Les machines, les usines de traitement et les autres équipements peuvent, s'ils fonctionnent mal, présenter des risques d'événements dangereux tels que des incendies, des explosions, des surdoses de rayonnement et des pièces mobiles. L'une des causes de dysfonctionnement de ces usines, équipements et machines est la défaillance des dispositifs électromécaniques, électroniques et électroniques programmables (E/E/PE) utilisés dans la conception de leurs systèmes de contrôle ou de sécurité. Ces pannes peuvent provenir soit de défauts physiques de l'appareil (par exemple, d'une usure se produisant de manière aléatoire dans le temps (pannes matérielles aléatoires)) ; ou de défauts systématiques (par exemple, des erreurs commises dans la spécification et la conception d'un système qui provoquent sa défaillance en raison de (1) une combinaison particulière d'entrées, (2) certaines conditions environnementales (3) des entrées incorrectes ou incomplètes des capteurs, ( 4) saisie de données incomplète ou erronée par les opérateurs, et (5) défauts systématiques potentiels dus à une mauvaise conception de l'interface).

Défaillances des systèmes liés à la sécurité

Cet article couvre la sécurité fonctionnelle des systèmes de commande liés à la sécurité et examine les exigences techniques matérielles et logicielles nécessaires pour atteindre l'intégrité de sécurité requise. L'approche globale est conforme à la norme CEI 1508, parties 2 et 3 (CEI 1993) proposée par la Commission électrotechnique internationale. L'objectif général du projet de norme internationale CEI 1508, Sécurité fonctionnelle : systèmes liés à la sécurité, est de garantir que les installations et les équipements peuvent être automatisés en toute sécurité. Un objectif clé dans l'élaboration de la norme internationale proposée est d'empêcher ou de minimiser la fréquence de :

• les défaillances des systèmes de contrôle déclenchant d'autres événements qui à leur tour pourraient entraîner un danger (par exemple, le système de contrôle échoue, le contrôle est perdu, le processus devient incontrôlable entraînant un incendie, la libération de matières toxiques, etc.)
• défaillances des systèmes d'alarme et de surveillance, de sorte que les opérateurs ne reçoivent pas d'informations sous une forme rapidement identifiable et compréhensible pour mener à bien les actions d'urgence nécessaires
• défaillances non détectées dans les systèmes de protection, les rendant indisponibles en cas de besoin pour une action de sécurité (par exemple, une carte d'entrée défaillante dans un système d'arrêt d'urgence).

L'article "Systèmes électriques, électroniques et électroniques programmables relatifs à la sécurité" définit l'approche générale de gestion de la sécurité intégrée dans la partie 1 de la CEI 1508 pour assurer la sécurité des systèmes de commande et de protection qui sont importants pour la sécurité. Cet article décrit la conception technique globale nécessaire pour réduire le risque d'accident à un niveau acceptable, y compris le rôle de tout système de contrôle ou de protection basé sur la technologie E/E/PE.

Dans la figure 1, le risque lié à l'équipement, à l'usine de traitement ou à la machine (généralement appelé équipement sous contrôle (EUC) sans dispositifs de protection) est marqué à une extrémité de l'échelle de risque EUC, et le niveau de risque cible nécessaire pour atteindre le niveau de sécurité requis est à l'autre extrémité. Entre les deux, est illustrée la combinaison de systèmes liés à la sûreté et d'installations externes de réduction des risques nécessaires pour réaliser la réduction des risques requise. Ceux-ci peuvent être de différents types : mécaniques (par exemple, des soupapes de surpression), hydrauliques, pneumatiques, physiques, ainsi que des systèmes E/E/PE. La figure 2 met l'accent sur le rôle de chaque couche de sécurité dans la protection de l'EUC à mesure que l'accident progresse.

Figure 1. Réduction des risques : Concepts généraux

Figure 2. Modèle global : Couches de protection

À condition qu'une analyse des dangers et des risques ait été effectuée sur l'EUC comme requis dans la partie 1 de la CEI 1508, la conception conceptuelle globale de la sécurité a été établie et, par conséquent, les fonctions requises et le niveau d'intégrité de sécurité (SIL) cible pour tout E/E/ Un système de contrôle ou de protection PE a été défini. La cible du niveau d'intégrité de sécurité est définie par rapport à une mesure de défaillance cible (voir tableau 1).

