Dernière modification: 21/08/2025
La série Maclaurin et l’échec dans le temps (FIT)
Mathématiquement, on peut montrer que certaines fonctions peuvent être approximées par une série d’autres fonctions. En particulier, e x peut être développée comme une série dite de Maclaurin :
Dans le cas x <<1,
Cela signifie que les fonctions de fiabilité R(t) et de non-fiabilité F(t) peuvent être approximées à
Le taux de défaillance λ a une unité de temps inverse : il est courant d’utiliser l’unité de « défaillances par milliard (10 9 ) d’heures ». Cette unité est connue sous le nom de FIT : Failure in Time .
Fonctions de fiabilité en mode faible et forte demande
La sécurité fonctionnelle est née en tenant compte des aspects de fiabilité des systèmes de contrôle liés à la sécurité, conçus pour être activés en cas d’écarts de processus dangereux ; cette dernière est une demande de processus générant un taux de demande du système de sécurité qui protège les personnes, l’environnement et les biens matériels.
Le paramètre utilisé pour indiquer la fiabilité d’un système de contrôle de sécurité est la fonction de non-fiabilité F(t) . Plus précisément, deux F(t) sont utilisées, selon que le système de sécurité fonctionne en mode de faible ou de forte sollicitation. À titre d’exemple, le système de sécurité des airbags de voiture fonctionne en mode de faible sollicitation, car il peut rester inactif pendant des années, jusqu’à ce qu’une sollicitation se produise (suite à un accident de voiture).
Dans les systèmes de sécurité en mode faible demande, le F(t) est défini comme PFD avg :
[CEI 61508-4] 3.6 Défaut, défaillance et erreur
3.6.18 Probabilité moyenne de défaillance dangereuse sur demande (PFD moy. ). Indisponibilité moyenne (voir CEI 60050-191) d’un système de sécurité E/E/PE pour assurer la fonction de sécurité spécifiée lorsqu’une demande est émise par l’EUC ou son système de commande.
Le VFI
La PFD(t) est la fonction de non-fiabilité F(t) utilisée en mode faible sollicitation. Sa définition, en supposant un taux de défaillance λ constant, est la suivante :
[CEI 61508-4] 3.6 Défaut, défaillance et erreur
3.6.17 Probabilité de défaillance dangereuse sur demande (PFD). Indisponibilité de sécurité (voir CEI 60050-191) d’un système de sécurité E/E/PE pour exécuter la fonction de sécurité spécifiée lorsqu’une demande est émise par l’EUC ou son système de contrôle.
Par conséquent, la non-fiabilité instantanée PFD (t) décrit la probabilité qu’un système de sécurité ne soit pas en état de remplir sa fonction requise, dans des conditions données, à un instant donné, en supposant que les ressources externes requises soient fournies. Il s’agit de ce que nous avons appelé jusqu’ici F(t).
Prenons l’exemple d’une vanne avec un FIT λ = 50 000. Sa PFD(t) est illustrée à la figure 1.32 {1.10.1.1}. Comme on peut le constater, le manque de fiabilité augmente avec le temps : après 2 ans (17 520 heures), la PFD est de 58 %. Après 4 ans (35 040 heures), elle est de 83 %.
En considérant un FIT λ = 5,000, une valeur plus réaliste, sa PFD(t) est illustrée à la figure 1.33 {1.10.1.2}. Tout d’abord, la PFD s’est améliorée : après 2 ans, PFD ≈ 9 % et après 4 ans, PFD ≈ 18 %. De plus , la fonction peut être approchée comme linéaire, dans le cas où λ·t << 1.
Comme le montrent les deux graphiques, le manque de fiabilité du système augmente avec le temps. Pour reprendre l’exemple de l’airbag, sa probabilité de défaillance est très faible lorsque le véhicule est neuf et augmente de mois en mois. Cela est valable pour tous les éléments d’un système instrumenté de sécurité (SIS), composé d’un ou plusieurs capteurs, d’une unité logique et d’un ou plusieurs actionneurs.
