Ultima modifica: 26/02/2024
C’è un altro aspetto importante da tenere in considerazione ed è il fatto che, in un componente, possiamo definire un guasto pericoloso rilevabile solo se, in caso di tale guasto, è possibile portare il sottosistema in uno stato sicuro.
Ad esempio, se consideriamo un sottosistema di uscita costituito da un contattore di potenza monitorato (figura a sinistra), la diagnostica deve essere assunta ≈ 0. Il motivo è che, se rileviamo che i contatti di potenza non si sono aperti, non possiamo portare il sistema di sicurezza in uno stato sicuro. Invece, nel caso di un sottosistema di sicurezza a doppio canale (figura a destra) la diagnostica può essere assunta ≈ 99%. Il motivo è che, nel caso in cui si rilevi che i contatti di potenza, ad esempio di K1, non si sono aperti, è possibile diseccitare K2 e quindi portare il sistema di sicurezza in uno stato sicuro.
Tale concetto è ora valido in High demand, secondo il seguente linguaggio della IEC 61508-2: 2010
[IEC 61508-2: CD 2023] 7.4.4 Hardware safety integrity architectural constraints
[…] 7.4.4.1.4 Quando si stima la frazione di guasti sicuro di un elemento, destinato a essere utilizzato in un sottosistema con tolleranza ai guasti hardware pari a 0, e che implementa una funzione di sicurezza, o parte di una funzione di sicurezza, operante in High demand o Continuous mode, si tiene conto della diagnostica solo se:
- la somma della metà dell’intervallo del test diagnostico e del tempo per eseguire l’azione specificata per raggiungere o mantenere uno stato sicuro è inferiore al tempo di sicurezza del processo; oppure,
- quando si opera in high demand, il rapporto tra il tasso di test diagnostici e il tasso di domanda è uguale o superiore a 100.
Questo sarà probabilmente esteso ai componenti usati in Low demand nella nuova edizione della IEC 61508-2 prevista fra pochi anni.