SAFEBOOK 3
Conception du système selon la norme CEI/EN 62061
Conception du système selon la norme CEI/EN 62061
CEI/EN 62061, « Sécurité des machines – Sécurité fonctionnelle des systèmes de commande
électriques, électroniques et électroniques programmables relatifs à la sécurité », est la version spécifiquement adaptée aux machines de la norme CEI/EN 61508. Elle définit les exigences applicables lors de la conception des systèmes de commande électriques relatifs
à la sécurité des machines, et également lors de la conception de sous-systèmes et de dispositifs peu complexes.
L’évaluation du risque débouche sur une stratégie de réduction des risques, qui à son tour permet d’identifier les besoins associés aux fonctions de commande de sécurité. Ces fonctions doivent être décrites et doivent inclure les éléments suivants :
• caractéristiques des exigences fonctionnelles ;
• caractéristiques des exigences d’intégrité de la sécurité.
Les exigences fonctionnelles incluent des détails comme la fréquence de fonctionnement, le temps de réponse requis, les modes de fonctionnement, les cycles de travail, les conditions d’utilisation et les fonctions de réaction aux pannes. Les exigences d’intégrité de la sécurité sont exprimées en différents niveaux appelés niveaux d’intégrité (Integrity Level – SIL). En fonction de la complexité du système, certains des éléments, ou tous les éléments, du tableau ci-dessous doivent être pris en considération pour déterminer si la configuration du système est conforme à la classification SIL nécessaire.
Eléments à prendre en considération pour la classification SIL
Probabilité de panne dangereuse par heure
Tolérance aux pannes matérielles
Fraction de pannes sans danger
Intervalle entre essais de sûreté
Intervalle entre tests de diagnostic
Symbole
PFH
HFT
SFF
T1
T2
D
Sensibilité aux pannes d’origine commune
Couverture de diagnostic
Eléments à prendre en considération pour la classification SIL
ß
DC
Pour les systèmes électroniques, le temps représente une cause significative de pannes ; alors que pour les dispositifs électro-mécaniques c’est le nombre d’opérations. Par conséquent, le nombre de pannes pour les systèmes électroniques est exprimé sur une base horaire. Une analyse doit être conduite pour déterminer la probabilité de défaillance. Pour les systèmes de sécurité, plus que la probabilité de pannes, ce qui est important c’est la
97
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines probabilité de pannes créant une source de danger sur une base horaire (PFHD). Une fois cette information connue, le tableau peut être utilisé pour déterminer quel niveau SIL est obtenu.
SIL (niveau d’intégrité de la sécurité)
PFH
D
(probabilité de panne dangereuse par heure)
3
2
1
Probabilité de panne dangereuse en fonction des niveaux SIL
≥10
–8 to <10
–7
≥10
–7 to <10
–6
≥10
–6 to <10
–5
Le système de sécurité est divisé en sous-systèmes. Le niveau d’intégrité de la sécurité du matériel pouvant être invoqué pour un sous-système est limité par la tolérance aux pannes du matériel et par la fraction de panne sans danger du sous-système. La tolérance aux pannes du matériel est la capacité du système à exécuter sa fonction en présence de pannes. Une tolérance égale à zéro signifie que la fonction n’est pas exécutée lorsqu’une panne est présente. Une tolérance aux pannes de un autorise le sous-système à exécuter sa fonction en présence d’une seule panne. La fraction de panne sans danger est la partie du nombre de panne qui n’entraîne pas de panne dangereuse. La combinaison de ces deux éléments est la contrainte architecturale et s’appelle SILCL. Le tableau suivant montre la relation entre la contrainte architecturale et la classification SILCL.
Fraction de panne sans danger (SFF)
Tolérance aux pannes matérielles
< 60 %
0
Non autorisé sauf exception spécifique
60 % – < 90 %
90 % – < 99 %
SIL1
SIL2
≥ 99 % SIL3
Contraintes architecturales de la classification SIL
1
SIL1
SIL2
SIL3
SIL3
2
SIL2
SIL3
SIL3
SIL3
Par exemple, une architecture avec une tolérance à une seule panne et une fraction de panne sans danger de 75 % est limitée à un niveau d’intégrité maximum SIL2, quelle que soit la probabilité d’apparition d’une panne dangereuse.