Les couches de protection
Un système instrumenté de sécurité (SIS) peut tomber en panne lorsqu’il est dans un état passif et la panne peut rester cachée jusqu’à ce qu’une demande se produise du processus ou jusqu’à ce que le système soit testé.
Supposons que la pression dans un récipient soit contrôlée par un transmetteur de pression et que le système de contrôle de processus doive maintenir la valeur autour d’un certain point de consigne.
Si la pression dépasse un certain seuil, une alarme est déclenchée (PSH). Si la valeur devient incontrôlable, un pressostat de sécurité, réglé sur PSHH, arrête le processus (figure 7).
Nous constatons qu’il existe deux couches de protection : une couche de contrôle et une couche de sécurité. Elles ne partagent généralement pas les mêmes composants de terrain. Dans notre exemple, le transmetteur de pression appartient à la couche de contrôle, tandis que le pressostat de sécurité appartient à la couche de sécurité.
Normalement, le système de contrôle du procédé maintient la pression autour du point de consigne. Il est très rare que la pression s’échappe et que le système de sécurité intervienne à ce moment-là : le problème est qu’il peut être tombé en panne entre-temps. Un système instrumenté de sécurité est appelé « couche de protection indépendante ». Il est installé pour atténuer les risques liés à l’exploitation d’un procédé normalement dangereux et est appelé « Équipement sous contrôle » (EUC ) (figure 8).
Une fonction instrumentée de sécurité (SIF) est implémentée avec un SIS destiné à atteindre ou à maintenir un état sûr pour l’EUC par rapport à une demande de processus spécifique (une pression élevée par exemple). Un SIS peut être composé d’un ou plusieurs SIF.
Le PFD moyen (PFDavg)
Le PFD moyen est défini comme
T i est le moment où le système est testé fonctionnellement. La PFD(T) d’un SIF, testé périodiquement, est représentée par une courbe en dents de scie, avec une probabilité allant d’une faible, juste après un test, à un maximum, juste avant le test suivant.
Sa valeur moyenne, ou PFD avg , est représentée dans la figure 1.36 {1.10.2.1}.
Échecs dangereux
Lorsqu’il s’agit de systèmes critiques pour la sécurité , les défaillances importantes sont celles qui sont dangereuses. Celles-ci peuvent être classées en deux catégories : dangereuses détectables par les tests de diagnostic et dangereuses indétectables.
Les défaillances dangereuses non détectées (DU) empêchent l’activation, à la demande, du système de sécurité et sont également appelées défaillances dormantes .
Les défaillances dangereuses détectées (DD) peuvent être détectées immédiatement, par exemple grâce à un autotest intégré. Un court-circuit sur un contact sec normalement fermé peut être détecté grâce à la fonction « déclencheur », désormais disponible dans la quasi-totalité des systèmes de contrôle-commande de sécurité (chapitre 3).
En mode faible sollicitation, les défaillances dangereuses détectées n’influent pas sur la fiabilité d’un système de sécurité, car elles sont souvent détectées dès leur apparition et le processus est immédiatement arrêté. Par conséquent, les seules défaillances significatives influençant la valeur de la PFD moy . L’équation 1.10.2 peut donc s’écrire :
L’intervalle de test T i est décidé en fonction du taux de demande, de sorte qu’il existe une chance raisonnable qu’un défaut dangereux non détecté soit révélé et corrigé avant qu’une demande ne se produise, de sorte qu’un événement dangereux soit évité.
Conclusion
Dans cette première partie, nous avons introduit les concepts de fonction de non-fiabilité F(t) et de fonction de fiabilité R(t). La première est à la base du paramètre PFD(t) et est utilisée pour indiquer la fiabilité d’une fonction instrumentée de sécurité (FIS) : PFD moyenne ou PFD moy .
Dans l’article qui sera publié dans la prochaine édition de Tutto Misure, nous montrerons comment calculer en pratique le PFD avg .