Dernière modification: 19/08/2025
Nous rappelons qu’il existe quatre types de défaillances :
- Les défaillances sûres ;
- Les défaillances dangereuses ;
- Défaillances sans effet ; et
- Les défaillances de pièce ;
Une défaillance sûre est la défaillance d’un élément, à l’intérieur d’un composant qui joue un rôle dans la mise en œuvre d’une fonction de sécurité, qui entraîne un fonctionnement erroné de la fonction de sécurité. Cela signifie qu’elle place la machine dans un état sûr (elle génère un arrêt d’urgence de la machine, par exemple). Un exemple de défaillance sûre pour un contacteur de puissance est lorsque, bien que la bobine du contacteur soit alimentée, la bobine elle-même présente une défaillance et que les contacts de puissance s’ouvrent.
Une défaillance dangereuse est la défaillance d’un élément, à l’intérieur d’un composant qui joue un rôle dans la mise en œuvre d’une fonction de sécurité, qui empêche la fonction de sécurité de fonctionner lorsque cela est nécessaire, de sorte que la machine se retrouve dans un état dangereux ou potentiellement dangereux. Un exemple de défaillance dangereuse pour un contacteur de puissance est le cas où, bien que la bobine du contacteur ait été mise hors tension, les contacts de puissance ne s’ouvrent pas et le mouvement dangereux se poursuit.
Défaillance sans effet : défaillance d’un élément, à l’intérieur d’un composant, qui joue un rôle dans la mise en œuvre d’une fonction de sécurité, mais qui n’a pas d’effet direct sur la fonction de sécurité elle-même. Un exemple de défaillance sans effet pour un contacteur de puissance est le fait qu’il ne se ferme pas une fois que la fonction de sécurité est réinitialisée. Cela signifie, par exemple, que la porte d’une cellule robotisée est fermée, que le système de sécurité est réinitialisé mais que le robot ne démarre pas. Cette défaillance n’a aucune importance pour la fonction de sécurité et n’a d’influence que sur la disponibilité du robot, mais pas sur sa sécurité.
La fraction de défaillaince sûre (SFF)
La fraction de défaillance sûre (SFF) a été introduite dans la première édition de la norme IEC 61508 en tant que mesure utilisée pour déterminer le niveau minimum de redondance, ou mieux, de tolérance aux défaillances matérielles (HFT), d’un sous-système de sécurité.
La SFF peut être définie comme une propriété d’un composant de sécurité, tel qu’un transmetteur de pression, qui est définie par le rapport entre les taux de défaillance moyens des défaillances détectées sûres et dangereuses et les défaillances sûres et dangereuses. Ce rapport est représenté par l’équation suivante :
SFF= (λs+λdd) / (λs+λd)
Le SFF est la proportion de défaillances « sûres » parmi toutes les défaillances : il convient de noter que ni les défaillances sans effet ni les défaillances sans pièce ne sont prises en compte. Une défaillance « sûre » est soit une défaillance sûre par conception, soit une défaillance dangereuse immédiatement détectée et corrigée. Les normes CEI définissent une défaillance sûre comme une défaillance qui n’a pas le potentiel de mettre le SIS dans un état dangereux ou de non-fonctionnement. Une défaillance dangereuse détectée est une défaillance qui peut empêcher le SIS d’effectuer un SIF spécific, mais lorsqu’elle est détectée peu après son apparition, par exemple par des diagnostics en ligne, la défaillance est considérée comme « sûre » puisque les diagnostics peuvent ramener le système à un état sûr. Dans certains cas, le SIS peut répondre automatiquement à une défaillance dangereuse détectée comme s’il s’agissait d’une véritable demande, par exemple en provoquant l’arrêt du processus [68].
De nombreux dispositifs de sécurité électroniques sont dotés de diagnostics intégrés, de sorte que la plupart des défaillances dangereuses deviennent des défaillances détectées comme dangereuses et qu’ils ont donc un SFF élevé, souvent supérieur à 90 %. Les dispositifs de sécurité mécaniques, pour lesquels les diagnostics internes ne sont pas réalisables, auront, en général, une faible SFF.
Exemple de SFF pour un transmetteur de pression utilisé dans des applications de sécurité
Voici un exemple de taux de défaillance d’un transmetteur de pression qui peut être utilisé dans un système de sécurité instrumenté.
Le SFF est le suivant :
SFF = (λs+λdd)/(λs+λd ) = (184+280) / (184+280+36) = 464 / 500 = 92,8%.
Le certificat du transmetteur de pression (ABB 2600T, modèle 261) indique qu’il s’agit d’un composant de type B et qu’il possède une capacité systématique SC 2.