Pour calculer la probabilité de panne dangereuse, chaque fonction de sécurité doit être décomposée en blocs fonctionnels, qui sont ensuite utilisés comme des sous-systèmes. La configuration de nombreuses fonctions de sécurité inclut un capteur connecté à un dispositif
98
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Conception du système selon la norme CEI/EN 62061 logique, lui-même connecté à un actionneur. Ceci crée une disposition en série pour les soussystèmes. Si nous pouvons déterminer la probabilité de panne dangereuse pour chaque soussystème et si nous connaissons son niveau SILCL, la probabilité de panne du système est facile à calculer en ajoutant la probabilité de panne des sous-systèmes. Ce concept est illustré ci-dessous.
Sous-système 1
Détection de position
Critères fonctionnels et d’intégrité CEI/EN 62061
Contraintes architecturales SIL CL 2
PFHD = 1x10-7
Sous-système 2
Résolution de programme
Critères fonctionnels et d’intégrité CEI/EN 62061
Contraintes architecturales SIL CL 2
PFHD = 1x10-7
Sous-système 3
Actionneurs de sortie
Critères fonctionnels et d’intégrité CEI/EN 62061
Contraintes architecturales SIL CL 2
PFHD = 1x10-7
= PFHD 1
= 1x10-7
+ PFHD 2
+ 1x10-7
= 3x10-7 c.-à-d., convenant à SIL2
+ PFHD 3
+ 1x10-7
Si, par exemple, nous voulons un niveau d’intégrité SIL2, chaque sous-système doit avoir une limite d’intégrité SIL CL d’au moins SIL2, et la somme des probabilités de panne dangereuse
(PFHD) du système ne doit pas dépasser la limite autorisée dans le tableau précédent
« Probabilité de panne dangereuse en fonction des niveaux SL ».
Le terme « sous-système » a une signification particulière dans la norme CEI/EN 62061.
C’est le premier niveau de sous-division d’un système en sous-parties qui, lorsqu’elles sont défaillantes, entraînent une défaillance de la fonction de sécurité. Par conséquent, si deux interrupteurs redondants sont utilisés dans un système, aucun des interrupteurs n’est un soussystème. Le sous-système inclurait les deux interrupteurs et la fonction de diagnostic des pannes associée (le cas échéant).
Conception de sous-système – CEI/EN 62061
Si un concepteur de système utilise des composants « prêts à l’emploi » dans des soussystèmes conformes à la définition de la norme CEI/EN 62061, les choses deviennent bien plus faciles parce que les exigences spécifiques à la conception des sous-systèmes ne s’appliquent pas. Ces exigences sont, en général, prises en charge par le fabricant du dispositif (sous-système) et sont bien plus complexes que celles requises pour la conception du système.
La norme CEI/EN 62061 requiert que les sous-systèmes complexes, comme les PLC de sécurité, se conforment à la norme CEI 61508. Ceci signifie que toute la rigueur de la norme
CEI 61508 s’applique aux dispositifs qui utilisent des composants électroniques ou programmables complexes. Ceci peut s’avérer un processus très difficile. Par exemple, l’évaluation de la probabilité de panne dangereuse (PFH
D
) réalisée par un sous-système
99
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines complexe peut être un processus très compliqué si l’on utilise des techniques comme le modèle de Markov, le schéma fonctionnel de fiabilité ou l’analyse d’arborescence de panne.
La norme CEI/EN 62061 définit des exigences pour la conception de sous-systèmes de moindre complexité. Généralement, cela inclut des composants électriques relativement simples, comme des dispositifs de verrouillage et des relais de surveillance de sécurité
électromécaniques. Les exigences ne sont pas aussi complexes que celles de la norme
CEI 61508, mais elles peuvent tout de même être très compliquées.
La norme CEI/EN 62061 fournit quatre architectures logiques de sous-système avec les formules associées, qui peuvent être utilisées pour évaluer la probabilité de panne dangereuse
(PFHD) obtenue par un sous-système de faible complexité. Ces architectures sont des représentations purement logiques et ne doivent pas pensées comme des architectures physiques. Ces quatre architectures sont illustrées dans les quatre schémas suivants.
