Dernière modification: 17/05/2024
Les Catégories sont donc importantes pour obtenir un PL spécifique pour un sous-système. Cependant, la norme précise qu’elles montrent une représentation logique de la structure du sous-système, qui peut différer de sa représentation physique.
[ISO 13849-1] 6.1.3.2 Architectures désignées — Spécification des catégories
6.1.3.2.1 Généralités. […] Les architectures désignées montrent une représentation logique de la structure des sous-systèmes pour chaque catégorie.
NOTE 1 Pour les catégories 3 et 4, il n’est pas nécessaire que toutes les parties soient physiquement redondantes mais qu’il y ait des moyens redondants qui assurent qu’un défaut unique n’occasionne pas la perte de la sous-fonction. La réalisation technique (par exemple, le schéma de circuit) peut donc différer de la représentation logique de l’architecture.
Une autre façon d’exprimer le même concept est que chacune des cinq Catégories de l’ISO 13849-1 décrit le comportement requis du sous-système en ce qui concerne sa résistance aux défaillances.
Considérons le mécanisme de verrouillage d’un dispositif d’interverrouillage. Le marché propose des dispositifs d’interverrouillage qui peuvent atteindre le niveau PL e ; ils disposent de canaux électriques redondants, comme deux contacts sans tension (VFC) ou deux contacts de dispositif de commutation de signal de sortie (OSSD), mais le dispositif de blocage du protecteur est constitué d’un seul élément. Cette solution n’est pas rare : la raison en est que, dans les dispositifs mécaniques dotés d’une Architecture à canal unique, la détection des défauts par le système de contrôle peut ne pas être possible dans certaines situations ou son coût serait injustifiable. Toutefois, il est important que toutes les défaillances probables soient évaluées par le fabricant du dispositif d’interverrouillage et que toute modalité de défaillance dangereuse soit éliminée ou qu’il soit prouvé qu’elle est techniquement improbable. Cela peut être réalisé en surdimensionnant les parties critiques du dispositif et en les testant par la suite. Si cela est fait, le mécanisme de verrouillage à canal unique peut être utilisé dans une Architecture redondante, dans notre exemple un dispositif d’interverrouillage avec blocage du protecteur, puisqu’il atteint le comportement pertinent de la Catégorie 4.
Pour formuler le concept différemment, lorsqu’il est prouvé que les défaillances mécaniques sont techniquement improbables, on suppose que la fonction de sécurité continue d’être assurée en présence d’une seule défaillance. Bien entendu, l’exclusion spécifique des défauts ne peut être justifiée que si le dispositif est utilisé conformément aux spécifications du fabricant.
La norme IEC 61508-2 accepte l’utilisation de l’exclusion de défaut.
[IEC 61508-2] 7.4.4.1 General requirements
7.4.4.1.1 With respect to the hardware fault tolerance requirements
[…]
- when determining the hardware fault tolerance achieved, certain faults may be excluded, provided that the likelihood of them occurring is very low in relation to the safety integrity requirements of the subsystem. Any such fault exclusions shall be justified and documented (see Note 2).