Chapitre 5 - Conception et évaluation des fonctions de sécurité

Dernière modification: 04/07/2023

Le chapitre 5 présente en détail la manière de concevoir et d’évaluer une fonction de sécurité. Le concept de sous-systèmes et de contraintes architecturales est mis en pratique.

De plus en plus de fonctions de sécurité contiennent des logiciels ; il est donc important de comprendre la différence entre les langages à variabilité limitée et à variabilité totale et ce que le fabricant de machines doit faire lorsqu’il utilise le premier ou le second. Enfin, nous avons fait la lumière sur la manière de traiter les modes de fonctionnement à faible demande dans les machines.

Chaque fonction de sécurité est exécutée par un SCS (IEC 62061) ou un SRP/CS (ISO 13849-1) et se compose d’un ou de plusieurs sous-systèmes. Le concept d’un système de contrôle lié à la sécurité composé d’une série de sous-systèmes provient de la IEC 62061 et, en général, de la théorie de la fiabilité. La norme ISO 13849-1 est issue du concept de catégories applicables à l’ensemble du système de commande relatif à la sécurité. Toutefois, la nouvelle édition de la norme ISO adopte pleinement le concept de sous-systèmes et précise que les catégories ne sont applicables qu’aux sous-systèmes.

Sur cet aspect également, la norme ISO 13849-1 s’aligne sur la norme IEC 62061. La norme IEC indique la fiabilité d’une fonction de sécurité avec un niveau SIL, sans mentionner les architectures ; la norme ISO fait de même. Par conséquent, dans la nouvelle édition de la norme ISO 13849-1, lorsque l’on spécifie le niveau de fiabilité requis par une fonction de sécurité, l’énoncé correct est, par exemple, PL d et non PL d, catégorie 3. Cette catégorie ne s’applique qu’aux sous-fonctions et constitue un moyen de calculer la PFHD du sous-système. Je pourrais avoir un système de contrôle lié à la sécurité dans lequel le sous-système d’entrée est de catégorie 1 et le sous-système de sortie de catégorie 4.

Voici quelques extraits du chapitre.

5.2 Composants éprouvés

Le concept est défini à la fois dans la norme ISO 13849-1 et dans la norme IEC 62061. Ces types de composants sont obligatoires pour la catégorie 1 (ISO 13849-1) et dans les architectures de sous-systèmes de base A et B (IEC 62061).

Dans toutes les autres catégories et architectures, des composants non éprouvés peuvent également être utilisés, à condition qu’ils disposent de données de fiabilité. Des composants éprouvés sont nécessaires dans ces deux cas, car le système de commande relatif à la sécurité ne comporte qu’une seule voie et aucun diagnostic. Voici la définition.

[ISO 13849-1] 3.1 Termes et définitions

3.1.50 Composant éprouvé. Composant utilisé avec succès dans des applications liées à la sécurité.

5.6.1 Langage de variabilité limitée et complète

De nos jours, de plus en plus de fonctions de sécurité utilisent des automates programmables. En d’autres termes, la « logique » d’une architecture I-L-O est mise en œuvre dans un automate de sécurité ou un module programmable de sécurité.

Un automate de sécurité doit être programmé par l’utilisateur avec la logique de la fonction de sécurité spécifique. En d’autres termes, le fabricant de machines écrit le logiciel d’application. La norme ISO 13849-1 l’appelle logiciel d’application relatif à la sécurité (SRASW) :

 

 

[IEC 61508-4] 3.2 Équipements et dispositifs

3.2.7 Logiciel d’application (données d’application ou données de configuration). Partie du logiciel d’un système électronique programmable qui spécifie les fonctions qui exécutent une tâche liée à l’EUC plutôt que le fonctionnement et les services fournis par le dispositif programmable lui-même.

Il est différent du logiciel système, qui est écrit par le fabricant de l’automate. La norme ISO 13849-1 l’appelle logiciel embarqué relatif à la sécurité (SRESW) :

[IEC 61508-4] 3.2 Équipements et dispositifs

3.2.6 Logiciel système. Partie du logiciel d’un système PE qui concerne le fonctionnement du dispositif programmable lui-même et les services qu’il fournit, par opposition au logiciel d’application qui spécifie les fonctions qui exécutent une tâche liée à la sécurité de l’EUC.

5.7.2 Sous-systèmes en mode haute et basse demande

Les composants électromécaniques sont dotés d’une valeur B10D qui permet le calcul d’une MTTFD ou d’une λD, en fonction du nombre d’opérations. Les valeurs B10D sont calculées à partir d’un certain nombre de composants testés et en allumant et éteignant les composants plusieurs fois par heure ; veuillez-vous référer au chapitre 1 pour plus de détails. Cela signifie que les valeurs B10D ne doivent être utilisées que lorsque le composant fait partie d’un sous-système à forte demande. En outre, des considérations doivent être prises en compte lorsque le nombre d’opérations est inférieur à une fois par mois.

En mode « forte demande », plus un composant est utilisé, moins le sous-système sera fiable, car les normes relatives au mode « forte demande » prennent en compte la fatigue du composant : plus il est utilisé, plus la fatigue est élevée.