ÉTUDE HYDRAULIQUE

Conception d’un Circuit d’Arrêt d’Urgence de Catégorie 4

Oléohydraulique : Conception d'un Circuit d'Arrêt d'Urgence (Cat. 4)

Conception d'un Circuit d'Arrêt d'Urgence de Catégorie 4

Contexte : La Sécurité Fonctionnelle en Oléohydraulique

En conception de machines, la sécurité des opérateurs est primordiale. Les systèmes hydrauliques, capables de générer des forces immenses, doivent intégrer des fonctions de sécurité fiables. La norme ISO 13849-1Norme internationale spécifiant les exigences de sécurité et les lignes directrices pour la conception et l'intégration des parties des systèmes de commande relatives à la sécurité, y compris l'utilisation de logiciels. fournit un cadre pour concevoir et valider ces fonctions. Un arrêt d'urgence de Catégorie 4La plus haute catégorie de sécurité selon l'ISO 13849-1. Elle exige que la fonction de sécurité reste assurée même en cas d'accumulation de défauts non détectés. Nécessite une redondance élevée et un diagnostic constant., le plus haut niveau d'exigence, garantit que la fonction de sécurité reste active même si plusieurs défauts surviennent. Cet exercice vise à appliquer cette norme pour calculer le niveau de performance (PLPerformance Level (Niveau de Performance) : Mesure discrète (de 'a' à 'e') de la capacité d'une partie d'un système de commande relative à la sécurité à exécuter une fonction de sécurité dans des conditions prévisibles.) d'un circuit d'arrêt d'urgence pour une presse hydraulique.

Remarque Pédagogique : La sécurité fonctionnelle n'est pas qu'une affaire de "bons composants". C'est une approche systémique qui prend en compte l'architecture du circuit, la fiabilité des composants (MTTFd), la capacité du système à détecter ses propres pannes (DC), et sa robustesse face aux défaillances de cause commune (CCF).

Objectifs Pédagogiques

  • Comprendre l'architecture d'un circuit de sécurité de Catégorie 4.
  • Définir et utiliser les paramètres de fiabilité : MTTFd, DC, et CCF.
  • Calculer le MTTFdMean Time To Dangerous Failure (Temps Moyen avant Défaillance Dangereuse) : Durée moyenne de fonctionnement avant qu'une défaillance dangereuse ne se produise. d'un canal de sécurité.
  • Calculer le Diagnostic CoverageDiagnostic Coverage (Taux de Couverture du Diagnostic) : Mesure de l'efficacité du diagnostic, exprimée en pourcentage de pannes dangereuses détectées. (DC) moyen.
  • Évaluer les Mesures contre les Défaillances de Cause Commune (CCFCommon Cause Failures (Défaillances de Cause Commune) : Défaillances de différents éléments résultant d'un événement unique, lorsque ces défaillances ne sont pas la conséquence les unes des autres.).
  • Déterminer le Niveau de Performance (PL) final d'une fonction de sécurité.

Données de l'étude

On souhaite valider la conception du circuit d'arrêt d'urgence d'une presse hydraulique. L'analyse de risque a déterminé un niveau de performance requis (PLrPerformance Level required (Niveau de Performance Requis) : Niveau de performance qui doit être atteint par la fonction de sécurité pour assurer une réduction des risques suffisante.) de 'e'. Le circuit (voir schéma) utilise une architecture à deux canaux redondants. L'arrêt d'urgence est déclenché par le bouton S1, qui commande deux distributeurs de sécurité (V1 et V2). Ces distributeurs, lorsqu'ils sont désactivés, mettent le vérin à la bâche (au réservoir), stoppant tout mouvement dangereux.

Schéma du Circuit de Sécurité Hydraulique
M Pompe Limiteur P T (Bâche) V1 V2 T Vérin Contrôle S1 Canal 1 Canal 2

Données de Fiabilité des Composants :

Composant MTTFd (années) DC (%)
Bouton d'arrêt d'urgence (S1) 150 99% (interne)
Relais de sécurité (par canal) 100 99%
Distributeur de sécurité (V1, V2) 80 90% (surveillance de position)

Données Système :

  • Nombre de cycles par an : 200 000
  • Heures de fonctionnement par an : 4 000 h

Questions à traiter

  1. Calculer le MTTFd pour chaque canal de la fonction de sécurité (Canal 1 : S1 → Relais 1 → V1 ; Canal 2 : S1 → Relais 2 → V2).
  2. Calculer le Taux de Couverture du Diagnostic moyen (DCavg) pour l'ensemble de la fonction.
  3. Évaluer les mesures contre les défaillances de cause commune (CCF) à l'aide de la liste de contrôle de l'Annexe F de l'ISO 13849-1 (on supposera un score de 75 points obtenu).
  4. Déterminer le Performance Level (PL) final de la fonction de sécurité et conclure sur sa conformité par rapport au PLr requis de 'e'.

