Les paramètres clés

Dernière modification: 10/07/2023

La IEC 62061 utilise les principaux paramètres suivants.

  • λ : Taux de défaillance
  • MTTF : temps moyen avant défaillance
  • SFF : Fraction de défaillance sûre
  • HFT : Tolérance aux pannes matérielles

Taux de défaillance

Elle est à la base de la IEC 61508 et donc de la IEC 62061. Nous pouvons emprunter sa définition à la IEC 61508-4 :

3.6.16 taux de défaillance. Paramètre de fiabilité (λ(t)) d’une entité (composants individuels ou systèmes) tel que λ(t)-dt est la probabilité de défaillance de cette entité dans [t, t+dt] à condition qu’elle ne soit pas tombée en panne pendant [0, t]

Mathématiquement, λ(t) est la probabilité conditionnelle de défaillance par unité de temps sur [t, t+dt].

Elle est étroitement liée à la fonction de fiabilité :

 

Pour utiliser la norme IEC 62061, chaque composant utilisé dans le SCS doit avoir une valeur de taux de défaillance. En cas de faible demande, c’est normalement le cas. En cas de forte demande, le manque de données directes a contribué à l’utilisation limitée de la norme jusqu’à présent.

Les défaillances peuvent être divisées en 4 parties :

λS : taux de défaillances sûres

λD : taux de défaillances dangereuses (λ x proportion de défaillances dangereuses)

λDD : taux de défaillances dangereuses détectées par les fonctions de diagnostic

λDU : taux de défaillances dangereuses NON détectées par les fonctions de diagnostic

Ʃ λS + Ʃ λD est le taux de défaillance global.

Dans le cas d’une demande élevée, seules les défaillances dangereuses sont prises en compte. La partie détectable est calculée comme λDD=DC λD tandis que la partie indétectable est calculée comme λDU=(1-DC) λD

MTTFd

Le temps moyen de défaillance (MTTFD) est un paramètre utilisé pour les composants non réparables.

Il s’agit du temps prévu lorsque 63,2 % des composants testés ont subi une défaillance dangereuse. Il s’agit d’un paramètre statistique : si le MTTFD d’une électrovanne est de 30 ans, cela ne signifie pas qu’elle est garantie pendant 30 ans. Cela signifie simplement que, si l’on considère par exemple 100 vannes, 63 d’entre elles sont tombées en panne au bout de 30 ans ; cependant, si vous achetez l’une de ces 100 vannes, elle peut tomber en panne au bout d’un mois.

Le MTTFD, ainsi que le λD, ne sont valables que pour la durée de vie utile du composant, qui est normalement de 20 ans. Au-delà de cette période, les paramètres perdent de leur importance, car les taux de défaillance ne peuvent plus être considérés comme constants. En d’autres termes, si une vanne hydraulique a une MTTFD de 150 ans, elle ne peut être utilisée que pendant 20 ans pour des opérations liées à la sécurité. Passé ce délai, elle doit être remplacée.

Safe Failure Function – SFF

The Safe Failure Fraction(SFF) a été introduite dans la norme IEC 61508 en tant que mesure utilisée pour déterminer la tolérance minimale aux défaillances matérielles (HFT) d’un sous-système de sécurité. Ci-après ses définitions :

[IEC 62061] 3.2 Termes et définitions
3.2.56 Safe Failure Fraction(SFF) : fraction du taux de défaillance global d’un sous-système qui n’entraîne pas de défaillance dangereuse.

A première vue, la définition de la IEC 62061 ne semble pas correcte ; mais il faut considérer que les défaillances dangereuses détectables, puisqu’elles sont détectables, ne génèrent aucune situation dangereuse : c’est le raisonnement qui sous-tend la définition. Le SFF est utilisé à la fois en mode de forte et de faible demande, avec la même signification.

Étant donné que les défaillances matérielles aléatoires de la norme IEC 61508 sont basées sur les différents types de taux de défaillance d’un composant, la SFF est une indication du degré de « transparence » des défaillances. En d’autres termes, plus le pourcentage de défaillances dangereuses non détectées est faible, plus le SFF est élevé.

Voici comment il est calculé :

Le SFF est la proportion de défaillances « sûres » par rapport à l’ensemble des défaillances. Une défaillance « sûre » est soit une défaillance qui est sûre de par sa conception, soit une défaillance dangereuse qui est immédiatement détectée et corrigée. Les normes IEC définissent une défaillance sûre comme une défaillance qui n’a pas le potentiel de mettre le SIS dans un état dangereux ou de non-fonctionnement. Une défaillance dangereuse est une défaillance qui peut empêcher le SIS d’effectuer un SIF spécifique, mais lorsqu’elle est détectée peu après son apparition, par exemple par des diagnostics en ligne, la défaillance est considérée comme « sûre » puisque les diagnostics peuvent ramener le système à un état sûr.

De nombreux dispositifs de sécurité électroniques sont dotés de diagnostics intégrés, de sorte que la plupart des défaillances dangereuses deviennent des défaillances dangereuses détectables, ce qui leur confère un SFF élevé, souvent supérieur à 90 %. Les dispositifs de sécurité mécaniques, pour lesquels les diagnostics internes ne sont pas réalisables, auront, en général, une faible SFF.

Hardware Fault Tolerance – HFT

Le concept de tolérance aux pannes matérielles (HFT) est utilisé dans la norme IEC 61508 pour indiquer la capacité d’un sous-système matériel à continuer à exécuter une fonction requise en présence de pannes ou d’erreurs. La HFT est donnée sous forme de chiffre, où HFT = 0 signifie que s’il y a un défaut, la fonction (par exemple, mesurer la pression) est perdue. HFT = 1 signifie que si une voie tombe en panne, il existe une autre voie capable d’exécuter la même fonction, ou que le sous-système peut tolérer une panne et continuer à fonctionner. Un sous-système composé de trois canaux votés 2oo3 fonctionne tant que deux de ses trois canaux fonctionnent. Cela signifie que le sous-système peut tolérer la défaillance d’un canal et continuer à fonctionner normalement. La tolérance aux pannes matérielles du groupe voté 2oo3 est donc HFT = 1.
Voyons maintenant sa définition :

[IEC 62061] 3.2 Termes et définitions
3.2.36 Tolérance aux pannes matérielles (HFT). Propriété d’un sous-système de perdre potentiellement la fonction de sécurité sur au moins N+1 défaillances.

L’architecture du système de contrôle et la « safe failure fraction » (SFF) jouent un rôle important dans la norme EN 62061. Le niveau d’intégrité de la sécurité du matériel qui peut être revendiqué pour un sous-système est limité non seulement par le PFHD, mais aussi par la tolérance aux fautes du matériel et la « safe failure fraction ».

La combinaison de ces deux éléments est définie dans la nouvelle édition 2021 de la norme comme les contraintes architecturales et son résultat est le SIL maximum que le sous-système de sécurité peut atteindre (autrefois appelé Sil Claim ou SIL CL).

Le tableau 6 de l’édition 2021 détaille le SIL maximal qu’un composant peut atteindre, sur la base de sa fraction de défaillance sûre et de son HFT. Comme on peut le voir, si un sous-système 1oo1 (architecture de base du sous-système A ou HFT=0) a un très faible pourcentage de défaillances dangereuses non détectées (ce qui signifie un SFF élevé), son sous-système peut atteindre SIL 2 ou même SIL3. La nouvelle édition précise que, dans le cas des composants électromécaniques, cela est très improbable.