So wird der Performance Level (PLr) nach ISO 13849-1 bestimmt
Date: 08/06/2026
Inhalt:
Die Gewährleistung von Maschinensicherheit geht weit über die Auswahl einer Schutzvorrichtung hinaus. Normungsstellen und Aufsichtsbehörden fordern von Ingenieuren den quantitativen Nachweis, dass jede sicherheitsrelevante Funktion in einem Steuerungssystem das Risiko auf ein akzeptables Niveau reduziert. Andernfalls drohen Verstöße gegen gesetzliche Vorschriften, Haftungsrisiken und – im schlimmsten Fall – Verletzungen von Bedienern.
Zwei international anerkannte Rahmenwerke werden üblicherweise zu diesem Zweck verwendet:
Performance Level (PL), definiert in ISO 13849-1
Safety Integrity Level (SIL), definiert in IEC 62061 und IEC 61508
Beide Rahmenwerke zielen darauf ab, die Wahrscheinlichkeit gefährlicher Ausfälle in sicherheitsrelevanten Steuerungssystemen zu reduzieren. Sie verwenden jedoch unterschiedliche Ansätze und Terminologien.
Dieser Artikel konzentriert sich primär auf den Performance Level (PL) und darauf, wie Maschinenkonstrukteure das erforderliche Niveau für eine Sicherheitsfunktion bestimmen.
Was ist eine Sicherheitsfunktion?
Definition – ISO 13849-1
Eine Sicherheitsfunktion dient dazu, die Maschine in einem sicheren Zustand zu halten oder sie in Bezug auf eine bestimmte Gefahrenquelle in einen sicheren Zustand zu versetzen. Ihr Ausfall kann zu einem erhöhten Risiko führen. Jede Sicherheitsfunktion sollte einzeln definiert und bewertet werden.
Eine klar definierte Sicherheitsfunktion legt Folgendes fest:
- Die Gefahrensituation, auf die sie reagiert,
- Das auslösende Ereignis oder Eingangssignal,
- Den erforderlichen sicheren Zustand, den die Maschine bei Aktivierung erreichen soll.
Beispiel
Wird der Joystick losgelassen oder versagt er (Eingangssignal), stoppt die Maschine sofort alle Arm-/Schaufelbewegungen (Sicherheitszustand), um die Gefahr von Kollisionen oder Quetschverletzungen zu vermeiden (Gefahr).
👍Gut zu wissen
Jede Sicherheitsfunktion muss definiert, mit einer spezifischen Gefährdung verknüpft und unabhängig bewertet werden, bevor eine Bewertung der Einhaltung des Performance Levels beginnt. Die Bündelung mehrerer Gefahrenszenarien in eine einzige Sicherheitsfunktion ist ein häufiger und folgenreicher Fehler.
Risikobewertung nach ISO 13849-1
Die Bestimmung des erforderlichen Performance Levels (PLr) beginnt immer mit einer Risikobewertung.
Gemäß ISO 13849-1 basiert die Risikoabschätzung auf drei Parametern:
Parameter | Bedeutung | Bewertung |
S | Schweregrad (Severity) einer Verletzung | S1 — Reversible Verletzung (Schnittwunden, Prellungen) S2 — Irreversible Verletzung oder Tod |
F | Häufigkeit (Frequency) und/oder Expositionsdauer | F1 — Seltene oder gelegentliche Exposition F2 — Häufige oder kontinuierliche Exposition |
P | Möglichkeit (Possibility) der Vermeidung oder Begrenzung der Gefahr | P1 — Möglich unter bestimmten Bedingungen P2 — Kaum möglich |
So wird das Performance Level (PLr) bestimmt
Der Prozess umfasst folgende Schritte:
Identifizieren Sie alle Gefahrensituationen, die mit der Maschine während ihres gesamten Lebenszyklus verbunden sind.
Definieren Sie jede Sicherheitsfunktion klar: Eingang, Ausgang und die spezifische Gefahr, die sie abdeckt.
Bewerten Sie S, F und P für jede Sicherheitsfunktion auf der Basis realistischer Worst-Case-Betriebsbedingungen.
Lesen Sie den PLr-Wert aus dem Risikoabschätzungsdiagramm nach ISO 13849-1 ab.
Konstruieren Sie die sicherheitsrelevanten Teile des Steuerungssystems (SRP/CS, Safety-Related Parts of the Control System) so, dass PL ≥ PLr erreicht wird.
👍Gut zu wissen
Jede Sicherheitsfunktion wird einzeln bewertet.
Eine einzelne Maschine kann mehrere Sicherheitsfunktionen mit jeweils unterschiedlichem PLr aufweisen.
👉 Das Ergebnis ist das erforderliche Performance Level (PLr) für die individuelle Sicherheitsfunktion.
Beispiel
Joystick-Steuerung einer mobilen Maschine
Berücksichtigen Sie die folgende Sicherheitsfunktion bei einer mobilen Arbeitsmaschine: Wird der Joystick losgelassen oder versagt er, müssen alle Bewegungen von Maschinenarm/Schaufel sofort gestoppt werden.
Die PLr-Berechnung lautet:
Schweregrad: Unbeabsichtigte Arm-/Schaufelbewegungen können zu Quetsch- oder Kollisionsverletzungen, einschließlich tödlicher Folgen, führen.