Pour une architecture de sous-système basique illustrée ci-dessous, les probabilités de pannes dangereuses sont simplement ajoutées les unes aux autres.
Sous-système A
Elément 1 du sous-système
De1
Elément n du sous-système
Den
Architecture logique de sous-système A
λ
DssA
= λ
De1
+ . . . + λ
Den
PFH
DssA
= λ
DssA x 1h
λ, lambda est utilisé pour indiquer le nombre de pannes. L’unité utilisée pour le nombre de pannes est le nombre de pannes par heure. λ
D
, lambda indice D est le nombre de pannes dangereuses. λ
DssA
, lambda indice DssA est le nombre de pannes dangereuses du soussystème A. Lambda indice DssA est la somme des taux de pannes des éléments individuels, e1, e2, e3, jusqu’à et y compris en. La probabilité de panne dangereuse est multiplié par
1 heure pour créer la probabilité de panne en une heure.
Le schéma suivant montre un système tolérant une seule panne sans fonction de diagnostic.
Lorsque l’architecture inclut la tolérance d’une seule panne, il existe un potentiel de panne d’origine commune qu’il faut prendre en considération. Le résultat de la panne d’origine commune est brièvement décrit plus loin dans ce chapitre.
100
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Conception du système selon la norme CEI/EN 62061
Sous-système B
Elément 1 du sous-système
De1
Elément 2 du sous-système
De2
Panne cause commune
Architecture logique de sous-système B
λ
DssB
= (1-ß) 2 x λ
De1 x λ
De2 x T
1
+ ß x (λ
De1
+ λ
De2
)/2
PFH
DssB
= λ
DssB x 1h
Les formules de cette architecture prennent en considération la disposition en parallèle des
éléments du sous-système et ajoutent les deux éléments suivants provenant du tableau précédent « Eléments à prendre en considération pour la classification SIL ».
ß – sensibilité aux pannes d’origine commune (bêta)
T1 – la plus petite valeur de l’intervalle entre essais de sûreté ou de l’autonomie. L’essai de sûreté est conçu pour détecter les pannes et les dégradations du sous-système de sécurité, afin que le sous-système puisse être restauré à son état de fonctionnement.
Prenons les valeurs suivantes comme exemple :
ß = 0,10
λ
De1
= 1 x 10
–6 pannes/heure
λ
De2
= 1 x 10 –6 pannes/heure
T1 = 87 600 heures (10 ans)
Le taux de panne du système est 1,70956E-07 pannes par heure (SIL2).
Effet de l’intervalle entre essais de sûreté
Voyons l’effet que l’intervalle entre essais de sûreté a sur le système. Supposons que l’intervalle entre essais de sûreté a été réduit à deux fois par an. Ceci réduit T1 à 4 380 heures et le taux de pannes dangereuses s’améliore pour donner 1,03548E-07 pannes par heure.
Ceci n’est toujours que de niveau SIL2. Si l’intervalle entre essais de sûreté est réduit à une fois par mois (730 heures), le taux de pannes dangereuses s’améliore et passe à 1,0059E-07 pannes par heure. Ceci n’est toujours que de niveau SIL2. Il faut encore améliorer le taux de panne, l’intervalle entre essais de sûreté ou la panne d’origine commune pour obtenir un niveau SIL3. De plus, le concepteur doit garder à l’esprit que ce sous-système doit être combiné avec d’autres sous-systèmes pour calculer le nombre total de pannes dangereuses.
101
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
Effet de l’analyse des pannes d’origine commune
Voyons l’effet que les pannes d’origine commune ont sur le système. Supposons que nous prenions des mesures supplémentaires et que notre valeur bêta s’améliore à son meilleur niveau de 1 % (0,01), et que l’intervalle entre essais de sûreté reste à 10 ans. Le taux de pannes dangereuses augmente à 9,58568E-08. Le système est maintenant de niveau SIL3.
