Documente Academic
Documente Profesional
Documente Cultură
Institut National
Polytechnique de Lorraine
Composition du jury
Prsident :
Rapporteurs :
Examinateurs :
J-F. AUBRY
J-M. THIRIET
Professeur lINPL
Professeur lUniversit Joseph Fourier de Grenoble
-2-
exxv|xx
-3-
-4-
Acronymes
ALARP, (As Low As Reasonably Practicable), aussi bas que raisonnablement possible
AMDEC, Analyse des Modes de Dfaillance, de leurs Effets et de leur Criticit
ANSI, (American National Standards Institute)
APD, Analyse prliminaire de dangers
API, Automates Programmables Industriels
APR, Analyse Prliminaire de Risques
ASIC, (Application Specific Integrated Circuit), circuits intgrs spcifiques une
application
BPCS, (Base Process Control System) systme de commande de processus de base
CAN, (Controller area Network)
CD, couverture de diagnostic
CEI, Commission Electrotechnique Internationale
E/E/PE, systmes lectriques, lectroniques et programmables E/E/EP
EUC, (Equipment Under Control),
FPL, (FPL, Fixed program language), langage de programme fig
GAME, (Globalement Au Moins Equivalent)
ISA, (Instrumentation, Systems and Automation Society)
ISO, (International Standardardisation Organization), Organisme international de
normalisation
LVL, (Limited Variability Language), langage de variabilit limite
MDT, (Mean Down Time), dure moyenne dindisponibilit,
MTBF (Mean Time Between Failures), ou dure moyenne entre deux dfaillances successives
MTTF (Mean Time To Failure), dure moyenne de bon fonctionnement avant la premire
dfaillance
MTTR (Mean Time To Repair ), Dure moyenne de rparation
NCS, (Networked Control System), Systmes commands par rseau,
NTR (Nuisance Trip Rate), taux darrts intempestifs
PES, (Programmable Electronic System), systme lectronique programmable
PFD (Probability of Failure on Demand), probabilit de dfaillance la demande
PFDavg (Average Probability of Failure on Demand), moyenne de la probabilit de
dfaillance la demande
PFH, (Probability of a dangerous Failure per Hour), probabilit de dfaillance dangereuse
par heure
PFS, (Probability of Failure to Safe), probabilit de dfaillances en scurit,
PVST, (Partial Valve Stroke Testing): Test Partiel de la Course de Vanne
RdP, Rseaux de Petri
RFF, (Risk Reduction Factor), facteur de rduction de risque,
-5-
-6-
-7-
2. SAN................................................................................................................................ 178
3. La modlisation par loutil Mbius................................................................................ 179
Rfrences bibliographiques ............................................................................................... 184
- 10 -
Introduction
Introduction
1. Problmatique
Les tablissements industriels ne se proccupent plus uniquement des performances des
systmes en terme de qualit, de productivit et de rentabilit mais aussi en terme de scurit.
Des systmes spcifiques appels systmes instruments de scurits sont utiliss avec pour
objectif de rduire les risques doccurrence dvnements dangereux dans ces tablissements
en garantissant la protection des quipements, des personnes, de lenvironnement et des biens.
Ces risques traduisent la fois la gravit du dommage et la frquence doccurrence de
lvnement dangereux. Les chelles de gravit comportent plusieurs niveaux qui sont valus
en fonction des consquences de lvnement dangereux sur les personnes, lenvironnement
et les biens.
L'installation en scurit peut comporter plusieurs moyens pour atteindre une situation o tous
les risques sont rduits un risque tolrable. Des critres clairs et non ambigus doivent tre
dfinis en regard des niveaux de risque tolrable. Des mesures pour la mise en scurit du
procd doivent tre ddies chaque spcificit de protection. La conception du procd, le
choix des dispositifs et quipements de linstallation font partie de ces moyens. L'action sur
les systmes de commande de base des processus (BPCS), qui sont employs pour optimiser
les conditions de conduite de procd afin de maximiser la qualit et la production, peut aussi
contribuer rduire les risques. Ces actions restent parfois insuffisantes et il faut introduire
dautres systmes de scurit pour rduire encore le risque un niveau acceptable. Les
systmes instruments de scurits sont introduits pour pallier ce besoin et rpondre aux
situations dangereuses lorsque le procd se trouve dans des situations dangereuses.
Les systmes instruments de scurit sont utiliss pour excuter des fonctions de scurit, ils
sont aussi appels boucles de scurit et ils comprennent tous les matriels, logiciels et
quipements ncessaires pour obtenir la fonction de scurit dsire. Ces systmes peuvent
atteindre un niveau dintgrit de scurit important en conformit avec les normes en vigueur
(europenne, internationale) telle que la norme CEI 61508 [CEI 00], la norme CEI 61511
[CEI 03] ou encore la norme ANSI/ISA S84.01-1996 [ISA 96] qui traitent de la scurit
fonctionnelle des systmes relatifs la scurit. Ces systmes (SIS) ont pour objectif de
mettre le procd en position de repli de scurit lorsquil volue vers une voie comportant un
risque rel (explosion, feu, etc.), cest--dire un tat stable ne prsentant pas de risque pour les
personnes, lenvironnement ou les biens.
La norme CEI 61508 est une norme multisectorielle traitant de l'ensemble de la problmatique
des systmes lectriques, lectroniques et programmables E/E/EP tandis que la norme CEI
61511 est une dclinaison oriente vers les industries des procds. Ces deux normes
dfinissent les niveaux dintgrit de scurit (SIL, Safety Integrity Levels) et fixent le niveau
- 11 -
Introduction
de rduction du risque que doit atteindre le SIS. Il existe 4 niveaux possibles, nots SIL1
SIL4. Chacun deux dpend de la gravit et de la frquence doccurrence du risque. Il est
vident que si un risque est trs important, il ncessite des rpliques trs efficaces. Ces deux
normes dfinissent un critre important pour caractriser les SIS : le PFD avg (Average
Probability of Failure on Demand). La valeur du PFD avg reprsente la probabilit moyenne
de dfaillance du SIS lors de sa sollicitation ou encore lindisponibilis moyenne de la
fonction de scurit.
Dun autre ct, lvolution importante des quipements dautomatisation favorise par le
formidable dveloppement de linformatique et de la microlectronique a contribu fortement
lamlioration des instruments dans ces systmes dautomatisations en les dotant dune
certaine intelligence. Ces instruments devenus intelligents intgrent de nouvelles
fonctionnalits [BAY 93] et assurent conjointement avec les rseaux de communication la
distribution des traitements et leur dlocalisation au plus prs du processus physique.
Lincorporation des instruments intelligents dans les boucles de scurit nous mne vers une
scurit intelligente et les systmes deviennent des systmes instruments de scurit
intelligence distribue (SISID). La justification de lusage de ces instruments dans les
applications de scurit nest pas compltement avre. Ces instruments disposent datouts
importants utiles ce type dapplications [NOB 04].
Ces systmes disposent dun nombre important de traitements et dune augmentation de la
complexit contrairement aux systmes classiques qui ne sont pas dots dintelligence. Ceci
rend la tche de lvaluation de la sret de fonctionnement plus difficile apprhender.
Linfluence de linstrumentation intelligente sur lattribut scurit de la sret de
fonctionnement qui consiste se prserver de situations dangereuses ou catastrophiques, est
contraste. Elle contribue une amlioration [CAM 01] dans les applications o la scurit
est critique par la mise en place de moyens dautodiagnostic et de validation mais elle peut
introduire de nouveaux modes de dfaillance affectant la scurit [GAR 02] par lemploi de
dispositifs non prouvs plus complexes et disposant dlments logiciels. Ainsi, les
nouvelles fonctionnalits incorpores offrent des possibilits dautodiagnostic et une mise en
place darc rflexe permettant lamlioration de la scurit. Dautre part, de par leur
complexit, ces systmes peuvent galement tre sources de dfaillance.
Quant lvaluation de la sret de fonctionnement de ce type de systmes, elle nest pas
triviale [JUM 03]. La difficult de lvaluation de la sret de fonctionnement de ce type de
systmes trouve son origine dans lexistence de difficults lies la modlisation. Les
incidents ou accidents qui perturbent le systme durant son cycle de vie sont les rsultats de
dfaillances lies aux entits qui constituent le systme et son environnement [KUM 96].
2. Objectifs
Le travail prsent dans cette thse a pour objectif dvaluer les performances en terme de
sret de fonctionnement des systmes instruments de scurit disposant dinstruments
dintelligents en conformit avec les normes de scurit fonctionnelle. La performance d'une
fonction de scurit peut tre exprime comme la probabilit de dfaillance sur demande PFD
et la probabilit de dfaillances sres PFS. Ces deux attributs sont importants pour la scurit
et leurs valeurs reprsentent respectivement une mesure du niveau de scurit atteint (SIL) et
la perte financire (arrts frquents de la production) cause par le systme de scurit en
raison de dclenchements intempestifs. La valeur PFD est une exigence satisfaire le niveau
d'intgrit de scurit de la norme CEI 61508. Pour la valeur PFS il n'existe pas actuellement
- 12 -
Introduction
- 13 -
Introduction
proposons aussi notre vision de lintelligence dans les instruments par la proposition de
gradation de cette notion travers quatre niveaux allant de 0 3.
Le second chapitre est ddi aux systmes instruments de scurit (SIS). Un tour dhorizon
est effectu dcrivant les normes de scurit relatives aux SIS. La norme CEI 61508 est la
norme gnrique et dispose dautres dclinaisons selon le secteur industriel. Cette norme
formalise une dmarche pour lestimation du risque que prsente le procd et permet
dvaluer la diminution du risque que doit apporter le systme instrument de scurit. Cette
norme est base sur lanalyse du risque et son valuation permettant dobtenir une intgrit de
scurit qui se matrialise par des niveaux dintgrit de scurit (Safety Integrity Level :
SIL). La dernire partie de ce chapitre traite des critiques formules envers la norme CEI
61508, sa situation par rapport aux systmes dautomatisation intelligence distribue (SAID)
et des performances valuables en terme de scurit.
Dans le chapitre 3, nous nous intressons au concept nouveau de la scurit intelligente. Ce
concept est inhrent lutilisation dinstruments intelligents dans les systmes instruments
de scurit. Nous positionnons la problmatique de lutilisation des instruments intelligents
dans les applications scuritaires en situant quelques diffrences qui existent entre les
systmes classiques et les systmes intelligents. Ensuite, nous discutons de lintroduction du
concept de lintelligence dans un systme instrument de scurit par la distribution des
traitements au plus prs du processus et suivant les niveaux dintelligence introduits
auparavant cest--dire dans les dispositifs de terrain tels que les capteurs et actionneurs.
Enfin, nous proposons une mthodologie dvaluation des systmes instruments de scurit
auxquels il y a eu incorporation dinstruments intelligents pour devenir des Systmes
Instruments de Scurit Intelligence Distribue (SISID).
Dans le dernier chapitre, la modlisation et lvaluation des performances relatives la sret
de fonctionnement sont traites avec des structures qui disposent dintelligence dans les
instruments composant les SIS. Dans un premier temps, nous proposons titre de rfrence
ltude dun systme sans intelligence. Puis, la mthodologie pour lvaluation de la sret
de fonctionnement des systmes instruments de scurit intelligence distribue est mise en
uvre travers la modlisation dun systme SIS sans redondance auquel nous introduisons
des instruments intelligents et un rseau de communication. Une autre application concerne
un exemple de procd constitu dun rservoir sous pression contenant un liquide
inflammable volatil avec linstrumentation associe [GOB 01]. Les systmes de scurit
concerns sont ceux qui obissent aux directives dcrites au chapitre 2 concernant les
systmes instruments de scurit. Ce sont donc des systmes qui ragissent des demandes
dactivation de la fonction de scurit suite des situations dangereuses induites par le
procd de fabrication. Les taux de dfaillance pour chaque composant sont supposs connu
priori, les valuations vont concerner les interactions entre les diffrents composants du
systme. Lestimation du taux de dfaillance global du systme est assure par la
dtermination des performances en scurit et en se basant entre autres sur les taux de
dfaillances individuels des diffrents composants. Les mtriques utilises pour lvaluation
de la sret de fonctionnement des SISID se rapportent aux deux modes de dfaillances cits
par la norme : le mode de dfaillance dangereux et le mode de dfaillance en scurit. Nous
avons galement introduit des indicateurs de performance refltant limpact de
lincorporation dun niveau dintelligence donn sur les performances globales en scurit.
- 14 -
Chapitre 1 :
Instrumentation Intelligente
- 15 -
Instrumentation intelligente
1. Introduction
Les dernires dcennies ont vu le formidable dveloppement de l'informatique et de
l'informatique industrielle grce aux progrs de la microlectronique. La rduction des
cots, l'augmentation des performances, de la rapidit, de l'intgration et des capacits
de stockage ont conduit une vritable rvolution technologique.
Le milieu industriel a profit galement de ce changement et l'change de donnes
informatises est devenu une problmatique classique dans les entreprises modernes. Il
tait donc incontournable que les techniques numriques migrent vers les composants
les plus proches du processus, savoir les capteurs et actionneurs qui intgrent
aujourd'hui des micro-contrleurs et des interfaces de communication.
Les instruments intelligents sont des nouveaux systmes dinstrumentation qui sont
apparus avec les progrs de la microlectronique et des rseaux associs aux besoins
des utilisateurs. Ces instruments offrent la possibilit d'un traitement local de
l'information qui est rparti sur les diverses entits permettant ainsi une distribution de
l'excution des tches et faisant apparatre une commande distribue.
Le traitement local a t permis par le dveloppement parallle des rseaux de terrain
favorisant le partage des ressources par l'interconnexion des units de traitement et la
rduction des cblages.
L'interconnexion des instruments intelligents en rseau conduit aussi des problmes
d'informatique rpartie comme la synchronisation [TAI 00], le partage des ressources,
la communication et des problmes plus spcifiques l'automaticien comme le respect
des contraintes temporelles [ROB 93], la dfinition de scnarios de commande, la
supervision, la fusion de donnes, le fonctionnement en mode dgrad, la planification
des actions [JOS 96].
Un instrument intelligent est donc une composante des systmes d'automatisation
intelligence distribue. Il est constitu d'un capteur ou d'un actionneur dot de
fonctionnalits de communication, de configuration, dautodiagnostic et de validation,
en plus des fonctionnalits de mesure ou d'action [REV 05] [ROB 93]. Il est
gnralement constitu d'un processeur ou d'un microcontrleur et d'une interface de
communication un rseau de communication (souvent un rseau de terrain). Son
logiciel peut implmenter du simple traitement du signal aux mthodes de l'intelligence
artificielle. Les instruments intelligents sont connects en rseaux un systme central
(ordinateur ou automate programmable). Il est aussi possible de crer une application
complte constitue uniquement d'instruments connects entre eux.
- 16 -
2. Notion dintelligence
L'intelligence est une notion particulirement complexe, et elle est difficile dfinir. Plusieurs
attributs peuvent entrer dans sa dfinition. Nous allons commencer tout dabord par dfinir le
vocable intelligence.
Intelligence vient du latin intellegentia (facult de comprendre), driv du latin intellegere
signifiant comprendre, et dont le prfixe inter (entre), et le radical legere (choisir, cueillir) ou
ligare (lier) suggrent essentiellement l'aptitude relier des lments qui sans elle resteraient
spars.
Du point de vue de la psychologie, l'intelligence est l'intgration de la perception, la raison,
l'motion, le comportement de la dtection, du savoir, de la planification et de laction sur le
systme afin de russir atteindre ses objectifs [ALB 91].
De nombreuses dfinitions sont donc proposes dans la littrature en mettant plutt laccent
sur tels ou tels attributs. [LAU 04] propose que lintelligence est gnralement dfinie comme
la capacit dun systme adapter son comportement aux contraintes de son environnement :
par exemple la capacit dadaptation des situations nouvelles, la capacit dapprentissage,
dabstraction, de contrle, de rsolution de problmes, etc. [ALB 91] dresse des niveaux de
lintelligence en dclinant quau minimum, l'intelligence exige la capacit explorer
l'environnement, prendre des dcisions, et de contrler l'action. Des niveaux plus levs de
l'intelligence peuvent inclure la capacit de reconnatre les objets et les vnements, de
reprsenter la connaissance dans un modle, et de raisonner pour planifier l'avenir. Dans des
formes avances, l'intelligence fournit la capacit de percevoir et de comprendre, de choisir de
faon judicieuse, et d'agir avec succs sous une grande varit de circonstances afin de
survivre, de prosprer dans un environnement complexe et souvent hostile.
[STE 03] a introduit trois niveaux de lintelligence, lintelligence analytique, lintelligence
crative et lintelligence pratique. Lintelligence analytique est laptitude analyser et
valuer des ides, rsoudre des problmes et prendre des dcisions. Elle serait mesure par
les tests classiques. Lintelligence crative consiste aller au-del de ce qui est donn et
gnrer des ides nouvelles. Quant lintelligence pratique, cest laptitude trouver la
meilleure adaptation possible entre soi et les demandes de lenvironnement.
Un modle qui est reconnu actuellement est celui de [CAR 93]. Dans ce modle, on trouve un
troisime niveau est reprsent par lintelligence gnrale. Au deuxime niveau on trouve huit
facteurs de groupe (intelligence fluide, intelligence cristallise, mmoire gnrale, perception
visuelle, perception auditive, capacit de rappel, rapidit cognitive, vitesse de traitement). Le
premier niveau est reprsent par des facteurs de groupe mineurs correspondant des
aptitudes de faible tendue.
En effet, [CAR 93] a repris la notion dintelligence gnrale transversale toutes les
oprations mentales impliques sans opposition aux dfenseurs dune conception postulant
une pluralit dintelligences [MEY 06]. Les diffrentes formes dintelligence ont t inspires
entre autres par R.B. Cattell (1941) qui avait mis en vidence deux facteurs particulirement
importants, il sagit de lintelligence fluide et de lintelligence cristallise. Lintelligence
fluide est la comptence qui nous permet de rsoudre des problmes pour lesquels nous ne
possdons pas de solutions apprises. En revanche, lintelligence cristallise est une
comptence drive de lexercice de lintelligence fluide au cours de lapprentissage.
Il existe donc plusieurs formes dintelligence, classes sous forme de niveaux. Ces niveaux
stalent du concept gnral de lintelligence des facteurs beaucoup plus spcifiques.
- 17 -
- 18 -
- 19 -
- 20 -
Capteur Intelligent
Automatisation
Capteur "Smart"
Mtrologie
Intgration
Capteur
"Classique"
Traitement du
Signal
Compensation
Connexion
Point Point
Connexion
Point Point
Rseau(x) de
Terrain
Finalement notons que jusqu' prsent, aucun accord commun n'a t tendu la dfinition
dun capteur intelligent avec l'absence d'une dfinition officielle de n'importe quelle
organisation [ZHA 04] [MAS 98] [BOW 94].
Nous allons revenir ces dfinitions sous forme de classification par niveaux la fin de ce
chapitre.
- 21 -
communication
- 22 -
Capteur
Actionneur
Instrument
intelligent
Microprocesseur
Noeud
Mmoires
Interface de
communication
Rseau
Un instrument intelligent est donc constitu de capteurs ou dactionneurs relis un nud par
lintermdiaire dun bus interne. Cet instrument peut tre compos uniquement de capteurs,
uniquement dactionneurs ou des deux. Il peut aussi tre compos dun seul capteur et dun
seul actionneur.
Un noeud est un ensemble de composants dont les principaux sont :
Le microprocesseur : qui permet de faire les calculs,
Les mmoires (ROM ou EPROM, RAM),
Linterface de communication : qui permet de grer la rception ou lmission de
donnes sur le rseau.
- 23 -
Une telle architecture matrielle est capable dintgrer les diffrentes fonctionnalits qui
peuvent appartenir aux instruments intelligents.
3.3.2. Aperu sur la norme IEEE 1451
La norme IEEE 1451 [IEE 04] a pour objectif de dfinir une interface standardise pour les
rseaux de capteurs. Celle-ci offre la possibilit de configurer automatiquement les capteurs
en y intgrant une interface spcifique et une fonction d'auto-reconnaissance. Cette norme
spcifie le format d'une fiche technique embarque dans la mmoire du capteur sous forme du
fichier TEDS (pour Tranducer Electronic Data Sheett). Ce fichier est une sorte
didentificateur de capteur. Cette fiche possde, entre autre, l'identit du capteur, ses
caractristiques (sensibilit,...) ainsi que la possibilit pour l'utilisateur d'ajouter des donnes
personnelles (localisation du capteur,...) [LEE 00]. Ce concept est dj mis en uvre dans les
capteurs de process (type Hart et bus de terrain) mais le terme TEDS est plutt rserv aux
capteurs de mesure mcanique.
