Documente Academic
Documente Profesional
Documente Cultură
Plan
1. Norme, certification, homologation
2. Les normes de la SdF
3. La scurit fonctionnelle
4. LIEC 61508 :
a. Historique, contenu
b. Intrts, points forts
c. Concepts de Base
d. Approche gnrale
e. Cycle de vie
f. Grands principes de lIEC 61508
g. Dveloppement du logiciel
h. Mise en uvre
i. Gestion documentaire et organisationnelle
j. Limites et piges
5. Exemple de certification
NORME, CERTIFICATION,
HOMOLOGATION
Les participants :
Une autorit de tutelle : ex. ASN (Autorit de Sret Nuclaire).
Une organisation : ex. INCOSE (International Council on Systems
Engineering).
Un groupe de constructeurs/acteurs dun domaine.
Organisme de normalisation (ISO, SAE, CEI, AFNOR )
Administration nationale.
Bien souvent les acteurs priv dun domaine sont moteurs dans
ltablissement des rfrentiels normatifs qui les concerneront!!!
Validation, certification
Certification (ex. COFRAC): procdure par laquelle une tierce
partie donne une assurance crite quun produit, un processus
ou un service est conforme aux exigences spcifies.
Validation : Activit la charge du fournisseur visant
dmontrer par l'analyse et des tests que lquipement satisfait
totalement aux exigences spcifies contractuellement.
Accrditation, homologation
Accrditation (COFRAC) : attestation dlivre par une tierce
partie, ayant rapport un organisme dvaluation de la
conformit, constituant une reconnaissance formelle de la
comptence de ce dernier a raliser des activits spcifiques
dvaluation de la conformit.
Homologation : constat d'aptitude une utilisation donne,
dlivr un quipement fabriqu suivant un processus bien
dfini, dans une unit de production identifie d'un fournisseur
pralablement qualifi. Il en dcoule deux points cruciaux :
Lhomologation est une vrification de l'aptitude une utilisation, et non
la seule conformit aux prescriptions d'une norme,
Elle est prononce par lexploitant final (ex. rseau ferroviaire) et non
par une tierce partie ou un fournisseur.
Directives sret
Directive SEVESO II : prvention des accidents
majeurs sur les sites industriels. Seveso 1976
Impose la mise en place de :
Dispositifs de matrise des risques par les Etats,
Systmes de protection des biens, des personnes
et de lenvironnement pour les sites industriels
classs dangereux. Bhopal 1984
Plans de gestion de la scurit incluant plans
durgence, damnagement du territoire et
dinspection.
La directive nest pas prescriptive sur le plan
technique mais organisationnelle.
Toulouse 2001
Cest donc aux industriels de fixer leur cadre
normatif pour le choix des solutions
techniques.
La scurit fonctionnelle
Les directives telles que SEVESO II, imposent la matrise de la
scurit des installations ou machines. Bon fonctionnement et
matrise des drives.
Def. Scurit : absence de risque inacceptable.
Def. Scurit fonctionnelle : sous ensemble de la scurit globale
qui dpend du bon fonctionnement dun systme ou dun
quipement en rponse ses entres. (un systme garantit activement la
scurit)
Exemple: Un quipement de protection thermique, utilisant un capteur de
TC sur un moteur pour commander son dsenclenchement avant
surchauffe. VS. Une isolation thermique pour supporter les hautes
tempratures.
Le premier est un exemple de scurit fonctionnelle, pas le second, bien
quils traitent tous deux le mme risque.
Fonctions de scurit et
implmentation
1er tape : les risques significatifs doivent tre identifis par le
spcificateur ou le dveloppeur.
2me tape : dterminer si la scurit fonctionnelle est ncessaire pour ces
risques.
Si oui, dfinir les fonctions de scurit ncessaires et les systmes devant
les assurer.
La dfinition de la scurit fonctionnelle fait apparatre deux types
dexigences :
Exigences des fonctions de scurit,
Exigences dintgrit de la scurit (Proba. que la fonction de scurit soit
ralise correctement).
Les exigences des fonctions de scurit sont drives de l'analyse de risque et les
exigences d'intgrit de la scurit sont drives de l'valuation des risques.
Fonctions de scurit et
implmentation
Les fonctions de scurit ncessitent de plus en plus
lutilisation de systmes lectriques, lectroniques et
lectroniques programmables (E/E/EP).
Exercice
LIEC 61508
La CEI
Scurit
Scurit intgre Scurit
fonctionnelle
la conception organisationnelle
(SF)
SF purement
SF mcanique SF E/E/PE
logicielle
Structure du document
Pour le fabricant :
positionner les performances de ses produits par rapport la
concurrence.
Concepts de base
Scurit fonctionnelle
Fonction de scurit
Intgrit de scurit
Systme relatif la scurit : un systme qui la fois :
Met en uvre les fonctions de scurit pour atteindre et maintenir un
tat de scurit,
Est prvu pour atteindre, par lui-mme ou grce dautres systmes
relatifs la scurit, le niveau dintgrit de scurit ncessaire aux
fonctions de scurit requises.
Niveau dintgrit de scurit (SIL : Safety Integrity Level) :
Niveau discret (parmi 4 possibles) permettant de spcifier les prescriptions
concernant lintgrit de scurit des fonctions de scurit allouer aux
systmes E/E/EP relatifs la scurit. Le niveau 4 est le plus lev; le niveau 1
le plus bas.
