Ich würde wie
@stevenn auch empfehlen den IFA Report und dort vor allem die Beispiel-Schaltungen durchzugehen. Da findest du zumindest für die jeweiligen Subsysteme ganz konkrete Beispiele (siehe z.B. 8.2.11 Beispiel 11 zeigt dir wie die Umsetzung von Kat. 2 in einem Aktoren-Subsystem ausschauen könnte).
Das man Kategorie 2 für eine Komplette Sicherheitsfunktion (also alle drei I-L-O Subsysteme) eher selten sieht, warum und das man meistens versucht das zu umgehen wurde glaube ich im Thread schon detailliert behandelt. Wenn man sich anschaut wie viel man allein in einem Subsystem "drumrum" basteln muss um die Anforderungen an Kat 2 einhalten zu können ist das meiner Meinung nach auch mehr als einleuchtend.
Was die 100fache Testrate zur Anforderung der SF betrifft würde ich mich auf die Formulierung aus einer TÜV Süd Schulung referenzieren die ich vor Jahren absolviert hab. Der Vergleich ist mir im Gedächtnis geblieben ist und vielleicht hilfreich:
Anforderung einer SF: die SF wird benötigt um einen Unfall zu vermeiden
Betätigung der SF: die SF soll zwar keinen Unfall vermeiden, wird aber trotzdem geschaltet z.B. zu Testzwecken.
Wenn wir beim Pneumatikventil mit direkter Wegüberwachung aus Beispiel 11 bleiben:
Wenn wir davon ausgehen das du die Sicherheitsfunktion in der das Ventil den Aktor darstellt 10 Mal pro Jahr
anforderst kannst du deine Testrate erreichen indem du durch z.B. eine 1.000 fache
Betätigung in festgelegten Abständen seine Funktionsfähigkeit testest und dabei das Signal des Sensors entsprechen auswertest . Im besten Fall kannst du diese Betätigungen während des Betriebs machen da das Ventil währenddessen mit der Funktion die du für die Sicherheitsfunktion benötigst geschaltet werden muss.
Die Wegüberwachung läuft konstant auch im Standardbetrieb und gibt ein Signal aus ob das Ventil schaltet wie es soll. Du musst das Signal deiner Testeinrichtung ja auch irgendwie auswerten und eine entsprechende Abschaltung im Testkanal einbauen um den PLd zu erreichen. Also brauchst du eine Steuerung dafür in deinem Testkanal. Wenn du dir das Beispiel 11 aus dem Report anschaust wirst du bei den konstruktiven Merkmalen feststellen das man für die Verarbeitung der Wegüberwachung im Testkanal eine zweite Steuerung braucht, da das Ventil (das sich ja im Funktionskanal befindet) nicht von der Steuerung geschaltet werden darf, das das Testsignal verarbeiten soll. Die ganzen Anforderungen bezüglich der notwendigen Fehlerreaktionszeiten musst du natürlich auch einhalten.
Da ist es wie schon von den Vorrednern mehrfach erwähnt oft einfacher gleich eine Kat. 3 abzubilden.