Le fichier TEDS comprend trois zones distinctes, lune spcifie lidentit du capteur (son
fabricant, son numro de srie, etc), la deuxime comporte ses principales caractristiques
techniques (avec notamment sa gamme de mesure, sa sensibilit, sa date dtalonnage, etc),
et la dernire est rserve lutilisateur.
Cette norme standardise les caractristiques des capteurs intelligents savoir la dfinition des
interfaces pour quils puissent se connecter des rseaux divers. Parmi ces fonctions, nous
pouvons citer : la facilit dinstallation, lauto-identification, lauto-diagnostic, la fiabilit, le
temps dveil pour la coordination avec dautres noeuds, quelques fonctions logicielles, le
traitement du signal, des protocoles de contrles standards et des interfaces rseaux. De plus,
cette norme vise rapprocher lintelligence du point de la mesure et minimiser les cots
dintgration ou de maintenance dans des rseaux distribus [LEW 04]. La norme propose
galement lindpendance vis--vis de la couche rseau mise en uvre ainsi que
lindpendance vis--vis du type de microprocesseur embarqu sur le systme.
Cette norme nest pas encore acheve, cest une solution provisoire et une tape vers des
capteurs intelligents raccords sur un rseau universel.
- 24 -
- 25 -
MESURE
CONFIGURATION
Fonctionnelle
Technologique
Acquisition
Traitement
du signal
Oprationnelle
Correction
Compensation
VALIDATION
Conversion en
mesure
Oprationnelle
Technologique
Mtrologique
Oprationnelle
Test
Diagnostic
Historique
COMMUNICATION
Synchronisation
Datation
Communiquer
Grer
lapplication
Mesurer
Surveiller
Elaborer les
informations
Grer la base
de donnes
Processus
Actionner
Dcider
Traiter
Figure 1.4 : Architecture fonctionnelle gnrique dun actionneur intelligent [STA 94]
- 26 -
Un instrument intelligent doit pouvoir intgrer les fonctionnalits d'un capteur intelligent et
celles d'un actionneur intelligent pour tendre vers plus de gnricit. La figure 1.5 illustre une
proposition de fonctionnalits d'un instrument intelligent gnrique.
Test interne
Mesure
configuration
Validation
Diagnostic
Dcision
Actionnement
Communication
- 27 -
- 28 -
dactions incompatibles, les diffrents services dun instrument sont regroups en sousensembles cohrents dits modes dutilisations.
4.2.1. Services d'un instrument intelligent
Les services sont dfinis d'un point de vue externe, ils sont le rsultat de l'excution d'un
traitement (ou l'ensemble de traitements), auquel on peut associer une interprtation en termes
fonctionnels. La description d'un service consiste dcrire le rsultat produit par son
excution. Un service est une entit qui consomme des variables et en produit d'autres
conformment la figure suivante :
Conditions d'activation
Variables
consommes
TRAITEMENTS
Variables
produites
Ressources
Figure 1.6 : Reprsentation d'un service
L'excution d'un service est dclenche par l'avnement d'une condition d'activation et
ncessite la disponibilit d'un certain nombre de ressources. Le service peut s'excuter de
manire nominale dans le cas o l'ensemble de ressources qu'il utilise est valid.
La dfaillance de certaines ressources n'implique pas forcment l'indisponibilit du service
qui les utilise. Des traitements de remplacement peuvent tre prvus. L'ensemble de ces
traitements dfinit les versions possibles de ce service.
4.2.2. Organisation des services en modes d'utilisation
Un mode dutilisation comprend au moins un service et chaque service appartient au moins
un mode dutilisation. Ainsi lensemble des modes dutilisation est un recouvrement de
lensemble des services.
A un instant donn, linstrument se trouve dans un mode dutilisation donn. Seuls les
services appartenant ce mode pourront tre excuts.
- 29 -
Ensemble de services
Mode dutilisation 2
Mode dutilisation 3
Mode dutilisation 1
- 30 -
CLIENT
Interface de
linstrument
Service externe
Fonctions
Interface
interne
Service interne
Fonctions de base
- 31 -
- 32 -
Les SAID sont des systmes constitus de composants intelligents rpartis autour dun rseau
de communication tel quun rseau de terrain. Dans le cas o la boucle de commande est
ferme par un canal de communication, ces systmes sont appels des systmes commands
en rseau ("Networked Control Systems" ou NCS) [WAL 99].
Daprs le dictionnaire de lIEEE [DOR 93], le SAID est une structure de contrle interactif
intgrant des caractristiques cognitives qui peuvent inclure des techniques d'intelligence
artificielle et certaines constructions fondes sur la connaissance pour muler le
comportement d'apprentissage avec une capacit globale de la performance. Le rle du SAID
est de pouvoir fournir une approche systmatique pour traiter les nombreuses contraintes qui
sont impliques dans la commande.
Les SAID se sont dvelopps avec laugmentation croissante du nombre dinformations
ncessaires au contrle des processus industriels qui a conduit au dveloppement dunits de
traitement de plus en plus performantes, capables de traiter rapidement un grand nombre
dinformations. Ces systmes permettent aussi une grande flexibilit en terme de vitesse de
commande, de scurit, de conformit de la fabrication, de fiabilit [LAF 97]. Ils contribuent
assurer dimportants services comme le traitement et la communication [DAI 03].
La premire volution est apparue avec lintroduction des bus de terrain, ils ont permis de
dporter les entres/sorties numriques et analogiques et de rduire les cots et temps de
cblage. Lensemble des informations est trait par lunit centrale.
La rpartition de lunit centrale et le rapprochement des traitements au niveau des
instruments de terrain ont fait voluer le concept de systmes dautomatisation vers celui de
SAID [BAY 05] [HER 97]. Les traitements locaux peuvent tre implants directement dans
les composants dautomatisme intelligents (capteurs et actionneurs intelligents) ou dans des
petites units de traitements (micro-automate) grant un sous-ensemble de composants
intelligents.
Le micro-automate communicant sera utilis comme un module de traitement dport pour
traiter une partie de lapplication [CHO 96].
La figure 1.9 montre un systme dautomatisation intelligence distribue illustrant la
rpartition de lunit centrale et le rapprochement des traitements au plus prs des
quipements. Ces traitements sont implants directement dans les capteurs et actionneurs
intelligents ou dans des petites units de traitements grant un sous-ensemble de capteurs et
actionneurs.
E
Unit de
Traitement S
C
Capteurs
Dtecteurs
C
Unit de
Traitement
Capteurs et
Actionneurs
Intelligents
CI
CI
AI
AI
Procd
C
Unit de S
Traitement
Pr-actionneurs
Actionneurs
De nos jours, les architectures distribues sont la base de beaucoup de systmes industriels
[CAM 99]. Ces architectures distribues offrent non seulement un cblage rduit et une
simplification de la maintenance mais elles offrent aussi une occasion dimplmentation de
lois de commande sophistiques [LEE 01]. Lautomatisme dcentralis permet une relle
distribution des fonctions au plus prs des capteurs/actionneurs. Lintelligence peut tre
intgre directement dans les C/A.
5.4. Les SAID sont ils considrs comme des systmes complexes ?
La complexit dun systme tient compte de leurs comportements, leur taille, de la diversit
des informations mises en jeu ainsi que des phnomnes rgissant le fonctionnement de ces
systmes [BEN 04].
Les systmes complexes posent des problmes nouveaux et importants danalyse et de
modlisation et parfois il nest pas possible de passer de ltape de lanalyse ltape de
lexcution des traitements sans le passage par des tapes intermdiaires permettant la
rduction du problme.
- 34 -
Erreurs humaines
actives
latentes
Dfaillances matrielles
recouvrement
Induites par
lhumain
Evnements
extrieurs
alatoires
- 36 -
La validation des donnes est une notion trs importante dans la mesure que les systmes
sensibles aux dfauts sont pris en compte. Lorsque des capteurs intelligents sont inclus dans
de tels systmes, des donnes sont fournies et elles vont qualifier l'estimation produite avec
une certaine confiance associe.
- 37 -
- 38 -
La cohrence entre les signaux mesurs du systme et ceux du modle est reflte par des
caractristiques statistiques dun signal indicateur de dfauts appel rsidu. Celui-ci est gnr
par un systme qui filtre les entres et les sorties de linstrument [NYB 97]. En pratique, on
gnre des rsidus ayant une moyenne nulle en fonctionnement normal et diffrents de zro
en fonctionnement dfaillant.
Pour [CLA 00], la nouvelle fonction exige dun instrument intelligent est la gnration en
ligne de lincertitude. Cest un nombre dans les mmes units que les donnes mesures et qui
reprsente lerreur associe la mesure. Cette incertitude sur la mesure possde deux
composantes : les effets alatoires dus aux bruits et les erreurs systmatiques. Les expriences
rptes peuvent rduire le premier mais pas le second.
Un modle de dfaut est donc une reprsentation formelle de la connaissance des dfauts et de
leurs faons dinfluencer le systme. Plus spcifiquement, le terme dfaut signifie que le
comportement dun composant a dvi de son comportement normal. Pour autant, il ne
signifie pas que linstrument a cess de fonctionner.
Un dfaut dans le dtecteur de temprature tel quun circuit ouvert est dtectable par les
autotests internes. Sans correction, le dfaut est propag par une quation de compensation
pour produire un grand offset. Une fois le dfaut marqu, lapproche correcte est dutiliser la
dernire bonne valeur du mesurande. Lincertitude relative correspond la temprature
enregistre dans lhistorique du capteur. La nouvelle valeur est peut tre imprcise mais
conviendra pour assurer la fonction.
Un autre algorithme possible consiste prendre la moyenne des valeurs stockes dans un
historique et se trouvant entre deux limites. La bonne valeur appartient lintervalle entre ces
deux limites et la valeur moyenne de la temprature est celle quon utilise pour la
compensation.
[ISE 92] propose un principe qui permet de calculer la nouvelle valeur des paramtres qui
minimise lcart entre les grandeurs mesures et les grandeurs calcules avec les paramtres
estims.
Le rsultat est ainsi compar aux paramtres du modle de rfrence obtenus dans le cas sans
dfauts et lerreur destimation est alors utilise comme rsidu.
(k )
r (k ) = nom
(k ) le vecteur de paramtres
o nom est le vecteur des valeurs nominales des paramtres et
estim linstant k.
(k ) peut tre calcul par deux faons : hors ligne ou en
Le vecteur de paramtres estim
(k ) est obtenu analytiquement partir des mesures chaque
ligne. Dans le premier cas
instant. Dans ce cas, lalgorithme de lestimateur au sens des moindres carrs traite
simultanment les N mesures recueillies sur le systme. Dans le deuxime cas lalgorithme
rcursif traite les mesures successivement. Cest--dire que lestimation future dpend de
lestimation prsente.
Le choix dun horizon glissant comportant N mesures savre plus efficace pour les raisons
suivantes [BAI 07]:
les donnes correspondant aux mesures peuvent tre trop nombreuses pour tre
stockes en mmoire. On souhaite alors les utiliser simultanment et ne mmoriser
- 39 -
- 40 -
Un exemple dactionneurs subissant des non linarits (collage, hystrsis) est celui des
vannes de commande de dbit trs rpandues.
Lactionneur intelligent mesure et compense ses caractristiques indsirables, dtecte et
corrige des conditions de fautes et rend compte de son comportement. Les changements de la
dynamique ainsi que les limites de saturation courantes peuvent tre prises en considration
dans un actionneur intelligent.
Un actionneur idal reoit une demande ud et la transforme en commande ua. La relation qui
existent entre ud et ua est linaire entre deux limites de saturation umin et umax. Il est commode
de prendre umin = 0 et umax = 100% (par exemple, fermeture entire dune vanne et son
ouverture entire).
Supposons que lactionneur est satur. Il retourne le signal correspondant au signal rel de
lactionneur ainsi que le signal correspondant aux variables relatives au processus. Puisque ud
est contrle et ua est mesure, il est possible davoir une image prcise de la non linarit de
lactionneur avec lalgorithme de compensation. Le point cl est qu'il est alors possible
d'inverser la non linarit de sorte que par l'intermdiaire d'une table consultable n'importe
quelle valeur ua exige sera slectionne par la valeur de ud approprie.
Par consquent en employant la rtroaction interne ou en appliquant une non-linarit inverse
lactionneur nominal approche l'idal.
La validation dans un actionneur utilise tous les moyens disposition pour valuer et
compenser les non linarits internes.
[TOM 01] stipule quune mise en uvre russie de validation de lactionneur doit tre donc
tre capable d'observer ses propres caractristiques et soit continuellement capable dadapter
la compensation.
Le cas des actionneurs est similaire au cas des capteurs dans lutilisation de la mthode de
gnration de rsidus. La reconstruction base dobservateurs et filtres peut tre utilise, il
sagit dun processus simulant le fonctionnement du systme partir dun modle
mathmatique o la sortie est corrige par lerreur destimation de la sortie [BAI 07]. En rgle
gnrale, les approches base dobservateurs consistent comparer des fonctions des sorties
estimes avec les mmes fonctions de sorties mesures.
- 41 -
7.1. Niveau 0
Malgr les avances technologiques dans le domaine de linstrumentation et de la
microlectronique, beaucoup de systmes sont encore constitus rudimentairement dun
capteur (transducteur et conditionneur) qui transmet simplement une information analogique
et dun actionneur qui agit sur un processus avec un dispositif associ constituant lensemble
de llectronique. Selon le modle fonctionnel gnrique propos en figure 1.6, le niveau
requiert les fonctionnalits mesure et actionnement.
7.2. Niveau 1
Diffrentes volutions sont apparues avec une intgration plus ou moins grande via des
circuits associs au capteur. Ainsi le conditionnement du signal a t mis en uvre.
Lassociation dun dispositif de communication adapt a permis l'exploitation distance des
informations fournies par linstrument. Lassociation dun processeur a proximit de
linstrument a permis la numrisation du signal. A ce niveau l, on dispose dun instrument
numrique communiquant. La sret de fonctionnement ne va se trouver amliore du fait de
la complexit accrue par lemploi de composants numriques intgrant du logiciel et
introduisant de nouveaux modes de dfaillances. Les amliorations obtenues avec ce type
dinstruments sexpriment en termes de critres mtrologiques (meilleure prcision) et de
facilit dutilisation. Ce niveau requiert les fonctionnalits mesure, actionnement,
configuration et quelques fonctionnalits non dcrites et qui se rapportent lamlioration de
la mtrologie de linstrument.
7.3. Niveau 2
La notion dinstrument "smart", c'est dire de systme qui dispose d'une certaine capacit de
calcul assure par un circuit programmable du type microcontrleur ou microprocesseur lui
permettant de prendre en compte certaines drives et grandeurs d'influence et donc de gnrer
un signal corrig que le systme d'acquisition pourra alors acqurir via une interface de
communication intgre. L'existence d'un lment de calcul programmable et d'un bloc
mmoire associ va permettre l'implmentation de nombreuses fonctionnalits au sein de
linstrument telles que lexistence dautotests intgrs et autodiagnostics locaux susceptibles
de dterminer automatiquement l'lment dfaillant. Dautres fonctionnalits sont disponibles
dans le systme "smart" et se rapportent essentiellement la configuration distance (type et
numro d'identification de linstrument, sa date de mise en service et ses dates prvisibles de
maintenance programme, ses caractristiques mtrologiques et de fonctionnement).
Lassociation de la validation lautodiagnostic et la dcision vont permettre dapprhender
lenvironnement de linstrument localement et de pouvoir assurer la continuit du service en
prsence de dfauts. Ce niveau requiert lensemble des fonctionnalits dcrites dans le modle
fonctionnel gnrique mais leur exploitation est restreinte et nest pas complte.
7.4. Niveau 3
Lintrt de lutilisation dun instrument intelligent est la crdibilit des informations et la
sret de fonctionnement. En effet, une information errone peut conduire la prise dune
mauvaise dcision et mener la dfaillance du systme. Linstrument doit dlivrer une
information valide pour permettre lamlioration de la sret de fonctionnement du systme.
Les moyens mis en uvre pour lamlioration de la crdibilit et de la sret de
- 42 -
8. Conclusion
Lvolution technologique des instruments intelligents et des rseaux de communication ont
permis le dveloppement des systmes dautomatisation intelligence distribue. La
dlocalisation du traitement au plus prs des instruments constituant ces systmes et les
possibilits accrues dchange dinformation permettent de distribuer le contrle commande.
Les instruments intelligents sont des quipements qui contiennent un certain nombre de
fonctionnalits leurs permettant de communiquer, de faire des calculs, dlaborer une mesure,
de la valider en fonction dlments disponibles localement ou distance, de prendre des
dcisions. Linstrument intelligent, en plus des fonctionnalits qui amliorent ses
performances mtrologiques, possde une capacit crdibiliser sa fonction (validant la
mesure produite pour le capteur ou rendant compte de la ralisation effective de laction de
lactionneur).
Lintelligence dans les instruments intelligents porte une smantique quivoque, un
instrument intelligent est souvent considr intelligent ds quil intgre un traitement
numrique. La dfinition de lintelligence dans un instrument intelligent nest pas universelle.
La dfinition de lintelligence est donc trs vaste. Nous pourrons dfinir lintelligence comme
la capacit d'un systme agir de faon approprie dans un environnement donn afin de
raliser un ou plusieurs objectifs.
Lvolution du concept dinstrument intelligent est illustre par le schma de la figure 1.13
[GEO 05]. En effet, le traitement des informations tait localis niveau suprieur de la
pyramide CIM qui est un niveau suprieur de dcision et o la visibilit est globale. Aprs, il
y a eu une volution vers la distribution du traitement au niveau des automatismes pour
remdier notamment aux cots levs des cblages et de linstallation et la fiabilit du
systme altre par la gestion de plusieurs boucles au moyen dun calculateur central. Le
dernier pas de lvolution des systmes dautomatisation est celui de lincorporation
dinstruments intelligents au niveau le plus bas de la pyramide CIM, cest--dire le niveau
terrain. Les traitements sont localiss au plus prs du processus physique et toute dfaillance
locale dune boucle nest pas rpercute aux autres niveaux du systme.
- 43 -
- 44 -
Chapitre 2 :
Systmes Instruments de
Scurit
- 45 -
1. Introduction
Diverses scurits sont mises en uvre lorsque les systmes automatiss
prsentent des risques pour lhomme, lenvironnement ou les biens. Ces types de
scurits utilisent des moyens contribuant soit la prvention soit la protection
pour limiter les consquences dun dysfonctionnement. Les systmes
instruments de scurit (SIS) sont souvent utiliss comme moyens de protection
pour raliser des fonctions instrumentes de scurit (SIF). Pour concevoir ces
systmes, deux normes sont utilises : lANSI/ISA S84.01-1996 [ISA 96] et la
CEI 61511 [CEI 03] qui est une dclinaison de la norme gnrique CEI 61508
[CEI 00].
Les systmes instruments de scurit sont utiliss pour excuter des fonctions de
scurit dans les industries de production par processus (ou de transformation). Ce
sont des moyens de scurit chargs de surveiller que le procd ne franchit pas
certaines limites (au-del desquelles il pourrait devenir dangereux) et dactionner
les organes de scurit lorsquun tel danger se prsente.
La premire partie de ce chapitre porte sur la norme CEI 61508 qui est une norme
gnrique et couvre plusieurs aspects tels que le cycle de vie, lallocation de
lintgrit de scurit en fonction dun objectif, le choix de larchitecture
matrielle ...
Pour tre plus facilement mise en oeuvre, des normes filles sectorielles ont t
imagines : cest le cas notamment de la norme CEI 61511, spcialement pense
pour mettre en oeuvre les systmes instruments de scurit, ou de la norme CEI
62061 qui est ddie au secteur machine.
Les normes ANSI/ISA S84.01-1996 [ISA 96] et CEI 61511 [CEI 03] tablissent
les prescriptions relatives la spcification, la conception, linstallation,
lexploitation et la maintenance du SIS, afin davoir toute confiance dans sa
capacit amener le procd dans un tat sr. Les tapes de base pour se
conformer ces normes sont :
Etablir une cible de scurit (risque acceptable) du procd et valuer le risque
existant.
Identifier les fonctions de scurit requises et les affecter aux niveaux de
protection.
Dterminer si la fonction instrumente de scurit est requise.
- 46 -
2. Concept de la scurit
Les tablissements industriels dploient beaucoup defforts pour viter des accidents. Mais
malgr cela, de nombreux accidents industriels se produisent dans le monde (SEVESO en
Italie (1976), AZF Toulouse (2001),) causant plusieurs victimes et dgts sur les biens et
lenvironnement. Lampleur et la frquence de ces accidents ont suscit de nombreux efforts
sur des tudes de scurit afin de mieux matriser les risques.
Dans les tudes de scurit, ltude de dangers doit mener lidentification de sources ou
situations pouvant nuire aux personnes, aux biens et lenvironnement. Cette tude de
dangers doit aboutir un ensemble de mesures de matrise de risques mises en uvre
lintrieur de linstallation un niveau jug acceptable par lexploitant de linstallation.
