Modèle SAN du capteur

Figure 4.26 : Modèle SAN du capteur

Dans le modèle décrit par la figure 4.26, le capteur fonctionne avec succès dans les places

OK_1 et Degrade_3. Ces places représentent les états de bon fonctionnement (1 et 3) décrits dans la figure 4.24. La défaillance du module relatif au diagnostic (tir de la transition

lambda_diag) entraîne l’exposition du capteur à un état de danger si celui-ci se trouvait dans un état de défaillances sûres puisque le module de diagnostic ne peut plus révéler les défaillances sûres.

La simulation de ce modèle qui tient compte des défaillances du module de diagnostic pour un temps de mission de 8760 heures nous a permis d’obtenir une probabilité de défaillances dangereuses d’une valeur de 1,29.10^-2. Alors que la valeur de cette probabilité en ayant un module de diagnostic sans défaillances est de 1,25.10^-2.

Cette donnée va avoir bien entendu un impact sur la PFD du système global. Il faut noter aussi que d’autres modes de défaillance sont nécessaires pour se procurer des informations sur les performances de sécurité et ceci a été mis en évidence par l’exemple d’application de ce capteur.

7. Conclusion

Dans ce chapitre, nous avons pu construire un modèle de simulation d’un système instrumenté de sécurité (SIS) auquel nous avons incorporé quelques fonctionnalités des instruments intelligents dans le but d’évaluer les performations en sécurité. Le modèle construit à base de réseaux d’activité stochastiques permet de modéliser des architectures de SIS avec des facilités offertes par un pouvoir de composition hiérarchique de l’outil de modélisation. Le choix des réseaux d’activité stochastiques qui sont une extension des réseaux de Petri stochastiques s’est avéré être adéquat pour mener à bien l’élaboration du modèle. Ce modèle a ainsi pu être simulé grâce à l’outil Möbius. Les résultats de simulation ont bien montré l’impact de l’utilisation des instruments intelligents dans une application sécuritaire sur les performances en sécurité. En effet, les valeurs des métriques (PFD et PFS) ont évolué avec l’introduction de fonctionnalités propres aux instruments intelligents illustrant ainsi les mécanismes introduits par ces fonctionnalités.

Nous avons pu à travers le premier exemple montrer qu’un des apports des instruments intelligents est la transformation de défaillances dangereuses en défaillances sûres par le biais de la diminution de la probabilité des défaillances dangereuses et l’augmentation de la probabilité des défaillances sûres. L’exemple du réservoir dans lequel nous avons introduit des modules de validation a permis de pressentir l’action que peut avoir leur inclusion sur les défaillances sûres du système. Nous avons aussi traité le cas de la défaillance de ces modules qui a pour conséquence l’augmentation des défaillances dangereuses du système.

Nous avons pu percevoir que la notion de SIL qui revêt un grand intérêt selon la norme CEI 61508, semble insuffisante pour obtenir une bonne image de la réalité des risques encourus. L’évaluation du pourcentage de temps que passe le système dans chaque zone SIL permet d’obtenir une indication plus précise.

L’introduction des indicateurs de performances nous a permis de mieux faire la correspondance entre les niveaux d’intelligence requis dans les instruments et les performances globales en sécurité.

Conclusion générale

et perspectives

Conclusion générale et

perspectives

Bilan

L’objectif de nos travaux était d’évaluer la sûreté de fonctionnement des systèmes instrumentés de sécurité intégrant de l’intelligence, afin de vérifier l’impact de l’utilisation des instruments intelligents dans les applications sécuritaires conformément aux nouvelles normes relatives à la sécurité CEI 61508 et CEI 61511.

La complexité des systèmes comportant des instruments intelligents ainsi que les exigences en matière de sécurité recommandées par les normes rendent délicate la modélisation de ces systèmes et leur évaluation d’un point de vue sûreté de fonctionnement devient non triviale. Ces systèmes sont généralement programmés et ils disposent éventuellement de multiples modes de défaillances pour un composant, les modes de défaillance ayant des effets différents sur le système, à architecture fonctionnelle variable pour une architecture matérielle donnée et ils sont souvent soumis à des tests périodiques et autotests, ce qui induit la co-existence de défaillances détectées et de défaillances non détectées, avec une très forte influence du taux de détection sur les caractéristiques de sûreté de fonctionnement du système.