Tableau 1. Niveaux d'intégrité de sécurité pour les systèmes de protection : mesures de défaillance ciblées

Niveau d'intégrité de sécurité                        Mode de fonctionnement à la demande (probabilité de ne pas exécuter sa fonction de conception à la demande)

4 10^-5 ≤ × 10^-4

3 10^-4 ≤ × 10^-3

2 10^-3 ≤ × 10^-2

1 10^-2 ≤ × 10^-1 

Systèmes de protection

Ce document décrit les exigences techniques que le concepteur d'un système E/E/PE relatif à la sécurité doit prendre en compte pour satisfaire à l'objectif de niveau d'intégrité de sécurité requis. L'accent est mis sur un système de protection typique utilisant l'électronique programmable afin de permettre une discussion plus approfondie des problèmes clés avec peu de perte de généralité. Un système de protection typique est illustré à la figure 3, qui représente un système de sécurité à un seul canal avec une coupure secondaire activée via un dispositif de diagnostic. En fonctionnement normal, la condition dangereuse de l'EUC (par exemple, survitesse dans une machine, température élevée dans une usine chimique) sera détectée par le capteur et transmise à l'électronique programmable, qui commandera aux actionneurs (via les relais de sortie) de mettre le système dans un état sûr (par exemple, couper l'alimentation du moteur électrique de la machine, ouvrir une vanne pour relâcher la pression).

Figure 3. Système de protection typique

Mais que se passe-t-il en cas de défaillance des composants du système de protection ? C'est la fonction de l'arrêt secondaire, qui est activé par la fonction de diagnostic (autocontrôle) de cette conception. Cependant, le système n'est pas complètement à sécurité intégrée, car la conception n'a qu'une certaine probabilité d'être disponible lorsqu'on lui demande d'assurer sa fonction de sécurité (elle a une certaine probabilité de défaillance à la demande ou un certain niveau d'intégrité de sécurité). Par exemple, la conception ci-dessus pourrait être capable de détecter et de tolérer certains types de défaillance de la carte de sortie, mais elle ne serait pas capable de résister à une défaillance de la carte d'entrée. Par conséquent, son intégrité de sécurité sera bien inférieure à celle d'une conception avec une carte d'entrée à plus grande fiabilité, ou des diagnostics améliorés, ou une combinaison de ceux-ci.

Il existe d'autres causes possibles de pannes de carte, y compris des défauts physiques "traditionnels" dans le matériel, des défauts systématiques, y compris des erreurs dans la spécification des exigences, des défauts de mise en œuvre dans le logiciel et une protection inadéquate contre les conditions environnementales (par exemple, l'humidité). Les diagnostics de cette conception monocanal peuvent ne pas couvrir tous ces types de défauts, ce qui limitera le niveau d'intégrité de sécurité atteint dans la pratique. (La couverture est une mesure du pourcentage de défauts qu'une conception peut détecter et gérer en toute sécurité.)

Exigences techniques

Les parties 2 et 3 du projet de CEI 1508 fournissent un cadre pour identifier les diverses causes potentielles de défaillance du matériel et des logiciels et pour sélectionner les caractéristiques de conception qui surmontent ces causes potentielles de défaillance appropriées au niveau d'intégrité de sécurité requis du système relatif à la sécurité. Par exemple, l'approche technique globale du système de protection de la figure 3 est illustrée à la figure 4. La figure indique les deux stratégies de base pour surmonter les défauts et les défaillances : (1) évitement des fautes, où l'on veille à éviter la création de défauts ; et (2) tolérance aux pannes, où la conception est créée spécifiquement pour tolérer des défauts spécifiés. Le système monocanal mentionné ci-dessus est un exemple de conception (limitée) tolérante aux pannes où les diagnostics sont utilisés pour détecter certains défauts et mettre le système dans un état sûr avant qu'une défaillance dangereuse ne se produise.