Le schéma suivant montre la représentation fonctionnelle d’un système ne tolérant aucune panne avec fonction de diagnostic. La couverture de diagnostic est utilisée pour diminuer la probabilité de pannes matérielles dangereuses. Les tests de diagnostic sont réalisé automatiquement. La couverture de diagnostic est le rapport entre le nombre de pannes dangereuses détectées et le nombre de toutes les pannes dangereuses. Le type et le nombre des pannes sans danger n’est pas pris en considération dans le calcul de la couverture de diagnostic ; c’est uniquement le pourcentage de pannes dangereuses détectées.
Sous-système C
Elément 1 du sous-système
De1
Elément n du sous-système
Den
Fonction(s)de diagnostic
Architecture logique de sous-système C
λ
DssC
= λ
De1
(1-DC
1
)+ . . . + λ
Den
(1-DC n
)
PFH
DssC
= λ
DssC x 1h
Ces formules incluent la couverture de diagnostic (DC) pour chaque élément de soussystème. Les taux de panne de chaque sous-système sont diminués de la couverture de diagnostic de chaque sous-système.
Ci-dessous se trouve le quatrième exemple d’architecture de sous-système. Ce sous-système tolère une seule panne et inclut une fonction de diagnostic. Le potentiel de panne d’origine commune doit également être pris en considération avec les systèmes tolérant une seule panne.
Si les éléments du sous-système sont identiques, les formules suivantes sont utilisées :
λ
DssD
= (1 – ß)
2
{ λ
De
2 x 2 x DC x T
2
/2 + λ
De
2 x (1-DC) x T
1
}+ ß x λ
De
PFH
DssD
= λ
DssD x 1h
102
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Conception du système selon la norme CEI/EN 62061
Sous-système D
Elément 1 du sous-système
lDe1
Fonction(s)de diagnostic
Elément 2 du sous-système
lDe2
Panne cause commune
Architecture logique de sous-système D
Si les éléments du sous-système sont différents, les formules suivantes sont utilisées :
λ
DssD
= (1 – ß)
2
{ λ
De1 x λ
De2 x (DC
1
+ DC
2
) x T
2
/2 + λ
De1 x λ
De2 x (2- DC
1
– DC
2
) x T
1
/2 } + ß x
(λ
De1
+ λ
De2
)/2
PFH
DssD
= λ
DssD x 1h
Remarquez que les deux formules utilisent un paramètre supplémentaire, l’intervalle de diagnostic T2.
Pour exemple, prenons les valeurs suivantes pour l’exemple où les éléments du sous-système sont différents :
ß = 0,10
λ
De1
= 1 x 10
–6 pannes/heure
λ
De2
= 2 x 10 –6 pannes/heure
T1 = 87 600 heures (10 ans)
T2 = 876 heures
DC1 = 0,8
DC2 = 0,6
PFH
DssD
= 2,36141E-07 pannes dangereuses par heure
103
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
Méthodologies de transition pour les catégories
Au cours de la rédaction de la norme CEI/EN 62061, le comité a pris conscience que toutes les données requises pour les systèmes et les dispositifs ne seraient pas disponibles avant longtemps. Deux tableaux ont été inclus pour faciliter la conversion des concepts de système existants basés sur les catégories d’origine et qui ont prouvé leur efficacité en utilisation. Ils fournissent une équivalence pour la probabilité de panne dangereuse (PFH
D
) et les contraintes architecturales. Ces tableaux facilitent la transition vers les norme de sécurité fonctionnelle. Ils ont été légèrement simplifiés dans le présent document. En les étudiant, on constate que les architectures de nombreux exemples du système des catégories donnés dans les chapitres précédents peuvent être réutilisées pour la sécurité fonctionnel.
Catégorie
Tolérance aux pannes
Couverture de diagnostic
PFH
D pouvant être déclaré pour le sous-système
1
2
3
4
0
0
1
> 1
1
0 %
60 % à 90 %
60 % à 90 %
60 % à 90 %
> 90 %
Probabilité de panne dangereuse (PFHD) basée sur les catégories
Voir CEI/EN 62061
≥ 10
-6
≥ 2 x 10
≥ 3 x 10
≥ 3 x 10
-7
-8
-8
Le tableau précédent « Contraintes architecturales de la classification SIL », est une version simplifiée du tableau 7 de la norme. Utiliser ce tableau lorsqu’un sous-système basé sur les catégories devient un élément du système de commande de sécurité qui doit se conformer à la norme CEI/EN 62061. Pour plus de simplicité, le concepteur du système de sécurité peut déclarer une valeur PFH
D de 2 x 10
-7 pour un système de catégorie 3 qui a une couverture de diagnostic de 60 %. Une solution alternative pour le concepteur du système de sécurité est d’effectuer une analyse complète pour déterminer si une meilleure valeur PFHD peut être déclarée.