→ S2 (schwerwiegend/irreversibel)Häufigkeit: Der Bediener benutzt den Joystick während der gesamten Arbeitsschicht. Die Gefährdung ist häufig und anhaltend.
→ F2 (häufig/kontinuierlich)Vermeidung: Unbeabsichtigte Bewegung ist visuell erkennbar; der Bediener kann in den meisten Fällen reagieren und die Maschine vor einem Aufprall stoppen.
→ P1 (Vermeidung unter bestimmten Bedingungen möglich)
Als ein Ergebnis: S2 / F2 / P1 → PLr = d
So tragen Komponenten zum allgemeinen Performance Level bei
In der funktionalen Sicherheit wird der Sicherheitsfunktion als Ganzes das erforderliche Performance Level (PLr) zugewiesen. Einzelne Komponenten und Teilsysteme tragen durch ihre Zuverlässigkeit und Diagnosefähigkeiten zur Erreichung dieses Niveaus bei. Eine Komponenten-Ausfallanalyse ist notwendig, da die Sicherheitsanforderungen eines Systems je nach den betroffenen Komponenten und deren Wechselwirkungen innerhalb der Anwendung variieren können.
In manchen Anwendungen genügt es, den Bediener über den Wartungsbedarf zu informieren. In anderen Fällen kann parallel eine Notfallstrategie implementiert werden. In kritischen Situationen muss eine automatische Reaktion ausgelöst werden. Beispielsweise kann das System die Manövriergeschwindigkeit eines schweren oder spezialisierten Fahrzeugs begrenzen.
Verifikation und Validierung: Das sagt ISO 13849
Sobald der erforderliche PLr definiert ist, muss die Sicherheitsfunktion entsprechend gestaltet werden. Die Angabe eines Performance Levels allein genügt nicht – ISO 13849-1 fordert sowohl die Verifikation (Nachweis, dass die Konstruktion den PLr analytisch erfüllt) als auch die Validierung (Bestätigung des korrekten Verhaltens unter realen Bedingungen).
Dies umfasst analytische Berechnungen mithilfe von MTTFd, DCavg, CCF (und dem daraus resultierenden PFHd) sowie funktionale Validierungstests an Teilsystemen und der Maschine. Tools wie SISTEMA können zur Unterstützung des Sicherheitsnachweises und der entsprechenden Belege eingesetzt werden.
MTTFd („Mean Time To Failure, dangerous“, zu Deutsch „Mittlere Zeit bis zum gefährlichen Ausfall“) berechnen
Diagnoseabdeckung (DCavg, „Diagnostic Coverage“) bewerten
Ausfälle aufgrund gemeinsamer Ursachen (CCF, „Common Cause Failures“) und die daraus resultierende Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde (PFHd, „Probability of Dangerous Failure per Hour“) bewerten
Die Rolle von APEM im Bereich der funktionalen Sicherheit
APEM unterstützt Maschinenhersteller durch die Bereitstellung zuverlässiger HMI-Komponenten und technischer Daten, die für die Analyse der funktionalen Sicherheit erforderlich sind.
Dies umfasst:
MTTFd-Werte
Zuverlässigkeitsinformationen
Sicherheitsorientierte Produktarchitekturen
Robuste HMI-Lösungen für raue Umgebungen
Diese Elemente unterstützen Ingenieure bei der Entwicklung von Systemen, die das erforderliche Performance Level für ihre Anwendungen erfüllen.
Berechnung des erforderlichen Performance Levels: Zusammenfassung
Die Bestimmung des erforderlichen Performance Levels (PLr) bzw. des Safety Integrity Levels ist ein strukturierter, normenbasierter Prozess – keine Abschätzung. Für Maschinenanwendungen gemäß ISO 13849-1 ist der Arbeitsablauf einheitlich: Jede Sicherheitsfunktion wird definiert, ihr Risiko anhand der S/F/P-Parameter bewertet, der PLr-Wert aus dem Risikodiagramm abgelesen und anschließend eine SRP/CS-Architektur entwickelt und verifiziert, die PL ≥ PLr erreicht.
Jede Komponente in der Sicherheitskette wird bei dieser Berechnung berücksichtigt. Joysticks, Drucktasten und Aktivierungsgeräte mit herstellerseitig angegebenen MTTFd-Werten sind nicht mit undokumentierten Alternativen austauschbar – die Daten stützen die Berechnung, und die Berechnung belegt, dass das erforderliche Niveau erreicht wurde.
🔔 Wichtige Erkenntnisse:
Die Bestimmung des Sicherheitsniveaus beginnt bei der Gefahr, nicht bei der Komponente. Sie wird jedoch letztendlich durch die ausgewählten Komponenten umgesetzt – und begrenzt. Die Auswahl von Komponenten mit nachvollziehbaren, normkonformen Sicherheitsdaten ist ebenso wichtig wie die damit verbundenen Architekturentscheidungen.
Mit APEM erhalten Sie schnell die Hilfe und Ressourcen, die Sie benötigen
Wenn Sie Fragen oder Anregungen haben, sind wir gerne für Si...
Unser Vertrieb und Support setzen Maßstäbe für die Unterstüt...
Die gesamte technische Dokumentation, die Sie für den reibun...