Ultima modifica: 23/10/2024
Nella Categoria 2 sia i Basic che i Well-tried safety principles devono essere seguiti.
Si tratta di un’architettura a canale singolo con il monitoraggio di ciascun sottosistema effettuato, nella sua forma più generale, da un’unità esterna chiamata Test Equipment. In caso di rilevamento di un guasto, il TE lo segnala al “mondo esterno” grazie a un’uscita: l’OTE (Output Test Element).
Di seguito il diagramma a blocchi:
Legenda:
- Im rappresenta i mezzi di interconnessione, tipicamente fili elettrici.
- I rappresenta l’Ingresso.
- L rappresenta la Logica di Sicurezza; può essere anche un filo, un Modulo di Sicurezza (non programmabile) o una Logica Programmabile.
- O rappresenta l’Uscita; può essere un contattore o una valvola a solenoide, per esempio.
- m rappresenta il monitoraggio effettuato dal Test Element (TE).
- OTE è l’uscita dell’equipaggiamento di test.
Rispetto alla Categoria 1, si può notare la presenza di un Canale di Test, costituito da un Test Element (TE) e dalla sua uscita, l’OTE, ossia l’Output Test Element.
Utilizzando un’architettura di Categoria 2, è possibile raggiungere tutti i livelli di prestazione, ad eccezione del PL e.
Inoltre, per questa categoria la Figura 4 mostra un sottosistema e non necessariamente un intero sistema di controllo relativo alla sicurezza. Nella Categoria 2, per raggiungere il PL d, è necessario che sia presente un certo livello di Copertura Diagnostica (almeno Bassa): il canale funzionale deve essere testato a intervalli idonei dall’equipaggiamento di test. Il controllo della funzione di sicurezza deve essere effettuato prima dell’inizio di una situazione pericolosa, ad esempio:
- Prima dell’inizio di un nuovo ciclo e/o,
- Prima dell’inizio di altri movimenti e/o,
- Immediatamente alla richiesta della funzione di sicurezza e/o,
- Periodicamente durante le operazioni, se la valutazione del rischio e il tipo di operazione dimostrano che è necessario.
Qualsiasi controllo della funzione di sicurezza consente il suo funzionamento, se non viene rilevato alcun guasto, oppure genera un’uscita (OTE), se viene rilevato un guasto.
È importante sottolineare che, in caso di PL d, l’OTE deve avviare uno stato sicuro, che viene mantenuto fino alla risoluzione del guasto. Al contrario, in caso di PL c, uno stato sicuro non è richiesto e sarebbe sufficiente fornire un avviso.
[EN ISO 13849-1] 6.1.3.2 Designated Architectures – Specification of Categories
6.1.3.2.4 Category 2.
[…] For PLr d the output (OTE) shall initiate a safe state that is maintained until the fault is cleared.
For PLr up to and including PLr c, whenever practicable the output (OTE) shall initiate a safe state that is maintained until the fault is cleared. When this is not practicable (e.g. welding of the contact in the final switching device) it may be sufficient for the output of the test equipment OTE to provide a warning.
La Copertura Diagnostica (DCavg) del canale funzionale deve essere almeno Bassa. L’MTTFD del canale funzionale può variare da basso ad alto, a seconda del livello di prestazione richiesto (PLr).
In ogni caso, sono applicabili le misure contro i guasti comuni (CCF).
Tra le quattro categorie, la Categoria 2 è probabilmente la più difficile da comprendere: cerchiamo di chiarirne l’uso e comprendere le ragioni delle sue limitazioni. Per farlo, è necessario esaminare la Modellazione di Markov. Lo faremo nel prossimo articolo, l’ultimo del 2024.