Catégorie
Tolérance aux pannes
SFF
1
2
3
0
0
1
1
> 1
< 60 %
60 % à 90 %
< 60 %
60 % à 90 %
60 % à 90 % 4
Contraintes architecturales des catégories
Limite SIL maximale selon les contraintes architecturales
Voir CEI/EN 62061
SIL1
SIL1
SIL2
SIL3
104
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Conception du système selon la norme CEI/EN 62061
Le tableau « Probabilité de panne dangereuse (PFHD) basée sur les catégories » peut être utilisé pour déterminer la limite SIL d’un sous-système basé sur les catégories. La couverture de diagnostic du système basé sur les catégories doit être converti en fraction de panne sans danger.
En connaissant les valeurs PFH
D et SIL CL d’un système basé sur les catégories, le concepteur du système de sécurité peut appliquer ces valeurs à l’un des sous-systèmes illustrés antérieurement. Si le système basé sur les catégories est le système de commande de sécurité complet, des valeurs SIL et PFH
D sont déterminées par les tableaux « Contraintes architecturales de la classification SIL » et « Probabilité de panne dangereuse (PFHD) basée sur les catégories ». Le concepteur du système de sécurité doit également se conformer aux exigences de pannes d’origine commune, pannes systématiques et intervalle entre essais de sûreté. Le système de notation des pannes d’origine commune est légèrement différent pour chaque norme. Les concepts d’intégrité de sécurité systématique sont similaires dans les deux normes ; aucune des deux normes n’utilise de système de notation. L’intervalle entre essais de sûreté peut être considéré comme identique au temps de mission, ou un intervalle plus court peut être choisi.
Contraintes architecturales
Le niveau d’intégrité de sécurité qui peut être déclaré pour un système ou sous-système est limité par les caractéristiques architecturales. Les deux caractéristiques principales sont la tolérance aux pannes matérielles et la fraction de panne sans danger. Les caractéristiques secondaires incluent les pannes d’origine commune et l’exclusion de panne.
Lorsque l’on combine les sous-systèmes, le niveau SIL obtenu par le système de commande de sécurité est restreint et doit être inférieur ou égale à la limite SIL la plus basse de n’importe quel sous-système impliqué dans la fonction de commande de sécurité.
B10 et B10 d
Pour les sous-systèmes électromécaniques, la probabilité de panne doit être estimée en prenant en considération le nombre de cycles de fonctionnement déclaré par le fabricant, la charge et le cycle de travail. La probabilité de panne est exprimée comme valeur B10, qui est le délai prévisible après lequel 10 % de l’équipement sera défectueux. B10 d est le délai prévisible après lequel 10 % de l’équipement présentera une panne avec danger.
Panne d’origine commune (CCF)
Un panne d’origine commune est un ensemble de pannes qui ont une cause identique et qui génèrent un danger. Les informations sur les pannes d’origine commune sont généralement requises uniquement par le concepteur du sous-système, typiquement le fabricant. Elle est utilisée dans les formules données pour l’estimation de la valeur PFHD d’un sous-système.
Elle n’est généralement pas requise pour la conception du système. L’annexe F de la norme
CEI/EN 62061 fournit une approche simple pour estimer la valeur CCF. Le tableau suivant montre un résumé du processus de notation.
105
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
4
5
6
2
3
N°
1
Mesure contre CCF
Séparation/structuration
Diversité
Conception/application/expérience
Evaluation/analyse
Compétence/formation
Environnement
Notation des mesures contre les pannes d’origine commune
Note
25
38
2
18
4
18
Des points sont attribués pour l’utilisation de mesures spécifiques contre les pannes d’origine commune. Les notes sont additionnées pour déterminer le facteur de panne d’origine commune, qui est indiqué dans le tableau suivant. Le facteur bêta est utilisé dans les modèles de sous-système pour « ajuster » le taux de pannes.
