P2: La fraction de défaillance sûre (SFF) : qu'est-ce que c'est et comment l'utiliser.

Nous rappelons qu’il existe quatre types de défaillances :

• Les défaillances sûres ;
• Les défaillances dangereuses ;
• Défaillances sans effet ; et
• Les défaillances de pièce ;

Une défaillance sûre est la défaillance d’un élément, à l’intérieur d’un composant qui joue un rôle dans la mise en œuvre d’une fonction de sécurité, qui entraîne un fonctionnement erroné de la fonction de sécurité. Cela signifie qu’elle place la machine dans un état sûr (elle génère un arrêt d’urgence de la machine, par exemple). Un exemple de défaillance sûre pour un contacteur de puissance est lorsque, bien que la bobine du contacteur soit alimentée, la bobine elle-même présente une défaillance et que les contacts de puissance s’ouvrent.

Une défaillance dangereuse est la défaillance d’un élément, à l’intérieur d’un composant qui joue un rôle dans la mise en œuvre d’une fonction de sécurité, qui empêche la fonction de sécurité de fonctionner lorsque cela est nécessaire, de sorte que la machine se retrouve dans un état dangereux ou potentiellement dangereux. Un exemple de défaillance dangereuse pour un contacteur de puissance est le cas où, bien que la bobine du contacteur ait été mise hors tension, les contacts de puissance ne s’ouvrent pas et le mouvement dangereux se poursuit.

Défaillance sans effet : défaillance d’un élément, à l’intérieur d’un composant, qui joue un rôle dans la mise en œuvre d’une fonction de sécurité, mais qui n’a pas d’effet direct sur la fonction de sécurité elle-même. Un exemple de défaillance sans effet pour un contacteur de puissance est le fait qu’il ne se ferme pas une fois que la fonction de sécurité est réinitialisée. Cela signifie, par exemple, que la porte d’une cellule robotisée est fermée, que le système de sécurité est réinitialisé mais que le robot ne démarre pas. Cette défaillance n’a aucune importance pour la fonction de sécurité et n’a d’influence que sur la disponibilité du robot, mais pas sur sa sécurité.

La fraction de défaillance sûre (SFF) a été introduite dans la première édition de la norme IEC 61508 en tant que mesure utilisée pour déterminer le niveau minimum de redondance, ou mieux, de tolérance aux défaillances matérielles (HFT), d’un sous-système de sécurité.

La SFF peut être définie comme une propriété d’un composant de sécurité, tel qu’un transmetteur de pression, qui est définie par le rapport entre les taux de défaillance moyens des défaillances détectées sûres et dangereuses et les défaillances sûres et dangereuses. Ce rapport est représenté par l’équation suivante :

SFF= (λs+λdd) / (λs+λd)

Le SFF est la proportion de défaillances « sûres » parmi toutes les défaillances : il convient de noter que ni les défaillances sans effet ni les défaillances sans pièce ne sont prises en compte. Une défaillance « sûre » est soit une défaillance sûre par conception, soit une défaillance dangereuse immédiatement détectée et corrigée. Les normes CEI définissent une défaillance sûre comme une défaillance qui n’a pas le potentiel de mettre le SIS dans un état dangereux ou de non-fonctionnement. Une défaillance dangereuse détectée est une défaillance qui peut empêcher le SIS d’effectuer un SIF spécific, mais lorsqu’elle est détectée peu après son apparition, par exemple par des diagnostics en ligne, la défaillance est considérée comme « sûre » puisque les diagnostics peuvent ramener le système à un état sûr. Dans certains cas, le SIS peut répondre automatiquement à une défaillance dangereuse détectée comme s’il s’agissait d’une véritable demande, par exemple en provoquant l’arrêt du processus [68].

De nombreux dispositifs de sécurité électroniques sont dotés de diagnostics intégrés, de sorte que la plupart des défaillances dangereuses deviennent des défaillances détectées comme dangereuses et qu’ils ont donc un SFF élevé, souvent supérieur à 90 %. Les dispositifs de sécurité mécaniques, pour lesquels les diagnostics internes ne sont pas réalisables, auront, en général, une faible SFF.

Le SFF est le suivant :
SFF = (λs+λdd)/(λs+λd ) = (184+280) / (184+280+36) = 464 / 500 = 92,8%.
Le certificat du transmetteur de pression (ABB 2600T, modèle 261) indique qu’il s’agit d’un composant de type B et qu’il possède une capacité systématique SC 2.
Pour comprendre la signification de ce qui précède, il faut tout d’abord introduire la différence entre les défaillances aléatoires et les défaillances systématiques ; il faut ensuite bien comprendre la différence entre un composant de type A et un composant de type B et ce que signifie la route 1H.