Principes, normes et implémentation

Catalogs > Catalogue des composants de sécurité > Principes, normes et implémentation > Conception de système CEI 62061

Conception de système CEI 62061

Introduction Conception du sous-système : CEI/EN 62061 Effets de l'intervalle entre tests de validation Effet de l'analyse de défaillance de cause commune Défaillance de cause commune (CCF) Taux de couverture des tests de diagnostic (DC)
Tolérance aux pannes matérielles Gestion de la sécurité fonctionnelle Intervalle entre tests de validation Proportion de défaillances non dangereuses (SFF) Défaillance systémique
Introduction

CEI/EN 62061, « Sécurité des machines : Sécurité fonctionnelle des systèmes de commande électrique, électronique et électronique programmable », est l'implémentation spécifiques aux machines de la norme CEI/EN 61508. Elle définit des exigences relatives à la conception des systèmes de commande électrique de sécurité des machines et de sous-systèmes et dispositifs non complexes.

L'évaluation des risques permet de définir une stratégie pour la réduction des risques, qui elle-même permet d'identifier les besoins relatifs aux fonctions de commande de sécurité. Ces fonctions doivent être documentées et inclurent :



Les exigences fonctionnelles incluent des informations comme la fréquence d'opération, le temps de réponse requis, les modes de fonctionnement, les cycles de service, l'environnement d'utilisation et les fonctions de réponse aux défauts. Les exigences relatives à l'intégrité de la sécurité sont exprimées par des niveaux appelés niveaux d'intégrité de la sécurité (Safety Integrity Level - SIL). Selon la complexité du système, certains ou tous les éléments du tableau 14 doivent être pris en compte pour déterminer si la conception du système est conforme au niveau SIL requis.

Elément à prendre en compte pour SIL Symbole
Probabilité de défaillance dangereuse par heure PFHD
Tolérance aux pannes matérielles Pas de symbole
Proportion de défaillances non dangereuses SFF
Intervalle de test de vérification T1
Intervalle entre tests de diagnostic T2
Sensibilité aux défaillances de cause commune ß
Taux de couverture de diagnostic DC
 
Tableau 14 : éléments à prendre en compte pour SIL

Sous-systèmes

Le terme « sous-système »a une signification spéciale dans la norme CEI/EN 62061. C'est le premier niveau de division d'un système selon des parties qui, si elles tombent en panne, entraînent une défaillance de la fonction de sécurité. Par conséquent, si deux interrupteurs redondants sont utilisés dans un système, aucun de ces interrupteurs ne constitue un sous-système. Le sous-système inclut les deux interrupteurs et toute fonction de test de diagnostic associée.

Probabilité de défaillance dangereuse par heure (PFHD)

La norme CEI/EN 62061 utilise les mêmes méthodes de base que celles présentées dans la section sur la norme EN ISO 13849-1 afin de déterminer les taux de défaillance au niveau des composants. Les mêmes dispositions et méthodes concernent les composants « mécaniques » et électroniques. Dans la norme CEI/EN 62061 il n'y a aucune référence à un MTTFd en années. Le taux de défaillance par heure (l) est soit calculé directement, soit obtenu ou dérivé de la valeur B10 dans la formule suivante :

l = 0,1 x C/B10 (où C = le nombre de cycles d'opérations par heure)

Il existe une différence significative de méthodologie entre les normes pour déterminer le PFHD total d'un sous-système ou d'un système. Une analyse des composants doit être entrepise pour déterminer la probabilité de défaillance des sous-systèmes. Des formules simplifiées sont fournies pour le calcul des architectures de sous-système communes (décrites plus loin). Lorsque ces formules ne sont pas adaptées, il est nécessaire d'utiliser des méthodes de calcul plus complexes, comme les modèles Markov. Les probabilités de défaillance dangereuse (PFHD) de chaque sous-système sont alors additionnées pour déterminer le PFHD total du système. Le tableau 15 (tableau 3 de la norme) peut alors être utilisé pour déterminer quel niveau d'intégrité de la sécurité (SIL) est adapté pour cette plage de PFHD.


lDssB = (1-ß)2 x lDe1 x lDe2 x T1 + ßx (lDe1 + lDe2) / 2

PFHDssB = lDssB x 1h


Les formules pour cette architecture prennent en considération l'agencement parallèle des éléments du sous-système et ajoute les deux éléments suivants provenant du tableau 14 :

ß (Beta) est la sensibilité aux défaillances de cause commune.


