Chapitre 7 - Les architectures de la IEC 62061

Dernière modification: 30/06/2023

Le chapitre 7 traite des quatre architectures de la IEC 62061. La IEC 62061 reste liée à l’approche de la Route 1H de la IEC 61508.

En mode « faible demande », les composants sont classés comme étant de type A ou de type B et il existe deux tableaux différents à utiliser pour déterminer le SIL maximal qu’un sous-système de sécurité peut atteindre. Dans la IEC 62061, un seul tableau est défini pour tous les types de composants et son contenu est similaire à celui utilisé pour les composants de type B.

Dans le contexte de l’intégrité de la sécurité du matériel, le niveau le plus élevé auquel peut prétendre un système de commande de sécurité ou un SCS est limité par les tolérances de défaillance du matériel (HFT) et les fractions de défaillance sûres (SFF) du sous-système qui exécute la fonction de sécurité : la référence à utiliser est le tableau 6 présenté ci-après.

Voici quelques extraits du chapitre.

7.1.1 Contraintes architecturales

La IEC 62061 reste liée à l’approche de la Route 1H de la IEC 61508, décrite au § 3.4.8.

En mode « faible demande », les composants sont classés comme étant de type A ou de type B, et il existe deux tableaux différents à utiliser pour décider du SIL maximal qu’un sous-système de sécurité peut atteindre. Dans la IEC 62061, un seul tableau est défini pour tous les types de composants, et son contenu est similaire à celui utilisé pour les composants de type B.

Dans le contexte de l’intégrité de la sécurité du matériel, le niveau le plus élevé auquel peut prétendre un système de contrôle ou SCS lié à la sécurité est limité par les tolérances de défaillance du matériel (HFT) et les fractions de défaillance sûres (SFF) du sous-système qui exécute la fonction de sécurité : la référence à utiliser est le tableau 7.1, identique au tableau 6 de la IEC 62061.

7.1.2.1 Différences avec la norme ISO 13849-1

Les différences entre les deux normes sont les suivantes :

  • Comme expliqué au § 3.6.2, dans la IEC 62061, le risque de défaillances de cause commune est évalué à l’aide d’un tableau similaire à celui de l’ISO 13849-1, mais il n’y a pas de valeur minimale pour la notation.
  • Dans la catégorie 2, l’ISO 13849-1 exige que la valeur MTTFD du canal d’essai (TE) ne soit pas inférieure à la moitié de la valeur MTTFD du canal fonctionnel. L’équivalent de la catégorie 2 dans la IEC 62061 est l’architecture du sous-système de base C. Dans ce cas, cependant, il n’y a pas de niveau de fiabilité minimal de la fonction de traitement des défaillances (λD-FH). Si la valeur n’est pas conforme au tableau H.3 de la norme, la formule simplifiée ne peut pas être utilisée pour le calcul de la PFHD du sous-système. La formule générale pour l’architecture du sous-système de base C doit être utilisée.
  • Dans la norme ISO 13849-1, la MTTFD des sous-systèmes est limitée à 100 ans, sauf pour la catégorie 4 ; dans la IEC 62061, il n’y a pas de limitation de la PFHD, même lorsque la contrainte architecturale est appliquée.
  • La IEC 62061 utilise l’acronyme PFH, mais il s’agit exactement du même paramètre que le PFHD utilisé dans l’ISO 13849-1 (§ 4.5.1). La raison en est l’alignement sur la série IEC 61508.

[…]

7.2.4.2 Architecture du sous-système de base C avec traitement des défauts par le SCS

Il s’agit de la situation la plus simple, puisque les fonctions de diagnostic et de réaction aux défaillances (équivalentes à TE et OTE dans la norme ISO 13849-1) font déjà partie de la fonction de sécurité, comme le montre la figure 7.10.

La fonction de traitement des défaillances est entièrement assurée par un sous-système distinct du SCS, qui participe également à l’exécution de la fonction de sécurité, contribuant ainsi à sa PFHD.

En d’autres termes, dans ce cas, nous pouvons ignorer la fiabilité de la voie de surveillance puisqu’elle est déjà prise en compte dans le calcul de la fiabilité de la voie fonctionnelle.