• Aucun résultat trouvé

3. Intelligence dans les systèmes instrumentés de sécurité

3.1. Utilisation d’un réseau de communication

L’organisme international de normalisation ISO a défini un modèle de référence ou modèle OSI (Open System Interconnection) [ZIM 80]. Le modèle OSI distingue sept couches et définit leurs rôles respectifs. Les couches physique, liaison de données, réseau et transport s’occupent du transfert de données sur le réseau de communication et permettent le transfert de données d’une machine à une autre machine. Les couches session, présentation et application sont plus liées au type d’application utilisée.

3.1.1. Réseau de terrain

Les réseaux de terrain représentent, par rapport aux réseaux de communication classiques, une modification en terme d’architecture dans le but de diminuer les délais de communication des échanges d’informations entre les éléments du procédé.

L’architecture d’un réseau de terrain est réduite aux couches essentielles de l’architecture ISO de l’OSI, c’est-à-dire les couches application, liaison des données et physique.

Les principales caractéristiques que doivent satisfaire les réseaux de terrain sont : temps de transfert déterminé, contrôle de flux, faible longueur des trames, capacité à traiter/gérer des événements particuliers (type de synchronisation), génération d’un trafic périodique (ou cyclique) en plus du trafic apériodique et mise en œuvre de mécanismes particuliers permettant la vérification des contraintes temporelles moyennant un bon contrôle de l’accès au médium [BER 96].

De nombreux réseaux de terrain ont été mis sur le marché (Profibus, WorldFip, CAN, Interbus-S, …) [CIA 99], ils offrent aux équipements des systèmes automatisés la possibilité de communiquer entre eux.

Derrière les bus de terrain se profile une évolution vers Ethernet dans l’univers des automatismes.

Le réseau Ethernet est spécifié par la norme IEEE 802.3 [IEE 98], c’est un réseau dont le contrôle d’accès au medium physique (MAC : Medium Access Control) utilise l’algorithme du CSMA/CD (Carrier Sense Mutiple Access / Collision Detection). CSMA/CD est le moyen par lequel deux (ou plus) stations partagent le même support physique.

Avec l’arrivée des commutateurs (switchs) en remplacement des concentrateurs (hubs), Ethernet a évolué vers Ethernet commuté et il a commencé à s’intéresser aux applications temps réel.

La configuration adoptée dans un réseau Ethernet commuté est celle d’une topologie en étoile, avec un commutateur central dont les ports sont reliés à un et un seul équipement. L’interconnexion avec les autres éléments est ensuite réalisée en reliant les commutateurs entre eux. Le mode Full Duplex prévu dans la norme IEEE 802.3 permet une communication simultanée entre deux stations assurant une diminution de risque de collisions lorsque le réseau est fortement sollicité.

On appelle couramment ce type de réseau un réseau Ethernet commuté Full Duplex. Ces réseaux possèdent l’avantage de ne plus posséder d’indéterminisme quant au temps d’accès au support physique, et de ne pas entraîner de pertes de trames par collision.

Le réseau Ethernet commuté peut être ouvert ou fermé. Dans le premier cas, il peut être victime d’"attaques" extérieures (virus, piratage) mais surtout peut se poser également le problème de la qualité de service, ou de la disponibilité du réseau (commutateur saturé par exemple).

3.1.2. Réseaux de terrain relatifs à la sécurité

Pendant longtemps, les architectures d’automatismes distribués, tant dans le manufacturier que dans le secteur des procédés se sont heurtés à un obstacle majeur : leur fonction de sécurité restait câblée en fil à fil.

Les réseaux de terrain relatifs à la sécurité offrent l’indépendance de la communication liée à la sécurité et de la communication standard (cas de Profisafe) mais aussi leur cohabitation (cas de ASI-Safety at work).

Plusieurs types de réseaux relatifs à la sécurité sont implémentés dans des applications industrielles spécialisées, parmi lesquels on trouve ASI-Safety at work, Profisafe, SafetyBus [WOO 03].

Nous allons nous intéresser à décrire un réseau de terrain relatif à la sécurité qui est le réseau Safetybus p basé sur le standard CanOpen.

A l’origine le CAN (Controller Area Network) a été développé pour l’usage automobile par Bosch. La fiabilité et le coût étaient les principaux objectifs [CIA 99].

Le réseau CAN possède des fonctionnalités Multi Maîtres (multi master) pour accroître la possibilité d’assurer des temps rapides de recouvrement d’erreurs après leur détection [PAR 99]. Sur le réseau CAN, chaque message possède un identificateur qui détermine sa priorité.

Un principe d’arbitrage est effectué autorisant ainsi les messages à plus haute priorité à être transmis.

