P14: Sécurité fonctionnelle en forte demande : IEC 62061 et architectures, Partie 2

Accueil » Publications » Approfondissements articles tuttomisure » P14: Sécurité fonctionnelle en forte demande : IEC 62061 et architectures, Partie 2

Dernière modification: 30/03/2026

Résumé

Cet article fait partie d’une série d’articles consacrés à la sécurité fonctionnelle des machines. Nous avons récemment présenté l’une des deux normes utilisées pour concevoir des systèmes de commande de sécurité en forte demande : ISO 13849-1. Nous présentons maintenant les aspects clés de IEC 62061. Dans le numéro précédent de TUTTOMISURE, nous avons présenté les architectures A et B ; nous allons maintenant détailler l’architecture C : l’équivalent de la catégorie 2 de la norme ISO 13849-1, autrement dit un canal unique avec diagnostics.

Architecture de sous-système de base C: 1oo1D

Subsystem Architecture C

Dans cette architecture, à canal unique avec diagnostic, toute défaillance dangereuse non détectée d’un élément du sous-système entraîne une défaillance dangereuse de la fonction de sécurité. Lorsqu’une défaillance d’un élément du sous-système est détectée, la fonction de diagnostic déclenche une réaction au défaut. Cette architecture correspond à une tolérance aux défaillances matérielles de 0.

Detailed logical representation

Cette architecture correspond à la catégorie 2 de la norme ISO 13849-1 ; la figure 2 en donne une représentation plus précise.

On peut remarquer que le TE (Test Equipment) de la catégorie 2 de la norme ISO 13849-1 est défini comme fonction de diagnostic des défauts dans la norme IEC 62061. De même, l’équivalent de l’OTE est la fonction de réaction au défaut. L’ensemble TE + OTE est défini comme la fonction de traitement des défauts dans la norme IEC 62061.

Conditions pour une mise en œuvre correcte de l’architecture de sous-système de base C

Summary of 1oo1D conditions

Pour l’architecture C, le calcul du PFH suppose une gestion des défauts optimale dans le temps.
Une gestion des défauts optimale dans le temps pour un élément du sous-système peut être supposée si l’une des conditions suivantes est satisfaite:

  • Le taux de diagnostic est au moins 100 fois supérieur au taux de demande de la fonction de sécurité et le temps nécessaire pour la réaction au défaut est suffisamment court pour amener le système dans un état sûr, avant qu’un événement dangereux ne se produise ; ou
  • La gestion des défauts est effectuée immédiatement lors de toute demande potentielle de la fonction de sécurité, et le temps nécessaire pour détecter un défaut détectable et amener le système dans un état sûr est inférieur au temps de sécurité du procédé ; ou
  • La gestion des défauts est effectuée de manière continue, et le temps nécessaire pour détecter un défaut détectable et amener le système dans un état sûr est inférieur au temps de sécurité du procédé ; ou
  • La gestion des défauts est effectuée périodiquement, et la somme de l’intervalle de test, du temps nécessaire pour détecter un défaut détectable et du temps nécessaire pour amener le système dans un état sûr est inférieure au temps de sécurité du procédé.

Le tableau 1 résume toutes les conditions possibles liées à une mise en œuvre correcte d’une architecture 1oo1D.

  • Situation 1 et 3. Si aucun état sûr n’est possible, que la fréquence de test soit optimale ou non, nous ne pouvons pas revendiquer une architecture 1oo1D.
    Dans ce cas, on revient à une architecture 1oo1, où des composants éprouvés (well-tried components) doivent être utilisés.

La raison de la différence avec la norme ISO 13849-1, dans le cas de la situation 3, est liée au fait que la norme IEC 62061 est reliée à IEC 61508.

[IEC 61508-2] 7.4.8 Exigences relatives au comportement du système lors de la détection d’un défaut

7.4.8.3 La détection d’un défaut dangereux (par des tests de diagnostic, des tests de preuve ou tout autre moyen) dans tout sous-système ayant une tolérance aux défaillances matérielles de 0 doit, dans le cas d’un sous-système mettant en œuvre une ou plusieurs fonctions de sécurité fonctionnant en mode de forte demande ou en mode continu, entraîner une action spécifiée pour atteindre ou maintenir un état sûr (voir la note).

NOTE : L’action spécifiée nécessaire pour atteindre ou maintenir un état sûr sera définie dans les exigences de sécurité du système E/E/PE (voir IEC61508-1,.10). Elle peut consister, par exemple, en l’arrêt sûr de l’EUC (Equipment Under Control), ou de la partie de l’EUC qui dépend du sous-système défaillant pour la sécurité fonctionnelle.