Pour comprendre la signification de ce qui précède, il faut tout d’abord introduire la différence entre les défaillances aléatoires et les défaillances systématiques ; il faut ensuite bien comprendre la différence entre un composant de type A et un composant de type B et ce que signifie la route 1H.
Pannes aléatoires, pannes systématiques et capacité systématique
En sécurité fonctionnelle, les défaillances sont classées comme aléatoires (au niveau du matériel) ou systématiques (au niveau du matériel ou du logiciel).
Les pannes aléatoires sont généralement attribuées au matériel. Il s’agit de pannes survenant à un moment aléatoire, entraînant une dégradation de la capacité du composant à remplir sa fonction. Sur la base des données historiques, les pannes aléatoires peuvent être caractérisées par un paramètre appelé taux de panne λ , que nous avons abordé précédemment. Autrement dit, une panne matérielle aléatoire ne concerne que l’équipement ; les pannes aléatoires peuvent survenir soudainement, sans avertissement, ou résulter d’une lente détérioration au fil du temps. Ces pannes peuvent être caractérisées par un seul paramètre de fiabilité, le taux de panne du composant, qui peut être contrôlé et géré à l’aide d’un programme d’intégrité des actifs.
Les défaillances systématiques sont essentiellement dues à des erreurs. Elles ne peuvent être éliminées que par une modification de la conception, du procédé de fabrication, des procédures opérationnelles ou d’autres facteurs pertinents. Parmi les causes de défaillances systématiques, on peut citer les erreurs humaines lors de la conception, de la fabrication, de l’installation et de l’exploitation du matériel. Si, par exemple , un produit est utilisé dans un environnement inapproprié, le risque de défaillances systématiques existe. Une défaillance systématique implique à la fois l’équipement et une erreur humaine ; les défaillances systématiques existent dès le moment où l’erreur humaine est commise et persistent jusqu’à sa correction. Une défaillance systématique peut être éliminée après avoir été détectée, contrairement aux défaillances matérielles aléatoires.
Les pannes sont donc soit aléatoires, soit systématiques ; ces dernières peuvent être cachées dans le matériel ou dans le logiciel. Une différence majeure entre les pannes matérielles aléatoires et les pannes systématiques réside dans le fait que les taux de pannes système (ou autres mesures appropriées) résultant de pannes matérielles aléatoires peuvent être prédits avec une précision raisonnable, tandis que les pannes systématiques, de par leur nature même, ne peuvent pas être prédites avec précision. Cela signifie que les taux de pannes système résultant de pannes matérielles aléatoires peuvent être quantifiés avec une précision raisonnable, tandis que ceux résultant de pannes systématiques ne peuvent être quantifiés statistiquement, car les événements qui les ont provoquées sont difficiles à prédire. En d’autres termes, les paramètres de fiabilité des pannes matérielles aléatoires peuvent être estimés à partir des retours d’expérience sur le terrain, alors qu’il est très difficile de faire de même pour les pannes systématiques : une approche qualitative est privilégiée pour les pannes systématiques.
Les défaillances aléatoires sont prises en compte dans le calcul des différents types de taux de défaillance. Pour les défaillances systématiques, le concept de capacité systématique d’un composant est utilisé.
La capacité systématique d’un composant est une mesure (exprimée sur une échelle de SC 1 à SC 4 ) de la confiance que l’intégrité de sécurité systématique du composant répond aux exigences du niveau SIL spécifié. En d’autres termes, un composant avec une capacité systématique SC 2 ne peut être utilisé que dans des systèmes instrumentés de sécurité dont la fiabilité atteint jusqu’à SIL 2, quel que soit le niveau de redondance utilisé pour ce composant. Cela signifie que si un composant a un SC 1 (SIL 1), même en utilisant deux composants en parallèle, le niveau de fiabilité maximal que ce sous-système peut atteindre est SIL 1.
Afin d’évaluer la capacité systématique d’un composant, le laboratoire qui l’évalue examine, par exemple, la qualité de son processus de développement ainsi que celle de son processus de production.
Le concept de capacité systématique a été introduit dans la deuxième édition de la norme CEI 61508. Comme ce terme n’était pas présent dans la première édition, des termes tels que « composant capable SIL n » ou « composant conforme SIL n » sont apparus dans les fiches techniques et les documents, ce qui a créé une confusion ! Cette confusion provient du fait que, grâce au concept d’intégrité systématique de la sécurité, il est possible d’attribuer un niveau SIL à un composant . Ceci est inhabituel, car le concept SIL appartient à une fonction de sécurité et non à un composant.
