Das bedeutendste Merkmal eines Performance Levels ist die Struktur des Schaltkreises oder die Kategorie. Tabelle 5 in ISO 13849-1 definiert die Art der Komponenten und Prinzipien, die zur Gestaltung eines Sicherheitskreises verwendet werden.
Tabelle 5 – Übersicht über die Anforderungen für Kategorien
| Kategorie | Zusammenfassung der Anforderungen | Systemverhalten | Prinzip zur Gewährleistung der Sicherheit | MTTFD jedes Kanals | DC-Durchschnitt | CCF |
|---|---|---|---|---|---|---|
| B (siehe 6.1.3.2.2) |
Teilsysteme, deren Schutzeinrichtungen oder beides sowie deren Komponenten müssen nach den einschlägigen Normen so ausgelegt, konstruiert, ausgewählt, montiert und kombiniert sein, dass sie den zu erwartenden Einflüssen standhalten. Dabei sind grundlegende Sicherheitsprinzipien anzuwenden. | Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion führen. | Hauptsächlich durch die Auswahl der Komponenten gekennzeichnet | Niedrig bis mittel | Keiner | Nicht relevant |
| G 1 (siehe 6.1.3.2.3) |
Es gelten die Anforderungen von B. Es gelten die Anforderungen von B. Es sind bewährte Komponenten und bewährte Sicherheitsprinzipien zu verwenden. | Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion führen, die Eintrittswahrscheinlichkeit ist jedoch geringer als bei Kategorie B. Hauptsächlich durch die Auswahl der Komponenten gekennzeichnet | Hauptsächlich durch die Auswahl der Komponenten gekennzeichnet | Hoch | Keiner | Nicht relevant |
| 2 (siehe 6.1.3.2.4) |
Es gelten die Anforderungen von B und die Anwendung bewährter Sicherheitsprinzipien. Die Teilsysteme müssen in angemessenen Zeitabständen geprüft werden. | Das Auftreten eines Fehlers kann zum Verlust der Sicherheitsfunktion zwischen den Prüfungen führen. Der Verlust der Sicherheitsfunktion wird durch die Prüfung erkannt. | Hauptsächlich durch Struktur gekennzeichnet | Niedrig bis hoch | Niedrig bis mittel | |
| 3 (siehe 6.1.3.2.5 |
Es gelten die Anforderungen von B und die Anwendung bewährter Sicherheitsprinzipien. Teilsysteme müssen so ausgelegt sein, dass - ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt, und - der einzelne Fehler, soweit dies praktisch möglich ist, erkannt wird. | Beim Auftreten eines einzelnen Fehlers wird die Sicherheitsfunktion immer ausgeführt. Einige, aber nicht alle Fehler werden erkannt. Die Häufung unerkannter Fehler kann zum Verlust der Sicherheitsfunktion führen. | Hauptsächlich durch Struktur gekennzeichnet | Niedrig bis hoch | Niedrig bis mittel | Siehe Anhang F |
| 4 (siehe 6.1.3.2.6 |
Es gelten die Anforderungen von B und die Anwendung bewährter Sicherheitsprinzipien. Teilsysteme müssen so ausgelegt sein, dass - ein einzelner Fehler in einem dieser Teile nicht zum Verlust der Sicherheitsfunktion führt und - der einzelne Fehler bei oder vor der nächsten Anforderung der Sicherheitsfunktion erkannt wird, dass aber, wenn diese Erkennung nicht möglich ist, eine Ansammlung unerkannter Fehler nicht zum Verlust der Sicherheitsfunktion führt. | Beim Auftreten eines einzelnen Fehlers wird die Sicherheitsfunktion immer ausgeführt. Die Erkennung von angesammelten Fehlern verringert die Wahrscheinlichkeit des Verlusts der Sicherheitsfunktion (hohe Diagnoseabdeckung). Die Fehler werden rechtzeitig erkannt, um den Verlust der Sicherheitsfunktion zu verhindern. | Hauptsächlich durch Struktur gekennzeichnet | Hoch | Hoch einschließlich Fehlerhäufung | Siehe Anhang F |
Die Kategorien der Steuerung dienen dazu, verschiedene Schaltungsstrukturen von Sicherheitssteuersystemen zu definieren, basierend auf den Beziehungen zwischen Eingangs-, Logik- und Ausgangsteilen der Schaltung. Im Allgemeinen wird die Struktur einer Schaltung danach klassifiziert, ob sie als Einzelkanal- oder Dualkanal-Design ausgelegt ist, ob Diagnosen implementiert sind und wie gut diese Diagnosen arbeiten, um Fehler in der Schaltung zu erkennen.
