Dernière modification: 21/06/2023
Historiquement, c’était la seule façon de déterminer le SIL maximum qui peut être revendiqué par une fonction de sécurité. Voici les étapes à suivre : IEC 61508-2, § 7.4.4.2
- Diviser le système de sécurité en sous-systèmes.
- Pour chaque sous-système, calculez la fraction de défaillance sûre pour tous les éléments du sous-système séparément. Dans le cas de configurations d’éléments redondants, le SFF peut être calculé en tenant compte des diagnostics supplémentaires qui peuvent être disponibles (par exemple, en comparant les éléments redondants).
- Pour chaque élément, utiliser la fraction de défaillance sûre obtenue et la tolérance de défaillance matérielle de 0 pour déterminer le niveau maximal d’intégrité de la sécurité qui peut être revendiqué dans la colonne 2 du tableau 2 de la CEI 61502-2 pour les éléments de type A ; dans le cas d’éléments de type B, le tableau 3 de la CEI 61502-2 doit être utilisé.
- Le niveau maximal d’intégrité de la sécurité qui peut être revendiqué pour un système de sécurité E/E/PE est déterminé par le sous-système qui a atteint le niveau d’intégrité de la sécurité le plus bas.
Pour une route 1H, chaque composant de sécurité doit avoir tous les taux de défaillance provenant d’une analyse AMDEC.
Le concept de tolérance aux pannes matérielles (HFT) est utilisé dans la série IEC 61508 pour indiquer la capacité d’un sous-système matériel à continuer à exécuter une fonction requise en présence de pannes ou d’erreurs. La HFT est donnée sous la forme d’un chiffre, où HFT = 0 signifie que, dans le cas d’un défaut, la fonction (par exemple, une mesure de pression) est perdue. HFT = 1 signifie qu’en cas de défaillance d’une voie, une autre voie est capable d’exécuter la même fonction : en d’autres termes, le sous-système peut tolérer une défaillance et continuer à fonctionner. Un sous-système composé de trois canaux votés 2oo3 fonctionne tant que deux de ses trois canaux fonctionnent. Cela signifie que le sous-système peut tolérer la défaillance d’un canal et continuer à fonctionner normalement. La tolérance aux pannes matérielles du groupe voté 2oo3 est donc HFT = 1. La figure 1 montre un sous-système d’entrée avec HFT = 1 : I1 et I2 pourraient être deux transmetteurs de pression identiques.
Comment utiliser un composant de sécurité
Si nous revenons à notre transmetteur de pression de sécurité avec SFF = 92,8 % et capacité systématique SC 2, nous concluons que :
- Le fait d’avoir une SFF comprise entre 90 % et 99 % et d’être de type B, tableau 3 de la IEC 61508-2, indique que, s’il est utilisé comme composant unique dans un système instrumenté de sécurité, son sous-système peut atteindre, au mieux, SIL 2, même si son PFDavg indique, par exemple, un niveau de fiabilité SIL 3.
- Avec une capacité systématique SC 2, même s’il est utilisé dans une configuration 1oo2 (HFT = 1), le niveau SIL maximal que le sous-système peut atteindre est toujours SIL 2 (et non SIL 3 comme indiqué dans le tableau 3), en raison de la limite imposée par sa capacité systématique.