Correction : Conception d'un Circuit d'Arrêt d'Urgence de Catégorie 4

Question 1 : Calcul du MTTFd par Canal

Principe :
Calcul du MTTFd d'un canal en série Fiabilité du canal S1 150 ans Relais 100 ans Vanne 80 ans Le maillon le plus faible (Vanne) dicte la fiabilité globale.

Le MTTFd d'un canal est une mesure de sa fiabilité. Lorsque plusieurs composants sont en série dans un canal, la défaillance d'un seul entraîne la défaillance du canal. Le MTTFd global du canal est donc plus faible que celui du composant le moins fiable. On le calcule en additionnant les taux de défaillance (l'inverse du MTTFd).

Remarque Pédagogique :

Point Clé : Pensez à une chaîne. La résistance de la chaîne est celle de son maillon le plus faible. De même, la fiabilité (MTTFd) d'un canal de sécurité est fortement influencée par son composant le moins fiable. L'ajout de composants en série diminue toujours la fiabilité globale du canal.

Formule(s) utilisée(s) :
\[ \frac{1}{MTTFd_{\text{canal}}} = \sum_{i=1}^{n} \frac{1}{MTTFd_{\text{composant}, i}} \]
Donnée(s) :
  • MTTFd (S1) = 150 ans
  • MTTFd (Relais) = 100 ans
  • MTTFd (Vanne) = 80 ans
Calcul(s) :

Les deux canaux étant identiques, le calcul est le même pour les deux.

\[ \begin{aligned} \frac{1}{MTTFd_{\text{canal}}} &= \frac{1}{MTTFd_{\text{S1}}} + \frac{1}{MTTFd_{\text{Relais}}} + \frac{1}{MTTFd_{\text{Vanne}}} \\ &= \frac{1}{150} + \frac{1}{100} + \frac{1}{80} \\ &= 0.00667 + 0.01 + 0.0125 \\ &= 0.02917 \, \text{an}^{-1} \end{aligned} \]
\[ \begin{aligned} MTTFd_{\text{canal}} &= \frac{1}{0.02917} \\ &\approx 34.28 \, \text{ans} \end{aligned} \]
Points de vigilance :

Limitation du MTTFd : La norme ISO 13849-1 plafonne souvent le MTTFd d'un composant à 100 ans ou 2500 ans dans les calculs, en fonction du contexte. Ici, pour simplifier, nous utilisons les valeurs brutes. De plus, le MTTFd d'un canal est toujours inférieur au plus petit MTTFd des composants de ce canal (ici, 34.28 ans < 80 ans).

Le saviez-vous ?

Le MTTFd est une valeur statistique. Un composant avec un MTTFd de 100 ans ne fonctionnera pas 100 ans ! Cela signifie que sur un grand parc de ces composants, on s'attend en moyenne à une défaillance dangereuse par an pour 100 composants en service.

FAQ en rapport avec la question :
Pourquoi additionne-t-on les inverses des MTTFd ?

L'inverse du MTTFd (1/MTTFd) est le taux de défaillance, noté λ (lambda). Pour des composants en série, les taux de défaillance s'additionnent pour donner le taux de défaillance global du système. C'est plus intuitif : plus on ajoute de composants, plus le risque de panne (taux de défaillance) augmente.

Résultat : Le MTTFd pour chaque canal est d'environ 34.3 ans. Selon l'ISO 13849-1, cela correspond au niveau "moyen" (entre 30 et 100 ans).

Question 2 : Calcul du DCavg

Principe :
Couverture du Diagnostic (DC) Pannes dangereuses Diagnostic Pannes détectées DC = (Pannes détectées / Total pannes) x 100

Le Taux de Couverture du Diagnostic (DC) mesure la capacité d'un système à détecter ses propres pannes. Pour un système redondant, on calcule un DC moyen (DCavg) pondéré par la fiabilité de chaque composant.

Remarque Pédagogique :

Point Clé : Un DC élevé est crucial pour les catégories de sécurité hautes (3 et 4). Il ne suffit pas d'avoir deux canaux (redondance), il faut aussi pouvoir vérifier constamment qu'ils sont fonctionnels. C'est le rôle de la surveillance (ex: capteurs de position sur les tiroirs des distributeurs) qui permet d'atteindre un bon DC.