- 47 -
Le critre de Farmer [FAR 67] permet de dfinir les notions de risque acceptables et
inacceptables (figure 2.1).
- 48 -
Gravit
Risque Inacceptable
Critre de Farmer
Risque acceptable
Probabilit
Figure 2.1 : Critre de Farmer
MAZOUNI [MAZ 07] propose une mthodologie gnrique qui est base sur la connaissance
pralable du concept daccident, de ses mcanismes de causalit ainsi que son processus de
matrialisation. Cette mthodologie gnrique permet dexploiter efficacement lchange du
savoir-faire en matire dAPR (Analyse Prliminaire des Risques).
Cette mthodologie consiste modliser un processus accidentel adapt pour lAPR afin
dobserver sa ralisation dune manire spatio-temporelle. La modlisation est de type
tat/transition pour le processus accidentel dAPR, cest--dire que l'identification des
scnarios d'accident est base sur le dveloppement du processus accidentel en fonction de
l'occurrence des diffrents vnements. Le modle propos prend en compte limplication de
plusieurs Entits Cibles de Danger (ECD) dans un mme accident avec une Entit Source de
Danger (ESD).
La mthodologie propose permet dorganiser des barrires de dfense chaque phase
lmentaire du processus accidentel. Ainsi concernant la situation dexposition, il convient de
rduire les frquences et les dures dexposition tandis que lobjectif pendant la situation
dangereuse serait dviter lapparition de lvnement redout et enfin durant la situation
daccident, on se contente de minimiser les prjudices pouvant tre ports lhomme,
lenvironnement ainsi quau systme et ses interfaces.
Dans la suite de ce chapitre, les concepts danalyse de risque et dvaluation de risque sousjacents la notion de risque seront traits ainsi que les relations entre le risque et lintgrit de
scurit.
- 49 -
l'environnement. Selon [VIL 88], la scurit est laptitude dune entit viter de faire
apparatre, dans des conditions donnes, des vnements critiques ou catastrophiques.
Dans le domaine de la matrise des risques, la notion de scurit concerne la scurit innocuit
[LAP 95]. La prise en compte des vnements critiques tels que lintrusion de personnes
malveillants dans le domaine des systmes informatiques est concerne par la scurit
confidentialit. [LAP 95] prcise bien ces deux aspects concernant le paramtre scurit, la
scurit innocuit (safety) qui est lie la non occurrence de consquences catastrophiques
pour les personnes, les biens et lenvironnement et la scurit confidentialit (security) qui est
lie la non occurrence de divulgations non autorises des informations et au respect de
lintgrit de ces informations. Dans ce mmoire, nous nous intressons uniquement au
premier aspect de la scurit.
- 50 -
Cette norme s'applique aux systmes relatifs la scurit lorsque l'un ou plus de ces systmes
comporte des dispositifs lectriques/lectroniques/lectroniques programmables. Elle
comprend 7 parties :
1. Dfinition des prescriptions gnrales qui sont applicables tous types de matriel,
2. Prescriptions spcifiques et supplmentaires pour les systmes E/E/PE - aspect
matriel,
3. Prescriptions spcifiques et supplmentaires pour les systmes E/E/PE - aspect logiciel,
4. Dfinitions et abrviations utilises,
5. Lignes directrices pour la dtermination des niveaux d'intgrit de scurit - mthode
et exemple,
6. Lignes directrices pour la mise en oeuvre des prescriptions relatives aux E/E/PE,
7. Prsentation des techniques et des mesures.
La norme CEI 61508 est la base d'autres normes sectorielles (ex : machines, procds
continus, ferroviaire, nuclaire) ou de produits (ex : variateurs de vitesse). Elle influence donc
le dveloppement des systmes E/E/PE et des produits concerns par la scurit travers tous
les secteurs.
La figure 2.2 [SMI 04] montre la norme CEI 61508 gnrique et ses normes filles par secteur
dactivit.
CEI 61508
Norme gnrique
CEI 61511
Norme sectorielle
Process industriels
CEI 62061
Norme sectorielle
Machine
CEI 61513
Norme sectorielle
Nuclaire
Ferroviaire
Autres
EN 50126
EN 50128
EN 50129
- 51 -
Systme instrument de
scurit pour le domaine de
la production par processus
Concepteurs de systmes
instruments de scurit,
intgrateurs et utilisateurs
CEI 61511
Constructeurs et
fournisseurs de dispositifs
CEI 61508
Figure 2.3 : Relation gnrale entre la CEI 61508 et la CEI 61511 [CEI 03]
- 52 -
La norme CEI 61511 restreint le primtre aux systmes pour des applications SIL 1 3 (les
applications SIL 4 ne pouvant tre traites par un SIS seul). Les applications qui ncessitent
lutilisation dune fonction instrumente de scurit de niveau dintgrit de scurit SIL 4
sont rares dans lindustrie de processus. Ces applications doivent tre vites en raison de la
difficult datteindre et de maintenir de tels niveaux levs de performance tout au long du
cycle de vie de scurit [CEI 03].
La CEI 61511 a une volont de simplification de la CEI 61508 en reprenant cette dernire
mais en la limitant strictement aux lments pertinents pour lindustrie des procds continus.
La relation entre ces deux normes pour le matriel et le logiciel est illustre par la figure 2.4
[KOS 06] [CEI 03].
Dveloppement
de nouveaux
dispositifs
matriels
Utilisation
de dispositifs
matriels
valids en
utilisation
Utilisation de
matriels
dvelopps et
accessibles
selon la CEI
61508
Suivre la
CEI 61508
Suivre la
CEI 61508
Suivre la
CEI 61511
Dveloppement
de logiciels
(systme)
intgrs
Dveloppement
De logiciels
dapplication
utilisant des
langages
variabilit
totale
Suivre la
CEI 61508-3
Suivre la
CEI 61508-3
Figure
Dveloppement
De logiciels
dapplication
utilisant des
langages
variabilit limite
ou des
programmes
stabiliss
Suivre la
CEI 61511
2.4 : Relation entre la norme CEI 61511 et la norme CEI 61508 pour le matriel et le logiciel
[CEI 03]
Les spcifications indpendantes des secteurs se situent entre l'allocation des prescriptions de
scurit et les phases d'installation et de rception du cycle de vie de scurit complet. Les
normes sectorielles, telles que la norme CEI 61511, font habituellement rfrence ces
- 53 -
spcifications plutt que de les rpter. En consquence, la plupart des utilisateurs ont
systmatiquement besoin de la norme CEI 61508 [RIC 05].
- 54 -
La norme CEI 61508 [CEI 00] dfinit quand elle les systmes relatifs aux applications de
scurit par : un systme E/E/PE (lectrique/lectronique/lectronique programmable) relatif
aux applications de scurit comprend tous les lments du systme ncessaires pour remplir
la fonction de scurit.
Les systmes instruments de scurit sont donc utiliss comme moyens de prvention et
comportent une proportion grandissante de systmes lectriques, lectroniques ou encore
lectroniques programmables (E/E/EP). Ces systmes sont complexes ce qui rend difficile
dans la pratique la connaissance de chaque mode de dfaillance par lexamen des
comportements possibles et la prvision des performances en terme de scurit.
Un systme instrument de scurit est un systme visant mettre le procd en tat
stable ne prsentant pas de risque pour lenvironnement et les personnes lorsque le
procd sengage dans une voie comportant un risque rel pour le personnel et
lenvironnement (explosion, feu).
Un certain nombre de proprits caractrisent les systmes instruments de scurit :
-
Les systmes instruments de scurit ncessitent une source d'nergie extrieure pour
remplir leur fonction de scurit.
On retrouve tout ou partie de ces diffrents lments pour constituer des chanes de
scurit.
Plusieurs capteurs ou actionneurs peuvent tre relis une mme unit de traitement.
Les capteurs, lunit de traitement, les lments finaux sont des quipements de scurit et
ralisent des sous-fonctions de scurit. Lensemble des sous-fonctions ralise la fonction de
scurit.
- 55 -
Solnode
Vanne darrt
Transmetteur de
temprature
Capteur de
niveau
transmetteur de
dbit
Unit de
traitement
SIF n2
Pompe
Solnode
Vanne
- 56 -
ddies chaque spcificit de protection. Par exemple, pour protger une unit particulire
d'une installation contre une surpression, les dispositions de scurit doivent se rapporter la
premire couche comprenant un transmetteur de pression, une unit de traitement et un
actionneur et la seconde couche de protection comportant une soupape de scurit de
surpression. Les deux couches de protection forment des systmes relatifs la scurit (Safety
related systems SRS). La premire couche est compose par des systmes base de
technologie E/E/EP (lectrique, lectronique et lectronique programmable). Ce type de
systmes est appel systmes instruments de scurit (SIS). La seconde couche dsigne les
SRS de type mcanique.
PROTECTION
PREVENTION
CONDUITE ET
SURVEILLANCE
PROCESS
La partie prvention des couches de protection est assure par les dispositifs de scurit
mcaniques, par les alarmes suivies daction et par les systmes instruments de scurit de
prvention. La protection est assure par des dispositifs de scurit mcaniques, la supervision
par loprateur et par les systmes instruments de scurit dattnuation [KNE 02]. Les
moyens de secours internes et externes concernent respectivement les procdures
dvacuation lors de loccurrence dune situation critique ainsi que la raction du public aprs
une radiodiffusion durgence.
Il faut noter quil existe un amalgame propos de lemplacement des systmes instruments
de scurit comme couche de protection. Certains auteurs qualifient la couche alloue ce
type de systmes comme une couche de prvention [KNE 02] (la norme aussi dailleurs) [CEI
03] alors que ce type de systmes est vou uniquement la protection par la rduction du
risque ncessaire de telle sorte que ce risque devienne tolrable.
Il faut aussi diffrencier le BPCS qui est le systme de commande de base du processus et le
SIS qui est le systme instrument de scurit. En effet, le BPCS est aussi compos de
capteurs, de rgulateurs et dlments finaux. Bien que les architectures apparaissent
similaires, les fonctions diffrent beaucoup entre le BPCS et le SIS [GOB 05]. La fonction
primaire d'une boucle de rgulation est gnralement de maintenir une variable de processus
dans des limites prescrites. Le SIS surveille une variable de processus et ordonne l'action
lorsque cest exig.
Les SIS sont rarement activs et durant les oprations normales du processus, ils demeurent
statiques, dormants. La priode moyenne entre loccurrence dvnements dangereux est
souvent estime plus dune dizaine dannes [GOB 05]. Avec le BPCS, les signaux de
commande sont normalement dynamiques. Les modes de dfaillances diffrent aussi entre un
BPCS et un SIS.
Pour viter quune cause unique ou cause commune affecte simultanment les fonctions de
contrle (BPCS) et de scurit (SIS), la norme IEC 61508 recommande [SMI 04]:
pour les fonctions faible criticit (SIL1 2) : la distinction des fonctions de pilotage
et de scurit notamment du point de vue logiciel. A ce niveau, la norme autorise
lutilisation dquipements (matriels) communs qui assurent simultanment des
fonctions de pilotage et de scurit, ils sont alors considrs comme des SRS et
doivent tres conus comme tels, notamment du point de vue du SIL.
pour les fonctions criticit moyenne (SIL2 3) : distinction de la circuiterie,
(lectrique, ou autre : pneumatique par exemple), des capteurs et actionneurs.
pour les fonctions haute criticit (SIL4) : sparation intgrale physique, lectrique et,
dans la mesure du possible, gographique des systmes.
- 58 -
Spcification
Modification
21%
Spcification
43%
Exploitation et
Conception et
ingnierie
Installation et validation
Exploitation et
maintenance
maintenance
15%
Modification
Installation et
validation
6%
Conception et
ingnierie
15%
Figure 2.7 : Causes primaires des dfaillances des systmes de commande [HSE 95]
Shell [SHE 98] a ralis une autre tude illustrative l'usine nationale de GNL en Oman au
Moyen-Orient. Le procd de production complet a t compos des systmes de
rtablissement de champ, d'une installation de transformation centrale, et d'un complexe de
liqufaction. Pendant une tude de scurit base sur lintgrit de scurit SIL, la conclusion
est que :
67% des fonctions instrumentes de scurit (SIF) semblent sur-calibres en terme de
SIL,
27% n'exigent aucun changement. Elles sont correctement calibres,
6% des SIF semblent sous-calibres.
Shell a ralis un certain nombre de ces tudes sur diffrents sites qui ont prsent des
rsultats comparables.
Les fautes pourraient avoir t produites pendant l'valuation des risques et la spcification
des conditions de scurit ; des dfaillances pourraient galement avoir t faites pendant la
conception et l'excution du SIS, ou pendant la validation. Gnralement aprs avoir pass en
revue les deux tudes prcdentes, la conclusion tire est que les dfaillances pourraient se
produire diffrentes tapes du cycle de vie.
Dans les deux sections suivantes, nous allons nous intresser aux concepts sous-jacents la
notion de risque (dfinie au 2.2) et les relations entre le risque et lintgrit de scurit. Ces
concepts se rapportent lanalyse de risque et lvaluation de risque.
- 60 -
Risque
rsiduel
Risque
tolrable
Risque de
procd
Augmentation
du risque
Risque partiel
couvert par le
SIS
- 61 -
Intolrable
Tolrable
Le risque est tolrable si sa
diminution nest pas possible
ou si les cots augmentent
plus que les avantages
obtenus
(ALARP: As Low As
Reasonably Praticable)
Le risque est acceptable
si on obtient une
amlioration
Pas significatif
Acceptable
- 62 -
La dtermination de la probabilit se fait partir des lments fournis par diverses bases de
donnes par combinaison des probabilits des vnements causals, des situations
circonstancielles,
Afin d'appliquer le principe ALARP il est ncessaire de dfinir trois rgions relatives la
probabilit et la consquence d'un incident. Pour tenir compte du concept ALARP,
l'adaptation d'une consquence avec une frquence tolrable peut tre faite par des classes de
risque. Le Tableau 2.1 est un exemple montrant trois classes de risque (I, II, III) pour un
certain nombre de consquences et de frquences. Le Tableau 2.2 interprte chacune des
classes de risque employant le concept ALARP. Les descriptions pour chacune des quatre
classes de risques sont bases sur la figure 2.11. Ces classes de risques sont les suivantes :
Classe de risque I : risque intolrable
Classe de risque II et III : ces classes sont situes dans la zone ALARP,
Classe de risque IV : cette classe est la zone dacceptabilit.
Probabilit
Classes de risque
Consquence Consquence
catastrophique
critique
Consquence
marginale
Consquence
negligeable
Frquent
II
Probable
II
III
Ocasionnel
II
III
III
Peu frquent
II
III
III
IV
Improbable
III
III
IV
IV
Non crdible
IV
IV
IV
IV
- 63 -
Risk class
Interpretation
Classe I
Risque intolerable
Classe II
Classe III
Classe IV
Risque ngligeable
Lune des diffrences majeures entre les dfaillances alatoires du matriel et les dfaillances
systmatiques est que les taux de dfaillances du systme, engendrs par les dfaillances
alatoires du matriel peuvent tre prdits alors que les dfaillances systmatiques ne peuvent
pas tre prdites. Cest--dire que les taux de dfaillance du systme issus des dfaillances de
matriel peuvent tre quantifis contrairement ceux issus des dfaillances systmatiques qui
ne peuvent pas tre prdits de manire statistique du fait que les vnements conduisant ce
type de dfaillances ne peuvent pas tre facilement prdits.
La norme IEC sapplique aussi bien aux systmes de scurit qui fonctionnent sur sollicitation
(lorsquune dfaillance apparat) que ceux qui travaillent en permanence pour maintenir un
procd dans un tat non dangereux. Le premier cas (systme sur sollicitation) peut tre
illustr par un systme darrt durgence qui va commander louverture dune vanne de
scurit si la pression dans un ballon devient trop leve. Le deuxime cas (fonctionnement
permanent) peut tre illustr par le contrle de la vitesse dune machine papier, qui doit tre
maintenu une vitesse trs lente pendant que les oprateurs sont en train de raliser une
opration de maintenance [MES 05].
Le mode de fonctionnement faible sollicitation est considr lorsque la frquence de
demande nest pas plus grande quune par an et est au plus gale deux fois la frquence des
tests priodiques [CEI 00]. Ce mode est gnralement attribu aux systmes de protection,
activit lors de loccurrence dun vnement redout. A partir de larchitecture du systme
instrument de scurit ralisant la fonction instrumente de scurit faiblement sollicite, la
moyenne de la probabilit de dfaillance la demande PFDavg (Average Probability of Failure
on Demand) est value sur un intervalle [0, t].
Le mode de fonctionnement continu ou forte sollicitation implique une forte demande du
systme instrument de scurit. Il est considr lorsque la frquence de demande est leve
ou continue, cest--dire quelle plus grande quune par an ou suprieure deux fois la
frquence des tests priodiques [CEI 00]. Ce mode est gnralement attribu aux systmes de
prvention dvnements redouts. A partir de larchitecture du systme instrument de
scurit ralisant la fonction instrumente de scurit faiblement sollicite, la probabilit de
dfaillance dangereuse par heure PFH (Probability of a dangerous Failure per Hour) est
value sur un intervalle de temps [0, t].
Pour chaque fonction instrumente de scurit fonctionnant en mode de sollicitation
respectivement en mode continu, le SIL requis doit tre spcifi en accord avec le tableau 2.3
respectivement le tableau 2.4 [CEI 03].
FONCTIONNEMENT A LA SOLLICITATION
Niveau dintgrit
de scurit (SIL)
Probabilit moyenne de
dfaillance la sollicitation
(PFDavg)
Rduction de risque
cible (RR)
100 RR < 10
Table 2.3 : Niveaux dintgrit de scurit : Probabilit de dfaillances lors dune sollicitation
- 65 -
- 66 -
PFDavg Ft / Fnp
Les tapes ncessaires pour lobtention du niveau dintgrit de scurit sont les suivantes
[KOS 06] :
- 67 -
Paramtre
Description
Consquence
Occupation
Probabilit dviter le P
phnomne dangereux
Taux de demande
- 68 -
X1
CA
Point de dpart de
lestimation de
rduction de risque
X2
PA
CB
CC
FA
PB
FB
PA
PB
FA
FB
CD
X3
X4
PA
PB
FA
FB
X5
PA
W
3
a
1
--a
---
-a
X6
PB
C = Paramtre de consquence
Paramtre
Classification
CA
Blessure mineure
CB
CC
Plusieurs victimes
CD
FA
Rare
FB
Frquent
Possible
Probabilit
dapparition
accident (Taux de demande)
dun W1
invraisemblable
W2
Faible probabilit
W3
Forte probabilit
- 69 -
Dans cet exemple tir de [GOB 98], les consquences portent uniquement sur latteinte la
vie de personnes. La prise en compte des dgts matriels et de dommages causs
lenvironnement ncessite lutilisation de graphes additionnels.
6.3.2.2. Matrice de gravit des vnements dangereux
La matrice de gravit de risques intgre plusieurs fonctions instrumentes de scurit sous
rserve de leur indpendance contrairement la mthode de graphe de risque qui ne prend
quune fonction instrumente de scurit. Les trois composantes de la matrice sont la gravit
des consquences, la probabilit de loccurrence des accidents et le nombre de dispositifs de
scurit dj mis en place pour empcher le dveloppement du danger en accident.
Nombre de dispositifs de
scurit indpendants
rduisant le risque (y
compris la fonction en cours
de classification base sur la
technologie E/E/EP
3
2
SIL1
SIL1
SIL1
SIL1
SIL2
SIL1
SIL2
SIL3
SIL1
SIL1
SIL2
SIL1
SIL2
SIL3
SIL3
SIL3
SIL3
+
Faible Moy.
Mineure
Eleve
Faible Moy.
Critique
Eleve
Faible Moy.
Eleve
Catastrophique
Probabilit doccurrence
de laccident
Gravit des consquences
du danger
- 70 -
norme. Il est noter que les lecteurs de cette norme ressentent rapidement la ncessit dtre
guids, tant les notions qui y sont exposes peuvent paratre complexes, inhabituelles ou
difficiles mettre en uvre.
Cette complexit la rend parfois difficilement applicable. Il faut rappeler que la norme est
compose de sept volumes contenant 500 pages environ et elle prconise plus de 1000
prescriptions.
Beaucoup de prescriptions ne sont pas assignes une certaine gamme des niveaux dintgrit
de scurit ou la complexit de la conception [FAL 04]. Ceci rend la norme difficile
utiliser pour de plus petits projets et rend la gestion de la scurit fonctionnelle trop chre
pour des petites et moyennes entreprises.
