Ultima modifica: 23/06/2023
Nella Categoria 3, devono essere utilizzati sia i principi di sicurezza di base che quelli di sicurezza sperimentati. Ogni sottosistema di Categoria 3 deve essere progettato in modo che un singolo guasto non comporti la perdita della funzione di sicurezza.
Inoltre, ogniqualvolta sia ragionevolmente possibile, un singolo guasto deve essere rilevato in corrispondenza o prima della successiva richiesta della funzione di sicurezza. Lo schema a blocchi relativo alla sicurezza è illustrato nella Figura 6.19.
La copertura diagnostica (DCavg) di ciascun sottosistema deve essere almeno bassa. Il MTTFD di ciascun canale ridondante deve essere da basso ad alto, a seconda del livello di prestazioni richiesto (PLr). Vengono applicate misure contro il CCF.
Nella categoria 3, il requisito del rilevamento di un singolo guasto non significa che tutti i guasti saranno rilevati. Di conseguenza, l’accumulo di guasti non rilevati può portare a una situazione di pericolo sulla macchina.
Il comportamento del sottosistema di questa categoria è quindi caratterizzato da:
– Continuazione della funzione di sicurezza in presenza di un singolo guasto.
– Rilevamento di alcuni guasti, ma non di tutti.
– Possibile perdita della funzione di sicurezza, dovuta all’accumulo di guasti non rilevati.