Toutes ces caractéristiques font qu'ils sont particulièrement difficiles à modéliser, surtout si l'on veut utiliser des modèles classiques en sûreté de fonctionnement, tels que les arbres de défaillances. Nous avons exploré différentes voies pour modéliser et obtenir des résultats qualitatifs (coupes minimales, séquences amenant à un état indésirable) et/ou quantitatifs (indisponibilité, défiabilité) sur de tels systèmes.

L'appréhension qualitative de la logique de dysfonctionnement du système conduisant à un événement redouté prédéfini impose la méthode de l'arbre des défaillances. La représentation par graphes d'états (Markov) permet la modélisation de l'évolution prévisible du système. La méthode de l’arbre des défaillance est basée sur la logique booléenne pour représenter le système étudié et elle est adaptée à des systèmes à configuration statique, c’est-à-dire des systèmes dont les relations fonctionnelles entre leurs composants restent figées. Cette méthode est donc inappropriéedans le cas de nos travaux. La modélisation avec les graphes de Markov permet de prendre en compte les dépendances temporelles et stochastiques plus largement que les méthodes classiques. En dépit de leur simplicité conceptuelle et leur aptitude à pallier certains handicaps des méthodes classiques, les graphes de Markov souffrent de l’explosion du nombre des états, car le processus de modélisation implique l’énumération de tous les états possibles et de toutes les transitions entre ces états. Cette seconde approche

est fortement limitée par le fait que les lois régissant les transitions entre états doivent être du type exponentiel (taux de défaillance et de réparation constants). Or les durées de fonctionnement avant défaillance de nombreux composants ou systèmes ne suivent pas complètement une loi exponentielle et des lois de Dirac peuvent être mises en jeu conjointement. On peut donc en conclure que l'approche markovienne ne peut contribuer à la résolution du problème posé.

La méthodologie, que nous avons utilisée, a consisté en la modélisation de l’aspect fonctionnel et dysfonctionnel de ces systèmes en adoptant le formalisme basé sur les réseaux de Petri stochastiques qui assurent la représentation du comportement dynamique de ce type de systèmes. La modélisation est traitée sous la forme d’une approche stochastique utilisant les SAN (Stochastic Activity Network). Les SAN sont un formalisme de modélisation puissant et sont une extension des réseaux de Petri stochastiques. Les SAN conservent toute la puissance de modélisation des réseaux de Petri stochastiques par l’emploi d’activités stochastiques. Un autre avantage des SAN est manifesté par le pouvoir d’accéder aux différents marquages de toutes les places à chaque instant moyennant des portes d’entrée et de sortie. Ce formalisme de modélisation est couplé à la technique de simulation (simulation de Monte Carlo) pour l’évaluation des performances. L’association des réseaux d’activités stochastiques à une méthode de simulation de Monte-Carlo constituent une approche alternative puissante pour évaluer la performance globale en sûreté de fonctionnement des systèmes présentant des aspects temporels et dynamiques.

Nous avons pu construire un modèle de simulation d’un système instrumenté de sécurité (SIS) auquel nous avons incorporé quelques fonctionnalités des instruments intelligents dans le but d’évaluer les performances en sécurité. Ce modèle a ainsi pu être simulé grâce à l’outil Möbius. Les résultats de simulation ont bien montré l’impact de l’utilisation des instruments intelligents dans une application sécuritaire sur les performances en sécurité. En effet, les valeurs des métriques (PFD et PFS) ont évolué avec l’introduction de fonctionnalités propres aux instruments intelligents illustrant ainsi les mécanismes introduits par ces fonctionnalités. La modélisation de tous les dispositifs est conçue d’une manière hiérarchique, en partant des modèles de base du système. La composition est formée par la jonction des modèles de base qui constituent des structures génériques sous forme de bibliothèque de composants. L’évaluation des performances en sécurité est assurée par la détermination des deux métriques PFD et PFS qui se rapportent aux deux modes de défaillances cités par la norme mais aussi du niveau d’intégrité de sécurité (SIL).