L'ambigut possible dans l'interprtation encourage les utilisateurs employer la norme
comme bote outils et mettre en application plutt les aspects qu'ils apprhendent [FAL
04]. Les utilisateurs en Amrique du Nord semblent tre principalement proccups par la
scurit de matriel (taux de dfaillances dangereuses, taux de dfaillances en scurit) [GOB
05] tandis quen Europe (Allemagne) [FAL 04], beaucoup d'utilisateurs semblent tre
proccups davantage par la scurit de logiciel. La norme laisse galement une bonne part
l'interprtation. Les interprtations diffrent entre les experts sur les contraintes
architecturales de matriel et la prise en compte du diagnostic. Les normes europennes du
secteur industriel telles que la norme EN 954-1 n'acceptent pas des systmes o le mode de
dfaillance dun composant simple pourrait mener un tat peu sr contrairement la CEI
61508.
La norme CEI 61508 dfinit lintgrit de scurit comme proprit de l'installation complte
de scurit du capteur lactionneur. En outre, les parties 2 et 3 de la norme entrent dans le
dtail dans la conception et la "vrification et validation" (V&V) des systmes lectroniques
programmables. Ceci mne souvent la confusion auprs des fournisseurs qui n'hsitent pas
attribuer un niveau de SIL leurs instruments. Pourtant, cela na aucun sens, le niveau de SIL
tant strictement associ une fonction de scurit donne. Pour raliser cette fonction,
lutilisateur met en uvre plusieurs sous-systmes : capteur, traitement, actionneur. Dans
chacun des sous-systmes, des composants peuvent tre mis en redondance. La PFDavg de
lensemble doit tre calcule partir des caractristiques des composants et des architectures
mises en uvre.
Le SIL ne saurait tre en aucun cas une caractristique intrinsque dun instrument. Ce que
nous pouvons considrer est uniquement une compatibilit avec un niveau de SIL. Cela
correspond une PFDavg comprise dans la plage correspondant au SIL requis, cette PFDavg
tant affecte dune priode de test dfinie.
La norme demande des informations sur la conception des lments entrant dans la chane de
scurit. Dans certains cas, il est possible de disposer de ces informations et de connatre le
niveau de fiabilit du dispositif entrant dans la chane de scurit. Le manque dinformations
sur la conception pour les lments constituant la boucle fait en sorte quil faut alors
sappuyer sur les retours dexprience du fournisseur, qui peut fournir des informations
prcises sur la fiabilit de ses produits. Et partir de l, il est possible de concevoir la chane
de scurit.
La probabilit de dfaillance sur demande devrait tre aussi renomme, car sa dnomination
prte confusion. Il ne sagit nullement dune dfaillance la sollicitation classique, mais
dune indisponibilit moyenne sur un intervalle temporel spcifi [INA 05].
- 71 -
Les formules littrales proposes dans le volume 6 de la norme, qui permettent le calcul de la
probabilit de dfaillance la demande pour diffrentes architectures de systmes, ont fait
lobjet de quelques critiques [GUO 07] [ZHA 03] [HOK 04]. Ces relations sont donnes sans
explications ou justifications et elles ont induit plus dinterrogations, voire de critiques, que
de solutions satisfaisantes [INA 05].
Par exemple, le cas de larchitecture 1oo1 (1 out of 1) dcrite dans la partie CEI 61508-6 de la
norme qui dispose dun seul canal et ne prsente donc pas de redondance. A cette architecture,
la norme affecte une dure moyenne dindisponibilit tCE telle que :
t CE =
DU T1
+ MTTR + DD MTTR
D 2
D
- 72 -
norme prcise que ce terme recouvre les appareils microlectroniques bass sur une ou
plusieurs units centrales de traitement associes des mmoires. Et parmi les exemples des
dispositifs lectroniques programmables, la norme cite les microprocesseurs, les
microcontrleurs, les automates programmables, les circuits intgrs spcifiques une
application (ASIC), les automates logiques programmables et finalement les capteurs
intelligents comme faisant partie des autres appareils bass sur la technologie informatique.
De plus, la norme dans cette mme partie 4 prsente un systme lectronique programmable
(PES, Programmable Electronic System) comme tant un systme de commande, de
protection ou de surveillance bas sur un ou plusieurs dispositifs lectroniques
programmables recouvrant ainsi tous les lments du systme tels que lalimentation, les
capteurs jusquaux actionneurs en passant par les voies de communication.
Lillustration est faite sur la figure 2.12 suivante :
PE1
PE2
Figure 2.12 : Structure dun PES avec deux dispositifs lectroniques programmables [CEI 00]
Cette figure montre la faon dont est reprsent le PES dans la norme CEI 61508, il y a une
distinction de llectronique programmable des dispositifs PE1 et PE2 qui se retrouvent en
srie et qui peuvent reprsenter par exemple un capteur intelligent et un automate
programmable. Llectronique programmable peut par consquent naturellement tre prsente
en divers endroits du PES.
Une manire dont la norme traite la rpartition de cette lectronique programmable est de
considrer une certaine redondance parallle si on considre que la figure prcdente trait
une redondance srie. Dans ce cas de figure aussi, le PES est compos de canaux distincts
incorporant sparment de llectronique programmable.
Nous constatons bien quimplicitement il sagit ici dun partage de tches et dune
distribution de llectronique programmable travers les diffrents dispositifs qui constituent
le PES.
Lautre aspect absent ou presque de la norme est celui relatif aux rseaux de communication
et particulirement les rseaux de terrain. La norme reste muette sur cet aspect ainsi que sur
linterface matriel / logiciel. Sur laspect logiciel, la norme se contente de dresser
uniquement des recommandations.
Parmi ce type de recommandations, la norme spcifie le langage de programme fig (FPL,
Fixed program language) dans lequel lutilisateur est limit lajustement de quelques
paramtres (par exemple la gamme dun transmetteur de pression, les seuils dalarme, les
adresses de rseau). La norme spcifie aussi le langage de variabilit limite (LVL, Limited
Variability Language) qui est conu pour tre comprhensible par les utilisateurs du domaine
du processus et fournit la possibilit de combiner des fonctions de bibliothque spcifiques
une application.
Les exemples reprsentatifs de dispositifs avec FPL sont les capteurs intelligents et les vannes
intelligentes et un exemple des systmes utilisant les LVL est celui dun automate
programmable standard.
- 73 -
- 74 -
Pour les deux modes de dfaillances, les dfaillances dangereuses sont beaucoup plus graves
puisque les systmes de protection ne peuvent assurer la mise en scurit du processus et les
dfaillances ne peuvent tre rvles.
Les systmes nouvellement conus disposent dautodiagnostic et dautotests internes qui
permettent de dceler un certain nombre de dfaillances par la dsactivation des sorties
lorsque des dfauts internes sont dtects. Cette fonctionnalit peut tre exploite par les
systmes instruments de scurit pour permettre de convertir les dfaillances sres en
dfaillances dangereuses. Leffet global des autodiagnostics sur le systme avec ses modes de
dfaillances peut tre dcrit par la figure 2.14 suivante :
SFF =
SD + SU + DD
SD + SU + DD + DU
Cette mtrique est un ratio de taux de dfaillances et ne dpend pas du taux total de
dfaillances. Le rsultat est un nombre entre zro et un. Il est souhaitable davoir un SFF
suffisamment important. Le SFF mesure la tendance de linstrument avoir des dfaillances
sres ou dtecter des dfaillances dangereuses.
Nous allons dterminer tout dabord les taux de dfaillances dangereuses et sres pour chaque
composant.
S
= S % , do S = S % et D = (1 S %)
- 75 -
(t ) = . Le taux de dfaillance constant est pris comme hypothse pour la plupart des
estimations statistiques, cela sapplique seulement si la dure de vie utile des composants
nest pas dpasse [CEI 00]. Dans notre cas, et comme cest prconis par la norme, nous
considrons des taux de dfaillance des composants constants sur toute la dure de vie du
systme.
et R ( t ) = e
1
PF (t )dt
T 0
La probabilit de dfaillance sur demande qui concerne le systme entier est donne par :
Ti
1
PFD(t )dt , avec la dure Ti qui reprsente lintervalle entre deux tests
Ti 0
priodiques.
PFDavg =
Ti
2
9. Conclusion
Les systmes instruments de scurit sont utiliss pour dtecter des situations dangereuses et
diminuer leurs consquences pour atteindre des niveaux de risques tolrables. La norme
gnrique CEI 61508 et sa norme fille CEI 61511 pour le secteur des procds continus
deviennent les normes de rfrence pour la spcification et la conception de ce type de
systmes (SIS).
La norme CEI 61508 utilise une approche base sur le risque pour dterminer les exigences
d'intgrit de la scurit des systmes E/E/PE concerns par la scurit. Dautre part, elle
utilise un modle global de cycle de vie de la scurit comme cadre technique pour les
activits ncessaires pour garantir que la scurit fonctionnelle soit atteinte par les systmes
E/E/PE concerns par la scurit.
Lapprciation du risque est une fonction de la gravit et de la frquence. Il est souvent
difficile dapprcier lun ou les deux et encore plus la combinaison des deux. Dans une
dmarche danalyse du risque, il faut prendre acte de cette difficult. Lessentiel est de
- 76 -
pouvoir au moins classer les risques entre eux, selon une chelle que lon sest donne. Le
point important est alors la calibration initiale de cette chelle. Cest lobjet des mthodes de
classement des risques. Lintrt est de pouvoir comparer les risques et de leur affecter la
bonne chelle.
Les niveaux dintgrit de scurit issus de la norme sont des objectifs de scurit utiles
lvaluation des risques. Ils donnent une mesure de la rduction du risque obtenue par les
moyens de protection fournis par le SIS.
Nanmoins, cette norme prsente des limites dutilisation et elle est sujette de nombreuses
critiques relatives la forme et au fond telles que la difficult de lapplication des formules, la
confusion pour la dtermination du niveau dintgrit de scurit pour certaines dfinitions de
base et mthodes proposes [HOK 04]
Les contraintes prouves par les utilisateurs pour lapplication de la norme pour les
architectures les plus simples les poussent entreprendre des modlisations pour les systmes
les plus complexes.
Dun point de vue oprationnel, il est naturellement prfrable de recourir des mthodes
prouves, telles que larbre des dfaillances, les graphes de Markov ou les rseaux de Petri,
plutt que dutiliser systmatiquement les formules analytiques exposes dans la CEI 61508
[INN 07].
Finalement, la norme reste muette sur laspect de la distribution de la gestion des fonctions de
scurit et sa rpartition sur lensemble de la structure du systme instrument de scurit. Le
vide laiss par la norme a t exploit par quelques fournisseurs qui ont profit de loccasion
pour annoncer lutilisation de rseaux de terrain dans la fabrication des systmes instruments
de scurit.
- 77 -
Chapitre 3 :
Vers une scurit
intelligente
- 78 -
- 79 -
2. Contexte et problmatique
Lutilisation des instruments intelligents dans lindustrie des procds a t facilite par
laugmentation des performances dans les microprocesseurs utiliss en milieu industriel,
notamment en instrumentation. La justification de lusage de ces instruments dans les
applications de scurit nest pas compltement avre. Ces instruments disposent datouts
importants utiles ce type dapplications [NOB 04].
Les instruments intelligents sont placs dans des applications scuritaires plus "intelligentes",
afin de communiquer avec les quipements de production et, pourquoi pas, avec lhomme, de
manire optimiser leur comportement et/ou lintgration aux quipements intelligents dune
fonction scuritaire apte apprhender son environnement et ragir localement en fonction
du rle de lquipement auquel elle est associe.
Il existe actuellement une tendance lutilisation des instruments intelligents dans les
applications scuritaires du fait de laptitude des systmes diagnostiquer les dfaillances
ainsi que de permettre la mesure de certains paramtres complexes avec une confiance
amliore.
La justification de cette tendance vers lutilisation des instruments intelligents nest pas tout
fait prouve en dpit des revendications de quelques industriels qui se targuent doffrir des
systmes ddis la scurit en conformit avec les normes en vigueur et incorporant des
quipements de terrain intelligents ou encore des moyens de communication internes aux
fonctions de scurit.
En effet, certains constructeurs comme Fisher, Norgren-Herrion, Metso Automation
spcialiss dans les automatismes de processus proposent des produits tels que les
transmetteurs, les vannes et octroient des niveaux dintelligence ces produits dans le cas o
le dispositif contient un microcontrleur ou sil est dot dun test en ligne. Les moyens de
communication utiliss sont des boucles classiques 4-20 mA ou encore le protocole HART
qui nest pas un rseau de terrain [CIA 99].
- 80 -
moyens d'autotest et dune possibilit de redondance fonctionnelle qui peuvent assurer une
diminution acceptable de probabilit de dfaillance [DOB 98] [MAC 04].
Un autre aspect de diffrence qui existe entre les instruments classiques et les instruments
intelligents est le facteur temps. En effet, dans les capteurs conventionnels le temps et la
synchronisation ne sont pas pris en compte. Le capteur mesure continuellement les paramtres
physiques et prsente un signal par lintermdiaire de la boucle de courant 4-20 mA. Par
consquent, le dlai entre la mesure et son envoi est normalement ngligeable [MEU 04].
Pour les capteurs intelligents ce n'est pas aussi simple. Le temps sajoute aux grandeurs
physiques. En effet, si une date est fausse, la mesure peut tre considre comme aberrante
par le systme dinformation [ROB 93], en particulier, la mesure fournie est susceptible dtre
postdate ou antidate.
Notons que conformment au chapitre 1, il y a une diffrence entre un capteur analogique
(classique, niveau 0) et un capteur numrique (niveau 1). La numrisation du signal a permis
lassociation dun processeur a proximit du capteur. Lutilisation de la microinformatique va
permettre d'exploiter les caractristiques temporelles des signaux issus des capteurs
(transforme de Fourier rapide). Le capteur numrique dispose d'une certaine capacit de
calcul assure par un circuit programmable du type microcontrleur ou microprocesseur lui
permettant de prendre en compte certaines drives et grandeurs d'influence. Llment de
calcul est constitu, au minimum, dun microcontrleur, dune EEPROM dun convertisseur
analogique numrique et un dispositif de multiplexage pour acqurir squentiellement les
donnes. En plus il existe un traitement des signaux discrets ralis par des algorithmes
spcifiques. Il existe cependant un certain retard puisque le microprocesseur qui gre le
systme fonctionne squentiellement.
Les instruments classiques diffrent aussi par rapport aux instruments intelligents dans
laspect de lintgrit des informations. [MEU 04] prcise que l'intgrit des donnes n'est pas
un grand problme dans les capteurs conventionnels. Des paramtres sont placs l'aide du
matriel (commutateurs rsistances par exemple) et sont donc fortement peu sensibles aux
influences externes. Pour les capteurs intelligents ces aspects sont plus complexes. Des
paramtres sont placs en utilisant des boutons et des affichages et ils sont stocks dans une
mmoire (RAM et/ou EEPROM). Le stockage dans la mmoire est ncessaire si le capteur
doit maintenir les paramtres aprs une panne de courant. Les donnes dans la mmoire
peuvent tre corrompues du fait de la sensibilit au rayonnement et la chaleur, et il est
ncessaire de faire une dtection et une correction d'erreur.
Les instruments intelligents disposent aussi de circuits fortement intgrs et par consquent
les fabricants sont maintenant capables doffrir des capteurs avec des sorties numriques
compatibles au plan logiciel qui n'ont besoin d'aucun circuit de pr-conditionnement. Ces
instruments offrent des fonctionnalits nouvelles telles que lexactitude, la flexibilit,
lautodiagnostic, la communication, la gestion des activit de linstrument [DES 06]. Ces
fonctions sont conues pour amliorer la qualit mtrologique de la mesure, de la fiabilit du
systme par lamlioration de la fiabilit des informations [TAN 96].
[YUR 06] [MAS 98] citent les avantages de lintgration comprenant outre la diminution du
nombre de composants et la chute des cots une fiabilit inhrente leve. [DES 06] rajoute
que le concept dinstrument intelligent a t dfini dans les annes 80 pour aborder le manque
de fiabilit et que les instruments intelligents contribuent lamlioration de la fiabilit et de
la ractivit. Cette ractivit est rendue possible par les moyens de traitement disponibles
localement au niveau terrain. En effet, lintgration des fonctionnalits de surveillance et de
diagnostic vont permettre de matriser la sret de fonctionnement du systme par le biais de
- 81 -
dtection de dfauts par des mthodes de surveillance locale. Aussi, les systmes
architecture rpartie vont prsenter de l'intrt par lemploi dun nombre de points de mesure
lev permettant au systme une coopration accrue grce notamment la communication.
Un point de vue tout fait oppos est exprim par le tableau suivant des donnes qui est
extrait de [DOB 98]. Il met en vidence lutilisation de diffrentes technologies pour des
capteurs de pression. Premirement l'approche conventionnelle pour un capteur 4-20 mA
l'aide des circuits analogiques a t considre. Ensuite le mme capteur a t considr o la
majeure partie du circuit analogique est remplace par un simple ASIC analogique. Enfin le
capteur "smart " communicant reli par un bus de communication a t considr. Ce dernier
fonctionne en interne numriquement et permet lamlioration de la fonction de traitement de
linformation. Lindicateur de fiabilit considr ne contient aucune indication relative aux
dfaillances de logiciel. Pour un systme contenant 32 capteurs le taux de dfaillances prvu
est montr, tenant compte des composants lectroniques seulement. Le manque de fiabilit
additionnel rsultera du logiciel et de tout autre matriel.
Composant
Taux de dfaillance du
systme comportant 32
capteurs avec un organe
dacquisition de donnes et
le cblage
2.777
97.9
2.318
82.9
5.543
180
communicant
- 82 -
pour des applications relatives la scurit en tenant compte de la classification des niveaux
dintelligence dans les instruments.
- 83 -
(a)
Mesure 1
(b)
Traitements
1&2
Mesure 2
Traitement 1
Traitement 2
Actionnement
Mesure 1
Mesure 2
Actionnement
Figure 3.1 : Comparaison entre une architecture centralise (a) et une architecture
distribue (b)
La prsence d'un rseau apporte une fonctionnalit additionnelle, savoir la communication.
La dcomposition fonctionnelle de ces deux architectures est propose par [CAU 04] dans
laquelle la fonction de communication constitue un composant du systme.
La figure 3.2 montre cette dcomposition fonctionnelle pour les deux architectures.
1
- 84 -
Mesure
Traitement
Actionnement
(a)
Communication
Mesure
Traitement
Communication
Actionnement
(b)
Figure 3.2 : Fonction communication dans larchitecture distribue [CAU 04]
Ce modle qui considre que la fonction communication fait partie intgrante du systme et
peut se prsenter sous forme dun composant part entire tantt entre la mesure et le
traitement et tantt entre le traitement et lactionnement ne peut suffire pour reprsenter le
modle fiabiliste du systme.
La norme, par lutilisation des blocs diagrammes de fiabilit dans sa partie 6, donne la
probabilit moyenne de dfaillance sur demande dune fonction de scurit du systme
E/E/PE comme la combinaison de la probabilit moyenne de dfaillance sur demande pour
tous les sous-systmes assurant ensemble la fonction de scurit.
Plus formellement :
PFDSYS = PFDS + PFDL + PFDFE
O
PFDSYS est la probabilit moyenne de dfaillance sur demande dune fonction de
scurit du systme E/E/EP relatif la scurit,
PFDS est la probabilit moyenne de dfaillance sur demande du sous-systme capteur
(fonction mesure),
PFDL est la probabilit moyenne de dfaillance sur demande du sous-systme logique
(fonction traitement),
PFDFE est la probabilit moyenne de dfaillance sur demande du sous-systme
lment final (fonction actionnement).
Cette modlisation en diagrammes de fiabilit ne peut cependant sappliquer pour la
reprsentation de la fonction communication de larchitecture distribue et on ne peut sommer
facilement et simplement les probabilits moyennes de dfaillances conscutives pour aboutir
la valeur moyenne de la probabilit de dfaillance PFDSYS globale.
En effet, la reprsentation (b) de la figure 3.2 est insuffisante pour dcrire les phnomnes qui
se passent rellement. Ce nest pas vraiment un diagramme de fiabilit parce que quelque soit
le temps le modle ne bouge pas. En fait, il nest pas du tout tenu compte des dfaillances
rseaux qui sont des dfaillances temporelles. Aussi, il y a existence dun mode commun
auquel le modle ne fait pas allusion et qui est d la distribution et donc de la prsence de la
communication dune part entre les capteurs et le traitement et dautre part entre le traitement
et lactionneur.
Nanmoins, cette fonction communication peut tre modlise par un seul bloc dans le
modle fiabiliste du systme afin davoir un modle de rfrence dun point de vue statique.
- 85 -
- 86 -
De nombreux rseaux de terrain ont t mis sur le march (Profibus, WorldFip, CAN,
Interbus-S, ) [CIA 99], ils offrent aux quipements des systmes automatiss la possibilit
de communiquer entre eux.
Derrire les bus de terrain se profile une volution vers Ethernet dans lunivers des
automatismes.
