Dernière modification: 17/05/2024
Le niveau de performance doit être déterminé pour chaque sous-système et/ou chaque combinaison de sous-systèmes qui assurent une fonction de sécurité. Le niveau de performance du sous-système est déterminé en examinant les aspects suivants
1) l’architecture
- a) Décomposer les parties du système de commande relatives à la sécurité en sous-systèmes (§5.1.3)
- b) Attribuer une catégorie à chaque sous-système ;
- c) Évaluer si les exigences qualitatives applicables de la catégorie sont respectées (tableau 6.1), y compris :
- principes de sécurité de base
- principes de sécurité éprouvés
- composants éprouvés
- d) Évaluer si le comportement requis dans des conditions de défaillance est respecté ;
2) La valeur MTTFD pour les composants individuels (annexes C et D de l’ISO 13849-1) ;
3) La Couverture du Diagnostic, limitée dans tous les cas par la catégorie sélectionnée (annexe E de la norme ISO 13849-1) ;
4) Le CCF doit atteindre au moins 65 points (annexe F de la norme ISO 13849-1) ;
5) l’effet de la conception du logiciel relatif à la sécurité sur le fonctionnement du matériel (annexe J de la norme ISO 13849-1)
6) l’effet des mesures contre les défaillances systématiques (annexe G de la norme ISO 13849-1).
Lorsqu’une fonction de sécurité est conçue à l’aide d’un ou de plusieurs sous-systèmes, chaque sous-système peut être conçu soit en utilisant des PL conformément à la norme ISO 13849-1, soit en utilisant des SIL conformément à la norme IEC 62061 et/ou IEC 61508. Les sous-systèmes conçus selon la norme IEC 61508 peuvent être utilisés mais doivent être limités à ceux qui sont conçus pour un fonctionnement en mode de forte sollicitation ou en mode continu et qui utilisent la Route 1H.
Les cinq Catégories
Les sous-systèmes conçus selon la norme ISO 13849-1 doivent être conformes aux exigences de l’une des cinq catégories qui sont fondamentales pour atteindre un Niveau de Performance PL spécifique. Les catégories décrivent le comportement requis des sous-systèmes en ce qui concerne leur résistance aux défaillances, sur la base des considérations de conception indiquées précédemment (MTTFD, DCavg, etc.).
La Catégorie B est la Catégorie de base dans laquelle l’apparition d’une défaillance peut entraîner la perte de la fonction de sécurité. Dans la Catégorie 1, une meilleure résistance aux défauts est obtenue par l’utilisation de composants de haute qualité.
Dans les Catégories 2, 3 et 4, une plus grande fiabilité du sous-système est obtenue par l’amélioration de la tolérance aux défauts (Catégories 3 et 4 uniquement) et des mesures de diagnostic. Dans la Catégorie 2, puisqu’il n’y a pas de redondance, elle est obtenue en vérifiant périodiquement que la fonction de sécurité est exécutée sans défaillance (couverture de diagnostic). Dans les Catégories 3 et 4, la Couverture de Diagnostic fonctionne conjointement avec les canaux Redondants, de sorte qu’une seule défaillance n’entraînera pas la perte de la fonction de sécurité.
Dans la Catégorie 4 et chaque fois que cela est raisonnablement possible dans la Catégorie 3, ces défauts doivent être détectés.
Les cinq Catégories sont représentées par des schémas fonctionnels de sécurité spécifiques, chacun d’entre eux répondant aux exigences de la Catégorie. Le modèle de Markov utilisé dans la norme ISO 13849-1 ne prend en compte que ces cinq Architectures ; il est possible de s’en écarter, mais cela implique de passer par une nouvelle modélisation.
Pour chaque sous-système, la valeur maximale du MTTFD pour chaque canal est limitée à 100 ans. Pour les sous-systèmes de Catégorie 4, la valeur maximale de MTTFD pour chaque canal est limitée à 2 500 ans. Cette limitation est en quelque sorte équivalente aux Contraintes Architecturales de la norme IEC 62061.