Ein weiteres wichtiges Konzept, das mit der Schaltungsstruktur einhergeht, ist die Fehlertoleranz. Ein redundantes Ventilsystem bietet Fehlertoleranz, während ein nicht redundantes Ventil keine Fehlertoleranz hat. Zum Beispiel, wenn ein einzelnes Ventil verwendet wird, um den Fluss zu sperren, und dieses Ventil offen bleibt, besteht keine Fehlertoleranz. Das Hinzufügen von Redundanz kann Fehlertoleranz bieten, muss jedoch ordnungsgemäß implementiert werden. Beispielsweise gibt es in einem Sicherheits-Entlüftungsventil eine Kombination aus zwei Sicherheitsfunktionen – Blockieren der Zufuhr und Ablassen des Druck stromabwärts. Die Blockierfunktion sollte redundant in Serie sein, damit ein offenes Ventil den Durchfluss noch blockieren kann, falls ein Gerät hängen bleibt. Dies ist ein Beispiel für die Einzelfehler-Toleranz. Für die Entlüftungsfunktion sollte diese Redundanz parallel erfolgen. Parallel dazu kann das zweite Gerät immer noch zum Entlüften geöffnet werden, wenn das erste Gerät im geschlossenen Zustand ausfällt. Damit ergibt sich für die Abgasfunktion eine Fehlertoleranz von 1. Für ein sicheres Entlüftungsventil, dessen Funktion darin besteht, die Zufuhr zu blockieren und den Druck stromabwärts abzulassen, handelt es sich um ein bewährtes Konzept. Darüber hinaus kann Fehlertoleranz in Kombination mit hervorragender Diagnose ein wirkliches Fail-to-Safe-System schaffen.
Die Kategorien B, 1 und 2 haben eine Einzelkanalstruktur mit unterschiedlichen Zuverlässigkeitsstufen. Kategorie 2 unterscheidet sich weiter von B und 1 durch die Hinzufügung von Diagnosefunktionen zum Schaltkreis. Diese Einzelkanalstruktur bedeutet, dass ein einziger Fehler im System zu einem gefährlichen Ausfall führen kann. Dieser Fehler kann innerhalb des Eingabe-, Logik- oder Ausgabegeräts auftreten. Bei Kategorie 2 muss dieser gefährliche Fehler erkannt und durch die Diagnose angezeigt werden. Die Funktionsblöcke unten repräsentieren die Kategorien B, 1 und 2.
Die Kategorien 3 und 4 verfügen über zweikanalige Strukturen, wobei Kategorie 4 ein Höchstmaß an Zuverlässigkeit und Diagnose erfordert. Eine zweikanalige (redundante) Struktur bietet einem zweiten Kanal die Möglichkeit, die Sicherheitsfunktion auszuführen, wenn im anderen Kanal ein Fehler auftritt. Der Grad der Diagnose bestimmt, welche Fehler erkannt werden und ob eine Häufung von Fehlern zum Verlust der Sicherheitsfunktion führen kann (Kategorie 3) oder ob diese Häufung unzulässig ist (Kategorie 4). Eine Häufung von Fehlern kann auftreten, wenn ein Fehler erst dann erkannt (maskiert) wird, wenn ein anderer Fehler auftritt. Das Maskieren von Fehlern ist gefährlich, da der erste Fehler dazu führen kann, dass das System im Wesentlichen als einkanaliges System läuft. Wenn beispielsweise mehrere Schutzverriegelungen in Reihe geschaltet sind, könnte ein Kurzschluss in einer Verriegelung unbemerkt bleiben, bis die bestimmte verriegelte Tür geöffnet wird.
Die erforderliche Systemkategorie lässt sich am einfachsten erreichen, indem Eingabe-, Logik- und Ausgabegeräte verwendet werden, die mindestens der erforderlichen Kategorie entsprechen, die aus einer Risikobeurteilung abgeleitet wurde. Allerdings ist das System auf die niedrigste Kategorie der Eingabe-, Logik- oder Ausgabegeräte beschränkt.