Note globale
< 35
35 – 65
65 – 85
Facteur de panne d’origine commune (ß)
85 – 00
Facteur bêta pour panne d’origine commune
10 % (0,1)
5 % (0,05)
2 % (0,02)
1 % (0,01)
Couverture de diagnostic (DC)
Des tests de diagnostic automatiques sont utilisés pour réduire la probabilité de pannes matérielles dangereuses. Etre capable de détecter 100 % des pannes matérielles dangereuses serait idéal, mais c’est un niveau souvent très difficile à atteindre.
La couverture de diagnostic est le rapport entre les pannes dangereuses détectées et toutes les pannes dangereuses.
Nombre de pannes dangereuses détectées, λ
DD
DC = -----------------------------------------------------------------
Nombre total de pannes dangereuses, λ
DD
La valeur de la couverture de diagnostic est comprise entre zéro et un.
106
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Conception du système selon la norme CEI/EN 62061
Tolérance aux pannes matérielles
La tolérance aux pannes matérielles représente le nombre de pannes qu’un sous-système peut subir avant de provoquer une panne dangereuse. Par exemple, une tolérance aux pannes matérielles de 1 signifie que 2 pannes peuvent entraîner la perte de la fonction de commande de sécurité, mais pas une seule panne.
Gestion de la sécurité fonctionnelle
La norme définit des exigences pour la commande des activités de gestion et techniques nécessaires pour obtenir un système de commande de sécurité électrique.
Probabilité de panne dangereuse (PFH
D
)
Une partie des exigences à mettre en œuvre pour procurer une capacité SIL à un système ou
à un sous-système est d’obtenir des données sur la valeur PFH
D
(probabilité de panne dangereuse par heure) en raison des pannes matérielles aléatoires.
Ces données sont fournies par le fabricant. Les données pour les composants et les systèmes récents de Rockwell Automation (GuardLogix, GuardPLC, SmartGuard et Kinetix avec
GuardMotion, dispositifs de verrouillage, dispositifs d’arrêt d’urgence, etc.) sont déjà disponibles.
La norme CEI/EN 62061 dit également clairement que des manuels de données de fiabilité peuvent être utilisés le cas échéant.
Pour les dispositifs électromécaniques peu complexes, le mécanisme de panne est généralement lié au nombre et à la fréquence des opérations plutôt qu’uniquement au temps.
Par conséquent, pour ces composants les données sont dérivées d’une forme de test d’autonomie (p. ex., test B10). B10 est le nombre d’opérations. Les informations basées sur l’application, comme le nombre prévisible d’opérations par an, est alors requis pour convertir les données B10 d ou similaires en valeur MTTF d
(durée moyenne de fonctionnement avant défaillance dangereuse). Ceci est ensuite converti en valeur PFH
D
.
En règle générale, on peut supposer l’égalité suivante :
PFH
D
= 1/MTTF d
Et, pour les dispositifs électromécaniques :
MTTF d
= B
10d
/(0,1 x nombre moyen d’opérations par an)
La formule de la valeur MTTF d est basée sur l’hypothèse d’un nombre de pannes constant.
La répartition cumulée des pannes est F(t) = 1 –exp(-λdt).
107
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Systèmes de commande de sécurité pour machines
Intervalle entre essais de sûreté
L’intervalle entre essais de sûreté représente le délai après lequel le sous-système doit être soit totalement vérifié ou remplacé pour assurer qu’il est dans un état « comme neuf ». En pratique, dans le secteur des machines, ceci est obtenu par remplacement. L’intervalle entre essais de sûreté est donc généralement la même chose que l’autonomie. La norme EN ISO 13849-1:2008 appelle cela le Temps mission.
Un essai de sûreté est une vérification pouvant détecter les pannes et les dégradations d’un système de commande de sécurité pour que ce système puisse être restauré dans un état aussi proche que possible de son état « comme neuf ». L’essai de sûreté doit détecter 100 % des pannes dangereuses. Les voies séparées doivent être testées séparément.