Le rseau Ethernet est spcifi par la norme IEEE 802.3 [IEE 98], cest un rseau dont le
contrle daccs au medium physique (MAC : Medium Access Control) utilise lalgorithme du
CSMA/CD (Carrier Sense Mutiple Access / Collision Detection). CSMA/CD est le moyen par
lequel deux (ou plus) stations partagent le mme support physique.
Avec larrive des commutateurs (switchs) en remplacement des concentrateurs (hubs),
Ethernet a volu vers Ethernet commut et il a commenc sintresser aux applications
temps rel.
La configuration adopte dans un rseau Ethernet commut est celle dune topologie en toile,
avec un commutateur central dont les ports sont relis un et un seul quipement.
Linterconnexion avec les autres lments est ensuite ralise en reliant les commutateurs
entre eux. Le mode Full Duplex prvu dans la norme IEEE 802.3 permet une communication
simultane entre deux stations assurant une diminution de risque de collisions lorsque le
rseau est fortement sollicit.
On appelle couramment ce type de rseau un rseau Ethernet commut Full Duplex. Ces
rseaux possdent lavantage de ne plus possder dindterminisme quant au temps daccs au
support physique, et de ne pas entraner de pertes de trames par collision.
Le rseau Ethernet commut peut tre ouvert ou ferm. Dans le premier cas, il peut tre
victime d"attaques" extrieures (virus, piratage) mais surtout peut se poser galement le
problme de la qualit de service, ou de la disponibilit du rseau (commutateur satur par
exemple).
3.1.2. Rseaux de terrain relatifs la scurit
Pendant longtemps, les architectures dautomatismes distribus, tant dans le manufacturier
que dans le secteur des procds se sont heurts un obstacle majeur : leur fonction de
scurit restait cble en fil fil.
Les rseaux de terrain relatifs la scurit offrent lindpendance de la communication lie
la scurit et de la communication standard (cas de Profisafe) mais aussi leur cohabitation
(cas de ASI-Safety at work).
Plusieurs types de rseaux relatifs la scurit sont implments dans des applications
industrielles spcialises, parmi lesquels on trouve ASI-Safety at work, Profisafe, SafetyBus
[WOO 03].
Nous allons nous intresser dcrire un rseau de terrain relatif la scurit qui est le rseau
Safetybus p bas sur le standard CanOpen.
A lorigine le CAN (Controller Area Network) a t dvelopp pour lusage automobile par
Bosch. La fiabilit et le cot taient les principaux objectifs [CIA 99].
Le rseau CAN possde des fonctionnalits Multi Matres (multi master) pour accrotre la
possibilit dassurer des temps rapides de recouvrement derreurs aprs leur dtection [PAR
99]. Sur le rseau CAN, chaque message possde un identificateur qui dtermine sa priorit.
- 87 -
Un principe darbitrage est effectu autorisant ainsi les messages plus haute priorit tre
transmis.
La topologie utilise par CAN est le bus. Lorsque celui-ci est libre, nimporte quelle station
peut commencer transmettre une information. Lorsque deux nuds tentent daccder
simultanment au mdium, larbitrage est gagn par celui qui dispose de la haute priorit.
CANopen est un protocole qui utilise le bus CAN. Lun des objectifs de CANopen est de
supporter des systmes temps rel [PAR 99]. En effet des tches particulires sont attribues
aux diffrents intervenants impliqus (matres ou esclaves). Safetybus est bas sur CANopen.
Il est destin la mise en rseau dapplications de scurit dportes. Il ncessite lutilisation
dun ou plusieurs automates de scurit. Des modifications ont t apportes au niveau de la
couche dchange de donnes CSMD afin de rendre le protocole plus sr. Il comporte les
couches 1 et 2 suivant le modle ISO / OSI. La couche 1 est partiellement redfinie tandis que
la couche 7 subit une rvision totale. Cette nouvelle couche 7, intgrant les mesures de
scurit et le systme de gestion du rseau a t ajoute dans le SafetyBUS p. Le rseau
Safetybus dispose de nouvelles fonctionnalits de contrle de signaux intgres, des
fonctions timer pour la transmission des messages et des fonctionnalits de diagnostic
intgres, dune dcentralisation des modules entres/sorties, la connexion des capteurs et
actionneurs est assure directement par le Safetybus [SAF 05].
Grce la sparation stricte, tablie par le Safetybus p, entre la communication Fail-safe et les
tches de commande standard ainsi que la communication standard, d'importantes exigences
vont tre transfres l'utilisateur. Le but est de pouvoir modifier rgulirement les
programmes et les fonctions dans la partie Standard d'un automate. Dans la technique de
commande de scurit, au contraire, il faut essayer de garder le plus longtemps possible l'tat
enregistr [SAF 05]. Grce la sparation entre l'automate de fonctionnement et la partie
scurit, on obtient une libert rtroactive. Toute modification apporte dans la partie Failsafe doit tre documente et peut entraner une nouvelle homologation de la technique de
commande de scurit.
Profisafe [PRO 02] est la dclinaison scurit de Profibus. Lun des critres fondamentaux en
matire de dveloppement de Profisafe tait de continuer utiliser tels quels les composants
standard de communication Profibus, dont les cbles, les circuits intgrs, le protocole DP
(Decentralized Periphery) etc., de sorte que les applications de scurit puissent coexister
sans conflits avec les applications standards.
Profisafe dfinit le raccordement dquipements scurit intrinsque (arrts durgence,
barrires immatrielles). Le domaine particulier de la scurit peut ainsi bnficier des
multiples atouts dune communication ouverte sur Profibus.
Un autre rseau qui possde une extension scuritaire est le rseau AS-I. AS-I est un bus qui
travaille uniquement au niveau capteur/actionneur [CIA 99]. Le systme d'interface
Actionneur Capteur AS-i standard se compose d'un matre, d'un lment de rseau (bus) et
d'esclaves. Le matre est l'lment de liaison entre l'hte (automate programmable) et les
priphriques. Il prend en charge suivant un protocole strict le transfert des donnes et la
gestion du systme (rception des nouveaux esclaves, consultation de la configuration). La
transmission des donnes s'effectue de manire strictement cyclique (polling) selon le
principe matre-esclave.
Le concept "Safety at Work" permet de raccorder directement au bus AS-I standard des
lments de scurit. Ainsi, il est possible d'envoyer par le mme cble AS-I des donnes
d'Entres / Sorties ayant un rapport ou non avec la scurit. A cet effet, il existe un moniteur
spcifique qui gre les esclaves ddis la scurit. Les caractristiques de scurit exiges
- 88 -
sont respectes par l'envoi de donnes supplmentaires entre les esclaves et les moniteurs de
scurit.
3.1.3. Evaluation de la sret de fonctionnement dun rseau de terrain
La prsence dun rseau de communication dans un systme dautomatisation distribu fait en
sorte quil y a interaction permanente entre le rseau et le reste des composants du systme.
Les aspects doivent alors tre pris en compte avec un soin attentif [JUA 02].
Si les rseaux de terrains semblent tre une meilleure solution pour lamlioration de la sret
de fonctionnement, ils peuvent tre aussi un obstacle en regard de nouvelles dfaillances
introduites [CAU 03]. Le choix du rseau de terrain dans une application avec une
architecture spcifique doit tre bas sur les moyens de sret de fonctionnement afin de
prdire, liminer ou tolrer les fautes identifies durant la phase de conception.
Le canal de communication est souvent modlis comme une ligne de transmission, c'est-dire un lment physique induisant un retard constant, dpendant des proprits structurelles
de la ligne. Cette description devient plus complexe lorsque le systme est command
travers un rseau de terrain utilis par de multiples utilisateurs. Dans ce cas, le retard induit ne
dpend plus seulement d'lments physiques mais aussi et surtout des algorithmes mis en
place pour la gestion du trafic sur le rseau et le codage de l'information.
Les difficults de lvaluation manent des contraintes dues au rseau telles que les
caractristiques temporelles.
Les aspects relatifs aux caractristiques temporelles se manifestent par la perte de trames ou
encore une partie de cette trame, par la corruption de ces trames, ou par lordre de leur arrive
qui peut tre diffrent de celui de leur mission.
Le diagnostic est un moyen de dtection en ligne des dviations, des dgradations et des
divergences et il est souvent ralis par du matriel et du logiciel ddis et implments dans
les dispositifs (par exemple, les chiens de garde).
La norme dfinit le test priodique comme un essai effectu pour rvler des dfauts non
dtects dans un systme instrument de scurit, de telle sorte que, au besoin, le systme
puisse tre restaur dans sa fonctionnalit de conception.
Les dfaillances dtectes par les tests de diagnostic sont appeles dfaillances dangereuses
dtectes [CEI 00]. Dautres mtriques sont aussi spcifies par la norme. La figure suivante
illustre la rpartition des dfaillances selon la norme.
SU
DU
SD
DU
DD
SD
SU
DD
Figure 3. 3 : Proportion de dfaillances selon un exemple illustr dans la norme [CEI 00]
DD : Taux de dfaillances dangereuses dtectes,
DU : Taux de dfaillances dangereuses non dtectes,
SD : Taux de dfaillances en scurits dtectes,
SU : Taux de dfaillances en scurit non dtectes.
La norme dfinit en outre, la proportion de dfaillances en scurit SFF (Safe Failure
Fraction):
SFF =
SD + SU + DD
SD + SU + DD + DU
Cette mtrique est un ratio de taux de dfaillances et ne dpend pas du taux total de
dfaillances. Le rsultat est un nombre entre zro et un. Il est souhaitable davoir un SFF
suffisamment important. Le SFF mesure la tendance de linstrument avoir des dfaillances
sres ou dtecter des dfaillances dangereuses.
Le test de diagnostic souvent utilis ne rvle pas toutes les dfaillances et ne teste pas la
fonction de scurit complte.
Daprs [ISA 96], les tests de diagnostic sont effectus priodiquement et automatiquement
pour dtecter les dfauts latents cachs qui empchent les SIS de rpondre une demande.
Il existe deux types de tests de diagnostics [LAM 02] :
- 90 -
DC =
DD
dangereuses
- 91 -
0,9
t
Ti
0,1/
2 Ti
3 Ti
4 Ti
5 Ti
6 Ti
le concept de validation de [CLA 95] dcrit dans le chapitre et qui vise distribuer des tches
locales de dtection et de diagnostic des instruments (capteurs et actionneurs).
[WAN 00] introduit aussi le principe du diagnostic distribu en dcrivant la diffrence qui
peut exister entre un systme et un systme distribu. En effet, dans un systme, un
processeur central est ncessaire afin de recueillir tous les rsultats des tests et de diagnostics
sur le systme. Toutefois, dans les systmes distribus utilisant des rseaux de
communication, il n'existe pas de processeur central et tous les processeurs sont utiliss
sparment. Cette procdure permet le test et le diagnostic en ligne. Les tests peuvent tre
appliqus de manire asynchrone, c'est--dire un processeur peut toujours appliquer ses tests.
Capteurs
Units de traitement
Actionneurs
35 %
15 %
50 %
Tableau 3.2 : Proportion de dfaillances relatives aux constituants dun SIS [AUB 04]
Une solution propose tant par les fabricants que les chercheurs consiste raliser des tests
priodiques sur une partie de course de lobturateur de la vanne ce qui est communment
appel PVST (Partial Valve Stroke Testing : Test Partiel de la Course de Vanne).
Le problme rencontr souvent dans les vannes est le blocage en fermeture ou en ouverture du
fait quil sagit de dispositifs statiques qualifis de dormants. Ces lments ne sont appels
ragir quau moment o il y a une demande suite un danger qui se prsente.
Malheureusement, du fait de la dure importante de la non raction (leur mise en repos) de ces
vannes, un certain nombre dentre elles ne rpond pas au moment opportun et elles restent
coinces dans leur position de repos.
Cest pourquoi le PVST consiste tester rgulirement les vannes sur un pourcentage de leur
course (10 20%) afin de sassurer que celles-ci ne resteront pas bloques lorsquon en aura
besoin. La vanne se trouve actionne sur une partie de sa course pour tester sa fonctionnalit
- 93 -
- 94 -
Lensemble des fonctionnalits dun capteur intelligent ne peut tre utilise dans des
applications scuritaires. En effet, les capteurs intelligents doivent tre protgs en criture
afin dinterdire toute modification accidentelle distance.
La crdibilit des informations fournies par le capteur doit tre nanmoins amliore. En effet,
une seule information errone peut conduire la prise dune mauvaise dcision et mener la
dfaillance dun systme avec des consquences ventuellement dsastreuses.
Le capteur intelligent se doit de dlivrer une information valide afin de concourir
lamlioration de la scurit globale de lapplication.
[PER 04] diffrencie la prcision dun capteur intelligent avec celle dun capteur intelligent
dans une application scuritaire. En effet, certains capteurs intelligents relatifs la scurit
certifis selon la norme CEI 61508 possdent des mcanismes de rtroaction permettant de
comparer la sortie analogique avec la sortie digitale. Dautres ont plac un seuil pour le
contrle de drive pour permettre damliorer la prcision de la dtection des dfaillances
dangereuses.
Le temps de rponse de scurit est aussi diffrent daprs [PER 04] par rapport au temps de
rponse du capteur. Le temps de rponse du capteur est la dure qui spare le changement
lentre du capteur la rponse en sa sortie. Le temps de rponse de scurit est le temps de
rponse du capteur auquel il faut ajouter le temps ncessaire pour effectuer les tests.
Typiquement le temps de rponse de scurit est de 1 5 secondes.
Une rtrospective parat ncessaire pour sentir la diffrence qui peut exister pour lemploi des
capteurs dans les applications de scurit. En effet, les SIS utilisent des capteurs
conventionnels type capteurs TOR (tout ou rien) ou transmetteurs analogiques.
Les capteurs TOR se contentent de donner ltat de prsence ou dabsence de linformation.
Ce sont des capteurs qui envoient un signal binaire au moment o la grandeur physique
mesurer atteint un seuil prdfini par lutilisateur.
Pour les transmetteurs analogiques, la dtection de la mesure provoque une variation du signal
de sortie qui est transmis via une la boucle 4-20 mA. Certains transmetteurs analogiques sont
dots de communication selon le protocole HART qui est superpos la sortie analogique 420 mA.
Le systme de communication bas sur HART (Highway Adressable Remote Tranducer)
[CIA 99] nest pas un rseau de terrain et le protocole nest pas entirement numrique, il
permet la communication simultane de donnes analogiques et numriques. Son intrt est
dapporter les facilits de la communication numrique sans modifications des installations
existantes, dans la mesure o il y a compatibilit avec les instruments en 4-20 mA.
Plusieurs transmetteurs analogiques qui utilisent la boucle 4-20 mA pour la dtection des
variables des processus, emploient le niveau de courant de la boucle 4-20 mA pour signaler
des fautes internes dtectes par des diagnostics automatiques dans le transmetteur [GOB 05].
- 95 -
3.8 mA
20.5 mA
0 mA
Indication
dfaillance
3.6 mA
Indication
dfaillance
21.5 mA
Figure 3.5 : Niveaux de courants utiliss pour lindication des dfaillances internes dans les
transmetteurs [GOB 05]
Lutilisation des capteurs TOR dans les applications de scurit pose un problme dans la
mesure o ce sont des dispositifs qui vont ragir des dpassements de seuils, et tant que ces
seuils ne sont pas franchis, les fins de course de ces capteurs TOR ne vont pas tre sollicites.
Ceci peut bien entendu mener des situations dangereuses sil y a franchissement et que le
capteur TOR est en panne et ne pourra pas indiquer sa nouvelle position.
Au contraire, les transmetteurs analogiques sont mieux adapts ces situations par rapport
aux capteurs TOR dans les applications de scurit du fait quils envoient en permanence
leurs mesures lunit de traitement de telle faon que sil y a interruption denvoi de
mesures, on sait quil y a forcment un problme au niveau de ces transmetteurs et la raction
peut tre immdiate. La nature dynamique de ces transmetteurs permet facilement de dire si
lquipement fonctionne correctement.
Le problme qui peut persister avec ces transmetteurs analogiques est celui dune part des
autotests ou de la couverture des diagnostics qui sont prconiss par la norme CEI 61508 et
galement celui de la crdibilit des mesures envoys par ces transmetteurs. On peut par
exemple recevoir sans interruption des mesures pouvant caractriser la dynamique de ces
transmetteurs mais comment quantifier le crdit que l'on peut accorder ces mesures.
A notre avis, lapport principal des instruments intelligents de terrain pour les applications
scuritaires va dans le sens de lamlioration de la mtrologie avec une prcision accrue et
une confiance alloue aux grandeurs mesures, ce qui permettra une crdibilit sur les
mesures. Dautre part, les autotests ne sont plus dirigs par lunit centrale de traitement mais
excuts localement au plus prs du procd et le compte rendu peut tre envoy par
l'utilisation de moyens de communications contemporains (rseaux de communication).
3.3.3. Le taux de dclenchement intempestif
Lautre mode de dfaillance auquel les systmes ddis la scurit peuvent tre confronts
est celui du dclenchement intempestif. Ce mode affecte plutt la disponibilit que la scurit.
Les arrts intempestifs du systme de scurit provoqus sont parfois appels fausses pannes
ou pannes sans risque [GRU 98].
La norme CEI 61508 dfinit dans sa partie 4 au paragraphe 3.6.8. la dfaillance en scurit
comme celle qui na pas la potentialit de mettre le systme relatif la scurit dans un tat
dangereux ou dans limpossibilit dexcuter sa fonction.
Une attention particulire doit tre porte sur ce type de modes de dfaillances qui ne sont pas
vritablement considres dans la norme [INA 07]. En effet, la norme ne traite que les
dfaillances dangereuses. Les formules donnes par la norme concernent uniquement ce type
- 96 -
de dfaillances alors quun systme instrument de scurit peut subir deux modes de
dfaillances : les dfaillances dangereuses et les dfaillances en scurit.
Ce paramtre est lun des indicateurs fiabilistes des systmes ddis la scurit, il est
souvent donn sous forme de probabilit de dfaillances en scurit PFS (Probability of
Failure to Safe). Il est aussi exprim par le taux darrts intempestifs NTR (Nuisance Trip
Rate) [GRU 98] exprim en annes et il reprsente le temps moyen entre deux
dclenchements parasites.
Pour tre considre comme sre, aucune dfaillance dun composant ni aucune condition de
panne ne doit mener un tat de panne du systme.
Dans un systme ddi la scurit, les deux modes de dfaillances doivent tre pris en
compte. La PFS doit tre la plus petite possible. L aussi, daprs [GRU 98], il faut se
proccuper des transmetteurs et des vannes qui prsentent des NTR nettement moins levs
que celui dun automate programmable.
Lvaluation des systmes instruments de scurit est concerne par ces deux aspects
indissociables pour une tude relative la scurit mais mutuellement exclusifs.
- 97 -
Systme
Systme dAutomatisation
Intelligence Distribue (SAID)
Mission
Contrle/Commande
industriels
Architecture
fonctionnelle
Architecture
matrielle
Architecture
oprationnelle
des
processus
la dcision
lactionnement
lactionnement
la communication
lacquisition (mesure et
conditionnement)
la configuration (paramtrage et
rglage)
Possibilit de
dynamique
reconfiguration
dunits logiques
de capteurs et dlments
terminaux
Problme
dactivation/dsactivation selon
les besoins de mode de scurit
(batch)
- 98 -
Globalement, nous pouvons dire que les systmes dautomatisation intelligence distribue
disposant dinstruments intelligents offrent pour des applications scuritaires lavantage de
pouvoir amliorer la qualit des mesures avec des diagnostics internes. [MAC 04] relate que
les auto-tests dans les instruments intelligents permettent daccrotre la fraction des
dfaillances sres des ces dispositifs. Le pouvoir de validation en regard des conditions
environnantes peut aussi tre exploit afin damliorer les performances en scurit des
systmes instruments de scurit. Les inconvnients de lutilisation des SAID qui peuvent
altrer les systmes de scurit se rapportent aux risques engendrs par des systmes microprogramms tels que le potentiel des erreurs systmatiques dans les logiciels et aux problmes
dus la configuration (un utilisateur peut changer des paramtres internes des instruments, ce
qui peut nuire la scurit).
En se conformant la norme CEI 61508, il est possible dutiliser les instruments intelligents
dans les applications de scurit condition de sen tenir aux exigences et recommandations
de cette norme (tolrance aux anomalies). Les instruments utilisant de llectronique
programmable doivent tre fabriqus avec des procdures qui respectent la norme tant pour le
matriel que pour le logiciel.
- 99 -
Systme
Systme dAutomatisation
Intelligence Distribue (SAID)
Caractristiques
et aspects
relatifs la
sret de
fonctionnement
Pour ce type de systmes, on dtermine
souvent la fiabilit, la disponibilit, la
maintenabilit par des mtriques telles
que : R(t), A(t), M(t), MTTF, MTTR, MUT
qui dsignent respectivement la fiabilit, la
disponibilit, la maintenabilit, dure
moyenne jusqu dfaillance, la dure
moyenne des temps de rparation et la
dure moyenne de bon fonctionnement
aprs rparation [PAG 80][VIL88].
