Les tests dans les systèmes instrumentés de sécurité

Les normes et directives en matière de sécurité imposent de vérifier régulièrement l’état de fonctionnement des éléments constituant la chaîne de sécurité. Le niveau de SIL attribué à un SIS est calculé en prévoyant des tests périodiques sur les différents éléments qui composent le système.

Les normes mentionnent clairement les tests en ligne et hors ligne comme une condition pour maintenir le niveau de SIL pour les systèmes de sécurité.

Si toutes les défaillances étaient détectées, il ne serait pas nécessaire de vérifier périodiquement les éléments entrant dans la composition d’un SIS.

Le problème posé parfois est celui de la périodicité de ces tests et la planification des arrêts des procédés pour maintenance qui deviennent de moins en moins fréquents. En effet, il paraît déraisonnable d’interrompre délibérément la production dans un procédé pour tester une vanne qui ne sera peut-être jamais sollicitée. Du coup, dans certains cas, il faut parfois attendre six ans pour avoir l’occasion de tester une vanne d’arrêt hors ligne [GRU 98].

3.2.1. La fonction test et les inspections visuelles (hors ligne)

Le diagnostic (test en ligne) et les inspections visuelles sont des moyens très importants pour vérifier si un SIS est capable d’atteindre ses fonctions de sécurité et de révéler les défaillances qui entravent la mise en sécurité du procédé au moment où il y a une demande [LUN 07].

Le diagnostic est un moyen de détection en ligne des déviations, des dégradations et des divergences et il est souvent réalisé par du matériel et du logiciel dédiés et implémentés dans les dispositifs (par exemple, les chiens de garde).

La norme définit le test périodique comme un essai effectué pour révéler des défauts non détectés dans un système instrumenté de sécurité, de telle sorte que, au besoin, le système puisse être restauré dans sa fonctionnalité de conception.

Les défaillances détectées par les tests de diagnostic sont appelées défaillances dangereuses détectées [CEI 00]. D’autres métriques sont aussi spécifiées par la norme. La figure suivante illustre la répartition des défaillances selon la norme.

Figure 3. 3 : Proportion de défaillances selon un exemple illustré dans la norme [CEI 00] λDD : Taux de défaillances dangereuses détectées,

λ_DU : Taux de défaillances dangereuses non détectées, λSD : Taux de défaillances en sécurités détectées, λSU : Taux de défaillances en sécurité non détectées.

La norme définit en outre, la proportion de défaillances en sécurité SFF (Safe Failure Fraction): DU DD SU SD DD SU SD SFF

λ

λ

λ

λ

λ

λ

λ

Cette métrique est un ratio de taux de défaillances et ne dépend pas du taux total de défaillances. Le résultat est un nombre entre zéro et un. Il est souhaitable d’avoir un SFF suffisamment important. Le SFF mesure la tendance de l’instrument à avoir des défaillances sûres ou détecter des défaillances dangereuses.

Le test de diagnostic souvent utilisé ne révèle pas toutes les défaillances et ne teste pas la fonction de sécurité complète.

D’après [ISA 96], les tests de diagnostic sont effectués périodiquement et automatiquement pour détecter les défauts latents cachés qui empêchent les SIS de répondre à une demande. Il existe deux types de tests de diagnostics [LAM 02] :

λDU λDD λ_SD λ_SU λDU λ_DD λ_SD λ_SU

Les diagnostics de référence : comparaison par rapport à une valeur prédéterminée comme la mesure de la période (watch dog), le rebouclage de toutes les sorties sur une entrée,

Les diagnostics par rapport à une opérationnelle

La norme CEI 61508 définit un taux de couverture de diagnostic pour les tests automatiques de diagnostic comme le rapport de taux de défaillances dangereuses détectées (par un test de diagnostic) sur le taux total des défaillances dangereuses (détectées et non détectées).

∑^∑

λ

λ

Ce taux de couverture de diagnostic reflète la qualité et l’étendue des tests automatiques en ligne. Sa grande valeur désigne la pertinence de traitement des défaillances détectées par leur détection. Plus ce taux est important, plus grande est la confiance dans le système instrumenté de sécurité du fait que les situations sûres prédominent par rapport aux situations dangereuses lors de l’occurrence de défaillances.

Les tests périodiques et les inspections visuelles sont réalisés alors qu’il y a arrêt de production. Ils sont destinés à révéler les défaillances non détectées par les tests en ligne. Ils sont réalisés à des intervalles réguliers. La durée de ces intervalles a une conséquence directe sur la probabilité de défaillance sur demande relative à la fonction de sécurité exécutée. Les défaillances révélées par ce type de tests sont appelées par la norme défaillances dangereuses détectées.