Formule(s) utilisée(s) :
\[ DC_{\text{avg}} = \frac{\frac{DC_1}{MTTFd_1} + \frac{DC_2}{MTTFd_2} + \dots + \frac{DC_n}{MTTFd_n}}{\frac{1}{MTTFd_1} + \frac{1}{MTTFd_2} + \dots + \frac{1}{MTTFd_n}} \]
Donnée(s) :
  • MTTFd (Relais) = 100 ans, DC (Relais) = 99%
  • MTTFd (Vanne) = 80 ans, DC (Vanne) = 90%
Calcul(s) :

On ne prend en compte que les composants des canaux logiques (Relais et Vannes). Le bouton S1 est l'élément d'entrée commun.

\[ \begin{aligned} DC_{\text{avg}} &= \frac{\frac{DC_{\text{Relais}}}{MTTFd_{\text{Relais}}} + \frac{DC_{\text{Vanne}}}{MTTFd_{\text{Vanne}}}}{\frac{1}{MTTFd_{\text{Relais}}} + \frac{1}{MTTFd_{\text{Vanne}}}} \\ &= \frac{\frac{0.99}{100} + \frac{0.90}{80}}{\frac{1}{100} + \frac{1}{80}} \\ &= \frac{0.0099 + 0.01125}{0.01 + 0.0125} \\ &= \frac{0.02115}{0.0225} \\ &\approx 0.94 \end{aligned} \]
Points de vigilance :

Pondération par la fiabilité : Notez que le DCavg n'est pas une simple moyenne. Les composants les moins fiables (MTTFd plus faible, donc 1/MTTFd plus grand) ont plus de "poids" dans le calcul. C'est logique : il est plus important de bien diagnostiquer un composant qui a plus de chances de tomber en panne.

Le saviez-vous ?

Pour atteindre un DC de 99% (élevé), il faut souvent une surveillance cyclique. Par exemple, le module de sécurité peut forcer un très bref changement d'état des distributeurs entre deux cycles de la machine (quand cela ne présente aucun danger) pour s'assurer qu'ils ne sont pas bloqués.

FAQ en rapport avec la question :
Le DC du bouton d'arrêt d'urgence est-il pris en compte ?

Non, pas dans le calcul du DCavg pour une architecture à deux canaux. Le DCavg concerne la capacité des canaux à se surveiller mutuellement et à détecter les pannes internes. La panne du composant d'entrée (le bouton) est considérée comme un événement initial qui doit être géré par la redondance des canaux qui le suivent.

Résultat : Le DCavg est de 94%. Cela correspond au niveau "moyen" (entre 90% et 99%).

Question 3 : Évaluation des CCF

Principe :
Défaillance de Cause Commune (CCF) Ch. 1 Ch. 2 ! Mesures CCF Séparation, diversité, protection... pour éviter qu'un seul événement ne détruise tout.

Les défaillances de cause commune (CCF) sont des pannes simultanées de plusieurs composants pour une seule et même raison (ex: contamination du fluide, choc, surtension). La norme fournit une liste de mesures à appliquer (séparation physique, diversité, protection contre les surpressions, etc.). Un score est attribué en fonction des mesures mises en place. Un score ≥ 65 est requis.

Remarque Pédagogique :

Point Clé : La redondance ne sert à rien si une seule cause peut détruire les deux canaux en même temps. C'est pourquoi l'évaluation des CCF est une étape non négociable. On peut utiliser des vannes de technologies différentes (diversité), placer les relais dans des boîtiers séparés (séparation physique), ou bien former le personnel à la maintenance spécifique de ces circuits (mesures organisationnelles).

Formule(s) utilisée(s) :

Il n'y a pas de formule de calcul, mais une évaluation qualitative basée sur une liste de contrôle (Annexe F de la norme ISO 13849-1). Le résultat est un score en points.

Donnée(s) :
  • Score CCF obtenu par l'analyse : 75 points.
Calcul(s) :

Le calcul est une simple vérification. Le score de 75 est supérieur au seuil requis de 65.

Points de vigilance :

Analyse rigoureuse : L'attribution des points CCF ne doit pas être prise à la légère. Elle doit être justifiée et documentée. Une surévaluation du score CCF peut masquer une faiblesse critique de la conception et mener à des accidents graves.

Le saviez-vous ?

Dans l'aéronautique, les CCF sont une préoccupation majeure. Les systèmes de commande de vol critiques utilisent non seulement la redondance (plusieurs ordinateurs), mais aussi la diversité (ordinateurs de fabricants différents avec des logiciels programmés par des équipes distinctes) pour se prémunir des CCF.

FAQ en rapport avec la question :
Que se passe-t-il si le score CCF est inférieur à 65 ?

Si le score est inférieur à 65, la fonction de sécurité ne peut pas être validée, quel que soit le PL calculé. Il est impératif de revoir la conception pour ajouter des mesures de protection supplémentaires (par exemple, une meilleure séparation des câblages, l'ajout de filtres hydrauliques plus performants, etc.) jusqu'à ce que le score atteigne au moins 65 points.

