Dernière modification: 21/06/2023
En matière de sécurité fonctionnelle, les défaillances sont classées comme aléatoires (dans le matériel) ou systématiques (dans le matériel ou le logiciel).
Les défaillances aléatoires sont normalement attribuées au matériel. Il s’agit de défaillances survenant à un moment aléatoire, qui entraînent une ou plusieurs dégradations de la capacité du composant à remplir sa fonction. Sur la base de données historiques, les défaillances aléatoires peuvent être caractérisées par un paramètre appelé taux de défaillance λ, dont nous avons parlé précédemment. En d’autres termes, une défaillance matérielle aléatoire n’implique que l’équipement ; les défaillances aléatoires peuvent survenir soudainement sans avertissement ou être le résultat d’une lente détérioration au fil du temps. Ces défaillances peuvent être caractérisées par un seul paramètre de fiabilité, le taux de défaillance de l’appareil, qui peut être contrôlé et géré à l’aide d’un programme d’intégrité des actifs.
Les défaillances systématiques sont essentiellement dues à des erreurs. Elles ne peuvent être éliminées que par une modification de la conception ou du processus de fabrication, des procédures opérationnelles ou d’autres facteurs pertinents. Parmi les causes de défaillances systématiques, on peut citer l’erreur humaine dans la conception, la fabrication, l’installation et le fonctionnement du matériel. Si, par exemple, un produit est utilisé dans un environnement inapproprié, le risque de défaillance systématique existe. Une défaillance systématique implique à la fois le matériel et une erreur humaine ; les défaillances systématiques existent à partir du moment où des erreurs humaines ont été commises et continuent d’exister jusqu’à ce qu’elles soient corrigées. Une défaillance systématique peut être éliminée après avoir été détectée, ce qui n’est pas le cas des défaillances aléatoires du matériel.
Les défaillances sont donc soit aléatoires, soit systématiques ; ces dernières peuvent être cachées dans le matériel ou dans le programme logiciel. Une différence majeure entre les défaillances matérielles aléatoires et les défaillances systématiques est que les taux de défaillance du système (ou d’autres mesures appropriées), résultant de défaillances matérielles aléatoires, peuvent être prédits avec une précision raisonnable, alors que les défaillances systématiques, de par leur nature même, ne peuvent pas être prédites avec précision. En d’autres termes, les taux de défaillance des systèmes résultant de défaillances matérielles aléatoires peuvent être quantifiés avec une précision raisonnable, alors que ceux résultant de défaillances systématiques ne peuvent pas être statistiquement quantifiés, car les événements qui les provoquent ne sont pas facilement prévisibles. En d’autres termes, les paramètres de fiabilité des défaillances matérielles aléatoires peuvent être estimés à partir des réactions sur le terrain, alors qu’il est très difficile de faire de même pour les défaillances systématiques : une approche qualitative est préférable pour les défaillances systématiques.
Les défaillances aléatoires sont prises en considération dans le calcul des différents types de taux de défaillance. Pour les défaillances systématiques, on utilise le concept de capacité systématique d’un composant.
Le concept de capacité systématique a été introduit dans la deuxième édition de la norme IEC 61508. Comme le terme n’était pas présent dans la première édition, des terminologies telles que « composant capable de SIL n » ou « composant conforme à SIL n » sont apparues dans les fiches techniques et les documents : ce qui a généré de la confusion ! La confusion vient du fait que, grâce au concept de Systematic Safety Integrity, il est possible de donner un niveau SIL à un composant. C’est inhabituel, car le concept SIL appartient à une fonction de sécurité et non à un composant.
La nouvelle édition de la série IEC 61508 a clarifié ce point : un dispositif ayant une capacité systématique de SIL 2 (SC 2), par exemple, satisfait à l’intégrité de sécurité systématique de SIL 2 lorsqu’il est appliqué conformément aux instructions de son fabricant. Cela signifie que, même si ses taux de défaillance et sa SFF permettent au composant d’atteindre SIL 3, il ne peut être utilisé que dans un sous-système de sécurité SIL 2. Cela signifie également que, même s’il est utilisé en redondance avec un autre composant et que, ensemble, leur sous-système peut atteindre SIL3, le système de sécurité ne peut atteindre que SIL 2.
Encore une fois, l’intégrité de la sécurité signifie à la fois l’intégrité de la sécurité matérielle et l’intégrité de la sécurité systématique. Les défaillances systématiques (matérielles ou logicielles) et, par conséquent, l’intégrité systématique de la sécurité, ne peuvent être quantifiées. En revanche, les défaillances matérielles aléatoires le sont généralement.
Un système de contrôle de sécurité a besoin d’un certain niveau d’intégrité de sécurité pour être « fiable » ou, en d’autres termes, pour être « immunisé » contre les défaillances systématiques et aléatoires.
Les défaillances aléatoires du matériel sont quantifiables et sont prises en considération grâce aux valeurs données par le fabricant du composant, comme les taux de défaillance, les MTTFD et les PFHD. La question est de savoir comment s’attaquer aux défaillances systématiques. Pour ce faire, il faut garantir un certain niveau de capacité systématique, selon la terminologie utilisée dans la norme CEI 61508. La capacité systématique s’applique à un composant de sécurité en ce qui concerne la certitude que l‘intégrité systématique de la sécurité répond aux exigences du niveau d’intégrité de la sécurité (SIL) spécifié.