Dans plusieurs cas, les tests et les inspections visuelles sont exécutés manuellement. Cependant, les tests sont devenus automatiques avec les nouvelles technologies comme par exemple le test partiel de course de vanne [SUM 00b].

Les tests et les inspections comprennent généralement les six tâches suivantes [LUN 07] :

L’ordonnancement par gestion au niveau de la maintenance. A un temps prédéfini, les tests ou les inspections sont soumis au système,

La préparation, l’exécution et la restauration. Cette tâche relate de l’utilisation de la documentation nécessaire, de l’exécution de la procédure de test, la remise en place d’une façon adéquate des composants affectés à l’opération,

Le report des défaillances vers le système qui gère la maintenance en mentionnant toutes les déviations et défaillances,

L’analyse des défaillances. L’objectif de cette tâche est de comparer les performances relatives au SIS par rapport aux performances ciblées,

L’implémentation de mesures de défense. Il est important de préparer et implémenter des moyens de corrections relatifs aux défaillances enregistrées,

La validation et le perfectionnement continu. A des intervalles réguliers, il est important de revoir les procédures utilisées et faire des analyses à propos de l’exécution de ces procédures en regard des objectifs relatifs aux SIS consistant à maintenir leurs performances pendant l’exploitation et la maintenance.

3.2.2. L’avantage des tests dans les SIS

La tendance vers l’utilisation des instruments intelligents dans les applications de sécurité est motivée par la capacité qu’offre ce type d’instruments à être diagnostiqués en ligne mais aussi au pouvoir de validation en regard des conditions environnantes [NOB 04] [MAC 04].

Les tests périodiques assurent la détection des pannes cachées afin de maintenir la sécurité fonctionnelle prescrite.

L’impact des tests périodiques sur la fiabilité est montré dans la figure suivante :

Figure 3.4 : Impact des tests périodiques sur la fiabilité

La figure 3.4 montre bien le rétablissement de la fiabilité du système après chaque test périodique et ainsi le niveau de SIL peut être maintenu comme le préconise la norme. La métrique R(t) exprime tout simplement l’inverse de la probabilité de défaillance sur demande PFD et l’on voit bien qu’en absence de tests périodiques, la valeur de R(t) se dégrade nettement et sort de la bande [0,9 0,99], par conséquent le SIL ne peut plus être maintenu à sa valeur.

Les tests dans les éléments finaux typiquement les vannes d’arrêt se concrétisent partiellement sur une partie de la course. Ces tests partiels peuvent être pratiqués à des périodes très rapprochées afin de permettre le maintien du niveau SIL au niveau initial. L’avantage de l’utilisation d’instruments intelligents est que la commande ne provient plus de l’automate programmable mais tout simplement de la vanne elle-même. Les capteurs dotés d’intelligence disposent aussi de moyens d’autotests en ligne permettant de diagnostiquer la nature des défaillances avec un taux de couverture propre à chaque instrument. Ils disposent aussi d’autres propriétés telles que la réaction au vieillissement prématuré, l’adaptation à l'usure réelle, la participation à l'intelligence globale du système…

Lorsque les dispositifs d’un système de contrôle sont distribués dans toute l’installation, il semble raisonnable d'examiner la possibilité de distribuer la détection associée et les tâches de diagnostic. Ces tâches visent à isoler les défauts de la boucle qui affectent les performances. [CHE 02] a utilisé le diagnostic distribué en mettant en évidence une certaine similitude avec

1 0,9 t Ti ^{2 Ti 3 Ti} 0,99 4 Ti 5 Ti 6 Ti R(t) 0,1/λ

le concept de validation de [CLA 95] décrit dans le premier chapitre et qui vise à distribuer des tâches locales de détection et de diagnostic à des instruments (capteurs et actionneurs). [WAN 00] introduit aussi le principe du diagnostic distribué en décrivant la différence qui peut exister entre un système et un système distribué. En effet, dans un système, un processeur central est nécessaire afin de recueillir tous les résultats des tests et de diagnostics sur le système. Toutefois, dans les systèmes distribués utilisant des réseaux de communication, il n'existe pas de processeur central et tous les processeurs sont utilisés séparément. Cette procédure permet le test et le diagnostic en ligne. Les tests peuvent être appliqués de manière asynchrone, c'est-à-dire un processeur peut toujours appliquer ses tests.