Dernière modification: 10/07/2023
LA QUESTION :
Quelle est la différence entre la route 1H et la route 2H ?
Essayons de replacer le sujet dans son contexte. Lorsque vous entendez parler des routes 1H et 2H, vous vous trouvez probablement dans le domaine des systèmes instrumentés de sécurité à faible demande et la norme principale est la IEC 61511. Cependant, la définition se trouve dans la IEC 61508-2.
Vous savez que pour utiliser un composant dans un système instrumenté de sécurité, des données de fiabilité sont nécessaires, mais cela ne suffit pas ! Le composant a besoin d’une certaine valeur de fraction de défaillance sûre (SFF) pour comprendre sa qualité intrinsèque. C’est la méthode définie depuis la première édition de la série IEC 61508 pour guider à la fois le fabricant de composants et le concepteur de processus dans la définition des composants et des systèmes de sécurité : la méthode a été définie Route 1H. Mais entrons dans les détails.
ROUTE 1H
Historiquement, c’était la seule façon de déterminer le SIL maximum qui peut être revendiqué par une fonction de sécurité. Voici les étapes à suivre (voir IEC 61508–2, § 7.4.4.2)
- Divisez le système de sécurité en sous–systèmes.
- Pour chaque sous-système, calculez la fraction de défaillance de sûre (SFF) pour tous les éléments du sous-système séparément. Dans le cas de configurations d’éléments redondants, le SFF peut être calculé en tenant compte des diagnostics supplémentaires qui peuvent être disponibles (par exemple, en comparant les éléments redondants).
- Pour chaque élément, utilisez la fraction de défaillance sûre obtenue et la tolérance de défaillance matérielle de 0 pour déterminer le niveau maximal d’intégrité de la sécurité qui peut être revendiqué dans la colonne 2 du tableau 1 (identique au tableau 2 de la IEC 61502-2) pour les éléments de type A ; dans le cas des éléments de type B, il convient d’utiliser le tableau 2 (identique au tableau 3 de la IEC 61502-2).
- Le niveau maximal d’intégrité de la sécurité qui peut être revendiqué pour un système de sécurité E/E/PE est déterminé par le sous-système qui a atteint le niveau d’intégrité de la sécurité le plus bas.
Pour une route 1H, chaque composant de sécurité doit avoir tous les taux de défaillance provenant d’une analyse AMDED.
Tableau 1 : Niveau maximal admissible d’intégrité de la sécurité pour une fonction de sécurité exécutée par un élément ou un sous-système de type A relatif à la sécurité
Tableau 2 : Niveau maximal admissible d’intégrité de la sécurité pour une fonction de sécurité exécutée par un élément ou un sous-système de type B relatif à la sécurité
ROUTE 2H
Le concept de Route 2H a été introduit pour la première fois dans l’édition 2010 de la IEC 61508. Son utilisation est liée au concept de « Proven in Use » (IEC 61508) ou « Prior Use » (IEC 61511-1).
En principe, il est possible d’atteindre un niveau de fiabilité sans informations sur la SFF du composant, à condition que les données de terrain sur le taux de défaillance soient à la fois disponibles et fiables. Par conséquent, les données de fiabilité utilisées pour quantifier l’effet des défaillances matérielles aléatoires doivent être
- Basées sur le retour d’expérience d’éléments utilisés dans une application et un environnement similaires ; et,
- Basées sur des données collectées conformément aux normes internationales et,
- Evaluées en fonction de :
- La quantité de retours d’expérience sur le terrain ; et,
- L’exercice d’un jugement d’expert ; et, si nécessaire,
- La réalisation d’essais spécifiques ;
Avec la route 2H, le SIL maximal pouvant être atteint sur la base de la HFT d’un sous-système est indiqué par les règles suivantes
[IEC 61508-2 : 2010] 7.4.4.3 Route 2H
7.4.4.3.1 La tolérance minimale aux fautes matérielles pour chaque sous-système d’un système lié à la sécurité E/E/PE mettant en œuvre une fonction de sécurité d’un niveau d’intégrité de sécurité spécifié doit être la suivante :
NOTE Dans les clauses suivantes, sauf indication contraire, la fonction de sécurité peut fonctionner soit en mode d’exploitation à faible demande, soit en mode d’exploitation à forte demande ou en mode d’exploitation continu.
-
Une tolérance aux fautes matérielles de 2 pour une fonction de sécurité spécifiée de SIL 4, à moins que les conditions du point 7.4.4.3.2 ne s’appliquent.
-
Une tolérance aux fautes matérielles de 1 pour une fonction de sécurité spécifiée de SIL 3, sauf si les conditions énoncées au point 7.4.4.3.2 s’appliquent.
-
Une tolérance de défaillance matérielle de 1 pour une fonction de sécurité spécifiée de SIL 2, fonctionnant en mode continu ou à forte demande, à moins que les conditions énoncées au point 7.4.4.3.2 ne s’appliquent.
-
Une tolérance aux fautes matérielles de 0 pour une fonction de sécurité spécifiée de SIL 2 fonctionnant dans un mode de fonctionnement à faible demande.
-
Une tolérance de défaillance matérielle de 0 pour une fonction de sécurité spécifiée de SIL 1.
La route 2H n’est pas autorisée en mode « High Demand », cette étape est présente à la fois dans la IEC 62061 et dans l’EN ISO 13849-1, c’est-à-dire dans les deux normes de référence sur la sécurité fonctionnelle en mode « High Demand ».
[EN ISO 13849-1] 6.1.2 Corrélation entre le niveau de performance et le niveau d’intégrité de la sécurité (SIL)
Lorsqu’une fonction de sécurité est conçue à l’aide d’un ou de plusieurs sous-systèmes, chaque sous-système doit être conçu soit en utilisant des PL conformément au présent document, soit en utilisant des SIL conformément à la IEC 62061 ou à la IEC 61508. Les sous-systèmes conçus conformément à la IEC 61508 ou à la IEC 62061 peuvent être utilisés mais doivent être limités à ceux conçus pour une demande élevée ou un mode continu qui utilisent la route 1H (voir IEC 61508-2:2010, 7.4.4.2). Les sous-systèmes doivent être combinés conformément au point 6.2. Voir le tableau 4 pour les corrélations entre les PL et les SIL.
La IEC 62061 précise que cette exigence s’applique aux composants complexes.
[IEC 62061] 7.2 Conception de l’architecture du sous-système
[…]Le(s) sous-système(s) incorporant des composants complexes doit(vent) être conforme(s) aux normes de produit appropriées ou à la IEC 61508-2 et à la IEC 61508-3, selon le SIL requis, et la conception doit utiliser la route 1H (voir IEC 61508-2:2010, 7.4.4.2) pour le mode à forte demande et/ou le mode continu.
CONCLUSION
Les Route 1H et 2H sont deux voies qui peuvent être suivies pour décider du niveau de fiabilité d’un composant et de la manière de l’utiliser dans un sous-système instrumenté de sécurité. La voie 1H est celle qui est recommandée, en particulier si l’on souhaite utiliser le composant dans un système de sécurité mixte à demande élevée/faible. L’itinéraire 1H implique qu’un composant a besoin de la valeur des taux de défaillance recommandée par la série IEC 61508 :
- λSD : taux de défaillance détecté en toute sécurité
- λSU : Taux de défaillance sûre non détectée
- λDD : taux de défaillance dangereuse détectée
- λDU : taux de défaillance dangereuse non détectée
- λNE : taux de défaillance sans effet
Ces taux sont généralement estimés avec l’aide d’organisations externes telles que EXIDA ou TÜV.