P1: Données de fiabilité des composants utilisés dans les systèmes de sécurité

Dernière modification: 29/02/2024

LA QUESTION :

Quelles sont les principales données de fiabilité pour les composants utilisés dans les applications de sécurité ?

Lorsque vous travaillez avec des composants utilisés dans des systèmes de sécurité critiques, vous êtes familiarisé avec le concept de taux de défaillance. En réalité, il existe deux autres paramètres importants que vous devez connaître : le MTTF (Mean Time to Failure) et le B10. Ce dernier est important lorsqu’il s’agit de la fiabilité des composants électromécaniques. Dans cet article, nous expliquerons ces trois paramètres et la manière dont ils sont liés les uns aux autres.

Si vous avez besoin des valeurs de fiabilité d’un transmetteur de pression à utiliser dans un système instrumenté de sécurité, vous consulterez probablement le manuel de sécurité du composant et, en particulier, les différents types de taux de défaillance. Ceux-ci sont normalement calculés par des laboratoires spécialisés comme Exida ou l’une des sociétés TÜV.

La situation est différente si vous avez besoin des paramètres de fiabilité d’une électrovanne pneumatique ; dans ce cas, vous demanderez directement au fabricant et vous vous appuierez sur la valeur du B10D qu’il fournit.

Mais vous pouvez vous demander pourquoi il existe une approche différente ? Pourquoi, pour les composants électroniques, les données dépendent-elles uniquement du composant lui-même, alors que pour un composant électromécanique, elles dépendent non seulement du composant, mais aussi de la manière dont il est connecté au résolveur logique ?

Pourquoi, pour un composant électronique, je vois toutes sortes de taux de défaillance, alors que pour l’électrovanne, j’ai une valeur B10D. Comment les utiliser ?

Il faudra plusieurs articles pour répondre à toutes ces questions. Dans celui-ci, nous nous concentrerons sur les trois paramètres du courrier : Le taux de défaillance, le temps moyen de défaillance (Mean Time to Failure) et le B10D.

 

Le Taux de Défaillance

Lorsqu’il s’agit de la fiabilité d’un composant utilisé dans un système de sécurité critique, le principal paramètre est le taux de défaillance λ : il est exprimé en unités de temps inverse. Il est courant d’utiliser des unités de « défaillances par milliard (10^9) d’heures » : cette unité est connue sous le nom de FIT ou Failures in Time (défaillances dans le temps). Par exemple, un circuit intégré particulier connaîtra sept défaillances par milliard d’heures de fonctionnement à 25°C et aura donc un taux de défaillance de 7 FITs.

Selon la norme IEC 61508, il existe quatre types de défaillances :

  • Les défaillances sûres ;
  • Les défaillances dangereuses ;
  • Défaillances sans effet ; et
  • Défaillances sans pièce

Il est assez intuitif de comprendre ce que sont les défaillances sûres et dangereuses. En revanche, une défaillance sans pièce est une défaillance d’un composant qui ne joue aucun rôle dans la mise en œuvre de la fonction de sécurité. Une défaillance sans effet est la défaillance d’un élément qui joue un rôle dans la mise en œuvre de la fonction de sécurité, mais qui n’a pas d’effet direct sur la fonction de sécurité.

Les défaillances sans effet et les défaillances sans partie ont été ajoutées dans la version 2010 de la IEC 61508 pour éviter d’influencer le calcul de la SFF en considérant des circuits non pertinents pour la fiabilité de la fonction de sécurité : ces deux types de défaillances ne doivent pas être utilisés pour le calcul de la SFF. Ces deux types de défaillances ne doivent pas être utilisés pour le calcul du SFF. Nous aborderons le SFF dans un autre article. Les défaillances sans effet n’étaient pas mentionnées dans l’édition précédente de la IEC 62061, mais elles sont désormais importantes pour comprendre certains nouveaux aspects liés à la défaillance des composants électromécaniques.

 

En plus d’être sûre ou dangereuse, chaque défaillance peut également être classée comme détectée ou non détectée :

Le taux de défaillance est donc la somme de cinq éléments :

λT = λSD+λSU+λDD+λDU+λNE

  • λSD: taux de défaillance détectée sûre
  • λSU : Taux de défaillance sûre non détectée
  • λDD : taux de défaillance dangereuse détectée
  • λDU : taux de défaillance dangereuse non détectée
  • λNE:  : taux de défaillance sans effet
  • λT: taux de défaillance total

 

La courbe de la baignoire

En général, tout composant présente un taux de défaillance qui peut être représenté par un graphique ayant la forme d’une baignoire. Celui illustré dans la figure est typique des composants électroniques :

Dans la phase initiale de la durée de vie du composant, λ(t) diminue rapidement avec le temps ; c’est ce qu’on appelle le taux de mortalité précoce.

Dans la période appelée vie utile, λ(t) est constant.

La dernière période est caractérisée par l’usure, avec un taux de défaillance λ(t) qui augmente rapidement.

Pendant la durée de vie utile d’un composant avec un taux de défaillance constant, en considérant comme condition initiale que la fiabilité au temps 0 est maximale et qu’elle est égale à 1, on a :

 

 

 

Pour les composants électromécaniques, comme les contacteurs de puissance, la courbe est représentée ici sur le côté.

Même après la première période de taux de défaillance, le taux de défaillance n’est jamais constant, mais il augmente avec le temps.