Approche gnrale
Gestion de la scurit fonctionnelle
Exigences techniques
Principes Comptences des personnes
appliqus
La spcification
La conception et limplmentation
Linstallation et la mise en service
un cycle de Lexploitation et la maintenance
vie intgrant Les modifications aprs rception et le dmantlement
Les SIL sont Mesures destines combattre les pannes alatoires des matriels
atteints par Mesures destines viter les pannes systmatiques des matriels et des logiciels
Approche gnrale
Risque Tolrable
Application du principe
ALARP (As Low As Reasonably
Practicable)
Rq. : Les consquences sont ici supposes constantes, on suppose que lon ne
prend pas de mesure de protection.
Exigences produit
Dtermination SFF
La SFF doit tre calcule pour chaque sous systme de
larchitecture (Composant ou groupe de composant).
La SFF et la couverture de diagnostic doivent tre calcules de
la faon suivante :
Raliser une tude AMDE du sous-systme (ncess. Digramme du SIS,
cblage du sous-systme, taux de dfaillances des sous-composant et
pourcentage de participation aux dfaillances sres ou dangereuses),
Classer les modes de dfaillances en dfaillance sre / dangereuse,
Calculer les probabilits de dfaillances en scurit et de dfaillances
dangereuses pour chaque sous groupe de composants,
Pour chaque groupe de composants calculer la proportion de
dfaillance dangereuse dtects par les tests de diagnostic,
Calculer pour le sous-systme les probabilits totales de dfaillances
dangereuses / en scurit / dangereuses couvertes par le diagnostic.
Calculer la SFF
Pierre DAVID pierre.david@grenoble-inp.fr 46
Anne 2011 2012 UE Sret des Installations Industrielles
Dtermination SFF
Les anomalies ou
dfaillances qui
doivent a minima
tre dtectes afin
de raliser la
couverture de
diagnostic ou qui
doivent faire partie
de la dtermination
de la SFF sont
rpertories dans le
tableau A1 de la
partie 2. Ex:
Techniques de diagnostic
Exemple de calcul
Architecture parallle :
Le SIL du canal le plus fiable
peut tre augment de 1.
Exercice
2)
Exercice (suite)
Indiquez le SIL que peuvent revendiquer les architectures
3) suivantes :
Cible
Capteur Unit de traitement Relais
SFF = 50% SFF = 50% SFF = 80%
Type A Type B Type A
4) Capteur
SFF = 50%
Type A Unit de traitement Relais
SFF = 75% SFF = 80%
Type B Type A
Capteur Concentrateur
SFF = 65% SFF = 92% Cible
Type A Type A
Unit de traitement Relais
SFF = 75% SFF = 80%
Capteur Type B Type A
SFF = 50%
Pierre DAVIDType
pierre.david@grenoble-inp.fr
A 53
Rduire 4 et obtenir le mme SIL avec des composants identiques.
Anne 2011 2012 UE Sret des Installations Industrielles
Rsum de lapproche
Analyse et Classification Prescriptions de scurit Ralisation des E/E/EP
des Risques
Dterminer le Risque
Tolrable Affecter les niveaux SIL
Fonctionnement la sollicitation
Gestion documentaire et
organisationnelle
Il faut spcifier linformation documenter afin daccomplir
efficacement le cycle de vie global.
La documentation doit tre :
Concise et prcise,
Facile comprendre par les personnes qui devront lutiliser,
Correspondre son objectif,
Accessible et actualisable.
Il faut spcifier les activits techniques et de gestion raliser
pendant le cycle de vie globale.
Les personnes, services et organisations responsables de chaque
activits doivent tre clairement identifies.
Des preuves sur la comptence des personnes impliques doivent
tre donnes.
Limites et piges
Les systmes traits se dgradent avec le temps, attention aux
changements de SIL :
Limites et piges
Les chiffres :
Difficult disposer dun bon Retour dExprience.
Manque de justification sur les formules de calcul de la partie 6
(manque dhypothses).
Dpassement instantan des SIL en exploitation.
EXEMPLE DE CERTIFICATION
Exemple de Certification
LINERIS se pose comme autorit de certification pour la
norme CEI 61508.
Droulement de la certification:
Demande de certification
Examen du dossier de certification :
Audit de lorganisation
Examen du dossier de certification
Dcision dattribution de la certification
BONUS
Bibliographie
CEI 61508 : Comit Electrotechnique International Scurit fonctionnelle des systmes
lectriques / lectroniques / lectroniques programmables relatifs la scurit Partie 1
7.
D. Charpentier, A. Adjadj : Prsentation de la norme EN 61508 publication de lINERIS.
D. Delahaye : Cours de Sret de Fonctionnement Cours N4 : Normes CNAM 2009-
2010.
ISA, Club Automation : Guide dinterprtation et dapplication de la norme IEC 61508 et de
ses normes drives IEC 61511 et IEC 62061 11/04/2005.
A. Mkhida : Contribution lvaluation de la sret de fonctionnement des systmes
instruments de scurit intgrant de lintelligence Thse de doctorat de lINP de
Lorraine, soutenue le 14 novembre 2008 Nancy.
INERIS : Rfrentiel SIL-INERIS, certification de conformit la orme CEI 61508 Version
1.1 Valide 11/01/2007.
[Tiennot et al. 2008]: R. Tiennot, C. Grenouilloux, Y. Chaabi, J.P. Signoret, P. Bertho & B.
Nicolas. tude et Certification dun systme instrument de scurit sous-marin. 16me
Congrs de Matrise des Risques et Sret de Fonctionnement. 6 -10 Octobre 2008,
Avignon.