Dernière modification: 06/08/2025
La norme IEC 62061 reste connectée à l’approche IEC 61508 appelée Route 1 H.
En mode faible demande , les composants sont classés en type A ou type B, et deux tableaux différents sont utilisés pour déterminer le niveau SIL maximal qu’un sous-système de sécurité peut atteindre. La norme CEI 62061 définit cependant un tableau unique pour tous les types de composants, dont le contenu est similaire à celui des composants de type B.
Dans le contexte de l’intégrité de la sécurité matérielle , le niveau le plus élevé qui peut être déclaré par un système de contrôle relatif à la sécurité (SCS) est limité par la tolérance aux pannes matérielles (HFT) et la fraction de défaillance sûre (SFF) du sous-système exécutant la fonction de sécurité : la référence à utiliser est le tableau 1, qui correspond au tableau 6 de la norme CEI 62061.
Tableau 1 : Contraintes architecturales d’un sous-système : SIL maximal pouvant être atteint par un SCS utilisant le sous-système
Veuillez noter que la limitation SIL n’implique pas la limitation PFH ; dans la nouvelle édition, PFH est simplement appelé PFH, conformément à la série IEC 61508. Cela signifie que, pour ce système particulier, en raison de la conception architecturale, la valeur PFH est inférieure à la cellule normalement requise pour le niveau SIL particulier.
Globalement, le langage utilisé et les approches décrites dans cette deuxième édition de la norme sont plus clairs, les rendant plus accessibles que dans la première. Malheureusement, certaines expressions héritées de l’édition de 2005 peuvent prêter à confusion quant à l’approche à adopter et doivent être définitivement supprimées de la première édition.
Le tableau 2 compare les contraintes architecturales de la norme CEI 62061 avec les limitations définies par la norme ISO 13849-1 et s’applique à tous les systèmes de sécurité en mode haute demande.
| REMARQUE 1 : Une tolérance aux pannes matérielles de N signifie que N+1 pannes peuvent entraîner la perte de la fonction de sécurité. |
| REMARQUE 2 : « Faible », « moyen » et « élevé » sont les dénominations utilisées par la norme ISO 13849-1 pour la quantification et la classification des plages moyennes DC . |
| REMARQUE 3 : Pour HFT = 0 et SFF ≥ 99 %, les limitations suivantes peuvent être pertinentes :
§ Il est recommandé de limiter le SIL maximal atteignable à 2 lorsque des exclusions de défauts ont été appliquées, ce qui pourrait conduire à des situations dangereuses (voir IEC 62061, 7.3.3.3) Le niveau SIL 3 ne peut être atteint qu’avec une surveillance continue du bon fonctionnement de l’élément. Des composants électroniques sont généralement nécessaires à cette fin. |
| REMARQUE 4 : Lorsque des normes de produits, telles que IEC 61800-5, IEC 61800-5, IEC 61131-2, sont utilisées, on peut supposer que les principes de sécurité de base sont respectés |
| REMARQUE 5 : Selon la norme ISO 13849-1, le PL d ne peut être atteint que lorsque la sortie ( OTE ou fonction de réaction aux défauts ) conduit à un état sûr qui est maintenu jusqu’à ce que le défaut soit corrigé : il ne suffit pas que la sortie de l’équipement de test (OTE) émette une alarme. |
| REMARQUE 6 : Si vous disposez des deux architectures de base A et B, nous considérons le cas avec uniquement des composants électromécaniques. |
Il est à noter qu’il n’existe pas d’équivalence entre les niveaux SIL et les niveaux PL a ou PL b. Selon la norme ISO 13849-1, il est possible de créer un système de sécurité monocanal sans composants éprouvés : il suffit d’utiliser des sous-systèmes de catégorie B avec des niveaux de fiabilité égaux à PL a ou PL b.
Avec la norme CEI 62061, cela n’est pas possible , car une architecture de sous-système de base de type A (1oo1) ne peut être réalisée qu’avec des composants éprouvés. Autrement dit, selon la norme ISO 13849-1, il est possible d’utiliser un automate programmable industriel (API) « à usage général » pour mettre en œuvre un système de sécurité : le PL maximal atteignable est PL b. Ceci n’est pas autorisé par la norme CEI 62061, ni avec un canal unique (architecture A), ni avec un canal redondant sans diagnostic (architecture B).