Modèle d’un instrument intelligent

Dans ce modèle, contrairement au modèle classique, les autotests sont gérés localement et les différentes fonctionnalités sont traitées. Le modèle comprend une partie fonctionnelle et une partie dysfonctionnelle. La partie fonctionnelle décrit les opérations effectuées par l’instrument lorsqu’il est dans un état normal tandis que la partie dysfonctionnelle construite à l’aide de réseaux de Petri stochastiques représente des défaillances et permet d’effectuer les mesures de performance relatives à la sûreté de fonctionnement.

Tc1 δ OK

●

●

CD

DND T14

Figure 3.13 : Modèle d’un instrument intelligent

La partie fonctionnelle représente l’ensemble des fonctionnalités de l’architecture fonctionnelle d’un instrument intelligent à l’exception de la configuration. En effet, celle-ci ne peut être autorisée dans un contexte sécuritaire [MAC 04] puisque les informations qui concernent les paramètres et les réglages sont figées.

Les transitions de la partie fonctionnelle ne sont pas stochastiques puisque l’évolution est liée à des phénomènes déterministes. La dynamique de cette partie est beaucoup plus rapide que la dynamique des défaillances. Les opérations associées aux places ne sont pas détaillées et elles couvrent les fonctionnalités propres de l’instrument intelligent. L’interaction entre les modèles fonctionnel et dysfonctionnel est représentée à l’aide de transitions immédiates. Selon la nature du dispositif, les fonctionnalités vont différer. Les places allant de P3 à P6 vont décrire soit un capteur intelligent ou un actionneur intelligent.

Le modèle présenté en figure 3.13 est un modèle générique dans lequel le marquage n’est pas autorisé non plus dans la partie fonctionnelle lorsqu’un dysfonctionnement a lieu dans l’instrument concerné.

Notons que pour le modèle décrit auparavant (figure 3.13), le niveau d’intelligence incorporé dans les différents dispositifs est le niveau 2 (cf., chapitre 1). En effet, les procédures d’autotests et de diagnostic délocalisées au niveau des capteurs et actionneurs procurent de l’intelligence à ces dispositifs mais pas dans le sens le plus large (niveau 3). Dans le chapitre

Modélisation dysfonctionnelle Modélisation fonctionnelle T4 P1 P2

●

●

4, la contribution de ce niveau d’intelligence vis-à-vis du niveau de sécurité sera élucidée quantitativement.

Le niveau d’intelligence le plus élevé (niveau 3) d’après notre classification requiert une coopération au niveau système entre les différents dispositifs de sécurité. Autres l’autotest et le diagnostic embarqué, des procédures de validation et prise de décision sont implantées en vue de l’amélioration de la sûreté de fonctionnement du système global. Le diagnostic distribué peut être aussi employé dans le cas où le système dispose d’architecture répartie favorisant le dialogue et l’échange d’informations entre les différents éléments de sécurité. Un exemple dans le chapitre 4 met en évidence quelques aspects de ce niveau d’intelligence.

6. Conclusion

La notion de sécurité intelligente est sujette à équivoque, et il ne suffit pas de disposer de moyens de calculs aussi sophistiqués dans les dispositifs qui constituent les systèmes instrumentés de sécurité pour qualifier ces systèmes de ″smart SIS″. Encore faut-il que ces dispositifs s’accréditent de fonctionnalités inhérentes aux instruments intelligents.

A notre sens, l’intelligence se matérialise par l’existence de moyens de communication et de pouvoir d’octroi d’une crédibilité accrue aux informations au niveau des dispositifs de terrain qui se trouvent au plus près des processus physiques et ils disposent d’une certaine autonomie de gestion.

L’incorporation de l’intelligence dans les SIS mène vers cette sécurité intelligence manifestée par des SISID (Systèmes Instrumentés de Sécurité à Intelligence Distribuée) dont la méthodologie d’évaluation est proposée à la fin de ce chapitre. Cette méthodologie est basée essentiellement sur une structuration hiérarchique et modulaire. En effet un ensemble de modèles est présenté afin d’illustrer l’approche utilisée. Ces modèles peuvent être imbriqués pour décrire convenablement les systèmes modélisés. La vérification et l’analyse sont traitées par les réseaux de Petri stochastiques.

L’approche que nous proposons consiste à élaborer des modèles en réseaux de Petri stochastiques composés de partie fonctionnelle spécifiant le comportement des dispositifs et de partie dysfonctionnelle formalisant l’occurrence de défaillances de composants susceptibles de tomber en panne. Cette dernière partie permet d’effectuer les mesures de performances en termes de sécurité. Les deux parties sont ensuite intégrées pour reproduire le comportement global du système en présence de défaillances.

Les réseaux de Petri stochastiques sont très bien placés pour répondre à nos besoins de modélisation. Le franchissement d’une transition stochastique permet de représenter le changement de l’état d’un dispositif vers un état de défaillance. Nous supposons que les transitions stochastiques sont associées à des distributions de loi exponentielle.

L’utilisation du formalisme basé sur les réseaux de Petri permet l’inclusion de fonctionnalités de l’instrument intelligent dans la partie fonctionnelle de celui-ci à l’exception de la fonctionnalité configuration. L’intégration de ces fonctionnalités donne de l’autonomie de gestion locale, et par l’interaction avec la partie dysfonctionnelle, elle va avoir de l’influence sur les performances en sécurité.

Chapitre 4 :

Mise en œuvre de l’évaluation

de la sûreté de fonctionnement

Mise en œuvre de l’évaluation

de la sûreté de fonctionnement

des SISID

1. Introduction

Dans ce chapitre, la modélisation et l’évaluation des performances relatives à la sûreté de fonctionnement sont traitées avec des structures qui disposent d’intelligence dans les instruments composant les SIS. Dans un premier temps, nous proposons à titre de référence l’étude d’un système sans intelligence.

La méthodologie pour l’évaluation de la sûreté de fonctionnement des systèmes instrumentés de sécurité à intelligence distribuée est mise en œuvre à travers la modélisation d’un système SIS sans redondance auquel nous introduisons des instruments intelligents et un réseau de communication. Une autre application concerne un exemple de procédé constitué d’un réservoir sous pression contenant un liquide inflammable volatil avec l’instrumentation associée. Les systèmes de sécurité concernés sont ceux qui obéissent aux directives décrites au chapitre 2 concernant les systèmes instrumentés de sécurité qui ne peuvent d’après la norme de sécurité CEI 61508 être critiques en introduisant eux mêmes des dangers potentiels aux processus concernés par la sécurité. Ce sont donc des systèmes qui réagissent à des demandes d’activation de la fonction de sécurité suite à des situations dangereuses induites par le procédé de fabrication.

Les taux de défaillance pour chaque composant sont supposés connus à priori, les évaluations vont concerner les interactions entre les différents composants du système. L’estimation du taux de défaillance global du système est assurée par la détermination des performances en sécurité et en se basant entre autres sur les taux de défaillances individuels des différents composants. Les métriques utilisées pour l’évaluation de la sûreté de fonctionnement des SISID se rapportent aux deux modes de défaillances cités par la norme : le mode de défaillance dangereux et le mode de défaillance en sécurité.

2. Approche de modélisation avec les réseaux d’activité