Catégorie 2

Pour la Catégorie 2, les Principes de Sécurité de Base et les Principes de Sécurité É prouvés doivent être respectés.

Il s’agit d’une architecture à canal unique, où le contrôle de chaque sous-système est effectué, dans sa forme la plus générale, par une unité externe appelée Matériel d’essai (TE). En cas de détection d’un défaut, l’équipement d’essai le signale au « monde extérieur » au moyen d’une sortie : le OTE.

Voici comment se présente le schéma fonctionnel relatif à la sécurité.

Légende:

• I_m représente les moyens d’interconnexion, généralement des fils électriques
• I représente le dispositif d’entrée, par exemple, capteur
• L représente la Logique de Sécurité ; il peut s’agir d’un fil ou d’un Module de Sécurité (non programmable) ou d’une Logique Programmable.
• O représente le dispositif de sortie; il peut s’agir d’un contacteur ou d’une électrovanne, par exemple
• m représente la surveillance effectuée par le matériel d’essai (TE)
• OTE est la sortie du matériel d’essai (TE).

Par rapport à une architecture de Catégorie 1, on remarque la présence d’un canal de test, composé d’un matériel de test (TE) et de sa sortie (OTE) à savoir, la sortie du Matériel de Test.

En utilisant une architecture de Catégorie 2, tous les niveaux de performance, à l’exception de PL e, peuvent être atteints.

En outre, pour cette catégorie, la figure 4 montre un sous-système et pas nécessairement un système de contrôle relatif à la sécurité.

Dans la Catégorie 2, le fait que le PL d puisse être atteint, un certain niveau de couverture du diagnostic (DC) (au moins faible) doit être présent : le canal fonctionnel doit être testé à des intervalles appropriés par le matériel d’essai. Le contrôle de la fonction de sécurité doit être effectué avant le début d’une situation dangereuse, par exemple:

• avant le début d’un nouveau cycle et/ou,
• avant le début d’autres mouvements et/ou,
• immédiatement après une demande de la fonction de sécurité et/ou,
• périodiquement au cours des opérations, si l’évaluation des risques et le type d’opération montrent que c’est nécessaire.

Tout contrôle de la fonction de sécurité permet son fonctionnement, si aucun défaut n’est détecté, ou génère une sortie (OTE), si un défaut est détecté.

Il est important de souligner que, dans le cas du PL d, l’OTE (sortie du matériel d’essai) doit déclencher un état de sécurité, qui est maintenu jusqu’à ce que le défaut soit éliminé. En revanche, dans le cas du PL c, un état de sécurité n’est pas nécessaire et il suffit de fournir un avertissement.

[EN ISO 13849-1] 6.1.3.2 Architectures désignées — Spécification des catégories

6.1.3.2.4 Catégorie 2.

[…] Pour le PLr d, l’OTE doit conduire à un état sûr, maintenu jusqu’à ce que le défaut soit corrigé.

Pour le PLr, jusqu’à PLr c inclus, chaque fois que cela est possible, le dispositif de sortie (OTE) doit conduire à un état sûr, maintenu jusqu’à ce que le défaut soit corrigé. Lorsque cela n’est pas possible (par exemple, soudage du contact dans le dispositif de commutation terminal), il peut être suffisant que l’OTE fournisse un avertissement.

La couverture de diagnostic (DCavg) du canal fonctionnel doit être au moins faible. Le MTTF_D du canal fonctionnel doit être faible à élevé, en fonction du niveau de performance requis (PL_r).

Dans tous les cas, des mesures contre le CCF sont applicables.

De toutes les quatre, la Catégorie 2 est probablement la plus difficile à comprendre : essayons de clarifier son utilisation et de comprendre les raisons de ses limitations. Pour cela, il faut passer par sa modélisation markovienne. Nous le ferons dans le prochain article, le dernier pour cette année 2024.