Limites du paramètre SFF

Accueil » À étudier » Sécurité des procédés » P3: Considérations sur Safe Failure Fraction (SFF) en cas de forte et de faible demande » Limites du paramètre SFF

Dernière modification: 03/07/2023

Une autre question est liée à l’utilisation du paramètre SFF. Si l’on considère la définition du SFF, la sécurité d’un composant peut être améliorée en abaissant le taux de défaillance dangereuse et en augmentant le taux de défaillance sûre, en supposant que le taux de défaillance total du composant ne change pas.

La situation suivante peut donc se produire : un fabricant de composants a conçu et développé un produit dont le taux de défaillance dangereuse est estimé à 2·10-8, alors que le taux de défaillance sûre est estimé à 50 %. L’entreprise modifie la conception afin d’augmenter le nombre de défaillances sûres et/ou de défaillances dangereuses détectées, mais le composant modifié n’assurera pas plus de sécurité et entraînera des pertes économiques pour l’utilisateur, car son processus sera soumis à davantage de déclenchements intempestifs.

Par conséquent, une SFF élevée indique-t-elle une conception plus sûre ? Les experts en fiabilité, les intégrateurs de systèmes et les utilisateurs finaux ont mis en doute la pertinence de la SFF en tant qu’indicateur d’une conception sûre. En effet, les défaillances sûres ne sont pas toujours positives pour la sécurité, car les déclenchements intempestifs peuvent créer d’autres situations dangereuses pendant l’autorisation d’arrêt et le redémarrage du processus. En outre, le SFF peut créditer du matériel inutile, puisqu’il accorde du crédit à un taux élevé de défaillances « sûres » et que, pour les producteurs, c’est un avantage commercial de revendiquer un SFF élevé. Avec un SFF élevé, les composants peuvent être utilisés dans des configurations à faible HFT, ce qui signifie plus d’affaires pour le fabricant de composants.

À titre d’exemple, considérons les deux composants suivants utilisés dans un sous-système HFT = 0 en mode haute demande (IEC 62061).

Composant 1 :

  • λDU = 50 FIT
  • λDD = 0 FIT
  • λS = 0 FIT
  • SFF = 0
  • PFHD = 50 FIT
  • SIL maximal atteignable : SIL 1

Composant 2 :

  • λDU = 50 FIT
  • λDD = 3950 FIT
  • λS = 1000 FIT
  • SFF = 99%
  • PFHD = 50 FIT
  • SIL maximal atteignable : SIL 3

En d’autres termes, les deux composants ont le même  PFHD ; l’un est « intrinsèquement sûr » et ne présente aucune défaillance dangereuse. Le second a un taux de défaillance total beaucoup plus élevé, mais a une très grande capacité à détecter les défaillances dangereuses ; en outre, il a un certain nombre de défaillances sûres.

Le second composant, bien qu’ayant la même probabilité moyenne de défaillance dangereuse par heure que le premier, peut être utilisé jusqu’à SIL 3, uniquement parce qu’il a un grand nombre de « défaillances sûres » (DD et S).

Encore une fois, c’est la raison pour laquelle, dans la deuxième édition de la IEC 61508, le concept de défaillances sans effet a été introduit : pour éviter la surestimation des défaillances sûres.

Index

P3: Considérations sur Safe Failure Fraction (SFF) en cas de forte et de faible demande Route 2H Limites du paramètre SFF Taux de défaillance des composants électromécaniques Contacteurs de puissance SIL 2 La valeur du diagnostic Conclusion

Cœur de compétence

Sécurité des Machines Directive Machine Sécurité Fonctionnelle Sécurité des procédés Sécurité Electrique Marquage CE des fours à gaz Risque ATEX Conformité aux normes UL et CSA