Ultima modifica: 16/05/2024
Il livello di prestazione deve essere determinato per ogni sottosistema e/o ogni combinazione di sottosistemi che svolgono una funzione di sicurezza. Il PL del sottosistema deve essere determinato esaminando i seguenti aspetti:
1) l’architettura
- Decomporre le parti del sistema di controllo legate alla sicurezza in sottosistemi.
- Assegnare una categoria a ciascun sottosistema;
- valutare se i requisiti qualitativi applicabili della categoria sono soddisfatti (Tabella 2), tra cui:
- principi di sicurezza di base (Basic Safety Principles)
- principi di sicurezza ben collaudati (Well-tried Safety Principles)
- componenti ben collaudati (Well-tried Components)
- valutare se il comportamento richiesto in condizioni di guasto è soddisfatto;
2) Il valore MTTFD per i singoli componenti (allegati C e D della norma ISO 13849-1);
3) La copertura diagnostica DC, limitata in ogni caso dalla categoria selezionata (allegato E della norma ISO 13849-1);
4) Il CCF deve raggiungere almeno 65 punti (Allegato F della norma ISO 13849-1);
5) L’effetto della progettazione del software di sicurezza sul funzionamento dell’hardware (allegato J della norma ISO 13849-1);
6) L’effetto delle misure contro i guasti sistematici (allegato G della norma ISO 13849-1).
A seconda della categoria del sottosistema, sono applicabili solo alcuni dei requisiti qualitativi. La Tabella 2 mostra quando devono essere utilizzate le diverse metodologie per evitare i guasti sistematici e i guasti di causa comune CCF, a seconda della categoria utilizzata.
Quando una funzione di sicurezza è progettata utilizzando uno o più sottosistemi, ogni sottosistema può essere progettato utilizzando i PL secondo la norma ISO 13849-1, oppure utilizzando i SIL secondo le norme IEC 62061 e IEC 61508. I sottosistemi progettati secondo la serie IEC 61508 possono essere utilizzati, ma devono essere limitati a quelli progettati per la modalità High Demand o Continuous Mode che usano la Route 1H.
Le cinque categorie
I sottosistemi progettati secondo la norma ISO 13849-1 devono essere conformi ai requisiti di una delle cinque categorie fondamentali per raggiungere uno specifico Performance Level. Le categorie descrivono il comportamento richiesto ai sottosistemi in relazione alla loro resistenza ai guasti, sulla base delle considerazioni progettuali precedentemente indicate (MTTFD, DCavg ecc.).
La Categoria B è la Categoria di base in cui il verificarsi di un guasto può portare alla perdita della funzione di sicurezza. Nella Categoria 1 si ottiene una maggiore resistenza ai guasti utilizzando componenti di alta qualità.
Con le Categorie 2, 3 e 4, si ottiene una maggiore affidabilità del sottosistema migliorando la tolleranza ai guasti (solo per le Categorie 3 e 4) e le misure diagnostiche. Nella Categoria 2, poiché non c’è ridondanza, questo risultato si ottiene controllando periodicamente che la funzione di sicurezza venga eseguita in assenza di guasti (copertura diagnostica). Nelle categorie 3 e 4 la copertura diagnostica lavora insieme ai canali ridondanti, in modo che un singolo guasto non porti alla perdita della funzione di sicurezza.
Nella Categoria 4 e, se ragionevolmente praticabile, nella Categoria 3, tali guasti devono essere rilevati.
Le cinque categorie sono rappresentate da specifici diagrammi a blocchi, ognuno dei quali soddisfa i requisiti della categoria. Il modello di Markov utilizzato nella ISO 13849-1 considera solo queste cinque architetture; è possibile discostarsi da esse, ma ciò implica una nuova modellazione.
In ogni sottosistema il valore massimo di MTTFD per ogni canale è limitato a 100 anni. Solo per i sottosistemi di categoria 4, il valore massimo di MTTFD per ciascun canale è limitato a 2 500 anni. Questa limitazione è in qualche modo equivalente ai vincoli architettonici della norma IEC 62061.