Figure 4. Spécification de conception : solution de conception

Évitement des pannes

L'évitement des pannes tente d'empêcher l'introduction de pannes dans un système. L'approche principale consiste à utiliser une méthode systématique de gestion du projet afin que la sécurité soit traitée comme une qualité définissable et gérable d'un système, lors de la conception, puis ultérieurement lors de l'exploitation et de la maintenance. La démarche, qui s'apparente à l'assurance qualité, repose sur le concept de retour d'expérience et implique : (1) et la planification de votre patrimoine (définir les objectifs de sécurité, identifier les voies et moyens pour atteindre les objectifs) ; (2) mesure réalisation par rapport au plan pendant la mise en œuvre et (3) l'application Réactions pour corriger tout écart. Les revues de conception sont un bon exemple de technique d'évitement des erreurs. Dans la CEI 1508, cette approche "qualité" de la prévention des pannes est facilitée par les exigences d'utilisation d'un cycle de vie de sécurité et d'utilisation de procédures de gestion de la sécurité pour le matériel et les logiciels. Pour ces derniers, ceux-ci se manifestent souvent par des procédures d'assurance qualité du logiciel telles que celles décrites dans l'ISO 9000-3 (1990).

De plus, les parties 2 et 3 de la CEI 1508 (concernant respectivement le matériel et les logiciels) classent certaines techniques ou mesures considérées comme utiles pour éviter les défauts au cours des différentes phases du cycle de vie de sécurité. Le tableau 2 donne un exemple de la partie 3 pour la phase de conception et de développement du logiciel. Le concepteur utiliserait le tableau pour aider à la sélection des techniques d'évitement des défauts, en fonction du niveau d'intégrité de sécurité requis. Avec chaque technique ou mesure dans les tableaux, il y a une recommandation pour chaque niveau d'intégrité de sécurité, de 1 à 4. La gamme de recommandations couvre Hautement recommandé (HR), Recommandé (R), Neutre—ni pour ou contre (—) et Non recommandé (NR).

Tableau 2. Conception et développement de logiciels

HR = fortement recommandé ; R = recommandé ; NR = déconseillé ;— = neutre : la technique/mesure n'est ni pour ni contre le SIL.
Remarque : une technique/mesure numérotée doit être sélectionnée en fonction du niveau d'intégrité de sécurité.

Tolérance aux pannes

La CEI 1508 exige des niveaux croissants de tolérance aux pannes à mesure que la cible d'intégrité de sécurité augmente. La norme reconnaît cependant que la tolérance aux pannes est plus importante lorsque les systèmes (et les composants qui composent ces systèmes) sont complexes (désignés comme Type B dans la CEI 1508). Pour les systèmes moins complexes et « bien éprouvés », le degré de tolérance aux pannes peut être assoupli.

Tolérance aux pannes matérielles aléatoires

Le tableau 3 montre les exigences de tolérance aux pannes contre les pannes matérielles aléatoires dans les composants matériels complexes (par exemple, les microprocesseurs) lorsqu'ils sont utilisés dans un système de protection tel que celui illustré à la figure 3. Le concepteur peut avoir besoin d'envisager une combinaison appropriée de diagnostics, de tolérance aux pannes et vérifications manuelles pour surmonter cette classe de défaut, en fonction du niveau d'intégrité de sécurité requis.

Tableau 3. Niveau d'intégrité de sécurité - Exigences de défaut pour les composants de type B¹

1 Les défauts non détectés liés à la sécurité doivent être détectés par le contrôle périodique.

2 Pour les composants sans couverture de diagnostic moyen en ligne, le système doit être capable d'exécuter la fonction de sécurité en présence d'un seul défaut. Les défauts non détectés liés à la sécurité doivent être détectés par le contrôle périodique.

3 Pour les composants avec une couverture de diagnostic en ligne élevée, le système doit être capable d'exécuter la fonction de sécurité en présence d'un seul défaut. Pour les composants sans couverture de diagnostic en ligne élevée, le système doit pouvoir exécuter la fonction de sécurité en présence de deux défauts. Les défauts non détectés liés à la sécurité doivent être détectés par le contrôle périodique.

4 Les composants doivent pouvoir assurer la fonction de sécurité en présence de deux défauts. Les défauts doivent être détectés avec une couverture de diagnostic élevée en ligne. Les défauts non détectés liés à la sécurité doivent être détectés par le contrôle périodique. L'analyse matérielle quantitative doit être basée sur les hypothèses les plus défavorables.

¹Composants dont les modes de défaillance ne sont pas bien définis ou testables, ou pour lesquels les données de défaillance issues de l'expérience sur le terrain sont médiocres (par exemple, les composants électroniques programmables).

La CEI 1508 aide le concepteur en fournissant des tableaux de spécifications de conception (voir tableau 4) avec des paramètres de conception indexés par rapport au niveau d'intégrité de sécurité pour un certain nombre d'architectures de système de protection couramment utilisées.

