichen Diagnosedeckungsgrad DCavg (average).
    Zur Bestimmung des DC kann ein vereinfachtes Abschätzungsverfahren, das mit Hilfe von „typischen Test- und Überwachungsmaßnahmen“, die im Anhang E der EN ISO 13849-1 aufgelistet sind, umgesetzt werden.

    Der DC wird in Klassen eingeteilt. Diese Klassifizierung sieht wie folgt aus:

    5. CCF – Maßnahmen gegen Ausfälle infolge gemeinsamer Ursache (Common cause failure)

    Der letzte Baustein betrifft die Ausfälle infolge einer gemeinsamen Ursache – CCF (Common Cause Failure). Hierbei handelt es sich um korrelierte gefahrbringende Ausfälle, die in mehrkanaligen (Teil-)Systemen (hier Kategorie 2, 3 oder 4) auftreten können. Hierbei muss jedes Teilsystem einzeln betrachtete und Maßnahmen gegen CCF vorgesehen werden. Zum Beispiel kann ein äußerer EMV-Einfluss auf ein redundantes elektrisch/elektronisches Teilsystem eines SRP/CS zu einem Ausfall oder einer fehlerhaften gefährlichen Reaktion führen. Weitere typische Ursachen für CCF sind: z. B. Überspannung, Überdruck, Überstrom, Übertemperatur, Feuchtigkeit, Schock, Vibration, elektromagnetische Störungen, Verunreinigung des Druckmediums, etc. Hier zeigt sich auch, dass sich die Betrachtung des CCF und die damit verbunden Maßnahmen je nach verwendeten Technologien pro Kanal bzw. Teilsystem unterscheiden können.

    Da sich der Aspekt des CCF nur schwer quantitativ abschätzen lässt, bietet dazu die EN ISO 13849-1 im Anhang F eine „Checkliste“ mit acht wichtigen Gegenmaßnahmen als vereinfachtes Abschätzverfahren an. Diese Maßnahmen werden mit 5 bis 25 Punkten bewertet. Dabei ist wichtig, dass die zugehörigen Punkte der Gegenmaßnahme nur bei vollständig (technischer) Erfüllung und Validierung vergeben werden können – eine „halbe Umsetzung“ der Gegenmaßnahmen wird nicht durch Punkte belohnt. Ziel ist es mindestens 65 von 100 Punkten „zu sammeln“, um die Anforderungen an die CCF zu erfüllen.