La topologie utilisée par CAN est le bus. Lorsque celui-ci est libre, n’importe quelle station peut commencer à transmettre une information. Lorsque deux nœuds tentent d’accéder simultanément au médium, l’arbitrage est gagné par celui qui dispose de la haute priorité. CANopen est un protocole qui utilise le bus CAN. L’un des objectifs de CANopen est de supporter des systèmes temps réel [PAR 99]. En effet des tâches particulières sont attribuées aux différents intervenants impliqués (maîtres ou esclaves). Safetybus est basé sur CANopen. Il est destiné à la mise en réseau d’applications de sécurité déportées. Il nécessite l’utilisation d’un ou plusieurs automates de sécurité. Des modifications ont été apportées au niveau de la couche d’échange de données CSMD afin de rendre le protocole plus sûr. Il comporte les couches 1 et 2 suivant le modèle ISO / OSI. La couche 1 est partiellement redéfinie tandis que la couche 7 subit une révision totale. Cette nouvelle couche 7, intégrant les mesures de sécurité et le système de gestion du réseau a été ajoutée dans le SafetyBUS p. Le réseau Safetybus dispose de nouvelles fonctionnalités de contrôle de signaux intégrées, des fonctions timer pour la transmission des messages et des fonctionnalités de diagnostic intégrées, d’une décentralisation des modules entrées/sorties, la connexion des capteurs et actionneurs est assurée directement par le Safetybus [SAF 05].

Grâce à la séparation stricte, établie par le Safetybus p, entre la communication Fail-safe et les tâches de commande standard ainsi que la communication standard, d'importantes exigences vont être transférées à l'utilisateur. Le but est de pouvoir modifier régulièrement les programmes et les fonctions dans la partie Standard d'un automate. Dans la technique de commande de sécurité, au contraire, il faut essayer de garder le plus longtemps possible l'état enregistré [SAF 05]. Grâce à la séparation entre l'automate de fonctionnement et la partie sécurité, on obtient une liberté rétroactive. Toute modification apportée dans la partie Fail-safe doit être documentée et peut entraîner une nouvelle homologation de la technique de commande de sécurité.

Profisafe [PRO 02] est la déclinaison sécurité de Profibus. L’un des critères fondamentaux en matière de développement de Profisafe était de continuer à utiliser tels quels les composants standard de communication Profibus, dont les câbles, les circuits intégrés, le protocole DP (Decentralized Periphery) etc., de sorte que les applications de sécurité puissent coexister sans conflits avec les applications standards.

Profisafe définit le raccordement d’équipements à sécurité intrinsèque (arrêts d’urgence, barrières immatérielles). Le domaine particulier de la sécurité peut ainsi bénéficier des multiples atouts d’une communication ouverte sur Profibus.

Un autre réseau qui possède une extension sécuritaire est le réseau AS-I. AS-I est un bus qui travaille uniquement au niveau capteur/actionneur [CIA 99]. Le système d'interface Actionneur Capteur AS-i standard se compose d'un maître, d'un élément de réseau (bus) et d'esclaves. Le maître est l'élément de liaison entre l'hôte (automate programmable) et les périphériques. Il prend en charge suivant un protocole strict le transfert des données et la gestion du système (réception des nouveaux esclaves, consultation de la configuration). La transmission des données s'effectue de manière strictement cyclique (polling) selon le principe maître-esclave.

Le concept "Safety at Work" permet de raccorder directement au bus AS-I standard des éléments de sécurité. Ainsi, il est possible d'envoyer par le même câble AS-I des données d'Entrées / Sorties ayant un rapport ou non avec la sécurité. A cet effet, il existe un moniteur spécifique qui gère les esclaves dédiés à la sécurité. Les caractéristiques de sécurité exigées

sont respectées par l'envoi de données supplémentaires entre les esclaves et les moniteurs de sécurité.

3.1.3. Evaluation de la sûreté de fonctionnement d’un réseau de terrain

La présence d’un réseau de communication dans un système d’automatisation distribué fait en sorte qu’il y a interaction permanente entre le réseau et le reste des composants du système. Les aspects doivent alors être pris en compte avec un soin attentif [JUA 02].

Si les réseaux de terrains semblent être une meilleure solution pour l’amélioration de la sûreté de fonctionnement, ils peuvent être aussi un obstacle en regard de nouvelles défaillances introduites [CAU 03]. Le choix du réseau de terrain dans une application avec une architecture spécifique doit être basé sur les moyens de sûreté de fonctionnement afin de prédire, éliminer ou tolérer les fautes identifiées durant la phase de conception.

Le canal de communication est souvent modélisé comme une ligne de transmission, c'est-à-dire un élément physique induisant un retard constant, dépendant des propriétés structurelles de la ligne. Cette description devient plus complexe lorsque le système est commandé à travers un réseau de terrain utilisé par de multiples utilisateurs. Dans ce cas, le retard induit ne dépend plus seulement d'éléments physiques mais aussi et surtout des algorithmes mis en place pour la gestion du trafic sur le réseau et le codage de l'information.

Les difficultés de l’évaluation émanent des contraintes dues au réseau telles que les caractéristiques temporelles.

Les aspects relatifs aux caractéristiques temporelles se manifestent par la perte de trames ou encore une partie de cette trame, par la corruption de ces trames, ou par l’ordre de leur arrivée qui peut être différent de celui de leur émission.

Documents relatifs