Tableau 4. Exigences pour le niveau d'intégrité de sécurité 2 - Architectures de systèmes électroniques programmables pour les systèmes de protection

La première colonne du tableau représente les architectures avec différents degrés de tolérance aux pannes. En général, les architectures placées près du bas du tableau ont un degré de tolérance aux pannes plus élevé que celles situées près du haut. Un système 1oo2 (un sur deux) est capable de résister à n'importe quel défaut, tout comme 2oo3.

La deuxième colonne décrit le pourcentage de couverture de tout diagnostic interne. Plus le niveau de diagnostic est élevé, plus les défauts seront piégés. Dans un système de protection, cela est important car, à condition que le composant défaillant (par exemple, une carte d'entrée) soit réparé dans un délai raisonnable (souvent 8 heures), il y a peu de perte de sécurité fonctionnelle. (Remarque : ce ne serait pas le cas pour un système de contrôle continu, car tout défaut est susceptible de provoquer une condition dangereuse immédiate et le potentiel d'un incident.)

La troisième colonne montre l'intervalle entre les tests périodiques. Ce sont des tests spéciaux qui doivent être effectués pour exercer à fond le système de protection afin de s'assurer qu'il n'y a pas de défauts cachés. Celles-ci sont généralement effectuées par le fournisseur d'équipement pendant les périodes d'arrêt de l'usine.

La quatrième colonne indique le taux de déclenchement intempestif. Un déclenchement intempestif est un déclenchement qui provoque l'arrêt de l'usine ou de l'équipement lorsqu'il n'y a pas d'écart de procédé. Le prix de la sécurité est souvent un taux de déclenchement intempestif plus élevé. Un système de protection redondant simple - 1oo2 - a, avec tous les autres facteurs de conception inchangés, un niveau d'intégrité de sécurité plus élevé mais également un taux de déclenchement intempestif plus élevé qu'un système à canal unique (1oo1).

Si l'une des architectures du tableau n'est pas utilisée ou si le concepteur souhaite effectuer une analyse plus fondamentale, la CEI 1508 autorise cette alternative. Des techniques d'ingénierie de la fiabilité telles que la modélisation de Markov peuvent ensuite être utilisées pour calculer l'élément matériel du niveau d'intégrité de sécurité (Johnson 1989 ; Goble 1992).

Tolérance aux défaillances systématiques et de cause commune

Cette classe de défaillance est très importante dans les systèmes de sécurité et constitue le facteur limitant pour la réalisation de l'intégrité de la sécurité. Dans un système redondant, un composant ou un sous-système, voire l'ensemble du système, est dupliqué pour obtenir une haute fiabilité à partir de pièces à faible fiabilité. L'amélioration de la fiabilité se produit parce que, statistiquement, le risque que deux systèmes échouent simultanément par des défauts aléatoires sera le produit des fiabilités des systèmes individuels, et donc beaucoup plus faible. D'autre part, les défauts systématiques et de cause commune entraînent la défaillance simultanée de systèmes redondants lorsque, par exemple, une erreur de spécification dans le logiciel entraîne la défaillance simultanée des parties dupliquées. Un autre exemple serait la panne d'une alimentation électrique commune à un système redondant.

La CEI 1508 fournit des tableaux de techniques d'ingénierie classées par rapport au niveau d'intégrité de sécurité considérées comme efficaces pour assurer une protection contre les défaillances systématiques et de cause commune.

Des exemples de techniques offrant des défenses contre les défaillances systématiques sont la diversité et la redondance analytique. La base de la diversité est que si un concepteur implémente un deuxième canal dans un système redondant en utilisant une technologie ou un langage logiciel différent, alors les défauts dans les canaux redondants peuvent être considérés comme indépendants (c'est-à-dire une faible probabilité de défaillance fortuite). Cependant, en particulier dans le domaine des systèmes logiciels, il semble que cette technique ne soit pas efficace, car la plupart des erreurs se trouvent dans la spécification. La redondance analytique tente d'exploiter des informations redondantes dans l'usine ou la machine pour identifier les défauts. Pour les autres causes de défaillance systématique, par exemple les contraintes externes, la norme fournit des tableaux donnant des conseils sur les bonnes pratiques d'ingénierie (par exemple, séparation des câbles de signal et d'alimentation) indexés par rapport au niveau d'intégrité de sécurité.

