L'attribut le plus important d'un niveau de performance est la structure du circuit ou de la catégorie. Le tableau 15 de la norme ISO 13859-1 définit le type de composants et les principes utilisés pour concevoir un circuit de sécurité.
Tableau 5 – Aperçu des exigences pour les catégories
| Catégorie | Résumé des exigences | Comportement du système | Principe Utilisé pour Assurer la Sécurité | MTTFD de Chaque Canal | DC moyenne | CCF |
|---|---|---|---|---|---|---|
| B (voir 6.1.3.2.2) |
Les sous-systèmes ou leurs équipements de protection, ou les deux, ainsi que leurs composants, doivent être conçus, construits, sélectionnés, assemblés et combinés conformément aux normes en vigueur afin qu'ils puissent résister à l'influence attendue. Les principes de sécurité de base doivent être utilisés. | L'apparition d'un défaut peut entraîner la perte de la fonction de sécurité. | Principalement caractérisé par la sélection des composants | Faible à moyen | Aucun | Non pertinent |
| 1 (voir 6.1.3.2.3) |
Les exigences de la catégorie B s’appliquent. Des composants et des principes de sécurité éprouvés doivent être utilisés. | L'apparition d'un défaut peut entraîner la perte de la fonction de sécurité mais la probabilité d'apparition est plus faible que pour la catégorie B. | Principalement caractérisé par la sélection des composants | Élevé | Aucun | Non pertinent |
| 2 (voir 6.1.3.2.4) |
Les exigences de la catégorie B et l'utilisation de principes de sécurité éprouvés doivent s'appliquer. Les sous-systèmes doivent être testés à des intervalles appropriés. | L'apparition d'un défaut peut entraîner la perte de la fonction de sécurité entre les contrôles. La perte de la fonction de sécurité est détectée par le contrôle. | Principalement caractérisé par la structure | De bas en haut | Faible à moyen | Voir l'annexe F |
| 3 (voir 6.1.3.2.5) |
Les exigences de la catégorie B et l'utilisation de principes de sécurité éprouvés doivent s'appliquer. Les sous-systèmes doivent être conçus de manière à ce que : - un seul défaut dans l'une de ces pièces n'entraîne pas la perte de la fonction de sécurité, et - chaque fois que cela est raisonnablement possible, le défaut unique est détecté. | Lorsqu'un seul défaut survient, la fonction de sécurité est toujours exécutée. Certaines, mais pas toutes, les défaillances seront détectées. L'accumulation de défauts non détectés peut entraîner la perte de la fonction de sécurité. | Principalement caractérisé par la structure | De bas en haut | Faible à moyen | Voir l'annexe F |
| 4 (voir 6.1.3.2.6) |
Les exigences de la catégorie B et l'utilisation de principes de sécurité éprouvés doivent s'appliquer. Les sous-systèmes doivent être conçus de manière à ce que : - un seul défaut dans l'une de ces pièces n'entraîne pas la perte de la fonction de sécurité, et - le défaut unique est détecté au plus tard lors de la prochaine sollicitation de la fonction de sécurité, mais que si cette détection n'est pas possible, une accumulation de défauts non détectés ne doit pas entraîner la perte de la fonction de sécurité. | Lorsqu'un seul défaut survient, la fonction de sécurité est toujours exécutée. La détection des défauts accumulés réduit la probabilité de perte de la fonction de sécurité (DC élevé). Les défauts seront détectés à temps pour éviter la perte de la fonction de sécurité. | Principalement caractérisé par la structure | Élevé | Élevé incluant accumulation de défauts | Voir l'annexe F |
Les catégories de contrôle sont utilisées pour définir différentes structures de circuit des systèmes de contrôle de sécurité et sont définies par les relations entre les parties d'entrée, logique et de sortie du circuit. En général, la structure d'un circuit est classée selon que le circuit est de conception mono canal ou double canal, si des diagnostics sont implémentés ou non et dans quelle mesure les diagnostics fonctionnent pour détecter les pannes dans le circuit.
Un autre concept important qui accompagne la structure du circuit est la tolérance aux pannes. Un système de vannes redondantes offre une tolérance aux pannes, tandis qu'une vanne non redondante n'a aucune tolérance aux pannes. Par exemple, si une seule vanne est utilisée pour couper le débit et que cette vanne échoue en s'ouvrant, il n'y a aucune tolérance aux pannes. L'ajout de redondance peut assurer une tolérance aux pannes, mais doit être mis en œuvre correctement. Par exemple, dans une vanne d'échappement sécurisée, il existe une combinaison de deux fonctions de sécurité : le blocage de l'alimentation et l'évacuation de la pression en aval. La fonction de blocage doit être redondante en série. Si un dispositif reste ouvert, l’autre peut toujours couper le flux. Ceci est un exemple de tolérance à une seule faute. Pour la fonction échappement, cette redondance doit être en parallèle. En parallèle, le deuxième dispositif peut encore s'ouvrir pour évacuer si le premier dispositif ne se ferme pas. Cela fournit une tolérance de panne de 1 pour la fonction d'échappement. Pour une vanne d'échappement sécurisée dont la fonction est de bloquer la pression d'alimentation et d'évacuation en aval, il s'agit d'un concept qui a fait ses preuves. De plus, la tolérance aux pannes combinée à d'excellents diagnostics peut créer un véritable système de sécurité.
Les catégories B, 1 et 2 ont une structure mono canal avec différents niveaux de fiabilité. La catégorie 2 est encore différenciée des B et 1 en raison de l'ajout de diagnostics au circuit. Cette structure à canal unique permet qu'un seul défaut dans le système puisse conduire à une défaillance dangereuse. Ce défaut peut se produire au sein du périphérique d’entrée, logique ou de sortie. En catégorie 2, ce défaut dangereux doit être détecté et signalé par le diagnostic. Les blocs fonctionnels ci-dessous représentent les catégories B, 1 et 2.
Les catégories 3 et 4 ont des structures à double canal, la catégorie 4 exigeant le plus haut niveau de fiabilité et de diagnostics. Une structure à double canal (redondante) permet à un deuxième canal d'assurer la fonction de sécurité en cas de panne sur l'autre canal. Le niveau des diagnostics détermine quels défauts sont détectés et si une accumulation de défauts peut entraîner la perte de la fonction de sécurité (catégorie 3) ou si cette accumulation n'est pas autorisée (catégorie 4). L'accumulation de défauts peut se produire lorsqu'un défaut n'est pas détecté (masqué) jusqu'à ce qu'un autre défaut se produise. Le masquage des défauts est dangereux car le premier défaut peut faire fonctionner le système essentiellement comme un système monocanal. Par exemple, le fait d'avoir un certain nombre de dispositifs de verrouillage câblés en série pourrait permettre qu'un court-circuit dans un dispositif de verrouillage de passer inaperçu jusqu'à ce que cette porte verrouillée spécifique soit ouverte.
La catégorie de système requise peut être obtenue plus facilement en utilisant des dispositifs d'entrée, de logique et de sortie classés au niveau ou au-dessus de la catégorie requise dérivée d'une évaluation des risques. Cependant, le système est limité à la catégorie la plus basse parmi les dispositifs d'entrée, logiques ou de sortie.