Dernière modification: 10/07/2023
L’annexe B contient la méthodologie à suivre pour la conception d’un système de contrôle lié à la sécurité (SCS). L’annexe contient les exemples suivants :
B.4.2 Conception du sous-système 1 – « surveillance de la porte de garde ».
B.4.3 Conception du sous-système 2 – « logique d’évaluation »
B.4.4 Conception du sous-système 3 – « commande du moteur »
Dans le premier exemple, il y a une considération importante que la norme fait pour le calcul de la SFF dans le cas de dispositifs électromécaniques à canal unique.
Ci-après, le langage important :
[IEC 62061 : 2021] – B.4.2.2 Évaluation du SFF
Les effets théoriques de la défaillance de l’interrupteur de position sont les suivants :
-
Le contact ne s’ouvre pas (ou plus) : défaillance dangereuse (fermeture involontaire) ;
-
Le contact s’ouvre « de lui-même » : défaillance sûre (ouverture involontaire, peut être considérée comme très improbable pour un dispositif électromécanique) ;
-
Le contact ne se fermera (plus) : défaillance sûre qui n’a pas d’influence sur la fonction de sécurité (ouverture involontaire) ;
-
Le contact se fermera « de lui-même » : défaillance dangereuse (fermeture involontaire).
Les considérations se poursuivent avec la conclusion suivante :
[IEC 62061 : 2021] – B.4.2.2 Évaluation du SFF
Considérations pratiques :
L’ouverture du protecteur définit les modes de défaillance de l’interrupteur de position à prendre en compte. Cela signifie qu’il n’existe pratiquement aucune défaillance sûre de l’interrupteur de position liée à cette fonction de sécurité :
-
Le mode de défaillance « fermeture involontaire » est toujours dangereux (défaillance dangereuse typique de l’interrupteur de position) ;
-
Le mode de défaillance « ouverture involontaire » n’est pas pertinent pour l’ouverture du protecteur et n’a d’influence que sur la disponibilité de la machine. Il s’agit d’une défaillance sans effet (IEC 615084:2010, 3.6.14) pour la fonction définie. Par conséquent, il ne s’agit pas d’une défaillance sûre et λS = 0.
Le raisonnement signifie, lors de l’évaluation de la SFF des sous-systèmes d’entrée électromécaniques, que normalement λS≈0 et donc :
Ce raisonnement est valable pour la majorité des composants électromécaniques. Ces composants seraient définis comme étant de type A, conformément à la norme IEC 61508-2 (§3.4.7.1). Le raisonnement ne s’applique pas aux composants de type B.
On trouve sur le marché des composants électromécaniques, tels que des pressostats, certifiés pour des applications de sécurité à forte demande avec un niveau de fiabilité SIL 2 conformément à la IEC 62061. Cela a été rendu possible en supposant un certain nombre de défaillances sûres qui amènent le SFF > 90 %. En utilisant le tableau 6, présenté ci-après, avec HFT = 0, le composant a un SIL CLAIM (ancien langage) ou des contraintes architecturales = SIL 2.
Avec la nouvelle édition de la IEC 62061, cela sera plus difficile à démontrer, puisque la norme recommande, dans le cas des composants électromécaniques, qu’il n’y ait pas de défaillances sûres et donc, une fois de plus, que SFF = DC.