A travers nos travaux, nous avons pu parvenir aux résultats suivants :

Nous avons pu élaborer un modèle fonctionnel d’instrument intelligent intégrant un ensemble de fonctionnalités relatives au capteur intelligent et à l’actionneur intelligent pour tendre vers plus de généricité.

A travers un premier exemple, nous avons montré qu’un des apports des instruments

intelligents est la transformation de défaillances dangereuses en défaillances sûres par le biais de la diminution de la probabilité des défaillances dangereuses et l’augmentation de la probabilité des défaillances sûres.

Nous avons pu constater par l’introduction des indicateurs de performances qu’il existe un impact direct du niveau d’intelligence sur les performances en sécurité. L’amélioration est nettement aperçue dans les valeurs des indicateurs de performances pour des applications à niveau élevé d’intelligence (exemple du réservoir).

La notion de SIL qui revêt un grand intérêt selon la norme CEI 61508, semble insuffisante pour obtenir une bonne image de la réalité des risques encourus. L’évaluation du pourcentage de temps que passe le système dans chaque zone SIL permet d’obtenir une indication plus précise. En effet, l’exemple traité nous a permis de déterminer le niveau de SIL relatif à chaque système et de voir que l’apport de l’intelligence permet de couvrir les zones de niveaux de SIL exigés par la norme pour un SIS qui disposait d’un niveau de SIL 1 mais qui ne pouvait pas être maintenu pendant toute la durée entre deux tests d’intervalle.

La valeur PFD qui est une exigence à satisfaire le niveau d'intégrité de sécurité de la norme CEI 61508 ne peut à elle seule décrire les performances en terme de sécurité pour les systèmes et il faut inclure la valeur PFS pour laquelle il n'existe pas actuellement de prescriptions dans le monde de la sécurité internationale, bien que les utilisateurs de système de sécurité exigent un niveau aussi bas que possible de la valeur de la PFS.

En terme de méthodologie, nous avons pu dans nos modèles faire cohabiter l’interaction entre l’aspect fonctionnel et l’aspect dysfonctionnel pour la description du comportement du système en introduisant aussi le modèle de la demande d’activation de la fonction de sécurité. L’approche que nous proposons consiste à créer un modèle global sur lequel s’appuie l’analyse quantitative. Il est composé d’une partie fonctionnelle spécifiant le comportement du système et d’une partie dysfonctionnelle. Cette dernière consiste à formaliser l’occurrence de défaillances de composants susceptibles de tomber en panne.

Perspectives

Les résultats obtenus dans cette thèse se situent dans le cadre formulé par un ensemble d’hypothèses: composants non réparables, taux de défaillance constants, absence de causes communes de défaillances. Les perspectives de ces travaux visent à revenir sur ces hypothèses en proposant et en mettant en évidence quelques perspectives d’extension des résultats obtenus :

Concernant les normes CEI 61508 [CEI 00] et CEI 61511 [CEI 03] :

o La prise en compte des paramètres qui figurent dans ces normes tels que le facteur β de défaillances de cause commune. La prise en compte de ce facteur se fait en ajoutant au modèle dysfonctionnel des instruments en redondance le modèle SAN à ces défaillances de cause commune.

o L’exploration du cas des systèmes disposant de taux de demandes élevé ou continu. Cela implique l’évaluation du taux de défaillances par heure (PFH) comme exigé par les normes dédiées à la sécurité CEI 61508 et CEI 61511.

o L’analyse de l’impact sur les défaillances sûres spécialement en relation avec la fraction des défaillances sûres.

La généralisation du cas de l’incorporation de l’intelligence niveau 3 à une

architecture répartie disposant d’une multitude d’instruments intelligents

communicant entre eux et échangeant leurs informations.

Le traitement du cas de la défaillance du réseau de communication (pertes de trames…) et voir son influence sur les paramètres en sécurité.

L’utilisation d’un réseau de terrain dédié à la sécurité dans l’architecture globale du système de sécurité.

Annexe 1 : La sûreté de