Dernière modification: 12/07/2023
Dans la catégorie 3, les principes de sécurité de base et les principes de sécurité éprouvés doivent être utilisés. Chaque sous-système de catégorie 3 doit être conçu de manière à ce qu’une défaillance unique n’entraîne pas la perte de la fonction de sécurité.
En outre, chaque fois que cela est raisonnablement possible, une défaillance unique doit être détectée au moment où la fonction de sécurité est sollicitée ou avant qu’elle ne le soit. Le RBD est illustré à la figure 6.19.
La couverture de diagnostic (DCavg) de chaque sous-système doit être au moins faible. Le MTTFD de chaque canal redondant doit être faible à élevé, en fonction du niveau de performance requis (PLr). Des mesures contre le CCF sont appliquées.
Dans la catégorie 3, l’exigence de détection d’un seul défaut ne signifie pas que tous les défauts seront détectés. Par conséquent, l’accumulation de défauts non détectés peut conduire à une situation dangereuse sur la machine.
Le comportement du sous-système de cette catégorie est donc caractérisé par :
– le maintien de la fonction de sécurité en présence d’une seule défaillance.
– La détection de certains défauts, mais pas de tous.
– la perte possible de la fonction de sécurité en raison de l’accumulation de défauts non détectés.