Résultat : Les mesures contre les CCF sont jugées suffisantes (75 > 65).

Question 4 : Détermination du PL final

Principe :
Détermination du Performance Level (PL) Catégorie 4 MTTFd: moyen DCavg: moyen ISO 13849-1 Annexe K PL d

Le PL est déterminé à l'aide d'un graphique (ou d'un tableau) de la norme ISO 13849-1, en croisant la Catégorie d'architecture, le MTTFd de chaque canal, et le DCavg. La conformité aux CCF est une condition préalable.

Remarque Pédagogique :

Point Clé : Cette dernière étape est la synthèse de tout le travail précédent. Elle montre comment les différents paramètres de fiabilité interagissent pour donner une note globale et unique (le PL) à la fonction de sécurité. C'est ce PL qui est ensuite comparé au niveau de risque de la machine (PLr) pour juger de la conformité.

Formule(s) utilisée(s) :

Pas de formule, mais utilisation du graphe de l'Annexe K de la norme ISO 13849-1.

Donnée(s) :
  • Architecture : Catégorie 4
  • MTTFd (par canal) : 34.3 ans ("moyen")
  • DCavg : 94% ("moyen")
  • CCF : OK
  • PLr (requis) : 'e'
Détermination :
Graphe de détermination du PL pour Cat. 4
Graphe de détermination du PL pour Cat. 4 MTTFd du canal DCavg Faible Moyen Élevé Élevé Moyen Faible c d d e Notre résultat

En entrant dans le graphe pour la Catégorie 4 avec un MTTFd moyen et un DC moyen, on atteint le PL 'd'.

Points de vigilance :

Le PL n'est pas tout : Même si le PL calculé est égal ou supérieur au PLr, cela ne garantit pas la sécurité. La fonction doit aussi être correctement intégrée, testée, et maintenue tout au long de la vie de la machine. La validation de la sécurité est un processus complet, pas juste un calcul.

Le saviez-vous ?

Des logiciels spécialisés, comme SISTEMA (gratuit, développé par l'IFA en Allemagne), permettent d'automatiser ces calculs. L'ingénieur y entre l'architecture et les données de fiabilité des composants, et le logiciel calcule le PL final, générant un rapport de validation complet.

FAQ en rapport avec la question :
Comment améliorer le PL de 'd' à 'e' ?

En regardant le graphe, pour atteindre PL 'e' en Cat. 4, il faut soit : 1) un MTTFd "élevé" et un DC "moyen", soit 2) un MTTFd "élevé" et un DC "élevé". Dans notre cas, le DC est déjà "moyen". La seule solution est d'augmenter le MTTFd du canal pour qu'il passe dans la catégorie "élevé" (> 100 ans). Cela implique de choisir des composants (surtout la vanne, qui est le maillon faible) beaucoup plus fiables.

Résultat : Le PL atteint est 'd', ce qui est inférieur au PLr 'e' requis. Le circuit n'est pas conforme.

Simulation Interactive du PL

Modifiez la fiabilité des composants pour voir comment atteindre le PL requis de 'e'.

Paramètres de Fiabilité
MTTFd canal calculé
DCavg calculé
PL Atteint
Position sur le graphe de la norme

Quiz Final : Testez vos connaissances

1. Si le MTTFd d'un seul composant dans un canal tend vers l'infini (parfaitement fiable), que devient le MTTFd du canal ?

2. Pour atteindre un PL 'e', quelle combinaison est généralement requise pour une Catégorie 4 ?

Glossaire

ISO 13849-1
Norme internationale spécifiant les exigences de sécurité pour la conception des parties des systèmes de commande relatives à la sécurité.
Performance Level (PL)
Niveau de performance (de 'a' à 'e') qui quantifie la capacité d'un système de commande à exécuter une fonction de sécurité.
MTTFd (Mean Time To Dangerous Failure)
Temps Moyen avant Défaillance Dangereuse. C'est une valeur statistique de la fiabilité d'un composant ou d'un système.
DC (Diagnostic Coverage)
Taux de couverture du diagnostic. Pourcentage de pannes dangereuses qui peuvent être détectées par le système lui-même.
CCF (Common Cause Failures)
Défaillances de cause commune. Pannes de plusieurs éléments dues à un seul événement (ex: température, choc, contamination).
Catégorie
Classification de l'architecture d'un système de commande selon sa structure et sa tolérance aux pannes (ex: monocanal, redondant, redondant avec surveillance).
Conception d'un Circuit d'Arrêt d'Urgence de Catégorie 4

D’autres exercices d’oléohydraulique:

0 commentaires
Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *