La norme CEI 61508 [CEI 00] spécifie deux indicateurs de la sécurité relatifs aux systèmes électroniques programmables dédiés aux applications de sécurité. Ces deux paramètres utilisés pour l'évaluation de la sûreté de fonctionnement des SIS se réfèrent à deux modes de défaillances mentionnés par les normes de sécurité. Ces modes sont le mode de défaillances dangereuses et le mode de défaillances sûres. Ces indicateurs sont donnés sous forme de probabilités de défaillance dangereuse (PFD) et de défaillance en sécurité (PFS). Leur évaluation comme l’exige la norme CEI 61508 pose quelques problèmes liés à leur spécificité. En effet, les systèmes instrumentés de sécurité intègrent de manière obligatoire en fonction du niveau de sécurité requis, des auto-tests systématiques et des redondances permettant la détection et/ou la tolérance à certaines défaillances afin de garantir l’effectivité de la fonction de sécurité.
A partir de l’architecture du système instrumenté de sécurité réalisant la fonction instrumentée de sécurité faiblement sollicitée, la moyenne de la probabilité de défaillance à la demande PFDavg (Average Probability of Failure on Demand) est évaluée sur un intervalle [0, t].
La performance d'une fonction de sécurité peut être exprimée comme la probabilité de défaillance à la demande (PFD), et la probabilité de défaillances sûres ou de déclenchements intempestifs. Ces deux attributs sont importants dans le monde de la sécurité et leurs valeurs représentent respectivement une mesure pour le niveau de sécurité atteint et coût financier causé par le système de sécurité en raison de déclenchements intempestifs. La valeur de la PFD est une exigence pour répondre à l'intégrité de la sécurité au niveau de la norme CEI 61508 [CEI 00]. Pour la valeur PFS il n'y a pas actuellement de prescriptions internationales en matière de sécurité dans le monde, même si les utilisateurs finaux du système de sécurité exigent une valeur de PFS aussi faible que possible [WOL 05].
Plusieurs utilisateurs sont à la recherche de systèmes qui soient à la fois fiables et sûrs. Un système est fiable s’il ne tombe pas en panne fréquemment. Un système est sûr si ses défaillances ne sont pas dangereuses.
La figure 2.13 montre le diagramme de Venn d’un système incluant le bon fonctionnement et les deux modes primaires de défaillances, le mode de défaillances sûres et le mode de défaillances dangereuses [MAR 01].
Figure 2.13: Système avec modes de défaillances
La fiabilité n’est pas suffisante à elle seule. Dans plusieurs applications, il est aussi important que le système tombe en panne d’une manière prévisible (défaillance sûre).
Pour les deux modes de défaillances, les défaillances dangereuses sont beaucoup plus graves puisque les systèmes de protection ne peuvent assurer la mise en sécurité du processus et les défaillances ne peuvent être révélées.
Les systèmes nouvellement conçus disposent d’autodiagnostic et d’autotests internes qui permettent de déceler un certain nombre de défaillances par la désactivation des sorties lorsque des défauts internes sont détectés. Cette fonctionnalité peut être exploitée par les systèmes instrumentés de sécurité pour permettre de convertir les défaillances dangereuses en défaillances sûres. L’effet global des autodiagnostics sur le système avec ses modes de défaillances peut être décrit par la figure 2.14 suivante :
Figure 2.14 : Effet des autodiagnostics sur le système instrumenté de sécurité
La norme CEI 61508 [CEI 00] (partie 6, annexe C) considère que la répartition entre défaillances non dangereuses (sûres) et défaillances dangereuses peut être déterministe pour des composants simples. Pour des composants complexes, dont il n’est pas possible d’effectuer une analyse détaillée de chaque mode de défaillance, une répartition des défaillances en 50 % de sûres et 50 % de dangereuses est généralement acceptée :
λD = λS = 0.5 λ
où λ est le taux de défaillance du composant.
La norme définit pour les produits (et non pas le système entier) tels que les capteurs, actionneurs et unités de traitements, un taux des défaillances en sécurité SFF (Safe Failure Fraction). DU DD SU SD DD SU SD SFF
λ
λ
λ
λ
λ
λ
λ
+ + + + + =Cette métrique est un ratio de taux de défaillances et ne dépend pas du taux total de défaillances. Le résultat est un nombre entre zéro et un. Il est souhaitable d’avoir un SFF suffisamment important. Le SFF mesure la tendance de l’instrument à avoir des défaillances sûres ou détecter des défaillances dangereuses.
Nous allons déterminer tout d’abord les taux de défaillances dangereuses et sûres pour chaque composant. % S S = λ λ , d’où λS =λ S% et
λ
D =λ
(1−S%)Avec λS =λSD +λSU
D DD CD
λ
λ
= , avec CD le facteur de couverture de diagnostic des défaillances dangereuses.D DU CD λ λ =( −1 ) CD S S SFF = %+(1− %) , il y a indépendance de λ total. λ
λ(t)= . Le taux de défaillance constant est pris comme hypothèse pour la plupart des estimations statistiques, cela s’applique seulement si la durée de vie utile des composants n’est pas dépassée [CEI 00]. Dans notre cas, et comme c’est préconisé par la norme, nous considérons des taux de défaillance des composants constants sur toute la durée de vie du système.
et R (t ) = e −λt , R(t) représente la fiabilité
La probabilité de défaillance est donnée par : t
e t
F ( ) = 1 − − λ , elle est appelée aussi
parfois défiabilité.
Si la demande est rare, alors dans ce cas : e − λt ≈ + λ t
1 , l’approximation est arrêtée
au premier ordre.
La probabilité de défaillance vaut alors : PF(t)=λt, et la probabilité de défaillance moyenne
est donnée par : =
∫
T avg PF t dt T PF 0 ) ( 1
La probabilité de défaillance sur demande qui concerne le système entier est donnée par :
∫
= Ti avg PFD t dt Ti PFD 0 ) ( 1, avec la durée Ti qui représente l’intervalle entre deux tests périodiques.
Dans le cas de l’approximation faite ci-dessus, on aura :
2 Ti
PFDavg λ
=
9. Conclusion
Les systèmes instrumentés de sécurité sont utilisés pour détecter des situations dangereuses et diminuer leurs conséquences pour atteindre des niveaux de risques tolérables. La norme générique CEI 61508 et sa norme fille CEI 61511 pour le secteur des procédés continus deviennent les normes de référence pour la spécification et la conception de ce type de systèmes (SIS).
La norme CEI 61508 utilise une approche basée sur le risque pour déterminer les exigences d'intégrité de la sécurité des systèmes E/E/PE concernés par la sécurité. D’autre part, elle utilise un modèle global de cycle de vie de la sécurité comme cadre technique pour les activités nécessaires pour garantir que la sécurité fonctionnelle soit atteinte par les systèmes E/E/PE concernés par la sécurité.
L’appréciation du risque est une fonction de la gravité et de la fréquence. Il est souvent difficile d’apprécier l’un ou les deux et encore plus la combinaison des deux. Dans une démarche d’analyse du risque, il faut prendre acte de cette difficulté. L’essentiel est de
pouvoir au moins classer les risques entre eux, selon une échelle que l’on s’est donnée. Le point important est alors la calibration initiale de cette échelle. C’est l’objet des méthodes de classement des risques. L’intérêt est de pouvoir comparer les risques et de leur affecter la bonne échelle.
Les niveaux d’intégrité de sécurité issus de la norme sont des objectifs de sécurité utiles à l’évaluation des risques. Ils donnent une mesure de la réduction du risque obtenue par les moyens de protection fournis par le SIS.
Néanmoins, cette norme présente des limites d’utilisation et elle est sujette à de nombreuses critiques relatives à la forme et au fond telles que la difficulté de l’application des formules, la confusion pour la détermination du niveau d’intégrité de sécurité pour certaines définitions de base et méthodes proposées [HOK 04]…
Les contraintes éprouvées par les utilisateurs pour l’application de la norme pour les architectures les plus simples les poussent à entreprendre des modélisations pour les systèmes les plus complexes.
D’un point de vue opérationnel, il est naturellement préférable de recourir à des méthodes éprouvées, telles que l’arbre des défaillances, les graphes de Markov ou les réseaux de Petri, plutôt que d’utiliser systématiquement les formules analytiques exposées dans la CEI 61508 [INN 07].
Finalement, la norme reste muette sur l’aspect de la distribution de la gestion des fonctions de sécurité et sa répartition sur l’ensemble de la structure du système instrumenté de sécurité. Le vide laissé par la norme a été exploité par quelques fournisseurs qui ont profité de l’occasion pour annoncer l’utilisation de réseaux de terrain dans la fabrication des systèmes instrumentés de sécurité.
Chapitre 3 :
Vers une sécurité
Vers une sécurité intelligente
1. Introduction
L’évolution des équipements d’automatisation a poussé d’une part à l’utilisation des instruments dans des équipements sécuritaires qui deviennent plus “intelligents“, aptes à communiquer avec les équipements de production et, pourquoi pas, avec l’homme, de manière à optimiser leur comportement (optimisation de la sécurité). D'autre part, il est devenu possible d’intégrer aux équipements “intelligents“ une fonction sécuritaire apte à appréhender son environnement et à réagir localement en fonction du rôle de l’équipement auquel elle est associée.
Les instruments intelligents sont des instruments de processus de base qui contiennent des microprocesseurs. L'utilisation de microprocesseurs présente un défi dans de nombreuses industries, en particulier pour des architectures critiques ou de sécurité.
Le concept de sécurité intelligente est inhérent à l’utilisation d’instruments intelligents dans les systèmes instrumentés de sécurité. Plusieurs fabricants revendiquent la certification de produits intelligents dans les applications de sécurité en lançant des "smart SIS " mais sans réelle justification au niveau des performances fiabilistes. Des chercheurs emploient aussi le vocable "sécurité intelligente" dans des applications diverses couvrant le nucléaire [YAN 05] [CHU 03] [BAE 01], le ferroviaire [JIA 03] ou encore les systèmes de transport [FAR 04]. La première partie de ce chapitre positionne la problématique de l’utilisation des instruments intelligents dans les applications sécuritaires en situant aussi quelques différences qui existent entre les systèmes classiques et les systèmes intelligents.
La seconde partie traite de l’introduction du concept de l’intelligence dans un système instrumenté de sécurité par l’utilisation d’une part d’un réseau de communication typiquement un réseau de terrain et ensuite par la distribution des traitements au plus près du processus, c’est-à-dire dans les dispositifs de terrain tels que les capteurs et actionneurs. Dans la dernière partie, nous proposons une méthodologie d’évaluation des systèmes instrumentés de sécurité auxquels il y a eu incorporation d’instruments intelligents pour devenir des Systèmes Instrumentés de Sécurité à Intelligence Distribuée (SISID).