Dernière modification: 31/05/2025
Un système de sécurité doit être fiable, mais combien de défaillances faut-il prendre en considération ? Un système redondant peut être conçu avec deux capteurs et deux éléments finaux redondants, mais en cas de deux défaillances, nous sommes dans le pétrin !
En matière de sécurité des machines, pourquoi la fiabilité architecturale maximale est-elle généralement obtenue grâce à des sous-systèmes à canaux redondants (1oo2D) ? Et pourquoi une architecture 1oo3D n’est-elle pas requise pour atteindre le niveau SIL 3 ou PL e dans ce contexte ?
En général, les critères de défaillance suivants doivent être pris en compte :
- Si, à cause d’une défaillance, d’autres composants tombent en panne, la première défaillance et toutes les suivantes sont considérées comme une seule et même défaillance (appelée défaillance dépendante).
- Deux ou plusieurs défaillances distinctes, ayant une cause commune, sont considérées comme une seule et même défaillance. Cette situation est analysée en détail au point 3.6.
- L’apparition simultanée de deux ou plusieurs défauts ayant des causes distinctes est considérée comme hautement improbable et ne doit donc pas être prise en compte ([ISO 13849-1] 6.1.10.2 Prise en compte des défauts).
Cela signifie que, dans les machines, en raison de l’avantage d’avoir, la plupart du temps, un mode de fonctionnement à forte demande, une seule défaillance indépendante doit être prise en compte. Deux défaillances sont considérées comme très improbables entre deux demandes de la fonction de sécurité. L’hypothèse devient moins viable dans le cas de demandes peu fréquentes par an ou dans le cas d’un système de sécurité en mode de faible demande.