Ultima modifica: 16/05/2024
Le categorie sono quindi importanti per ottenere un PL specifico di un sottosistema. Tuttavia, lo standard chiarisce che esse mostrano una rappresentazione logica della struttura del sottosistema, che può differire da quella fisica.
[ISO 13849-1] 6.1.3.2 Designated Architectures – Specification of Categories
6.1.3.2.1 General. […] The designated Architectures show a logical representation of the structure of the subsystems for each Category.
NOTE 1: For Categories 3 and 4, not all parts are necessarily physically redundant but there are redundant means of assuring that a single fault cannot lead to the loss of the sub-function. Therefore, the technical realization (for example, the circuit diagram) can differ from the logical representation of the architecture.
Un altro modo per esprimere lo stesso concetto è che ciascuna delle cinque categorie della norma ISO 13849-1 descrive il comportamento richiesto del sottosistema in relazione alla sua resistenza ai guasti.
Consideriamo il meccanismo di blocco del riparo di un dispositivo di interblocco. Il mercato offre dispositivi di interblocco che possono raggiungere PL e; hanno canali elettrici ridondanti, come due contatti liberi da tensione (VFC) o due contatti del dispositivo di commutazione del segnale di uscita (OSSD), ma il meccanismo di blocco della protezione è un singolo elemento. Questa non è una soluzione rara: il motivo è che, nei dispositivi meccanici con un’architettura a canale singolo, il rilevamento dei guasti da parte del sistema di controllo potrebbe non essere possibile in certe situazioni o il suo costo sarebbe ingiustificato. Tuttavia, è importante che il produttore del dispositivo di interblocco valuti tutti i guasti probabili e che ogni modalità di guasto pericolosa sia eliminata o dimostrata come tecnicamente improbabile. Ciò può essere ottenuto sovradimensionando le parti critiche del dispositivo e testandole successivamente. Se ciò avviene, il meccanismo di bloccaggio a canale singolo può essere utilizzato in un’architettura ridondante, nel nostro esempio un dispositivo di interblocco con bloccaggio del riparo, in quanto raggiunge il comportamento della Categoria 4 pertinente.
Per esprimere il concetto in modo diverso, quando i guasti meccanici si dimostrano tecnicamente improbabili, si presume che la funzione di sicurezza continui a funzionare anche in presenza di un singolo guasto. Naturalmente, l’esclusione di un guasto specifico può essere giustificata solo se il dispositivo viene utilizzato secondo le specifiche del produttore.
La norma IEC 61508-2 accetta l’uso dell’esclusione dei guasti.
[IEC 61508-2] 7.4.4.1 General requirements
7.4.4.1.1 With respect to the hardware fault tolerance requirements
[…]
- when determining the hardware fault tolerance achieved, certain faults may be excluded, provided that the likelihood of them occurring is very low in relation to the safety integrity requirements of the subsystem. Any such fault exclusions shall be justified and documented (see Note 2).