Dernière modification: 12/07/2023
La quantification numérique de la probabilité de défaillance d’un sous-système ne peut jamais être réalisée avec exactitude, mais seulement par approximation à l’aide de méthodes statistiques ou d’autres estimations.
Toute méthode validée et reconnue peut être utilisée à cette fin. Ces méthodes comprennent les diagrammes de blocs de fiabilité (utilisés dans la IEC 62061), l’analyse des arbres de défaillance, la modélisation de Markov (utilisée dans la norme ISO 13849-1) ou les réseaux de Petri.
Toutefois, en général, les ingénieurs qui n’ont pas d’expérience préalable dans la quantification de la probabilité de défaillance des systèmes de contrôle liés à la sécurité ont besoin d’un certain degré de soutien. L’ISO 13849-1 a répondu à ce besoin en développant une approche simplifiée, également appelée méthode simplifiée, qui, tout en étant basée sur des principes scientifiques solides (modélisation de Markov), décrit une méthode simple de quantification par étapes successives.
Le point de départ de la méthode simplifiée est l’observation que la majorité des systèmes de contrôle liés à la sécurité peuvent être regroupés en un très petit nombre de types de base, ou en combinaisons de ces types de base.
Ces types sont, à une extrémité du spectre, le système à une seule voie non testé, dont les composants ont des niveaux de fiabilité différents ; au milieu du spectre, le même type, mais amélioré par des tests ; et à l’autre extrémité, le système à deux voies avec des tests de haute qualité. Les systèmes à plus de deux canaux sont rares dans les machines. Sur la base de ce raisonnement, cinq catégories différentes sont définies dans la norme ISO 13849-1.
Les sous-systèmes conçus selon la norme ISO 13849-1 doivent donc être conformes aux exigences de l’une de ces cinq catégories qui sont fondamentales pour atteindre un niveau de performance spécifique. Les catégories décrivent le comportement requis des sous-systèmes en ce qui concerne leur résistance aux défaillances, sur la base des considérations de conception indiquées précédemment (MTTFD, DCavg, etc.).
La catégorie B est la catégorie de base dans laquelle l’apparition d’une défaillance peut entraîner la perte de la fonction de sécurité. Dans la catégorie 1, l’utilisation de composants de haute qualité permet d’améliorer la résistance aux défaillances.
Dans les catégories 2, 3 et 4, une plus grande fiabilité du sous-système est obtenue en améliorant la tolérance aux fautes (catégories 3 et 4 uniquement) et les mesures de diagnostic. Dans la catégorie 2, puisqu’il n’y a pas de redondance, une plus grande fiabilité est obtenue en vérifiant périodiquement que la fonction de sécurité est exécutée sans défaut (couverture de diagnostic). Dans les catégories 3 et 4, la couverture de diagnostic fonctionne conjointement avec les canaux redondants, de sorte qu’une seule défaillance n’entraîne pas la perte de la fonction de sécurité.
Chaque catégorie est donc importante pour atteindre un PL spécifique pour un sous-système. Toutefois, la norme précise qu’elles montrent une représentation logique de la structure du sous-système, qui peut différer de sa structure physique.
[ISO 13849-1] 6.1.3.2 Architectures désignées – Spécification des catégories
6.1.3.2.1 Généralités. [Les architectures désignées montrent une représentation logique de la structure des sous-systèmes pour chaque catégorie.
NOTE 1 : Pour les catégories 3 et 4, toutes les parties ne sont pas nécessairement redondantes physiquement, mais il existe des moyens redondants pour assurer qu’une seule défaillance ne peut pas entraîner la perte de la sous-fonction. Par conséquent, la réalisation technique (par exemple, le schéma de circuit) peut différer de la représentation logique de l’architecture.
Une autre façon d’exprimer le même concept est que chacune des cinq catégories de la norme ISO 13849-1 décrit le comportement requis du sous-système en ce qui concerne sa résistance aux défaillances.