R(t) = P[entit non dfaillante sur [0,t] ]
A(t) = P[entit non dfaillante linstant t]
M(t) = 1-P[entit non rpare sur [0,t] ]
Moyens
de
protection
du
personnel ou de lenvironnement
[CEI 03] [CEI 00], application
de nombreuses industries de
processus,
Surveillance
des
procds [KNE 02], Partie des
couches de protection pour les
industries de transformation [WIE
02],
Les deux indicateurs proposs par la norme
sont la PFD et la PFS respectivement la
probabilit de dfaillance dangereuse et la
probabilit de dfaillance en scurit. ils
concernent toutes les deux la scurit.
PFD(t) = 1-R(t)-PFS(t) [GOB 98]
PFD(t) = 1-A(t) [SMI 04]
PFDavg=1/RRF [SUM98]
RFF : Facteur de rduction de risque,
PFDavg :
Probabilit
moyenne
de
dfaillance dangereuse.
La
norme
[CEI00]
donne
une
quantification rendue possible par la
connaissance du taux de dfaillance (), du
taux de couverture de chaque composant,
ainsi que de l'architecture du systme.
T
MTTR = [1 M (t )] dt
0
Evaluation de la
sret de
fonctionnement
PFDavg
1
= PFD(t )dt [ISA96]
T 0
Tableau 3.4 : Aspects relatifs la sret de fonctionnement des SAID et des SIS
- 100 -
- 101 -
Un autre formalisme trs utilis dans la modlisation fonctionnelle des systmes vnements
discrets et dans les tudes de sret de fonctionnement des systmes dynamiques est celui des
rseaux de Petri (Annexe 2). Ils sont caractriss par une volution asynchrone dans laquelle
les transitions des composantes parallles sont franchies les unes aprs les autres, et par une
reprsentation explicite des synchronisations. Plusieurs extensions des rseaux de Petri ont t
labores pour rpondre la modlisation des problmes spcifiques. Lun des points forts
des rseaux de Petri par rapport aux autres formalismes repose sur des fondements thoriques
qui leur permettent de vrifier les proprits gnrales dun modle (vivant, sans blocage ou
born, etc.,) ainsi que laccessibilit de certains marquages.
4.1.2. Modlisation de laspect dysfonctionnel
La mthode des graphes de Markov est utilise pour analyser et valuer la sret de
fonctionnement des systmes rparables. La construction dun graphe de Markov consiste
identifier les diffrents tats du systme (dfaillants ou non dfaillants) et chercher comment
passer dun tat un autre lors d'un dysfonctionnement ou dune rparation.
Les graphes de Markov souffrent de lexplosion du nombre des tats [MED 06], car le
processus de modlisation implique lnumration de tous les tats possibles et de toutes les
transitions entre ces tats. Lutilisation des rseaux de Petri stochastiques savre une
alternative pour surmonter ce problme.
Les rseaux de Petri stochastiques [DAV 97] sont obtenus par lassociation de dures de
franchissement alatoires aux transitions. Une extension nomme "rseaux de Petri
stochastiques gnraliss" existe permettant ainsi de prendre en compte les transitions
immdiates sans dlai.
4.1.3. Modlisation fonctionnelle et dysfonctionnelle travers le langage Altarica
Le langage Altarica [GRI 98] a t cre par le Laboratoire Bordelais de Recherche
Informatique (LaBRI) ; il permet de dcrire la fois le comportement dun systme dans le
cas nominal et en prsence de dfaillances. Cest un langage formel simple, la fois
hirarchique et compositionnel. Sa smantique et sa syntaxe clairement dfinies lui permettent
dtre coupl diffrents outils de fiabilit et de validation comme Aralia [VIN 04], MocaRP
ou encore de model-checking.
Le dveloppement de modles Altarica est support par Cecilia OCAS (Outil de Conception
et dAnalyse Systme) workshop de Dassault Aviation qui fournit un diteur graphique de
modles et un gestionnaire de composants. De plus, cet outil intgre des fonctions de
simulation interactive et de gnration darbre de dfaillance.
AltaRica est fond sur la notion d'automate contraintes. Chaque composant du systme est
appel nud (node). Un nud possde un nom, des variables de deux types, celles d'tat,
internes et non visibles de l'extrieur, et celles de flux qui reprsentent l'interface du
composant avec son environnement. Les valeurs que prennent ces variables expriment leur
tat de fonctionnement. Des transitions de la forme [garde, vnement, mise jour] dcrivent
les changements d'tats sous l'effet d'vnements, suivant certaines conditions, et avec des
consquences sur la valeur des variables d'tat.
- 102 -
Composant
Etat=
Nominal
Flux Entre
Transition :
Evt_Rep/[con
dition]
Assertion:
Sortie = true
Transition :
Evt_Def/[cond
ition]
Etat=
panne
Flux Sortie
Assertion:
Sortie = false
Les flux de sortie sont valus en fonction de ltat actuel, et ventuellement en fonction des
flux dentre par des assertions.
Les transitions dfinissent le passage dun tat un autre. Une transition est franchie sur
occurrence dun vnement et ventuellement en fonction de conditions portant sur les
valeurs des flux dentre.
Ces concepts sont illustrs par lexemple suivant. Le composant mesure_p a une variable
dentre nomme m_p qui indique la prsence dune grandeur lentre du composant et une
variable de sortie m1 qui indique la prsence dune mesure en sortie. La variable tat indique
ltat du composant, sa valeur est gale nominal lorsquaucune dfaillance ne sest
produite et hs lorsque le composant ne peut plus transmettre de mesure. Lvnement
panne dcrit une dfaillance qui fait passer le composant dans ltat hs. La transition
associe cet vnement ne peut se dclencher que si le composant est dans ltat nominal.
Lassertion signifie que la valeur de la mesure en sortie est gale la valeur de la grandeur en
entre si le composant est dans ltat nominal et sinon il ny a pas de mesure en sortie.
- 103 -
node mesure_p
state
etat :{nominal,hs} ;
flow
m_p : bool : in ;
m1 : bool : out;
event
panne;
trans
etat=nominal|-panne->etat:=hs;
assert
if
(etat=nominal)&
m1=
true
else m_p=false;
init
etat:=nominal;
edon
then
m_p=true
- 104 -
- 105 -
- 106 -
La modlisation est traite sous la forme dune approche stochastique utilisant les SAN
(Stochastic Activity Network). Les SAN sont un formalisme de modlisation puissant et sont
une extension des rseaux de Petri stochastiques [MOV 84]. Le haut niveau de constructions
de modles est offert par les portes d'entre et les portes de sortie qui permettent des
commandes spcifiques dans l'excution du rseau et permettent aussi des constructions
hirarchiques pour le modle. Les modles composs sont bass sur des sous-modles plus
simples qui peuvent tre dvelopps indpendamment et joints d'autres sous-modles.
Loutil utilis pour les SAN est Mbius [DEA 02].
Dans cette mthodologie, paralllement aux modles fonctionnels, les modles
dysfonctionnels sont dvelopps en mme temps en exprimant les diffrents modes de
dfaillances relatifs aux diffrents composants. Ainsi, les modles fonctionnels et
dysfonctionnels seront intgrs dans un seul modle.
La jonction des diffrents composants permet la construction de tous les sous-modles et
constitue ltape ultime de la modlisation.
Ltape suivante consiste spcifier les critres dvaluation de la sret de fonctionnement.
Les performances de scurit ou de disponibilit s'expriment par la probabilit de se trouver
dans un tat dangereux (PFD) ou dans un tat de repli intempestif (PFS). Cette quantification
est rendue possible par la connaissance du taux de dfaillance, du taux de couverture de
chaque composant, ainsi que de l'architecture du systme.
Les modles sont ensuite analyss par simulation de Monte Carlo.
Pour lvaluation des paramtres de sret de fonctionnement choisis, nous poserons les
hypothses de calcul suivantes
toutes les liaisons (hors rseau de communication) sont supposes prsenter une sret
infinie (probabilit de dfaillance nulle),
les taux de dfaillance des lments constitutifs des boucles sont supposs constants
et connus (on tudiera le systme dans sa phase de maturit), les lois de probabilits
sont exponentielles,
lintervalle de test de la boucle est choisi de sorte que le SIL reste constant sur toute la
dure de vie,
la corrlation entre les modules des sous-systmes est suppose nulle (pas de
dfaillance de cause commune). Cette hypothse reprsente une restriction car il existe
toujours des conditions qui peuvent provoquer la dfaillance simultane de plusieurs
composants,
une dfaillance dangereuse se traduit par une absence de raction du systme
instrument de scurit intelligence distribue,
une dfaillance sre se traduit par la mise dans une position de repli du SISID ou par
une excution intempestive de la fonction de scurit.
- 107 -
dune partie dysfonctionnelle dans laquelle est reprsente loccurrence de dfaillances qui
peuvent affecter le systme et le mettre en tat de panne.
Larchitecture fonctionnelle est indpendante de larchitecture matrielle. Les composants de
larchitecture matrielle susceptibles de tomber en panne sont le capteur, lautomate et
lactionneur.
Linteraction entre la partie fonctionnelle et la partie dysfonctionnelle est ensuite incorpore
pour traduire le comportement global du systme en prsence de dfaillances.
Le formalisme des rseaux de Petri se prte bien la modlisation comportementale de ce
type de systme. Ce formalisme offre la possibilit dintgrer les dfaillances, support dune
analyse quantitative.
- 108 -
OK
P1
T1
KO
P2
- 109 -
Modlisation dysfonctionnelle
Modlisation fonctionnelle
OK
P1
aut
T8
T1
T14
P7
DND
P2
T9
T2
T3
T4
P8
P3
P4
P5
CDCD
T5
T6
1-CD
T7
P10
P9
P11
Danger
Sur une dfaillance de lautomate, la marque du rseau de Petri relatif la partie fonctionnelle
est rcupre afin de bloquer son volution et un jeton est mis dans la place P11 (Danger)
pour traduire un tat de panne de lautomate. Le jeton doit tre retirer de la partie
fonctionnelle l o il se trouve si la place P10 est marque. Un mcanisme de rcupration de
jeton est effectu sur toutes les places de la partie fonctionnelle.
Dans la figure 3.9, la partie fonctionnelle est dcrite par lensemble des places et des
transitions allant de P1 P7 respectivement de T1 T7. La prsence du jeton dans la partie
gauche reflte le bon fonctionnement de lautomate et tout dysfonctionnement entrane
systmatiquement un marquage nul dans toutes les places de cette partie. Cycliquement,
lautomate ralise ses propres autotests ainsi que des autotests du capteur et de lactionneur.
La prsence dun jeton dans les places P3, P4 ou P5 autorise lautotest de lun des dispositifs
prcits selon une politique de test gre par lautomate lui mme.
La politique de test est dcrite par le rseau de la figure 3.10. Dans cette figure, trois places Tc
(test capteur), Tv (test actionneur) et Ta (test automate) sont ajoutes au modle fonctionnel.
La prsence dun jeton dans lune de ces places traduit lentit qui subit le test de diagnostic
de la part de lautomate qui dispose dune gestion centralise des autotests des diffrents
dispositifs avec des taux de couverture de diagnostic propres chaque dispositif.
Dans cet exemple, le jeton se trouve initialement dans la place Tc relative au test du capteur.
Ensuite le jeton est rcupr par la place P1 et se trouve de nouveau dans la place P2 aprs
- 110 -
P1
T1
Tc
Tv
Ta
P2
T2
T3
P3
P4
T5
T4
P5
T6
T7
- 111 -
Tc
OK
cap
DND
SD
P1
CD
Sur
1-CD
Danger
- 112 -
Tc1
Tc2
OK
OK
cap
cap
DND
DND
SD
SD
P1
P1
CD
1-CD
Sur
CD
1-CD
Sur
Danger
Sur
Il faut noter que les places Tc1 et Tc2 ne sont pas identiques. En effet, le modle fonctionnel
de lautomate va subir quelques changements afin de prendre en compte les autotests du
second capteur et du second actionneur.
- 113 -
Modlisation dysfonctionnelle
Modlisation fonctionnelle
OK
P1
cap
T1
T14
P7
DND
P2
T2
T10
T4
T5
T3
P3
P4
P8
P5
P6
CDCD
T7
T8
1-CD
T9
P10
T6
P9
P11
Danger
- 114 -
6. Conclusion
La notion de scurit intelligente est sujette quivoque, et il ne suffit pas de disposer de
moyens de calculs aussi sophistiqus dans les dispositifs qui constituent les systmes
instruments de scurit pour qualifier ces systmes de smart SIS. Encore faut-il que ces
dispositifs saccrditent de fonctionnalits inhrentes aux instruments intelligents.
A notre sens, lintelligence se matrialise par lexistence de moyens de communication et de
pouvoir doctroi dune crdibilit accrue aux informations au niveau des dispositifs de terrain
qui se trouvent au plus prs des processus physiques et ils disposent dune certaine autonomie
de gestion.
Lincorporation de lintelligence dans les SIS mne vers cette scurit intelligence manifeste
par des SISID (Systmes Instruments de Scurit Intelligence Distribue) dont la
mthodologie dvaluation est propose la fin de ce chapitre. Cette mthodologie est base
essentiellement sur une structuration hirarchique et modulaire. En effet un ensemble de
modles est prsent afin dillustrer lapproche utilise. Ces modles peuvent tre imbriqus
pour dcrire convenablement les systmes modliss. La vrification et lanalyse sont traites
par les rseaux de Petri stochastiques.
Lapproche que nous proposons consiste laborer des modles en rseaux de Petri
stochastiques composs de partie fonctionnelle spcifiant le comportement des dispositifs et
de partie dysfonctionnelle formalisant loccurrence de dfaillances de composants
susceptibles de tomber en panne. Cette dernire partie permet deffectuer les mesures de
performances en termes de scurit. Les deux parties sont ensuite intgres pour reproduire le
comportement global du systme en prsence de dfaillances.
Les rseaux de Petri stochastiques sont trs bien placs pour rpondre nos besoins de
modlisation. Le franchissement dune transition stochastique permet de reprsenter le
changement de ltat dun dispositif vers un tat de dfaillance. Nous supposons que les
transitions stochastiques sont associes des distributions de loi exponentielle.
Lutilisation du formalisme bas sur les rseaux de Petri permet linclusion de fonctionnalits
de linstrument intelligent dans la partie fonctionnelle de celui-ci lexception de la
fonctionnalit configuration. Lintgration de ces fonctionnalits donne de lautonomie de
gestion locale, et par linteraction avec la partie dysfonctionnelle, elle va avoir de linfluence
sur les performances en scurit.
- 115 -
Chapitre 4 :
Mise en uvre de lvaluation
de la sret de fonctionnement
des SISID
- 116 -
- 117 -
- 118 -
Le dveloppement de nos modles est ralis par loutil Mbius qui est un support pour
lutilisation des SAN. Cet outil a montr sa puissance pour la modlisation et lvaluation de
la sret de fonctionnement de systmes vnements discrets [AZG 05] [TAI 04], ceci a t
concrtis dans les travaux qui concernent la fiabilit des systmes commands en rseau en
prsence de fautes transitoires mens par [GHO 08].
Dune manire gnrale, une simulation de Monte Carlo consiste construire un modle
reprsentatif du comportement du systme et analyser lvolution de ce dernier, partir dun
grand nombre dexpriences. A chaque exprience, le comportement du modle simul est
diffrent ; ces diffrences sont explicitement lies la nature stochastique des processus
relatifs chaque entit du systme.
On simule ainsi le comportement fonctionnel et dysfonctionnel du systme en suivant son
volution sur une dure prfixe T qui constitue ce quon appelle une histoire (exprience).
On ritre un grand nombre de fois N une telle histoire en partant chaque fois des mmes
conditions initiales et en conservant en mmoire les donnes numriques obtenues (prsence
ou absence de jeton(s) dans telle ou telle place). Au terme de ces N histoires, on exploite
dune manire statistique lensemble des donnes accumules pour dterminer les estimations
dsires.
La quantification des probabilits cherches est base sur ltude de plusieurs scnarios
diffrents qui permettent davoir au final des rsultats statistiques.
Lestimation de la probabilit dun vnement dangereux peut tre effectue par lutilisation
dun estimateur binaire associ cette probabilit qui permet une incrmentation dune unit
dun compteur pour chaque histoire. Lestimation de la probabilit est dduite par le rapport
entre le nombre dhistoires o il y a occurrence de lvnement dangereux et le nombre total
des histoires [LAB 02].
Dans le cadre de la dtermination des performances en terme de scurit pour des systmes
instruments de scurit, la procdure suivie dans la simulation consiste obtenir dans un
premier temps pour chaque exprience ralise un ensemble de valeurs caractrisant les
paramtres de dfaillances dangereuses et dfaillances sres. Dans un second temps, la valeur
moyenne de chacun de ces paramtres pour lensemble des histoires est estime. Le nombre
dexpriences doit tre suffisamment grand pour obtenir des rsultats dun niveau de
confiance acceptable.
- 120 -
Capteur
Automate
programmable
Vanne
darrt
une unit logique qui excute la fonction de scurit (automate programmable par
exemple),
un lment final qui met en uvre laction physique ncessaire pour obtenir un tat de
scurit.
Diffrentes dfaillances peuvent apparatre sur les composants. Ces dfaillances sont
qualifies par la norme CEI 61511 de deux types :
-
- 121 -
- 122 -
Taux de
heure)
dfaillances
Capteur
6.10-06
40 %
Unit de Traitement
2.10-05
70 %
Elment final
9.10-06
58.3 %
Composant
Taux
de
dfaillances Taux de dfaillances sres
dangereuses (D)
(S)
Capteur
3,6.10-6
2,4.10-6
Unit de Traitement
6.10-6
1,4.10-5
Elment final
3,75.10-6
5,25.10-6
- 123 -
Mthode
Norme
SAN (Mbius)
Sim tree
4380
5,8473.10-2
5,526.10-2
5,6796.10-2
5000
6,675.10-2
6,4277.10-2
6,4571.10-2
8760
1,1694.10-1
1,0851.10-1
1,1037.10-1
10000
1,335.10-1
1,2031.10-1
1,2497.10-1
4380
9,4827.10-2
9,0867.10-2
9,047.10-2
5000
1,0825.10-1
1,0532.10-1
1,026.10-1
8760
1,8965.10-1
1,6958.10-1
1,7275.10-1
10000
2,165.10-1
1,9065.10-1
1,9467.10-1
Dure
PFD
PFS
- 124 -
La figure 3 donne les probabilits de dfaillances dangereuses avec des intervalles entre les
deux tests Ti = 8760 heures.
- 125 -
entre deux tests devient plus important, le niveau de SIL peut ne plus tre garanti
momentanment et le systme instrument de scurit ne sera plus conforme aux normes de
scurit qui nautorisent pas de niveau de SIL en de du SIL 1. Il faut donc sassurer que la
PFD(t) instantane reste dans les limites du SIL requis en vitant de dpasser les frontires de
SILs adjacents. De ce fait, on peut conclure que la PFDmoy ne saurait elle seule pouvoir
dcrire le comportement de lindisponibilit dun SIS excuter une fonction de scurit. Et
pour que la reprsentation soit complte, il faut prendre en compte galement lvolution de la
PFD(t) instantane et sassurer qu tout moment, cette indisponibilit reste quivalente au
SIL requis lapplication.
La rpartition en pourcentage du niveau de SIL pendant toute la dure entre deux tests est
illustre dans la figure 4.4 suivante :
Rpartition du niveau de SIL
0,90
0,80
0,70
0,60
0,50
0,40
0,30
0,20
0,10
0,00
SIL0
SIL1
SIL2
SIL3
SIL4
- 126 -
trouver en zone SIL 0. Avec le systme test priodiquement, quand le seuil d'une mauvaise
zone SIL est empit, le systme reste dans cette zone jusqu'au prochain test priodique et
cela peut tre pour un long dlai lorsque les composants sont tests tous les 10 ans, par
exemple.
Notons que le passage dans la zone SIL 0 correspond au franchissement par la PFD(t)
instantane de la valeur 0,1 (cf. tableau 2.3). Cest--dire quil faut rester au de de cette
valeur frontalire pour demeurer dans la zone SIL o la norme peut tre applique. Le
systme SIS dans le cas o il atteint un SIL non conforme se trouve sans usage possible dans
une application de scurit conformment la norme.
Le MTTF pour ce systme est de 8,83 annes. Seules les dfaillances dangereuses sont
considres pour son laboration. En effet, il existe aussi le MTTFS [GOB 05] qui est relatif
aux dfaillances sres.
