PT 10 : Sécurité fonctionnelle en haute demande : le modèle de Markov de la Catégorie 2 selon l'ISO 13849-1

• λFD est le taux de défaillance dangereuse du canal fonctionnel F.
• λMD est le taux de défaillance dangereuse du canal de test M.
• β est le facteur de cause commune qui influence à la fois le canal fonctionnel F et le canal de test M.
• rt est la fréquence de test du canal fonctionnel ; en d’autres termes, la fréquence à laquelle le canal fonctionnel est testé par le canal de test.
• rd est la fréquence de demande de la fonction de sécurité : la fréquence à laquelle la fonction de sécurité est sollicitée.

Figure 1 : Architecture de la Catégorie 2

Figure 2 : Modèle de transition d’états pour une architecture de Catégorie 2 (1oo1D)

Un dernier mot sur le sujet. Un système de commande lié à la sécurité en mode de forte demande, durant son temps de mission typique de 20 ans, peut atteindre statistiquement plusieurs fois l’état d’événement dangereux, en particulier lorsque le PFHD est élevé. Imaginons, par exemple, une application à faible risque de PL a avec un PFHD = 6·10⁻⁵. Le système est statistiquement confronté à un événement dangereux 20 [ans] · 365 [jours] · 24 h · 6·10⁻⁵ [1/h] = 10,5 fois durant les 20 ans de temps de mission et, à chaque fois, le système est normalement réparé.

Analysons maintenant et simplifions le graphe de Markov pour une Catégorie 2 (ou un sous-système 1oo1D). La machine est dans l’état OK lorsqu’elle fonctionne normalement et que tous les systèmes de commande liés à la sécurité sont vigilants et non affectés par une défaillance.

Figure 3 : Transition de l’état OK vers les états de défaillance

Étant donné que λFD est le taux de défaillance dangereuse, sa partie détectée est :

Mais nous devons prendre en compte les défaillances dues à une cause commune entre le canal fonctionnel F et le canal de surveillance M.
β est le facteur de cause commune et λCC est le taux de défaillance par cause commune.

Par conséquent, la probabilité que le SRP/CS passe de l’état OK à l’état F DD est liée au taux de défaillance suivant :

La probabilité d’une défaillance du canal de surveillance est liée au taux de défaillance suivant :

L’état est défini comme M D

Figure 4 : Transition des états défaillants vers l’événement dangereux du canal fonctionnel

Veuillez considérer que toutes les transitions décrites jusqu’à présent suivent une loi exponentielle : elles peuvent se produire de manière aléatoire.

Ce qui importe maintenant, c’est la transition vers l’état dangereux. Le SRP/CS entre dans cet état lorsque :

• Il y a eu une défaillance (juste une !) et
• Il y a eu une sollicitation de la fonction de sécurité (rd).

Par exemple, la porte d’accès à une cellule robotisée a été ouverte et le dispositif d’interverrouillage n’a pas réussi à ouvrir le contact électrique : la conséquence est qu’une personne se trouve dans la zone alors que le robot est toujours en fonctionnement.

En fin de compte, ce qui importe, c’est la probabilité que le système passe de l’état OK à l’état dangereux ; cette probabilité est donnée par la somme des probabilités de 3 transitions, indiquées par une grosse flèche dans la Figure 4 :

• Transition de l’état F DD vers l’état ou événement dangereux
• Transition de l’état F DU vers l’état dangereux
• Transition de l’état F DU + M D vers l’état dangereux

Veuillez noter que toutes ces transitions suivent une loi uniforme et que leur fréquence est rd : la fréquence de sollicitation de la fonction de sécurité.

Figure 5 : Modèle de Markov simplifié pour le calcul du PFHD dans une architecture 1oo1D

À partir du graphe, la valeur instantanée de PFHD pour l’architecture 1oo1D peut être calculée comme suit :

Lorsqu’elle est correctement intégrée,

Où TM est le temps de mission.

Le PFHD d’une architecture 1oo1D est :

La raison pour laquelle ce terme est important, c’est qu’il montre que, dans la Catégorie 2, la fiabilité de la fonction de sécurité dépend du rapport entre le taux de demande et le taux de test. Ce n’est pas souhaitable en mode de fonctionnement à haute demande, alors que c’est la règle en mode de fonctionnement à basse demande (test de preuve). En résumé : en mode haute demande, on ne veut pas que la fiabilité d’une fonction de sécurité dépende de la fréquence à laquelle le sous-système est testé par rapport à la fréquence à laquelle il est utilisé.

Une autre manière d’exprimer le problème est la suivante. Nous sommes dans un canal unique avec une fonction de diagnostic. Cela signifie, en principe, que la fiabilité devrait être plus élevée comparée à un système 1oo1, mais cela n’est vrai que si l’on peut détecter une défaillance avant qu’il y ait une demande sur la fonction de sécurité. Si le système n’en est pas capable, le système 1oo1D est équivalent à un 1oo1. Puisque l’on ne sait pas quand une défaillance se produira (variable aléatoire avec une distribution exponentielle), le taux de test doit être beaucoup plus élevé que le taux de demande pour s’assurer raisonnablement que le canal de surveillance a la possibilité de détecter une défaillance avant qu’une demande soit faite à la fonction de sécurité.

Si la fonction de surveillance a une forte probabilité de détecter une défaillance avant la demande sur la fonction de sécurité, la fiabilité du SRP/CS sera indépendante du rapport Rd/Rt. En d’autres termes, il est important que ce rapport soit aussi proche que possible de 1. Cela s’obtient lorsque le taux de test est 100 fois le taux de demande : c’est ce qu’on appelle le  » test optimal dans le temps « .

Ce concept est également mentionné dans la norme IEC 61508-2, §7.4.4.1.4.

Dans la nouvelle édition de l’ISO 13849-1, il est indiqué que, dans le cas où le rapport n’est que de 25 fois, la fonction de surveillance est toujours considérée comme efficace et que le PFHD doit simplement être augmenté de 10 %.

Une alternative au test optimal dans le temps est que le test de la fonction de sécurité ait lieu en même temps que sa demande et, dans le cas où une défaillance est détectée, le temps total pour mettre la machine en état sûr soit plus court que le temps nécessaire pour atteindre le danger.

Si |X| << 1, la fonction exponentielle peut être remplacée, sans perte notable de précision, par son approximation quadratique :

La substitution de la fonction exponentielle, dans l’équation du PFHD, par l’approximation ci-dessus donne :

λCC prend en compte la défaillance de cause commune à la fois du canal fonctionnel (FD) et du canal de test (MD) et peut être estimé à l’aide de l’équation suivante :

La raison pour laquelle cet exercice a été réalisé n’était pas seulement de mieux comprendre la modélisation de Markov derrière les sous-systèmes de catégorie 2 ; il visait également à montrer que, malgré les différences de modélisation entre ISO 13849-1 et IEC 62061, la différence de PFHD entre les deux approches est négligeable. Le même exercice a été effectué pour les catégories 3 et 4 et comparé à l’architecture 1oo2D, avec des résultats similaires.

Dans ISO 13849-1, les valeurs de PFHD sont listées dans le tableau K.1. Cependant, les modèles sous-jacents à ces chiffres peuvent être simplifiés, de manière conservatrice, et représentés par des formules, comme montré dans ce paragraphe pour une architecture 1oo1D. Bien que ISO 13849-1 utilise les chaînes de Markov et considère les systèmes comme réparables, ses équations simplifiées sont très similaires à celles de IEC 62061, qui utilise des diagrammes en blocs de fiabilité et considère les systèmes comme non réparables.