El atributo más significativo de un Nivel de Desempeño es la estructura del circuito o Categoría. La Tabla 5 de ISO 13859-1 define el tipo de componentes y principios que se utilizan para diseñar un circuito de seguridad.
Tabla 5 – Resumen de los Requerimientos para las Categorías
| Categoría | Resumen de Requisitos | Comportamiento del Sistema | Principio Utilizado para Alcanzar la Seguridad | MTTFD de Cada Canal | Promedio de DC | CCF |
|---|---|---|---|---|---|---|
| B (ver 6.1.3.2.2) |
Los subsistemas o sus equipos de protección, o ambos, así como sus componentes, deberán diseñarse, construirse, seleccionarse, ensamblarse y combinarse de conformidad con las normas pertinentes, de modo que puedan soportar la influencia prevista. Se aplicarán los principios básicos de seguridad. | La aparición de un fallo puede provocar la pérdida de la función de seguridad. | Se caracteriza principalmente por la selección de componentes | Bajo a medio | Ninguno | Irrelevante |
| 1 (ver 6.1.3.2.3) |
Se aplicarán los requisitos de la Categoría B. Se utilizarán componentes y principios de seguridad probados. | La aparición de un fallo puede provocar la pérdida de la función de seguridad, pero la probabilidad de que ocurra es menor que para la Categoría B. | Se caracteriza principalmente por la selección de componentes | Alto | Ninguno | Irrelevante |
| 2 (ver 6.1.3.2.4) |
Se aplicarán los requisitos de la Categoría B y el uso de principios de seguridad probados. Los subsistemas se probarán a intervalos adecuados. | La aparición de un fallo puede provocar la pérdida de la función de seguridad entre las comprobaciones. La pérdida de la función de seguridad es detectada por el control. | Se caracteriza principalmente por la estructura | Bajo a alto | Bajo a medio | Ver Anexo F |
| 3 (ver 6.1.3.2.5) |
Se aplicarán los requisitos de la Categoría B y el uso de principios de seguridad probados. Los subsistemas se diseñarán de manera que: - un solo defecto en cualquiera de estas piezas no conlleva la pérdida de la función de seguridad, y - siempre que sea razonablemente posible, se detecte el fallo único. | Cuando ocurre una sola falla, la función de seguridad siempre se realiza. Se detectarán algunas fallas, pero no todas. La acumulación de fallos no detectados puede provocar la pérdida de la función de seguridad. | Se caracteriza principalmente por la estructura | Bajo a alto | Bajo a medio | Ver Anexo F |
| 4 (ver 6.1.3.2.6) |
Se aplicarán los requisitos de la Categoría B y el uso de principios de seguridad probados. Los subsistemas se diseñarán de manera que: - un solo defecto en cualquiera de estas piezas no conlleva la pérdida de la función de seguridad, y - el fallo único se detecta en o antes de la siguiente demanda de la función de seguridad, pero si esta detección no es posible, una acumulación de fallos no detectados no dará lugar a la pérdida de la función de seguridad. | Cuando ocurre una sola falla, la función de seguridad siempre se realiza. La detección de fallos acumulados reduce la probabilidad de pérdida de la función de seguridad (alta CC). Las fallas se detectarán a tiempo para evitar la pérdida de la función de seguridad. | Se caracteriza principalmente por la estructura | Alto | Alto incluyendo acumulación de fallas | Ver Anexo F |
Las categorías de control se utilizan para definir diferentes estructuras de circuitos de sistemas de control de seguridad y están definidas por las relaciones entre las partes de entrada, lógica y salida del circuito. En general, la estructura de un circuito se clasifica según si el diseño del circuito es de un solo canal o de dos canales, si se implementan o no diagnósticos y qué tan bien funcionan los diagnósticos para detectar fallas en el circuito.
Otro concepto importante que acompaña a la estructura del circuito es la tolerancia a fallos. Un sistema de válvulas redundantes proporciona tolerancia a fallas, mientras que una válvula no redundante no tiene tolerancia a fallas. Por ejemplo, si se utiliza una sola válvula para cerrar el flujo y esa válvula falla al abrirse, no hay tolerancia a fallas. Agregar redundancia puede proporcionar tolerancia a fallas, pero debe implementarse correctamente. Por ejemplo, en una válvula de desfogue seguro, hay una combinación de dos funciones de seguridad: bloquear el suministro y descargar la presión aguas abajo. La función de bloqueo debería ser redundante en serie. Si un dispositivo se queda abierto, el otro aún puede cortar el flujo. Este es un ejemplo de tolerancia a un solo fallo. Para la función de desfogue, esta redundancia debería realizarse en paralelo. En paralelo, el segundo dispositivo aún puede abrirse para agotar el desfogue si el primer dispositivo falla al cerrarse. Esto proporciona una tolerancia a fallos de 1 para la función de desfogue. Para una válvula de desfogue seguro cuya función es bloquear el suministro y descargar la presión aguas abajo, este es un concepto bien probado. Además, la tolerancia a fallos combinada con excelentes diagnósticos puede crear un verdadero sistema a prueba de fallos.
Las categorías B, 1 y 2 tienen una estructura de un solo canal con diferentes niveles de confiabilidad. La categoría 2 se diferencia aún más de B y 1 debido a la adición de diagnósticos al circuito. Esta estructura de un solo canal permite que una sola falla dentro del sistema pueda provocar una falla peligrosa. Esta falla podría ocurrir dentro del dispositivo de entrada, lógica o salida. En la Categoría 2, esta falla peligrosa debe ser detectada e indicada mediante el diagnóstico. Los bloques de funciones siguientes representan las categorías B, 1 y 2.
Las categorías 3 y 4 tienen estructuras de doble canal y la categoría 4 requiere el más alto nivel de confiabilidad y diagnóstico. Una estructura de doble canal (redundante) proporciona la capacidad de un segundo canal para realizar la función de seguridad si ocurre una falla dentro del otro canal. El nivel de diagnóstico determina qué fallos se detectan y si una acumulación de fallos puede provocar la pérdida de la función de seguridad (Categoría 3) o si esta acumulación no está permitida (Categoría 4). La acumulación de fallas puede ocurrir cuando una falla no se detecta (enmascara) hasta que ocurre otra falla. El enmascaramiento de fallas es peligroso porque la primera falla puede hacer que el sistema funcione esencialmente como un sistema de un solo canal. Por ejemplo, tener varios enclavamientos de protección conectados en serie podría permitir que un cortocircuito en un enclavamiento pase desapercibido hasta que se abra esa puerta enclavada específica.
La categoría requerida del sistema se puede lograr más fácilmente mediante el uso de dispositivos de entrada, lógica y salida clasificados en o por encima de la categoría requerida que se derivó de una evaluación de riesgos. Sin embargo, el sistema está limitado a la categoría más baja de dispositivos de entrada, lógica o salida.