  • Situation 2. Aucun test optimal n’est présent ; cependant, si un défaut est détecté, il est possible de mettre le système dans un état sûr. On peut alors revendiquer une architecture de sous-système de base 1oo1D et atteindre SIL 2, si toutes les autres conditions sont remplies.

Il n’est pas nécessaire d’utiliser des composants éprouvés.

  • Nous avons à la fois un test optimal et, si un défaut est détecté, il est possible de mettre le système dans un état sûr. On peut donc revendiquer une architecture de sous-système de base 1oo1D et atteindre SIL 2, si toutes les autres conditions sont remplies. Il n’est pas nécessaire d’utiliser des composants éprouvés.

Cette architecture est « délicate », de manière similaire à la Catégorie 2.
Le problème réside dans la défaillance de la fonction de diagnostic, appelée fonction de traitement des défauts, alors que le canal fonctionnel continue de fonctionner. La Fonction de Traitement des Défauts comprend à la fois la fonction de diagnostic des défauts et la fonction de réaction au défaut.

Architecture de sous-système de base C avec traitement des défauts réalisé par le SCS

Il s’agit de la situation la plus simple, puisque les fonctions de diagnostic et de réaction au défaut (équivalentes au TE et à l’OTE dans la norme ISO 13849-1) font déjà partie de la fonction de sécurité. La fonction de traitement des défauts est entièrement réalisée par un sous-système distinct du SCS, qui participe également à l’exécution de la fonction de sécurité et contribue donc à son PFH.

Autrement dit, dans ce cas, nous pouvons ignorer la fiabilité du canal de surveillance, puisque celle-ci est déjà prise en compte lors du calcul de la fiabilité du canal fonctionnel.

external fault handling function

Cela pourrait être le cas où un système de commande lié à la sécurité surveille si un contacteur de moteur s’est ouvert et, en cas de défaillance, désénergise un autre contacteur faisant partie d’une autre fonction de sécurité.

Si l’on considère un sous-système C, composé de n éléments numérotés de 1 à n, le PFH est donné par la formule suivante :

Comme on peut le constater, la fiabilité de la fonction de traitement des défauts (ou fonction de surveillance) n’apparaît pas dans la formule. Il s’agit de la même formule que celle utilisée dans la première édition de la norme.

Architecture de sous-système de base C avec traitement des défauts mixte

Il s’agit de tous les cas où la fiabilité du canal de surveillance, ou plus précisément de la fonction de traitement des défauts, se situe en dehors de la fonction de sécurité. Afin de calculer le PFH de cette architecture, un nouveau taux de défaillance doit être introduit : il est appelé le taux de défaillance de la Fonction de Traitement des Défauts, ou λD-FH.

Un modèle de Markov a été utilisé pour obtenir les différentes formules du PFH.

Il existe trois situations possibles:

  1. Le sous-système C dispose d’un diagnostic de défaut externe (TE), mais l’élément qui réalise la réaction au défaut (qui correspondrait à l’OTE dans la catégorie 2 de la norme ISO 13849-1) est interne au sous-système

Dans ce cas, le taux de défaillance de la fonction de traitement des défauts comprend uniquement la fonction de réaction au défaut.

Cela signifie que λD-FH= λD-FR

Le taux de défaillance de la Fonction de Diagnostic des défauts n’est pas pris en compte, puisqu’il est déjà considéré lors du calcul de la fiabilité du canal fonctionnel.

External fault Reaction

2. Le sous-système C dispose d’une Réaction au Défaut externe (OTE), tandis que le Diagnostic des Défauts (TE) est réalisé en interne au sous-système.

Dans ce cas, le taux de défaillance de la fonction de traitement des défauts comprend uniquement la fonction de diagnostic des défauts.

Cela signifie que λD-FH= λD-FD

Le taux de défaillance de la fonction de réaction au défaut n’est pas pris en compte, puisqu’il est déjà considéré lors du calcul de la fiabilité du canal fonctionnel.

3. Le sous-système C possède à la fois le Diagnostic des Défauts et la Réaction au Défaut en interne au sous-système.

Dans ce cas, le taux de défaillance de la fonction de traitement des défauts comprend à la fois la fonction de diagnostic des défauts et la fonction de réaction au défaut.