SIL (niveau d'intégrité de la sécurité) PFHD (probabilité de défaillance dangereuse par heure)
3 ³10 – 8…<10 – 7
2 ³10 – 7…<10-6
1 ³10 – 6…<10 – 5
 
Tableau 15 : probabilités de défaillance dangereuse en fonction des niveaux SIL

Les données PFHD d'un sous-système sont généralement fournies par le fabricant. Les données pour les composants et systèmes de sécurité de Rockwell Automation sont disponibles sous différentes formes, notamment sur :http://discover.rockwellautomation.com/EN_Safety_Solutions.aspx

Ce site Internet est mis à jour régulièrement à mesure que de nouvelles données pour d'autres composants et systèmes Rockwell Automation deviennent disponibles.

La norme CEI/EN 62061 indique également clairement que les manuels de données de fiabilité peuvent être utilisés le cas échéant.

Pour les dispositifs électromécaniques de faible complexité, le mécanisme de défaillance est généralement lié au nombre et à la fréquence des opérations plutôt que simplement à la durée. Par conséquent, pour ces composants les données sont obtenues à partir de tests (p. ex., le test B10 décrit dans le chapitre sur la norme EN ISO 13849-1). Les informations d'application comme le nombre d'opérations prévu par an sont alors requises pour convertir B10d, ou des données similaires, en PFHD.

REMARQUE : en général, ce qui suit est vrai (en prenant en compte un facteur pour changer les années en heures) :

PFHD = 1/MTTFd

Cependant, il est important de comprendre que, pour un système à double voie (avec ou sans diagnostics), il n'est pas correct d'utiliser 1/ PFHD pour déterminer le MTTFd requis par la norme EN ISO 13849-1. Cette norme demande le MTTFd d'un système à une seule voie. C'est une valeur très différente du MTTFd de la combinaison des deux voies d'un sous-système à deux voies.


Contraintes architecturales

La caractéristiques essentielle de la norme CEI/EN 62061 est que le système de sécurité est divisé en sous-systèmes. Le niveau d'intégrité de la sécurité matérielle pouvant être revendiqué par un sous-système est limité non seulement par le PFHD, mais également par la tolérance aux pannes matérielles et la proportion de défaillances non dangereuses des sous-systèmes. La tolérance aux pannes matérielles est la capacité du système à exécuter sa fonction en présence de pannes. Une tolérance aux pannes de zéro signifie que la fonction n'est pas exécutée lorsqu'une seule panne se produit. Une tolérance aux pannes de un permet au sous-système d'exécuter sa fonction en présence d'une seule panne. La proportion de défaillance non dangereuse est la partie du taux de défaillance global qui n'entraîne pas une défaillance dangereuse. La combinaison de ces deux éléments est connue comme la contrainte architecturale et son résultat est la limite de déclaration SIL (SIL CL). Le tableau 16 montre le rapport entre contraintes architecturales et SILCL. Un sous-système (et donc son système) doit être conforme aux exigences PFHD et aux contraintes architecturales, ainsi qu'aux dispositions pertinentes de la norme.

Proportion de défaillances non dangereuses (SFF) Tolérance aux pannes matérielles
0 1 2
<60 % Non autorisé, sauf en cas d'exceptions spécifiques SIL1 SIL2
60 %…<90 % SIL1 SIL2 SIL3
90 %…<99 % SIL2 SIL3 SIL3
³99 % SIL3 SIL3 SIL3
 
Tableau 16 : contraintes architecturales selon les niveaux SIL

Par exemple, une architecture de sous-système qui possède une tolérance à une seule panne et une proportion de défaillances non dangereuses de 75 % est limitée à un niveau maximal SIL2, quelle que soit la probabilité de défaillance dangereuse.

Constitution du système

Pour calculer la probabilité de défaillance dangereuse, chaque fonction de sécurité doit être divisée en blocs fonctionnels, qui sont ensuite constitués en sous-systèmes. La mise en œuvre d'un système typique avec fonction de sécurité inclut un dispositif de détection raccordé à un dispositif logique lui-même raccordé à un actionneur. Cela crée un agencement de sous-systèmes en série. Comme nous l'avons déjà vu, si nous pouvons déterminer la probabilité de défaillance dangereuse de chaque sous-système et connaître son niveau SIL CL, alors la probabilité de défaillance du système est facile à calculer en additionnant les probabiités de défaillance des sous-systèmes. Ce concept est illustré à la figure 136.

Click to enlarge - Fig 9.01 Subsystem PFHd
 
Figure 135 : exemple de combinaison de sous-systèmes

Si, par exemple, nous voulons obtenir un niveau SIL 2, chaque sous-système doit avoir un niveau SIL CL d'au moins SIL 2, et la somme du PFHD du système ne doit pas dépasser la limite autorisée dans le tableau 15.