La nouvelle édition de la série CEI 61508 a clarifié ce point : un dispositif présentant une capacité systématique de SIL 2 (SC 2), par exemple, satisfait à l’ intégrité de sécurité systématique de SIL 2 lorsqu’il est utilisé conformément aux instructions de son fabricant. Cela signifie que, même si les taux de défaillance et le SFF permettent au composant d’atteindre SIL 3, il ne peut être utilisé que dans un sous-système de sécurité SIL 2. Cela signifie également que, même s’il est utilisé en redondance avec un autre composant et que, ensemble, leur sous-système peut atteindre SIL 3, le système de sécurité ne peut atteindre que SIL 2.
Encore une fois, l’intégrité de sécurité désigne à la fois l’intégrité matérielle et l’intégrité systématique de la sécurité . Les défaillances systématiques (matérielles ou logicielles), et par conséquent l’intégrité systématique de la sécurité, ne peuvent être quantifiées. En revanche, les défaillances matérielles aléatoires le peuvent généralement.
Un système de contrôle de sécurité nécessite un certain niveau d’intégrité de sécurité pour être « fiable » ou, en d’autres termes, pour être « immunisé » contre les défaillances systématiques et aléatoires .
Les défaillances aléatoires matérielles sont quantifiables et prises en compte grâce aux valeurs fournies par le fabricant du composant, telles que les taux de défaillance, le MTTF D et le PFH D. La question est de savoir comment gérer les défaillances systématiques. Cela se fait en garantissant un certain niveau de capacité systématique , selon la terminologie utilisée dans la norme CEI 61508. La capacité systématique s’applique à un composant de sécurité en ce qui concerne la confiance que l’ intégrité de sécurité systématique répond aux exigences du niveau d’intégrité de sécurité (SIL) spécifié .
Composants de type A et de type B
Les composants utilisés dans une fonction de sécurité peuvent être classés comme de type A ou de type B.
Selon la norme CEI 61508-2, un composant peut être considéré comme de type A si
- les modes de défaillance de tous les composants constitutifs sont bien définis ; et
- le comportement de l’élément dans des conditions de défaut peut être complètement déterminé ; et
- il existe suffisamment de données fiables sur les défaillances pour démontrer que les taux de défaillance revendiqués pour les défaillances dangereuses détectées et non détectées sont respectés.
Les dispositifs de verrouillage électromécaniques sont des exemples de composants de type A.
Un composant peut être considéré comme de type B si
- le mode de défaillance d’au moins un composant constitutif n’est pas bien défini ; ou
- le comportement de l’élément dans des conditions de défaut ne peut pas être complètement déterminé ; ou
- il n’existe pas suffisamment de données fiables sur les défaillances pour étayer les affirmations concernant les taux de défaillance des défaillances dangereuses détectées et non détectées.
Un transmetteur 4-20 mA est normalement un composant de type B.
Route 1H
Les composants utilisés dans une fonction de sécurité peuvent être classés comme de type A ou de type B.
Selon la norme CEI 61508-2, un composant peut être considéré comme de type A si
- les modes de défaillance de tous les composants constitutifs sont bien définis ; et
- le comportement de l’élément dans des conditions de défaut peut être complètement déterminé ; et
- il existe suffisamment de données fiables sur les défaillances pour démontrer que les taux de défaillance revendiqués pour les défaillances dangereuses détectées et non détectées sont respectés.
Les dispositifs de verrouillage électromécaniques sont des exemples de composants de type A.
Un composant peut être considéré comme de type B si
- le mode de défaillance d’au moins un composant constitutif n’est pas bien défini ; ou
- le comportement de l’élément dans des conditions de défaut ne peut pas être complètement déterminé ; ou
- il n’existe pas suffisamment de données fiables sur les défaillances pour étayer les affirmations concernant les taux de défaillance des défaillances dangereuses détectées et non détectées.
Un transmetteur 4-20 mA est normalement un composant de type B.
Route 1 H
Historiquement, c’était la seule façon de déterminer le niveau de sécurité (SIL) maximal pouvant être revendiqué par une fonction de sécurité. Voici la procédure à suivre conformément à la norme CEI 61508-2, § 7.4.4.2.
