Dernière modification: 26/06/2023
Un système de contrôle de sécurité (SCS), analysé avec la méthode simplifiée recommandée par la IEC 62061, doit être composé de sous-systèmes, dont chacun doit être associé à l’une des quatre architectures de sous-systèmes de base, décrites ci-après.
La norme a donc développé une approche simplifiée de l’estimation de la probabilité de défaillances matérielles aléatoires dangereuses (PFHD) pour un certain nombre d’architectures de sous-systèmes de base et donne des formules qui peuvent être utilisées pour les sous-systèmes assemblés à partir d’éléments de sous-systèmes de faible complexité ou d’éléments de sous-systèmes complexes. Les formules sont en elles-mêmes une simplification de la théorie de l’analyse de la fiabilité et sont destinées à fournir des estimations qui sont biaisées dans le sens de la sécurité.
La condition préalable à la validité de toutes les formules données dans ce paragraphe est que λ – T1 << 1, où T1 est le plus petit intervalle entre l’intervalle d’épreuve et la durée de vie utile.
Architecture A: 1oo1
Dans cette architecture, à canal unique sans diagnostic, toute défaillance dangereuse d’un élément du sous-système entraîne une défaillance de la fonction de sécurité. Cette architecture correspond à une tolérance de défaillance matérielle de 0.
Pour l’architecture A, la probabilité de défaillance dangereuse du sous-système est la somme des probabilités de défaillance dangereuse de tous les éléments du sous-système :
Avec HFT = 0, on peut atteindre SIL 3. Cela peut être valable pour les composants électroniques. Toutefois, pour les composants électromécaniques, avec DC = SFF = 0 %, un maximum de SIL 1 peut être atteint.
Architecture B: 1oo2
Cette architecture, à double canal sans diagnostic, est telle qu’une défaillance unique d’un élément du sous-système n’entraîne pas la perte de la fonction de sécurité. Cette architecture correspond à une tolérance de défaillance matérielle de 1. Cette architecture n’a pas d’équivalent dans la norme ISO 13849-1.
La PFHD est la suivante :
Où : T1 est l’intervalle d’essai d’épreuve du sous-système :
– T1 est l’intervalle d’épreuve de l’épreuve parfaite ou la durée de vie utile, la valeur la plus faible étant retenue ;
– β est la susceptibilité aux défaillances de cause commune.
Avec HFT = 1, on peut atteindre SIL 3. Cela peut être valable pour les composants électroniques. Toutefois, pour les composants électromécaniques, étant DC = SFF = 0 %, un maximum de SIL 1 peut être atteint, même si la formule donne un PFHD inférieur, à condition que des composants bien testés soient utilisés.
Architecture C: 1oo1D
Dans cette architecture, à canal unique avec diagnostic, toute défaillance dangereuse non détectée de l’élément du sous-système entraîne une défaillance dangereuse de la fonction de commande relative à la sécurité. Lorsqu’une défaillance d’un élément du sous-système est détectée, la (les) fonction(s) de diagnostic déclenche(nt) une réaction de défaillance. Cette architecture correspond à la catégorie 2 de la norme ISO 13849-1.
Il s’agit d’une architecture « délicate », similaire à la catégorie 2. Le problème est la défaillance de la fonction de diagnostic, appelée fonction de traitement des défaillances, alors que le canal fonctionnel fonctionne toujours. La fonction de traitement des défaillances comprend à la fois la fonction de détection des défaillances (appelée équipement d’essai, TE dans la norme ISO 13849-1) et la fonction de réaction aux défaillances (appelée sortie de l’équipement d’essai, OTE dans la norme ISO 13849-1).
Dans ce cas, la PFHD est :
Pour l’architecture C, le calcul de la PFHd suppose un traitement des défaillances optimal dans le temps.
La gestion optimale des défauts dans le temps d’un élément de sous-système peut être supposée si l’une des conditions suivantes est remplie :
- Le taux de diagnostic est supérieur d’au moins un facteur 100 au taux de demande de la fonction de sécurité et le temps nécessaire à la réaction au défaut est suffisamment court pour amener le système à un état sûr avant qu’un événement dangereux ne se produise ; ou
- La gestion des défaillances est effectuée immédiatement après toute demande potentielle de la fonction de sécurité et le temps nécessaire pour détecter une défaillance détectable et pour amener le système à un état sûr est plus court que le temps de sécurité du processus ; ou
- La gestion des défauts est effectuée en continu, et le temps nécessaire pour détecter un défaut détectable et pour ramener le système à un état sûr est inférieur au temps de sécurité du processus ; ou
- Le traitement des défauts est effectué périodiquement et la somme de l’intervalle d’essai, du temps nécessaire pour détecter un défaut détectable et du temps nécessaire pour amener le système à un état sûr est inférieure au temps de sécurité du processus.
Architecture D: 1oo2D
Cette architecture, à double canal avec diagnostic, est telle qu’une défaillance unique d’un élément du sous-système n’entraîne pas la perte de la fonction de contrôle liée à la sécurité. Lorsqu’une défaillance d’un élément du sous-système est détectée, la ou les fonctions de diagnostic déclenchent une fonction de réaction à la défaillance. Cette architecture correspond à une tolérance de défaillance matérielle de 1.
Cette architecture correspond à la catégorie 3 ou 4 de la norme ISO 13849-1. La PFHD du sous-système est :
où :
– T1 est l’intervalle d’épreuve de l’épreuve parfaite ou la durée de vie utile, la valeur la plus faible étant retenue ;
– T2 est l’intervalle de test de diagnostic ;
– β est la susceptibilité aux défaillances de cause commune ;
– λDe1 est le taux de défaillance dangereuse de l’élément de sous-système e1 ;
– λDe2 est le taux de défaillance dangereuse de l’élément e2 du sous-système ;
– DC1 est la couverture diagnostique de l’élément de sous-système e1 ;
– DC2 est la couverture diagnostique de l’élément de sous-système e2.
Dans le cas où les deux éléments du sous-système sont identiques :
Les systèmes de l’architecture D ont un HFT = 1. Cela signifie que le SIL maximal réalisable est égal à SIL3.