Capteur
Automate
programmable
Vanne
darrt
Dispositif dautodiagnostic
- 127 -
- 128 -
- 129 -
- 130 -
Dans cette partie, nous allons nous intresser un modle de systme 1oo1D avec un rseau
de terrain type CAN.
Il faut prciser que vis--vis des travaux que nous menons, le rseau de communication est un
moyen utilis par les fonctions qui octroient de lintelligence aux instruments. Cest pourquoi,
il a t introduit sans se proccuper de sa sensibilit aux perturbations et sans considration
des effets de la perte des messages.
4.2.1. Modlisation du rseau de terrain sous Mbius
Cette partie est consacre au modle du systme avec un rseau de communication (CAN:
Control Area Network) et ensuite nous allons galement introduire des instruments
intelligents au lieu d'instruments traditionnels. Dans cette tude, nous nous concentrons sur le
rseau CAN mme si ce type d'tudes peut tre tendu d'autres types de rseaux de
communication.
Lensemble des composants est reli par un rseau de communication qui est dfini comme
un medium par lequel transitent des trames contenant des donnes du systme. Tous les
composants sont reprsents comme des systmes chantillonns avec Te comme priode
dchantillonnage. Cette priode dchantillonnage est constante et elle est la mme pour tous
les composants. Sa valeur est de 0.5 unit de temps. Tous les composants sont chantillonns
avec cette priode dchantillonnage et le rseau de communication est un systme ragissant
aux vnements discrets.
- 131 -
sera affect dune priorit lui permettant ou non denvoyer ces caractristiques via le canal,
pour viter les collisions sur le canal.
Le medium (canal) est affect dun retard reprsentant le dlai de transmission des messages.
Le message en sortie du canal est prt tre envoy et il est disponible dans la place
received.
Lorsque le bus est libre, nimporte quel metteur qui dispose de son propre identificateur peut
commencer transmettre une information sur le canal. Lorsque deux nuds tentent daccder
simultanment au medium, le nud qui dispose de la plus haute priorit gagne larbitrage et
accde au bus, son information est envoye sans perte de temps alors que le nud affect
dune priorit moindre attend la libration du medium pour mettre.
Nous avons procd vrifier des valeurs de la priode dchantillonnage autres que Te=0,5.
Te
0,5
PFD
7,7.10-2
7,33.10-2
7,08.10-2
7,03.10-2
PFS
2,1.10-1
2,078.10-1
2,05.10-1
1,995.10-1
- 132 -
Lautomate, qui est dot dune capacit de communication, envoie ses messages
priodiquement. A chaque priode dchantillonnage (transition periode_aut dans la figure
4.10), lautomate est dispos envoyer des informations sur le rseau.
En effet, tous les dispositifs (capteur, actionneur) disposent dune priode dchantillonnage
et ils sont considrs comme des systmes chantillonns.
Dans ltude mene, le rseau de communication garantit un dlai exprimant le retard affect
aux messages infrieurs aux priodes dchantillonnage de tous les dispositifs.
- 133 -
capteur peut tre galement restaur en cas de dfaillance sre et il dispose galement dun
taux de couverture de diagnostic qui lui est propre. Dans le modle prsent en figure 4.11, un
certain nombre de dfaillances sont exprimes. Il sagit des dfaillances sres (place Sur_cap)
et dfaillances dangereuses (place Danger_cap). Un taux de couverture de diagnostic DC est
allou au capteur (coverage). Ce taux de couverture exprime le rapport entre le taux de
dfaillances dtectes et le taux de dfaillances totales. Aprs loccurrence dune dfaillance
sre, il y a possibilit de restaurer le systme par le franchissement de la transition
dterministe (restore) dont la dure est gale au temps ncessaire la restauration complte
du systme aprs un dclenchement intempestif par exemple. La prsence dune marque dans
la place t1 autorise un autotest du capteur gr localement. Les dfaillances non dtectes
DND peuvent tre qualifies de sres ou de dangereuses suite lexcution de lautotest. La
place sortie_cap assure lenvoi des informations via rseau aprs le franchissement de la
transition echa_capt dont la dure reprsente la priode dchantillonnage du capteur.
Le modle de lactionneur ne diffre pas beaucoup de celui du capteur intelligent et les parties
dysfonctionnelles sont similaires. Il faut noter que les diffrents modles, du capteur, de
lactionneur ou de lautomate, sont des modles chantillonns et que les informations sont
envoyes au rseau de communication priodiquement.
Diffrentes performances peuvent tre values sur ce modle.
La figure 4.12 montre lvolution des deux mtriques principales des performances en
scurit PFD et PFS pour une dure de 10000 heures qui est un peu suprieure une anne
(8670 heures). Les paramtres du modle sont :
- 135 -
lambda_actionneur
9.0E-6
lambda_automate
2.0E-5
lambda_capteur
6.0E-6
delai
1.0E-5
echantillonage_actionneur
0.5
echantillonage_aut
0.5
echantillonage_capteur
0.5
CD_actionneur
0.75
CD_automate
0.75
CD_capteur
0.75
p1
p2
p3
periode_fonct_actionneur
1.0
periode_fonct_capteur
1.0
periode_test_automate
1.0
restore_actionneur
24.0
restore_automate
24.0
restore_capteur
24.0
retard_reseau
0.01
Les taux de dfaillances des composants et le taux de restauration proviennent de [GOB 05].
Les autres paramtres cits ci-dessus concernent des identificateurs propres aux dispositifs
(p1, p2, p3) qui prennent des valeurs entires respectivement 2, 3 et 1. Le retard relatif au
rseau (0.01) est maintenu infrieur la priode dchantillonnage (0.5). Le taux de
couverture de diagnostic est pris gal 75 % (ni faible ni moyen selon la norme).
La figure 4.12 montre les performances en scurit dun systme instrument de scurit
intelligence distribue. Lvolution des deux mtriques qui dcrivent les performances en
scurit du systme tudi montrent une nette diminution de la probabilit de dfaillance
dangereuse et une augmentation de la probabilit de dfaillances sres. Une illustration est
faite sur le tableau 4.5 suivant :
- 136 -
PFD
PFS
Dure (heures)
SIS
SISID
1000
1,34.10-2
0,73.10-2
5000
6,37.10-2
3,85.10-2
8760
1,05.10-1
0,689.10-1
10000
1,17.10-1
0,781.10-1
1000
2,27.10-2
2,66.10-2
5000
1,026.10-1
1,18.10-1
8760
1,71.10-1
1,95.10-1
10000
1,926.10-1
2,20.10-1
- 137 -
On saperoit clairement daprs cette illustration des zones de SIL franchies par le systme.
Le pourcentage des diffrents niveaux de SIL est rparti dans la figure 4.14 suivante :
SIL1
SIL2
SIL3
SIL4
( PFDmoy ) SISID
( PFDmoy + PFS moy ) SIS
- 139 -
Nous avons introduit dans cette relation les valeurs moyennes plutt que les valeurs
instantanes pour avoir une estimation globale de ce taux en restant conforme la norme qui
prconise pour les performances en scurit les valeurs moyennes. Notons que concernant les
dfaillances sres, lindicateur peut sexprimer de la faon suivante :
IPPFS =
4.5. Conclusion
Lintrt de cette tude porte sur la dtermination des performances en scurit du systme en
rgime dynamique. Elle permet dobtenir une comparaison quantitative des comportements
des systmes. Ainsi, elle permet de comparer les diffrents architectures de SIS disposant ou
non de moyens dautodiagnostics qui sont grs localement ou dune manire centralise.
Un rsultat important est la transformation de dfaillances dangereuses en dfaillances sres
par le biais de la diminution de la probabilit des dfaillances dangereuses et laugmentation
de la probabilit des dfaillances sres.
Cette tude nous a permis dapprocher la problmatique de la prise en compte de
lintelligence, telle qu'elle a t dfinie dans le chapitre 1, dans la conception des SIS. En
effet, lexemple trait nous a permis de dterminer le niveau de SIL relatif chaque systme
et de voir que lapport de lintelligence permet de couvrir les zones de niveaux de SIL exigs
par la norme pour un SIS qui disposait dun niveau de SIL 1 mais qui ne pouvait pas tre
maintenu pendant toute la dure entre deux tests dintervalle.
Laugmentation de la valeur de la PFS provoque une perte financire cause par le systme de
scurit en raison de dclenchements intempestifs. Ceci nous rappelle quen sret de
fonctionnement, le compromis scurit- disponibilit demeure mme avec ladjonction
dlments intelligents dans la boucle de scurit.
Lintroduction des indicateurs de performances a permis de mieux situer la contribution de
lintelligence introduite dans le systme de scurit vis--vis des performances globales de
scurit.
- 140 -
Automate programmable
Capteur
PT
Capteur
PT
Process
Elments finaux,
Vannes
- 141 -
Le systme instrument de scurit a pour finalit, en cas de sollicitation, de fermer les deux
vannes qui sont en redondance 1oo2. Ainsi, il faudrait la dfaillance dangereuse des deux
vannes pour qu'un signal d'alarme valide ne soit pas trait correctement.
Le systme de scurit n'est pas capable d'induire une situation dangereuse de lui-mme. Le
pire des cas qui peut se produire est une panne dangereuse, c'est--dire que le systme ne peut
effectuer sa fonction de scurit prvue.
Les deux capteurs sont des transmetteurs intelligents de pression et sont galement en
redondance 1oo2. Des tests priodiques en ligne sont effectus par les deux transmetteurs.
Une information concernant la comparaison des signaux de sortie des deux capteurs est
effectue et renvoye lautomate programmable.
Deux modes de dfaillances peuvent affecter les diffrents types de composants. Il sagit des
dfaillances sres et des dfaillances dangereuses.
- 142 -
- 143 -
- 144 -
- 145 -
un tat normal
- 146 -
un tat dangereux
il y a eu dtection de la dfaillance
- 147 -
Etat 1 : Etat
normal
Etat 3 : Etat
sr
Etat 2 : Etat
normal dgrad
Etat 4: Etat
dangereux
Capteur 1
Capteur 2
OK
OK
OK
Danger
OK
Sur
Sur
OK
Sur
Danger
Sur
Sur
Danger
OK
Danger
Danger
Danger
Sur
tat
- 148 -
La figure 4.23 montre lvolution des deux mtriques principales des performances en
scurit PFD et PFS pour une dure de 10000 heures qui est un peu suprieure une anne
(8670 heures). Les paramtres du modle sont :
lambda_actionneur
float
9.0E-6
lambda_automate
float
8.10-7
lambda_capteur
float
6.10-6
lambda_demande
float
1.5E-4
capti
float
captimoin1
float
cd_capteur
float
0.75
cd_actionneur
float
0.75
- 149 -
cd_automate
float
0.75
periode_echantillonage
float
0.5
sd_capteur
float
24.0
sd_actionneur
float
24.0
sd_automate
float
24.0
ti
float
timoin1
float
residu
float
xk
float
xkplus1
float
ps1
int
ps2
int
plc
int
int
qu
int
Le taux de dfaillance qui concerne lvnement dangereux dans le rservoir est choisi
conformment la clause 3.5.12. de la partie 4 de la norme qui stipule que lon est en mode
de faible demande : lorsque la frquence des demandes de fonctionnement sur un systme
relatif la scurit est plus grande que une par an et au plus gale deux fois la frquence
des tests priodiques.
Ceci se traduit par une frquence comprise dans lintervalle suivant :
1,141.10-4< lambda_demande < 2,283.10-4
La fonction traitement peut tre plus au moins complexe. Elle peut se rsumer acqurir une
grandeur mesure par un capteur et lindiquer. Elle peut galement rcolter plusieurs
informations manant de plusieurs capteurs et en faire un traitement partir dune fonction
combinatoire. Les units de traitement peuvent tre classes en deux catgories suivant leur
technologie :
Les technologies cbles, base de composants logiques lmentaires (relais), lis
entre eux lectriquement,
Les technologies programmes, base dautomates programmables (API), de
systmes numriques de contrle commande (SNCC), ou de cartes lectroniques
microprocesseurs.
Dans la fonction instrumente de scurit relative au systme tudi, la logique utilise pour
la fonction traitement est rduite aux composants cbls de telle faon raliser des fonctions
logiques contrairement aux dispositifs de terrain qui disposent eux dune intelligence locale.
- 150 -
Les technologies relais sont considrs comme un bon choix pour la logique de traitement
lorsque le nombre dentre/sorties est faible (moins de 6) et les modifications futures dans la
logique de traitement sont hautement improbables [GOB 05].
Il faut attirer lintention sur le fait que lutilisation de cette logique cble nest pas suffisante
pour assurer de meilleures performances en scurit mais ceci est compens par la
cohabitation avec cette logique cble dinstruments intelligents capables de compenser le
manque laiss par les automates programmables. Ceux ci sont gnralement composs dune
architecture particulire utilisant plusieurs microprocesseurs coupls des circuits dentre et
de sortie via des modules spcifiques. Cette panoplie de circuiterie fait en sorte que les
automates programmables disposent de taux de dfaillances additionnels et de nouveaux
modes de dfaillances.
[ISA 84] donne une relation qui illustre ces propos :
PLC = n IC IC + n IP + MP + m OP + mOC OC
o
nIC : nombre des canaux dentres (Input Channels),
n : nombre des modules dentre (Input modules),
m : nombres des modules de sorties (output modules),
MP : processeur principal (Main Processor),
mOC : nombre des canaux de sortie (output Channels).
Le taux de dfaillance global dun automate programmable est plus grand par rapport celui
dune logique cble relais.
La valeur cite parmi les paramtres ci-dessus sapparente celle du taux de dfaillance dun
systme logique cble. Le taux est gal 8.10-7 [GOB 05] tandis que pour lautomate
utilis pour le systme classique comportant le niveau 0, en ce qui concerne lintelligence
dans les instruments, celui l dispose dun taux de 2.10-5 (voir table 4.1).
Les autres paramtres cits ci-dessus sont utiliss pour la dtermination du rsidu pour la
reconstruction de la sortie en cas de dfauts dans le capteur (capti, captimoin1, ti, timoin1,
residu) ou comme variables internes dcrivant le fonctionnement dans quelques dispositifs
(xk, xkplus1) ou comme identificateurs propres aux dispositifs (ps1, ps2, plc).
La figure 4.23 montre les performances en scurit dun systme instrument de scurit
rservoir de pression. Lvolution des deux mtriques qui dcrivent les performances en
scurit du systme tudi montrent une nette diminution de la probabilit de dfaillances
sres et une augmentation de la probabilit de dfaillances sres. Une illustration est faite sur
le tableau 4.7 suivant :
- 151 -
PFD
PFS
Dure (heures)
1000
5.10-3
5000
2,25.10-2
1,4.10-3
8760
4,13.10-2
3,4.10-3
10000
4,79.10-2
4,2.10-3
1000
2,79.10-2
1,46.10-2
5000
1,351.10-1
6,64.10-2
8760
2,221.10-1
1,123.10-1
10000
2,513.10-1
1,273.10-1
- 152 -
SIL
SIL0
SIL1
SIL2
70,73
SIL3
26,35
SIL4
2,92
Le calcul de ces deux indicateurs nous donne les valeurs suivante : IPPFD = 0.011 et IPPFS =
0.432.
Ces valeurs correspondent donc lintroduction dune intelligence niveau 3 tel que cela tait
dcrit au chapitre 1.
Nous constatons que le niveau 3 dintelligence a de linfluence directe sur les performances
en scurit. Lamlioration est nettement aperue dans les valeurs des indicateurs de
performances qui se trouvent diminus.
5.7. Conclusion
Malgr la nette diminution de la valeur de la PFS, linfluence sur le SIL du systme est faible
car le niveau dintgrit de scurit qui dcrit en quelques sorte la qualit dun systme de
scurit ne se mesure que par la probabilit de dfaillances dangereuses. Sa notion est en
quelque sorte une mesure de la confiance avec laquelle le systme peut s'attendre excuter la
fonction de scurit. Or, ceci est trs restrictif, et ce point l est lune des faiblesses de la
norme CEI 61508 qui accorde un niveau de confiance aux systmes disposant dun niveau de
SIL lev sans se proccuper du taux de dfaillances sres.
Dans la suite, nous allons inclure des dfaillances possibles des modules qui assurent le
diagnostic pour voir limpact de ce mode de dfaillance additionnel sur les performances en
scurit du systme.
2
1
3
- 155 -
7. Conclusion
Dans ce chapitre, nous avons pu construire un modle de simulation dun systme instrument
de scurit (SIS) auquel nous avons incorpor quelques fonctionnalits des instruments
intelligents dans le but dvaluer les performations en scurit. Le modle construit base de
rseaux dactivit stochastiques permet de modliser des architectures de SIS avec des
facilits offertes par un pouvoir de composition hirarchique de loutil de modlisation. Le
choix des rseaux dactivit stochastiques qui sont une extension des rseaux de Petri
stochastiques sest avr tre adquat pour mener bien llaboration du modle. Ce modle a
ainsi pu tre simul grce loutil Mbius. Les rsultats de simulation ont bien montr
limpact de lutilisation des instruments intelligents dans une application scuritaire sur les
performances en scurit. En effet, les valeurs des mtriques (PFD et PFS) ont volu avec
lintroduction de fonctionnalits propres aux instruments intelligents illustrant ainsi les
mcanismes introduits par ces fonctionnalits.
Nous avons pu travers le premier exemple montrer quun des apports des instruments
intelligents est la transformation de dfaillances dangereuses en dfaillances sres par le biais
de la diminution de la probabilit des dfaillances dangereuses et laugmentation de la
probabilit des dfaillances sres. Lexemple du rservoir dans lequel nous avons introduit
des modules de validation a permis de pressentir laction que peut avoir leur inclusion sur les
dfaillances sres du systme. Nous avons aussi trait le cas de la dfaillance de ces modules
qui a pour consquence laugmentation des dfaillances dangereuses du systme.
Nous avons pu percevoir que la notion de SIL qui revt un grand intrt selon la norme CEI
61508, semble insuffisante pour obtenir une bonne image de la ralit des risques encourus.
Lvaluation du pourcentage de temps que passe le systme dans chaque zone SIL permet
dobtenir une indication plus prcise.
Lintroduction des indicateurs de performances nous a permis de mieux faire la
correspondance entre les niveaux dintelligence requis dans les instruments et les
performances globales en scurit.
- 156 -
Conclusion gnrale
et perspectives
- 157 -
Conclusion gnrale et
perspectives
Bilan
Lobjectif de nos travaux tait dvaluer la sret de fonctionnement des systmes
instruments de scurit intgrant de lintelligence, afin de vrifier limpact de lutilisation
des instruments intelligents dans les applications scuritaires conformment aux nouvelles
normes relatives la scurit CEI 61508 et CEI 61511.
La complexit des systmes comportant des instruments intelligents ainsi que les exigences en
matire de scurit recommandes par les normes rendent dlicate la modlisation de ces
systmes et leur valuation dun point de vue sret de fonctionnement devient non triviale.
Ces systmes sont gnralement programms et ils disposent ventuellement de multiples
modes de dfaillances pour un composant, les modes de dfaillance ayant des effets diffrents
sur le systme, architecture fonctionnelle variable pour une architecture matrielle donne et
ils sont souvent soumis des tests priodiques et autotests, ce qui induit la co-existence de
dfaillances dtectes et de dfaillances non dtectes, avec une trs forte influence du taux de
dtection sur les caractristiques de sret de fonctionnement du systme.
Toutes ces caractristiques font qu'ils sont particulirement difficiles modliser, surtout si
l'on veut utiliser des modles classiques en sret de fonctionnement, tels que les arbres de
dfaillances. Nous avons explor diffrentes voies pour modliser et obtenir des rsultats
qualitatifs (coupes minimales, squences amenant un tat indsirable) et/ou quantitatifs
(indisponibilit, dfiabilit) sur de tels systmes.
L'apprhension qualitative de la logique de dysfonctionnement du systme conduisant un
vnement redout prdfini impose la mthode de l'arbre des dfaillances. La reprsentation
par graphes d'tats (Markov) permet la modlisation de l'volution prvisible du systme. La
mthode de larbre des dfaillance est base sur la logique boolenne pour reprsenter le
systme tudi et elle est adapte des systmes configuration statique, cest--dire des
systmes dont les relations fonctionnelles entre leurs composants restent figes. Cette
mthode est donc inapproprie dans le cas de nos travaux. La modlisation avec les graphes
de Markov permet de prendre en compte les dpendances temporelles et stochastiques plus
largement que les mthodes classiques. En dpit de leur simplicit conceptuelle et leur
aptitude pallier certains handicaps des mthodes classiques, les graphes de Markov souffrent
de lexplosion du nombre des tats, car le processus de modlisation implique lnumration
de tous les tats possibles et de toutes les transitions entre ces tats. Cette seconde approche
- 158 -
est fortement limite par le fait que les lois rgissant les transitions entre tats doivent tre du
type exponentiel (taux de dfaillance et de rparation constants). Or les dures de
fonctionnement avant dfaillance de nombreux composants ou systmes ne suivent pas
compltement une loi exponentielle et des lois de Dirac peuvent tre mises en jeu
conjointement. On peut donc en conclure que l'approche markovienne ne peut contribuer la
rsolution du problme pos.