C’est un problème pour les normes de sécurité fonctionnelle telles que la série IEC 61508. C’est la raison pour laquelle, pour ces composants, une approximation est faite pour un temps maximum  T10D. En général, pour les composants électromécaniques, un « taux de défaillance de substitution » est calculé de manière à ce qu’il s’agisse d’une valeur constante, mais uniquement pour la période  T10D.

Il s’agit d’une étape importante pour les normes de sécurité fonctionnelle utilisées dans les machines : ISO 13849-1 et IEC 62061. Cela permet notamment d’utiliser des modèles de chaîne de Markov ou de diagramme de blocs de fiabilité pour calculer la fiabilité d’une fonction de sécurité. Ce n’est pas aussi important pour la IEC 61511-1, puisqu’elle est principalement axée sur les composants électroniques et à faible demande.

 

 

Exemple de taux de défaillance pour les composants électroniques et électromécaniques

Pour les composants électroniques, le taux de défaillance dépend du composant lui-même : la manière dont il est conçu et fabriqué et sa capacité à détecter les défaillances internes. Cette capacité est évaluée par des laboratoires spécialisés qui analysent à la fois les retours sur le terrain pour le composant spécifique et la manière dont le composant est produit.

Voici un exemple de taux de défaillance d’un transmetteur de pression

 

 

 

Pour les composants électromécaniques, la situation est quelque peu différente. Ils n’ont normalement pas de capacité interne à évaluer s’ils sont sujets à une défaillance. Cela signifie que le taux de défaillance dépend de la manière dont le composant est connecté au système logique (à l’automate de sécurité, par exemple). De plus, comme ils sont sujets à l’usure dès leur première utilisation, leur fiabilité n’est pas indiquée par une valeur de taux de défaillance, mais par une valeur B10.

 

 

Composants électromécaniques et B10D

Pour les composants soumis à une usure mécanique, il est impossible de définir un taux de défaillance linéaire λ. C’est la raison pour laquelle le concept de BX% Life a été introduit : B10D est le nombre moyen de cycles jusqu’à ce que 10 % des composants présentent une défaillance dangereuse.

Si l’on ne dispose que de la B10  d’un composant, la  B10D peut être estimée comme étant le double de la B10  (50 % de défaillance dangereuse).

Parfois, le fabricant du composant fournit la valeur B10  et le ratio de défaillances dangereuses (RDF). La relation entre ces paramètres est la suivante.

B10D= B10/RDF

Pour calculer les différents types de λ, compte tenu d’une certaine valeur de B10, nous devons examiner la manière dont le composant est connecté au résolveur logique. Nous aborderons ce sujet dans un autre article.

Le nombre d’opérations effectuées par un composant en un an est lié à B10D  :nop

Plus le RDF est faible, plus le B10D  est élevé et donc plus le T10D est long. Toutefois, les normes ISO 13849-1 et IEC 62061 limitent cette valeur ; en particulier, si le taux de défaillance dangereuse est estimé à moins de 0,5 (50 % de défaillance dangereuse), la durée de vie utile du composant est limitée à deux fois la T10.

T10D est lié au nombre d’opérations nop par la formule suivante :

T10=B10/nop

Le ratio de défaillance dangereuse est estimé à 50 % des défaillances dangereuses, si aucune information n’est disponible.

 

Comment le λD et le MTTFD sont dérivés du B10D

Dans le cadre de la sécurité fonctionnelle et, en particulier, dans le mode à forte demande des systèmes de contrôle liés à la sécurité, B10D est utilisé pour indiquer la fiabilité des composants qui n’ont pas un taux de défaillance constant.

Étant donné qu’un taux de défaillance « de substitution » constant sera associé à ces composants, afin de limiter l’erreur sur le calcul de la PFHD de la fonction de sécurité, l’utilisation du composant sera limitée au moment où il atteindra le nombre d’opérations B10D. En d’autres termes, le composant doit être remplacé lorsque B10D est atteint, ou plus tôt si sa durée de mission est plus courte.

Comme la durée du cycle correspond à l’inverse de la fréquence de fonctionnement nop, le point dans le temps T10D, auquel l’élément a effectué B10D  cycles est :

T10=B10/nop

Étant donné un composant avec la fonction de non-fiabilité F(t),

F(t) = 1 – e^-λt

la probabilité de défaillances dangereuses d’un composant, lorsque T10D est atteint, est de

F(t=T10D) = 1- e^-λD*T10D

Mais nous savons que la probabilité F(t=T10D) = 10%, donc :

1/10 = 1- e^-λD*T10D

λD = 1/T10D * ln 10/9 = 1/(10*T10D) = nop/(10*B10D)

Dans le cas d’un taux de défaillance constant,

λ = 1/MTTF

Voici donc la formule à utiliser pour calculer le MTTFD à partir de B10D :

MTTFD = B10D / 0.1* nop

 

 

Conclusion

Dans cet article, nous avons analysé la signification des trois principaux paramètres utilisés pour définir la fiabilité d’un composant utilisé dans un système de sécurité critique. Il existe une distinction majeure entre le fait que le composant soit sujet à l’usure et le fait qu’il ne le soit pas. Dans le premier cas, le taux de défaillance n’est jamais constant. Ce problème est résolu en définissant ce que l’on appelle parfois un taux de défaillance de substitution. Dans le cas d’un composant électronique, la situation est en quelque sorte plus simple, puisque les caractéristiques du taux de défaillance sont constantes pendant une période de temps relativement longue. En outre, les différents types de taux de défaillance ne dépendent que du composant lui-même et de sa capacité à détecter s’il est sujet à une défaillance.