GESTION DE LA SECURITE

Dans le paragraphe précédent, on a présenté quelques méthodes d’analyse de la sécurité. Ce type d’analyses ne suffit pas sans l’existence d’une gestion de la sécurité. Dans la norme IEC 615-08/11 [STA-IEC] la gestion de la sécurité concerne la gestion des activités nécessaires à assurer que la conception prenne en compte les exigences de sécurité, le maintien des instruments de sécurité durant le cycle de vie du système, et le programme de certification de la sécurité. En fait, la certification de la sécurité est employée pour produire un document formel qui assure l’intégration de la sécurité durant le cycle de vie du système.

Dans un cas d'étude pour les systèmes de transport [ADD-00] [Site 2], le plan de gestion pour la sécurité est désigné pour éliminer et contrôler les risques durant le développement du système. Dans cette étude, on remarque que les risques qui ne peuvent pas être éliminé avec la conception, il faut les contrôler en fournissant des composants pour les détecter, les éliminer, et atténuer leurs effets.

Enfin, durant le développement des systèmes critiques, les analyseurs développent le plan de gestion pour la sécurité, dans le but de suivre les exigences de sécurité et les instructions de sécurité fournissent après l’exécution des différents processus d’analyse de sécurité durant les différentes phases du système. Par la suite, nous allons présenter les processus d’analyse de sécurité et leurs occurrences durant le développement des systèmes, la norme de DOD, et la norme de l’IEC.

6.1. Processus d’analyses et leurs occurrences

Dans un cas d’étude pour le développement des systèmes, on peut remarquer l’occurrence des différentes méthodes d’analyse durant le cycle du développement (cf. figure II.7). Au début, l’analyse du risque préliminaire (ARP) est exécutée durant la première phase du développement du système et ça continue durant la phase de la conception préliminaire. La méthode AMDEC est exécutée au début de la conception préliminaire. En effet, l'analyse d'arbre de défaut (FTA) est exécutée durant la conception préliminaire et jusqu'à la fin de la

Chapitre II- Etat de l’Art et Analyse Critique

conception finale. Et finalement, l'analyse de risque opérationnelle (ARO) est préparée pendant la dernière partie de la conception finale.

La phase de construction/installation commence avec la fabrication ou la construction, et elle se termine par l’installation, et les tests des unités construits qui constituent le système. L’AMDEC doit être mis à jour si des risques additionnels sont identifiés pendant cette phase. La phase d'intégration/test/certification de sécurité, commence quand l'équipement est installé, et se prolonge à toute la période d'essai.

Système de transport Analyse du risque Planification Conception préliminaire Conception finale Construction/ Production/ Installation Opération/ Intégration/ Test/ Certification de la sécurité ARP AMDEC FTA ARO

Figure II.7-L’occurrence des différentes méthodes d'analyses durant le cycle de développement pour un système de transport

L'ARO peut être mise à jour si des risques additionnels sont identifiés pendant cette phase. Ce processus fournit la documentation nécessaire exigée pour la sûreté du système.

6.2. La norme du DOD

Le DOD (département de la défense américain) [STA-Dod] est en charge à la protection des personnels des accidents fatals et des dommages. En fait, le but de la norme est d’identifier les risques, les évaluer et les contrôler. Au sein de la norme, on remarque la nécessité d’appliquer de nombreuses techniques afin d’atteindre un niveau de risque acceptable ; tout en respectant les contraintes du temps, et du coût au long du cycle de vie du système.

Dans la norme, on remarque que le but du système de sécurité est d’assurer la sécurité durant le cycle de vie du système. En fait, lorsqu’il y aura la soumission des modifications, il faut identifier les nouveaux risques associés au système ; pour que chaque risque soit éliminé ou réduit à un niveau acceptable. Enfin, les efforts pour la construction de la sécurité de systèmes doit contenir un ensemble d’exigences pour : la documentation du système de

Chapitre II- Etat de l’Art et Analyse Critique

sécurité, l’identification des risques, l’évaluation du risque, le calcul de la probabilité de leur occurrence, la réduction de leur occurrence, l a transformation du risque vers un niveau acceptable, et la vérification de la diminution du risque.

6.3. La norme de l’IEC

La norme de l’IEC-61511[STA-IEC], est concernée par le "cycle de vie de la sécurité" afin de structurer les exigences, de spécifier, de concevoir, d'intégrer, d’opérer, et de modifier le système équipé par la sécurité. En fait, la sécurité comme défini dans la norme est l’atténuation d’un niveau inacceptable du risque qui peut affecter les matériels physiques du système, la vie des personnages qui interactent avec le système. C’est pour cela qu’on identifie la définition des fonctions pour la sécurité. Ce type de fonctions a pour but d’intégrer des fonctions qui ont la capacité d'effectuer des actions nécessaires pour réaliser un état sûr et sécurisé pour maintenir l'équipement sous la commande.

En fait, le cycle de vie de la sécurité présenté dans la norme, est composé de plusieurs phases. Chaque phase (cf. figure II.8) a un ensemble d'entrées et de sorties définies, et vers la fin de chaque phase, un contrôle (ou la vérification) sera effectué afin de confirmer que les sorties exigées sont comme prévu. Alors, le but de la norme est de désigner pour fournir une confiance pour l’opérateur, le régulateur, et de toute personne en relation avec le système.

Chapitre II- Etat de l’Art et Analyse Critique

Figure II.8-Cycle de vie pour la sécurité présente dans le standard EIC61511. Ce cycle de vie est divisé en plusieurs phases.

Enfin, la norme doit être utilisée pour démontrer que le système opère en sécurité, que l’équipement est en sécurité et que le système est protégé contre les risques. En effet, la norme internationale IEC61508, vise à Améliorer la sécurité et la performance des systèmes complexes, permettre l’intégration de la sécurité durant le développement du système, et fournir une approche pour déterminer la performance de la sécurité des systèmes complexes (nucléaires, aérospatiales, ferroviaires, etc..) durant leur développement.

Dans la norme, on remarque que les échecs dangereux de la sécurité peuvent surgir :

• D’une spécification incorrecte des exigences,

• D’une omission des exigences de sécurité,

• D’un échec aléatoire des matériels,

• D’un échec systématique des matériels et des logiciels de commandes.

• Des erreurs humaines,

Installation et validation Opération et maintenance Modification Disposition Vérification Conception d’autres types de risques Gestion des fonctions pour la sécurité et l’évaluation de la sécurité Plan et structure du cycle de vie pour la sécurit é L ‘analyse du risque L’allocation de fonctions de sécurité

Spécification des exigences de sécurité pour le système de

sécurité

Conception et ingénierie pour les instrumentations de sécurité

Chapitre II- Etat de l’Art et Analyse Critique

• D’une Influence de l’environnement (électromagnétique, température, etc.…)