Cela signifie que λD-FH = λD-FD + λD-FR

PFH dans le cas où les quatre conditions sont satisfaites

Dans les trois cas précédemment décrits, il existe une équation simple qui peut être utilisée pour calculer la valeur du PFH, à condition que toutes les conditions suivantes soient satisfaites:

 

  1. β ≤ 2 %;
  2. DC ≤ 99 %;
  3. 1/λDe  ≤ 1.000 years;
  4. 1/ λD-FH présente au moins la valeur minimale indiquée dans le tableau 7.9 {7.2.4.1};

Où λD-FH est le taux de défaillance de l’élément unique qui réalise la fonction de traitement des défauts au sein du sous-système.

L’équation est la suivante:

Si le canal fonctionnel comporte plus d’un élément, le DC correspondant est calculé à l’aide de la formule suivante.

PFH dans le cas où l’une des quatre conditions n’est pas satisfaite

Si l’une des quatre conditions ci-dessus n’est pas satisfaite, la formule simplifiée ne peut pas être utilisée, car elle pourrait donner une valeur de PFH plus faible et donc indiquer une fiabilité plus élevée que celle réelle.
Si le canal fonctionnel est constitué d’un seul élément et que la fonction de traitement des défauts, au sein du sous-système, est réalisée par un autre élément unique, l’équation suivante peut être utilisée:

Où:

  • T1 est l’intervalle de test de preuve correspondant à un test de preuve parfait ou à la durée de vie utile, selon la plus petite des deux valeurs.
  • 𝜆De est le taux de défaillance dangereuse de l’élément unique du canal fonctionnel.
  • 𝜆D-FH est le taux de défaillance de l’élément unique qui réalise la ou les fonctions de traitement des défauts au sein du sous-système;
  • DC est la couverture de diagnostic pour l’élément unique e du canal fonctionnel;
  • β est la susceptibilité aux défaillances de cause commune entre le canal fonctionnel et le canal qui réalise la ou les fonctions de traitement des défauts au sein du sous-système.

La même équation peut également être utilisée même si les quatre conditions mentionnées ci-dessus sont satisfaites : il s’agit de la formule générale pour l’architecture C, qui est toujours valable.

On peut remarquer que, dans le cas où le taux de défaillance dangereuse de la ou des fonctions de traitement des défauts au sein du sous-système peut être supposé nul (𝜆D-FH = 0), l’équation devient identique à celle du § 7.2.6.1. La raison est évidente: le canal de surveillance est supposé avoir une fiabilité très élevée.

Veuillez noter que la formule générale peut également être utilisée même si la fiabilité de la fonction de traitement des défauts est inférieure à celle requise par le tableau 2.

Implications des contraintes architecturales dans l’architecture de sous-système de base C

Les sous-systèmes d’architecture C possèdent une HFT = 0. Cela signifie que, sur la base du SFF, un niveau maximal SIL 3 peut être atteint. Cependant, il est important de vérifier qu’au moins l’une des conditions suivantes est satisfaite:

  • la somme de l’intervalle de test de diagnostic et du temps nécessaire pour exécuter la fonction de réaction au défaut spécifiée afin d’atteindre ou de maintenir un état sûr doit être inférieure au temps de sécurité du procédé (voir par exemple ISO 13855) ;
  • ou le rapport entre le taux de test de diagnostic et le taux de demande doit être égal ou supérieur à 100. Cette dernière condition aligne l’architecture 1oo1D avec la catégorie 2.

Par conséquent, un sous-système à canal unique surveillé (1oo1D) pour lequel aucune de ces deux conditions n’est satisfaite doit être considéré comme une architecture de sous-système de base A (1oo1) ; se référer au tableau 7.8.

Le tableau 3 est applicable. Normalement SFF < 99 %, car SFF ≥ 99 % n’est possible que lorsqu’il existe une surveillance continue du bon fonctionnement de l’élément : typiquement, seule la technologie électronique permet cela.

Table 3: Architectural constraints on a subsystem: Maximum SIL that can be claimed for an SCS

Exemple d’une architecture de base de sous-système C

Considérons le sous-système de sortie tel qu’illustré à la Figure 7. KP possède un B10 = 106 avec 73% de défaillances dangereuses. U< possède un B B10 = 4·105. Le temps de mission du contacteur et de la bobine de sous-tension est de 20 ans.

On suppose que KP s’ouvre deux fois par minute, tandis que U< est supposé s’ouvrir une fois par mois.

Concentrons-nous maintenant sur le calcul de la probabilité de défaillances aléatoires.

  1. La première étape consiste à calculer 𝜆D du contacteur KP. Nous supposons que la machine fonctionne 240 jours par an et huit heures par jour.

2. La deuxième étape consiste à calculer T1 and β.

T1= min (durée de vie utile ; test de preuve) ;

Durée de vie utile = min (temps de mission; T10D);

Temps de mission = 20 ans.

Durée de vie utile = min (20 ans; 5,9 ans) à Durée de vie utile = 5,9 ans;

 

Test de Preuve > 20 ans

T1 = min (5,9 ans; > 20 ans) àT1 = 5,9 ans = 52 560 heures;

Sur la base des critères de défaillances de cause commune (CCF) listés dans l’Annexe E de la norme, on peut supposer β = 0,02.

 

3. La troisième étape consiste à déterminer la couverture diagnostique. Étant donné qu’il s’agit d’un canal unique avec un élément de test qui surveille directement l’état de KP, nous supposons DC = SFF = 90%.

Maintenant, nous devons vérifier que la valeur 𝜆D-FH du canal de test n’est pas inférieure à celle spécifiée dans le Tableau 2. Dans ce cas, le canal fonctionnel et le canal de test ont le PLC de sécurité en commun ; en d’autres termes, nous sommes dans la situation de la Figure 4 : Diagnostic de défaut externe (External Fault Diagnostic).

La réaction au défaut (la bobine de sous-tension) est considérée comme faisant partie du sous-système de sortie, tandis que le traitement du défaut ne l’est pas, puisque sa fiabilité est déjà prise en compte dans le calcul de fiabilité du canal fonctionnel, qui inclut la logique de sécurité.

Pour cette raison, seul le taux de défaillance de la bobine de sous-tension est important pour 𝜆D-FH.

U< n’est utilisé que lorsqu’un défaut est détecté, une fois par mois:

Puisque nous revendiquons une DC de 90 %, sur la base du Tableau 2, la valeur minimale de  est 1200.

Dans ce cas ; est largement supérieur à la valeur requise dans le Tableau 2 : la condition est satisfaite.

4. La quatrième étape consiste à déterminer la couverture diagnostique. Étant donné qu’il s’agit d’un canal unique avec un élément de test qui surveille directement l’état de KP, nous supposons DC = SFF = 90%.

5. La dernière étape consiste à calculer le PFH.

Toutes les conditions suivantes sont satisfaites :

  • β ≤ 2 %;
  • DC ≤ 99 %;
  • 1/ 𝜆𝐷𝑒 =1/ 𝜆𝐷KP = 1/1,92 x 10-6 8760 = 59,5 < 1.000 years;
  • 1/ 𝜆D-FH =1/ 𝜆DFR =1/ 𝜆DU< = 333 333 > 1200 years;

Par conséquent, l’équation simplifiée peut être utilisée.

Avec un SFF = 90 % et un HFT = 0, le niveau SIL est limité à SIL 2 par les contraintes architecturales.

Avec un SFF = 90 % et un HFT = 0, le niveau SIL est limité à SIL 2 par les contraintes architecturales.

Le sous-système de sécurité atteint le niveau SIL 2 et présente un PFH = 1,92 10-7

Relire depuis le début

Index

Approfondissements articles tuttomisure P1 : Données de fiabilité des composants utilisés dans les systèmes de sécurité P2: La fraction de défaillance sûre (SFF) : qu'est-ce que c'est et comment l'utiliser. P3: Considérations sur Safe Failure Fraction (SFF) en cas de forte et de faible demande P4: Sécurité Fonctionel – Calcul du PFD P5: Sécurité Fonctionnel – Calcul de la fiabilité d'un système de sécurité en Faible Demande P6: fréquence moyenne de défaillance dangereuse par heure (PFH) P7: La Sécurité Fonctionnelle du fonctionnement en mode de forte sollicitation : Les Catégories de la norme ISO 13849-1 P8: La sécurité fonctionnelle en mode de forte sollicitation : Catégories B, 1 et 2 de la norme EN ISO 13849-1 P9: Comparaison entre les modèles RBD et Markov pour l’analyse des Systèmes Instrumentés de Sécurité P10 : Sécurité fonctionnelle en haute demande : le modèle de Markov de la Catégorie 2 selon l’ISO 13849-1 P11: Sécurité fonctionnelle en mode de forte demande : les Catégories 3 et 4 selon l’ISO 13849-1 P12: La sécurité fonctionnelle en forte demande : introduction à la norme IEC 62061 P13: Sécurité fonctionnelle en mode de forte demande: IEC 62061 et les Architectures P14: Sécurité fonctionnelle en forte demande : IEC 62061 et architectures, Partie 2