Ultima modifica: 26/06/2023
Un sistema di sicurezza (SCS) può avere una delle quattro architetture descritte di seguito
La norma ha sviluppato un approccio semplificato alla stima della probabilità di pericolosi guasti hardware casuali per una serie di architetture di base del sottosistema e fornisce formule che possono essere utilizzate per i sottosistemi realizzati a partire da elementi di sottosistema di bassa complessità o da elementi di sottosistema complessi. Le formule sono di per sé una semplificazione della teoria dell'analisi dell'affidabilità e hanno lo scopo di fornire stime che sono orientate verso la direzione più sicura.
La precondizione per la validità di tutte le formule indicate è che λ – T1 << 1, dove T1 è il più piccolo tra l'intervallo di prova e la vita utile.
Architecture A: 1oo1
In questa architettura, a singolo canale senza diagnostica, ogni guasto pericoloso di un elemento del sottosistema causa un guasto della funzione di sicurezza.
Questa architettura corrisponde ad una HFT = 0.
Per l'architettura A, la probabilità di guasto pericoloso del sottosistema è la somma delle probabilità di guasto pericoloso di tutti gli elementi del sottosistema:
Essendo HFT = 0, si può raggiungere il SIL 3. Questo può essere valido per i componenti elettronici. Tuttavia, per i componenti elettromeccanici, essendo DC = SFF = 0 %, si può raggiungere al massimo SIL 1.
Architecture B: 1oo2
Questa architettura, a doppio canale senza diagnostica, è tale che un singolo guasto di un qualsiasi elemento del sottosistema non causa la perdita della funzione di sicurezza.
Questa Architettura corrisponde ad una HFT = 1.Questa Architettura non ha un equivalente nella ISO 13849-1.
La formula del PFHD è:
Dove:
– T1 è l'intervallo di prova del Proof Test o della vita utile, a seconda di quale sia il più piccolo;
– β è la suscettibilità ai guasti di causa comune.
Essendo HFT = 1, si può raggiungere fino a SIL 3. Questo può essere valido per i componenti elettronici. Tuttavia, per i componenti elettromeccanici, essendo DC = SFF = 0 %, si può raggiungere un massimo di SIL 1, anche se la formula dà un PFHd inferiore, a condizione che vengano utilizzati componenti ben testati.
Architecture C: 1oo1D
In questa architettura, a canale singolo con diagnostica, qualsiasi guasto pericoloso non rilevato dell'elemento del sottosistema porta a un guasto pericoloso della funzione di sicurezza. Quando viene rilevato un guasto di un elemento del sottosistema, la funzione o le funzioni di diagnostica avviano una reazione di guasto. Questa architettura corrisponde a una tolleranza ai guasti hardware HFT= 0. Questa architettura corrisponde alla categoria 2 della ISO 13849-1.
Questa è un'Architettura “delicata”, simile alla Categoria 2 della ISO 13849-1. Il problema è il fallimento della Funzione Diagnostica, chiamata Funzione di Gestione degli Errori (Fault Handling Function), mentre il Canale Funzionale è ancora funzionante. La funzione di gestione degli errori comprende sia la funzione di rilevamento degli errori (denominata Test Equipment, TE in ISO 13849-1) sia la funzione di reazione all'errore (denominata Output of the Test Equipment, OTE in ISO 13849-1).
In questo caso il PFHD è:
Per l'architettura C, il calcolo di PFHD presuppone una gestione degli errori ottimizzata nel tempo (time-optimal fault handling).
Si può ipotizzare una gestione ottimale dei guasti nel tempo di un elemento del sottosistema se è soddisfatta una delle seguenti condizioni:
- La frequenza di test è almeno un fattore 100 superiore al tasso di richiesta della funzione di sicurezza e il tempo necessario per la reazione al guasto è sufficientemente breve da portare il sistema in uno stato sicuro prima che si verifichi un evento pericoloso; o
- La gestione del guasto viene eseguita immediatamente ogniqualvolta vi è una richiesta della funzione di sicurezza e il tempo necessario per rilevare un guasto rilevabile e portare il sistema in uno stato sicuro è inferiore al tempo di sicurezza del processo; o
- La gestione dei guasti viene eseguita continuamente e il tempo necessario per rilevare un guasto rilevabile e portare il sistema in uno stato sicuro è inferiore al tempo di sicurezza del processo; o
- La gestione degli errori viene eseguita periodicamente e la somma dell'intervallo di test, il tempo necessario per rilevare un errore rilevabile e il tempo necessario per portare il sistema in uno stato sicuro è inferiore al tempo di sicurezza del processo.
Architecture D: 1oo2D
Questa architettura, a doppio canale con diagnostica, è tale che un singolo guasto di un qualsiasi elemento del sottosistema non causa la perdita della funzione di controllo di sicurezza. Quando viene rilevato un guasto di un elemento del sottosistema, la funzione o le funzioni diagnostiche avviano una funzione di reazione ai guasti. Questa architettura corrisponde ad una HFT = 1.
Questa architettura corrisponde alla categoria 3 o 4 della ISO 13849-1.
La formula del PFHD è:
dove:
– T1 è l'intervallo di prova del Proof Test o della vita utile, a seconda del quale sia il più piccolo;
– T2 è l'intervallo del test diagnostico;
– β è il tasso di suscettibilità ai guasti di causa comune;
– λDe1 è il tasso di guasto pericoloso dell'elemento e1 del sottosistema;
– λDe2 è il tasso di guasto pericoloso dell'elemento e2 del sottosistema;
– DC1 è la copertura diagnostica dell'elemento e1 del sottosistema;
– DC2 è la copertura diagnostica dell'elemento e2 del sottosistema.
Nel caso in cui gli elementi del sottosistema siano identici:
l'Architettura D ha una HFT = 1. Ciò significa che il massimo livello di affidabilità raggiungibile è SIL 3