- Diviser le système lié à la sécurité en sous-systèmes ;
- Pour chaque sous-système, calculer le taux de défaillance sûr pour tous les éléments du sous-système séparément. En cas de configurations d’éléments redondants, le taux de défaillance sûr peut être calculé en tenant compte des diagnostics supplémentaires éventuellement disponibles (par exemple, par comparaison des éléments redondants) ;
- Pour chaque élément, utilisez la fraction de défaillance sûre obtenue et la tolérance aux pannes matérielles de 0 pour déterminer le niveau d’intégrité de sécurité maximal qui peut être revendiqué à partir de la colonne 2 du tableau 2 de la norme CEI 61502-2 pour les éléments de type A ; dans le cas des éléments de type B , le tableau 3 de la norme CEI 61502-2 doit être utilisé ;
- Le niveau d’intégrité de sécurité maximal qui peut être revendiqué pour un système E/E/PE lié à la sécurité doit être déterminé par le sous-système qui a atteint le niveau d’intégrité de sécurité le plus bas .
Pour une Route 1 H , chaque composant de sécurité doit avoir tous les taux de défaillance provenant d’une analyse FMEDA .
| Fraction de défaillance sûre d’un élément | Tolérance aux pannes matérielles | ||
| 0 | 1 | 2 | |
| SFF < 60 % | SIL 1 | SIL 2 | SIL 3 |
| 60 % ≤ SFF < 90 % | SIL 2 | SIL 3 | SIL 4 |
| 90 % ≤ SFF < 99 % | SIL 3 | SIL 4 | SIL 4 |
| SFF ≥ 99 % | SIL 3 | SIL 4 | SIL 4 |
Tableau 2 de la norme CEI 61508-2 : Niveau d’intégrité de sécurité maximal admissible pour une fonction de sécurité exécutée par un élément ou un sous-système de type A relatif à la sécurité
| Fraction de défaillance sûre d’un élément | Tolérance aux pannes matérielles | ||
| 0 | 1 | 2 | |
| SFF < 60 % | Non autorisé | SIL 1 | SIL 2 |
| 60 % ≤ SFF < 90 % | SIL 1 | SIL 2 | SIL 3 |
| 90 % ≤ SFF < 99 % | SIL 2 | SIL 3 | SIL 4 |
| SFF ≥ 99 % | SIL 3 | SIL 4 | SIL 4 |
Tableau 3 de la norme CEI 61508-2 : Niveau d’intégrité de sécurité maximal admissible pour une fonction de sécurité exécutée par un élément ou un sous-système de type B lié à la sécurité.
Le concept de tolérance aux pannes matérielles (HFT) est utilisé dans la série CEI 61508 pour indiquer la capacité d’un sous-système matériel à continuer d’exécuter une fonction requise, en présence de pannes ou d’erreurs. La HFT est exprimée sous forme de chiffre. HFT = 0 signifie qu’en cas de panne, la fonction (par exemple, une mesure de pression) est perdue. HFT = 1 signifie que si une voie tombe en panne, une autre voie est capable d’exécuter la même fonction : autrement dit, le sous-système peut tolérer une panne et continuer à fonctionner. Un sous-système de trois voies, dont la valeur est 2oo3, fonctionne tant que deux de ses trois voies fonctionnent. Cela signifie que le sous-système peut tolérer une panne de voie et continuer à fonctionner normalement. La tolérance aux pannes matérielles du groupe 2oo3 est donc HFT = 1. La figure 1 illustre un sous-système d’entrée avec HFT = 1 : I1 et I2 pourraient être deux transmetteurs de pression identiques.
Figure 1 : Sous-fonction de sécurité d’entrée HFT=1
Conclusions
Dans cet article, nous avons expliqué la méthodologie utilisée pour les composants des systèmes instrumentés de sécurité en mode faible demande.
Un composant peut avoir un pourcentage de taux de défaillance très faible , mais cela ne signifie pas qu’il peut atteindre un niveau de fiabilité élevé lorsqu’il est installé dans un système de sécurité.
La valeur des défaillances aléatoires n’est qu’un aspect à prendre en compte. L’autre est le risque que le composant (un transmetteur de pression dans cet article) soit sujet à des défaillances systématiques en raison d’une conception, d’une ingénierie et d’une production inadéquates, ou d’une maintenance inadéquate. Le niveau de capacité systématique d’un composant est formalisé en niveaux allant de SC 1 à SC 4.
Nous avons discuté de ce qu’est un composant de type A ou de type B et de la manière dont cela limite le SIL maximum qu’un sous-système contenant ce composant peut atteindre, en examinant ses défaillances aléatoires et son niveau SFF.
Dans tous les cas, si un composant a une capacité systématique de SC 2, le niveau SIL maximal qui peut être atteint par son sous-système est SIL 2, quel que soit le nombre d’entre eux que nous connectons en parallèle ou la valeur moyenne PFD atteinte par le sous-système.