A l’inverse des tests de diagnostic, qui sont automatiques, les essais de sûreté sont généralement réalisés manuellement et hors ligne. Etant automatiques, les tests de diagnostic sont réalisés souvent, alors que les essais de sûreté sont conduits de façon peu fréquente.
Par exemple, les circuits allant vers un dispositif de verrouillage sur une barrière de protection peuvent être testés automatiquement pour détecter les courts-circuits et les circuits ouverts en utilisant un test de diagnostic (p. ex., impulsion).
L’intervalle entre essais de sûreté doit être déclaré par le fabricant. Parfois, le fabricant fournit différents intervalles entre essais de sûreté. L’intervalle entre essais de sûreté approprié est déterminé en évaluant la formule correspondant à l’architecture sélectionnée. En général, plus l’intervalle entre essais de sûreté est court, plus le nombre de pannes est bas.
Fraction de panne sans danger (SFF)
La fraction de panne sans danger est similaire à la couverture de diagnostic mais elle prend
également en compte toute tendance inhérente à tomber en panne sans création de danger.
Par exemple, lorsqu’un fusible grille, il y a une panne mais il est très probable que la panne sera un circuit ouvert qui, dans la plupart des cas, est une panne « sans danger ». La fraction de panne sans danger est (la somme des pannes « sans danger » plus le nombre de pannes dangereuses détectées) divisé par (la somme de pannes « sans danger » plus le nombre de pannes dangereuses détectées et non détectées). Il est important de comprendre que les seuls types de pannes pris en considération sont ceux qui ont un effet sur la fonction de sécurité.
La plupart des dispositifs mécaniques peu complexes, comme les boutons d’arrêt d’urgence et les dispositifs de verrouillage, ont (par eux-même) une fraction de panne sans danger inférieure à 60 % ; mais la plupart des dispositifs électroniques de sécurité sont conçus avec redondance et surveillance, une fraction supérieure à 90 % est donc habituelle. La valeur SFF est normalement indiquée par le fabricant.
108
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
SAFEBOOK 3
Conception du système selon la norme CEI/EN 62061
La fraction de panne sans danger (SFF) peut être calculée à l’aide de l’équation suivante : où
SFF = (Σλ
S
+ Σλ
DD
)/(Σλ
S
+ Σλ
D
)
λ
S
= le nombre de pannes sans danger
Σλ
S
+ Σλ
D
= le nombre total de pannes
λ
DD
= le nombre de pannes dangereuses détectées
λ
D
= le nombre de pannes dangereuses
Défaillance systématique
La norme définit des exigences destinées à réguler et éviter les défaillances systématiques.
Les défaillances systématiques sont différentes des pannes matérielles aléatoires qui sont des pannes qui se produisent à n’importe quel moment, et qui résultent généralement d’une dégradation de pièces matérielles. Les types les plus courants de défaillance systématique sont les erreurs de conception de logiciel, les erreurs de conception du matériel, les erreurs dans les spécifications exigées et les procédures de fonctionnement. Voici quelques exemples de mesures à prendre pour éviter les défaillances systématiques :
• sélection, combinaison, disposition, assemblage et installation corrects des composants ;
• utilisation de bonnes pratiques d’ingénierie ;
• respect des spécifications et des instructions d’installation du fabricant ;
• assurer la compatibilité entre les composants ;
• résistance aux conditions ambiantes ;
• utilisation des matériaux appropriés.
La norme fournit d’autres exigences plus détaillées nécessaires pour éviter les défaillances systématiques. Elle n’inclut cependant pas de système de notation pour déterminer quel pourcentage des défaillances systématiques potentielles sont couvertes. Pour être conforme aux exigences SIL3, le concepteur doit répondre à toutes les exigences pour éviter les défaillances systématiques. Si toutes les exigences ne sont pas satisfaites, la limite SIL doit
être réduite.
109
Tel : 03.26.04.20.21 - Fax : 03.26.04.28.20 - Web : http: www.audin.fr - Email : info@audin.fr
Link público atualizado
O link público para o seu chat foi atualizado.