La mthodologie, que nous avons utilise, a consist en la modlisation de laspect
fonctionnel et dysfonctionnel de ces systmes en adoptant le formalisme bas sur les rseaux
de Petri stochastiques qui assurent la reprsentation du comportement dynamique de ce type
de systmes. La modlisation est traite sous la forme dune approche stochastique utilisant
les SAN (Stochastic Activity Network). Les SAN sont un formalisme de modlisation puissant
et sont une extension des rseaux de Petri stochastiques. Les SAN conservent toute la
puissance de modlisation des rseaux de Petri stochastiques par lemploi dactivits
stochastiques. Un autre avantage des SAN est manifest par le pouvoir daccder aux
diffrents marquages de toutes les places chaque instant moyennant des portes dentre et de
sortie. Ce formalisme de modlisation est coupl la technique de simulation (simulation de
Monte Carlo) pour lvaluation des performances. Lassociation des rseaux dactivits
stochastiques une mthode de simulation de Monte-Carlo constituent une approche
alternative puissante pour valuer la performance globale en sret de fonctionnement des
systmes prsentant des aspects temporels et dynamiques.
Nous avons pu construire un modle de simulation dun systme instrument de scurit (SIS)
auquel nous avons incorpor quelques fonctionnalits des instruments intelligents dans le but
dvaluer les performances en scurit. Ce modle a ainsi pu tre simul grce loutil
Mbius. Les rsultats de simulation ont bien montr limpact de lutilisation des instruments
intelligents dans une application scuritaire sur les performances en scurit. En effet, les
valeurs des mtriques (PFD et PFS) ont volu avec lintroduction de fonctionnalits propres
aux instruments intelligents illustrant ainsi les mcanismes introduits par ces fonctionnalits.
La modlisation de tous les dispositifs est conue dune manire hirarchique, en partant des
modles de base du systme. La composition est forme par la jonction des modles de base
qui constituent des structures gnriques sous forme de bibliothque de composants.
Lvaluation des performances en scurit est assure par la dtermination des deux mtriques
PFD et PFS qui se rapportent aux deux modes de dfaillances cits par la norme mais aussi du
niveau dintgrit de scurit (SIL).
A travers nos travaux, nous avons pu parvenir aux rsultats suivants :
Nous avons pu laborer un modle fonctionnel dinstrument intelligent intgrant un
ensemble de fonctionnalits relatives au capteur intelligent et lactionneur intelligent
pour tendre vers plus de gnricit.
A travers un premier exemple, nous avons montr quun des apports des instruments
intelligents est la transformation de dfaillances dangereuses en dfaillances sres par
le biais de la diminution de la probabilit des dfaillances dangereuses et
laugmentation de la probabilit des dfaillances sres.
Nous avons pu constater par lintroduction des indicateurs de performances quil
existe un impact direct du niveau dintelligence sur les performances en scurit.
Lamlioration est nettement aperue dans les valeurs des indicateurs de performances
pour des applications niveau lev dintelligence (exemple du rservoir).
- 159 -
Perspectives
Les rsultats obtenus dans cette thse se situent dans le cadre formul par un ensemble
dhypothses: composants non rparables, taux de dfaillance constants, absence de causes
communes de dfaillances. Les perspectives de ces travaux visent revenir sur ces hypothses
en proposant et en mettant en vidence quelques perspectives dextension des rsultats
obtenus :
Concernant les normes CEI 61508 [CEI 00] et CEI 61511 [CEI 03] :
o La prise en compte des paramtres qui figurent dans ces normes tels que le
facteur de dfaillances de cause commune. La prise en compte de ce facteur
se fait en ajoutant au modle dysfonctionnel des instruments en redondance le
modle SAN ces dfaillances de cause commune.
o Lexploration du cas des systmes disposant de taux de demandes lev ou
continu. Cela implique lvaluation du taux de dfaillances par heure (PFH)
comme exig par les normes ddies la scurit CEI 61508 et CEI 61511.
o Lanalyse de limpact sur les dfaillances sres spcialement en relation avec
la fraction des dfaillances sres.
La gnralisation du cas de lincorporation de lintelligence niveau 3 une
architecture rpartie disposant dune multitude dinstruments intelligents
communicant entre eux et changeant leurs informations.
Le traitement du cas de la dfaillance du rseau de communication (pertes de
trames) et voir son influence sur les paramtres en scurit.
- 160 -
- 161 -
Annexes
Annexes
- 162 -
Annexe 1 : La sret de
fonctionnement
- 163 -
La sret de fonctionnement
La scurit confidentialit (ou encore immunit) qui est labsence de divulgation non
autorise dinformations,
- 164 -
Sret de fonctionnement
Fautes
Entraves
Erreurs
Dfaillances
Prvention des fautes
Entraves
- 165 -
principales mthodes utilises lors dune analyse de la sret de fonctionnement sont dcrites
ci-dessous.
- 166 -
- 167 -
les graphes de Markov souffrent de lexplosion du nombre des tats [MON 98], car le
processus de modlisation implique lnumration de tous les tats possibles et de toutes les
transitions entre ces tats.
- 168 -
- 169 -
1. Introduction
Les rseaux de Petri constituent un outil mathmatique de modlisation dvelopp au dbut
des annes soixante par le mathmaticien allemand Carl Adam Petri. Les rseaux de Petri
dcrivent des relations existant entre des conditions et des vnements et ils modlisent le
comportement de systmes dynamiques vnements discrets [DAV 97].
Les rseaux de Petri prsentent des caractristiques intressantes savoir le paralllisme, la
synchronisation, le partage des ressources,
2. Notions de base
2.1. Structure dun rseau de Petri
Un rseau de Petri comporte deux types de nuds, les places et les transitions relis par des
arcs orients. Ltat dun systme est reprsent par son marquage.
Un RdP ordinaire non marqu est un quadruplet Q = < P, T, Pr, Post > tel que :
P = { P1, P2, , Pn } est un ensemble fini et non vide de places,
T = { T1, T2, , Tn } est un ensemble fini et non vide de transitions,
P T = , P et T sont disjoints,
Pr : P x T { 0, 1 } est lapplication dincidence avant ;
Post : P x T { 0, 1 } est lapplication dincidence arrire.
Un marquage initial est une distribution des marques dans lensemble des places P linstant
0.
Si on associe au couple Pi, Tj (Ti, Pj) la valeur 0, alors il nexiste pas darc entre Pi et Tj (Ti
et Pj), sinon ( ce mme couple, on associe la valeur 1) il existe un arc de poids (valuation) 1
entre ces deux arcs.
Le RdP not Q = < P, T, Pr, Post > est dit rseau de Petri ordinaire [DAV 97].
La reprsentation graphique dun rseau de Petri utilise des cercles pour reprsenter les places
et des traits (rectangles parfois) pour reprsenter les transitions. Les arcs sont des flches
auxquelles on associe la valuation (si elle nulle, on ne reprsente pas darc, il nexiste pas).
- 170 -
Place1
Transition1
Place2
Figure A2.1 : Exemple dun rseau de Petri
2.2. Marquage
Le marquage M dun rseau de Petri est une application de P vers IN :
M : P IN
La figure A2.1 reprsente un rseau de Petri marqu. Les places 1 et 2 contiennent des
nombres entiers (positifs ou nuls) de marques ou jetons. Le nombre de marques contenu dans
la place P1 est not M(P1) et il on a M(P1) = 4. Pour le mme exemple, M(P2) = 0. Le
marquage M du rseau entier est dfini par le vecteurs de ces marquages tel que M = (M(P1),
M(P2)) = (4, 0), dans le cas de la figure prcdente. Ltat un certain instant dfinit ltat du
RdP qui reflte ltat du systme modlis par le rseau. Lvolution du marquage par
franchissement des transitions dans un RdP traduit lvolution du systme modlis dans ces
diffrents tats aprs loccurrence de certains vnements.
- 171 -
- 172 -
tiquets par les noms des transitions sont dfinis par la relation de franchissement entre les
marquages [DIA 01].
La recherche du graphe des marquages sous-jacent un rseau de Petri marqu, donne une
reprsentation de lensemble des tats accessibles. Des proprits qualitatives et quantitatives
peuvent tre ensuite extraites de cette nouvelle reprsentation.
Lanalyse par un graphe de marquage ncessite la connaissance au pralable dun marquage
initial, ce qui nest pas toujours le cas.
- 173 -
Il existe une quivalence entre les rseaux T-temporiss et les rseaux P-temporiss, et un
passage dun formalisme lautre est possible par transformation.
OK
KO
- 174 -
Les rseaux de Petri stochastiques qui sont dduits des RdP autonomes (RdP dcrivant
le fonctionnement dun systme voluant de faon autonome et o les instants de
franchissement ne sont pas connus ou indiqus) : cest le modle initialement dfini.
Les marques sensibilisant les transitions ne sont pas rserves,
Les rseaux de Petri temporisation stochastique : ils sont issus des rseaux de Petri
temporiss; lorsquune transition est sensibilise, celle-ci rserve le ou les jetons.
Ces deux types de rseaux de Petri ont le mme comportement sil ny a pas de conflit
effectif.
Le marquage dun RdP stochastique (et non pas dun RdP temporisation stochastique) est un
processus markovien homogne, et donc tous RdP, on peut associer une chane de Markov
homogne.
lapproche qui concerne les proprits de conservation dans un RdP. Celles-ci sont
dduites du calcul des invariants de marquages de places et franchissements de
transitions. On obtient alors des relations de conservation du marquage et du taux de
franchissement,
lapproche qui consiste construire le graphe des marquages accessibles du RdP
autonome sous-jacent et tiqueter chaque arc par un taux de franchissement qui
dpend du taux associ la transition et du marquage des places en amont de cette
transition.
Lanalyse du RdP stochastique se ramne celle dun processus de Markov homogne
espace dtats discrets tems continu. Cette analyse est faite uniquement dans le cas o le
RdP sous-jacent est born.
- 175 -
- 176 -
Annexe 3 : Loutil de
modlisation Mbius
- 177 -
1. Introduction
Mbius est un outil de modlisation supportant les SAN (Stochastic Activity Network). Il
permet la combinaison de modles simples jusquaux modles composs. Les modles se
composent de la description de la structure du rseau et des variables de performances
dsires et des mthodes utilises pour lvaluation de ces performances.
2. SAN
Les SAN sont une gnralisation des rseaux de Petri stochastiques [MOV 84]. Les modles
offrent la possibilit de la concurrence, tolrance aux fautes et la reprsentation dtats
dgrads dans un simple modle. Les SAN sont plus flexibles que beaucoup dautres
extensions de RdP telles que les SPN et les GSPN (respectivement, les rseaux de Petri
stochastiques et les rseaux de Petri stochastiques gnraliss) [AZG 05]. Les SAN offrent
aussi des proprits concernant les RdP colors par lexistence de places spcifiques appeles
"extended places".
La structure des SAN est compose de places, de portes dentre (Input Gates), de portes de
sorties (Output Gates) et dactivits. Les activits sont similaires aux transitions pour les RdP.
Elles sont de deux types : temporiss ou instantanes. Les activits temporelles "timed"
reprsentent les actions du systme modlis dont la dure a un impact sur la performance du
systme. Les activits instantanes "Instantaneous Activity" reprsentent les activits du
systme dont loccurrence est immdiate. Les portes dentre et de sortie contrlent la
validation des activits et assurent des comparaisons ou tests (portes dentre) et des
affectations (portes de sorties). Ces portent dfinissent aussi le marquage lorsque lactivit est
acheve.
Une porte dentre dispose dune sortie unique et de plusieurs entres en quantit limite.
Elle reprsente un lien entre ces places et lactivit unique lie la sortie de la porte.
Une porte de sortie dispose dune entre unique et de plusieurs sorties en quantit limite. Elle
caractrise le lien entre une activit unique en amont et les places en aval de la porte.
La figure A3.1 montre la reprsentation graphique des portes dentre et de sortie :
- 178 -
- 179 -
- 180 -
- 181 -
- 182 -
3.4. Study
Lattribution des valeurs propres aux variables est ralise par ltape qui concerne une tude
particulire (study). Dans cette tape, la possibilit de modification des valeurs des variables
est toujours possible sans retourner aux modles atomiques.
3.5. Solutions
Ltape suivante consiste typiquement appliquer un certain solutionneur (solver) pour
calculer une solution au modle de rcompense. Un solutionneur peut oprer
indpendamment du formalisme dans lequel le modle a t construit, condition que le
modle ait les proprits ncessaires pour le solutionneur.
La solution calcule une variable de rcompense s'appelle un rsultat. Puisque la variable de
rcompense est une variable alatoire, le rsultat est exprim comme la caractristique d'une
variable alatoire. Ceci peut tre, par exemple, la moyenne, la variance, ou la distribution de
la variable de rcompense. Le rsultat peut galement tre l'intervalle de confiance.
Les rsultats estimant les variables recherches peuvent tre donns par un calcul numrique
exact ou bien par simulation. Cette dernire est utilise pour tous les modles conus dans
Mbius.
En gnral la solution par simulation peut tre utilise pour tous les modles conus dans
Mbius, tandis que la solution numrique ne peut tre utilise que pour des modles
respectant les conditions suivantes :
toutes les activits ont une distribution exponentielle sur la dure dactivation,
toutes les activits ont ou bien une distribution exponentielle, ou bien une distribution
dterministe sur la dure dactivation. En plus une seule action dterministe peut tre
active au mme instant.
Dans les deux solutions un nombre de traces peuvent tre sauvegardes pour mieux
comprendre le comportement du modle, comme linstant des franchissements des activits
ou le marquage des places avant et aprs le franchissement.
Il est important de signaler que les solutions par simulation donnent des valeurs approximes
et non pas les valeurs exactes des variables recherches
- 183 -
Rfrences bibliographiques
Rfrences bibliographiques
- 184 -
Rfrences bibliographiques
Rfrences bibliographiques
[AJM 95]
[ALB 91]
[ANT 03]
[ARC 05]
[AUB 04]
[AVI 04]
[AZG 05]
[BAE 01]
[BAI 07]
[BAR 03]
[BAR 02]
[BAY 05]
[BAY 94]
[BAY 93]
- 185 -
Rfrences bibliographiques
[BEA 93]
[BEN 04]
[BEN 01]
Benoit E., Foulloy L., Tailland J., InOMs model: a Service Based Approach
to Intelligent Instruments Design, 5th World Conf. on Systemics, Cybernetics
and Informatics (SCI 2001), Vol. XVI, Orlando, USA, July 2001, pp. 160-164.
[BER 96]
[BEU 06]
[BIS 05]
[BOU 97]
[BOW 94]
[BRO 05]
[CAR 93]
[CAU 04]
L. Cauffriez, J. Ciccotelli, B. Conrard, M. Bayart, the members of the workinggroup CIAME. Design of intelligent distributed control systems: a
dependability point of view. Reliability Engineering and System Safety. Vol
84. pp, 19-32. 2004.
[CAU 03]
[CAL 90]
[CAM 01]
[CAM 99]
Rfrences bibliographiques
[CAM 97]
[CEI 05]
[CEI 03]
[CEI 00]
[CEI 91]
[CEN 00]
[CHE 02]
[CHO 96]
[CHU 03]
[CIA 99]
[CLA 00]
[CLA 95]
[CON 99]
[DAI 03]
Y.S. Dai, M. Xie, K.L. Poh, G.Q. Liu, A study of service reliability for
distributed systems, Reliability Engineering and System Safety 79, 2003, pp.
103-112.
[DAV 97]
- 187 -
Rfrences bibliographiques
[DEA 02]
[DES 06]
[DIA 01]
[DOB 98]
[DOR 93]
[EN 96]
[FAE 00]
[FAL 04]
R. Faller. Project experience with IEC 61508 and its consequences. Safety
Science, vol 42. pp, 405-422. 2004.
[FAR 04]
[FAR 67]
[FAU 02]
[FRA 00]
[GAR 02]
[GAR 98]
[GEH 94]
[GEO 05]
[GEY 05]
[GHO 08]
- 188 -
Rfrences bibliographiques
[GOB 05]
[GOB 01]
[GOB 98]
[GOU 03]
[GRE 91]
[GRI 98]
[GRI 03]
[GRU 98]
[GUO 07]
[HER 97]
[HOK 04]
[HSE 95]
Health and Safety Executive Out of control HSE books, United Kingdom
1995.
[IEE 04]
IEEE Std 1451.4, IEEE Standard for A Smart Transducer Interface for Sensors
and Actuators: Mixed-Mode Communication Protocols and Transducer
Electronic Data Sheet (TEDS) Formats, IEEE Std 1451.4- 2004.
[IEE 98]
- 189 -
Rfrences bibliographiques
collision detection
specifications,1998.
(CSMA/CD)
access
method
and
physical
layer
[INN 06]
[INN 05]
[ISA 04]
[ISA 96]
[ISE 92]
[ISO 99]
ISO/CEI Guide 51. Aspects lis la scurit. Principes directeurs pour les
inclure dans les normes. International Organisation for Standardization. 1999.
[JIA 03]
[JON 01]
C.C.M. Jones, R.E. Bloomfield, P.K.D. Froome and P.G. Bishop, Methods for
assessing the safety integrity of safety-related software of uncertain pedigree
(SOUP),
Report
No:
CRR337
HSE
Books
2001
http://www.hse.gov.uk/research/crr_pdf/2001/crr01337.pdf
[JOS96]
[JUA 02]
[JUA 95]
[JUM 03]
[KER 02]
[KNE 02]
- 190 -
Rfrences bibliographiques
[KOS 06]
[KOS 05]
[KUM 96]
[LAB 02]
[LAF 97]
Joseph La fauci, PLC or DCS : selection and trends, ISA Transactions, vol 36
n1 pp 21 28, 1997.
[LAM 02]
[LAN 08]
[LAP 88]
[LAU 04]
[LEE 01]
[LEE 00]
[LEW 04]
[LUN 07]
[LUN 06]
[MAC 04]
[MAL 94]
- 191 -
Rfrences bibliographiques
[MAR 01]
E. Marszal & W. Goble. High reliability computing for control and safety.
Proceedings of the 2001 Particle Accelerator Conference, Chicago. IEEE. pp,
279-282. 2001.
[MAS 98]
[MAZ 07]
[MED 06]
[MEI 94]
[MEK 06]
[MES 05]
[MEU 04]
M.J.P. van der Meulen. On the use of smart sensors, common cause failure and
the need for diversity. 6th Int. Symp. Programmable Electronic Systems in
Safety Related Applications, Cologne, Germany, TUV, 2004
[MEY 06]
[MKH 08a]
[MKH 08b]
[MKH 07]
[MKH 06a]
[MKH 06b]
- 192 -
Rfrences bibliographiques
[Mbius]
[MON 98]
[MOL 81]
[MOV 84]
[NAT 80]
[NF 04]
[KUM 96]
[NIC 90]
[NOB 04]
[NOI 95]
[NYB 97]
[PAG 80]
[PAR 01]
[PAR 99]
[PER 04]
D. Perry. Selecting sensors for safety instrumented systems per IEC 61511.
Emerson Process Management. Rosemount Division. Chanhassen, USA. 2004.
- 193 -
Rfrences bibliographiques
[PRO 02]
[RAJ 05]
C. R. Raju. Strengthening the weak link : the shutdown valve. Sicon / 05.
Sensors for Industry Conference. Houston, Texas, USA. February 2005.
[REV 05]
[RIC 05]
[RIE 02]
[ROB 93]
[RUM 91]
[SAF 05]
[SAN 95]
[SCH 04]
[SCH 99]
[SHE 94]
[SHN 00]
[SHE 98]
[SIG 07]
[SIG 05]
[SKL 06]
- 194 -
http://www.pilz.com/english/
Rfrences bibliographiques
[SMI 04]
[STA 05]
[STA 94]
[STE 03]
[SUM 00a]
[SUM 00b]
[TAI 04]
[TAI 00]
[TAN 96]
[TAO 05]
[THI 04]
[TIA 00]
[TIX 02]
[TOM 01]
[VIL 06]
[VIL 88]
[VIN 04]
Rfrences bibliographiques
[VYA 03]
[WAL 99]
[WAN 04]
[WAN 01]
[WEI 02]
[WOL 05]
V.P. Wolfgang & M.J.M. Houtermans. The effect of the diagnostic and
periodic testing on the reliability of safety systems. TUV Industrie Service
GmbH, Automation, Software, Information Teschnology (ASI). 2005.
[YAN 05]
[YUR 06]
[ZHA 04]
[ZHA 03]
[ZHA 01]
[ZIM 80]
- 196 -