Conclusions

Les systèmes informatisés offrent de nombreux avantages, non seulement économiques, mais également susceptibles d'améliorer la sécurité. Cependant, l'attention portée aux détails requise pour réaliser ce potentiel est nettement plus grande que dans le cas de l'utilisation de composants de système conventionnels. Cet article a décrit les principales exigences techniques qu'un concepteur doit prendre en compte pour exploiter avec succès cette technologie.

Retour

Cet article traite de la conception et de la mise en œuvre de systèmes de commande liés à la sécurité qui traitent de tous les types de systèmes électriques, électroniques et électroniques programmables (y compris les systèmes informatisés). L'approche globale est conforme à la norme 1508 proposée par la Commission électrotechnique internationale (CEI) (Sécurité fonctionnelle : relative à la sécurité 

Système) (CEI 1993).

Contexte

Au cours des années 1980, les systèmes informatisés - généralement appelés systèmes électroniques programmables (PES) - ont été de plus en plus utilisés pour exécuter des fonctions de sécurité. Les principales forces motrices de cette tendance étaient (1) l'amélioration des fonctionnalités et des avantages économiques (en particulier compte tenu du cycle de vie total de l'appareil ou du système) et (2) l'avantage particulier de certaines conceptions, qui ne pouvaient être réalisées que lorsque la technologie informatique était utilisée. . Au cours de l'introduction précoce des systèmes informatisés, un certain nombre de constatations ont été faites :

• L'introduction du contrôle par ordinateur a été mal pensée et mal planifiée.
• Des exigences de sécurité inadéquates ont été spécifiées.
• Des procédures inadéquates ont été élaborées en ce qui a trait à la validation des logiciels.
• Des preuves de mauvaise qualité d'exécution ont été divulguées en ce qui concerne la norme d'installation de l'usine.
• Une documentation inadéquate a été générée et n'a pas été validée de manière adéquate en ce qui concerne ce qui se trouvait réellement dans l'usine (par opposition à ce que l'on croyait être dans l'usine).
• Des procédures d'exploitation et d'entretien moins que pleinement efficaces avaient été établies.
• Il y avait manifestement des inquiétudes justifiées quant à la compétence des personnes pour s'acquitter des fonctions qui leur incombent.

Afin de résoudre ces problèmes, plusieurs organismes ont publié ou commencé à élaborer des lignes directrices pour permettre l'exploitation en toute sécurité de la technologie PES. Au Royaume-Uni, le Health and Safety Executive (HSE) a élaboré des directives pour les systèmes électroniques programmables utilisés pour les applications liées à la sécurité, et en Allemagne, un projet de norme (DIN 1990) a été publié. Au sein de la Communauté européenne, un élément important des travaux sur les normes européennes harmonisées concernant les systèmes de commande relatifs à la sécurité (y compris ceux utilisant des SPE) a été lancé en relation avec les exigences de la directive Machines. Aux États-Unis, l'Instrument Society of America (ISA) a produit une norme sur les PES à utiliser dans les industries de transformation, et le Center for Chemical Process Safety (CCPS), une direction de l'American Institute of Chemical Engineers, a produit des lignes directrices pour le secteur des procédés chimiques.

Une importante initiative de normalisation est actuellement en cours au sein de la CEI pour développer une norme internationale générique pour les systèmes électriques, électroniques et électroniques programmables (E/E/PES) relatifs à la sécurité qui pourrait être utilisée par les nombreux secteurs d'application, y compris les processus, secteurs médical, des transports et des machines. La norme internationale CEI proposée comprend sept parties sous le titre général CEI 1508. Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables relatifs à la sécurité. Les différentes parties sont les suivantes :

• Partie 1.Exigences générales
• Partie 2. Exigences pour les systèmes électriques, électroniques et électroniques programmables
• Partie 3. Configuration logicielle requise
• Partie 4.Définitions
• Partie 5. Exemples de méthodes de détermination des niveaux d'intégrité de sécurité
• Partie 6. Lignes directrices sur l'application des parties 2 et 3
• Partie 7.Aperçu des techniques et des mesures.

Une fois finalisée, cette Norme internationale à base générique constituera une publication CEI de sécurité fondamentale couvrant la sécurité fonctionnelle des systèmes électriques, électroniques et électroniques programmables relatifs à la sécurité et aura des implications pour toutes les normes CEI, couvrant tous les secteurs d'application en ce qui concerne la conception et l'utilisation futures des systèmes électriques/électroniques/électroniques programmables liés à la sécurité. L'un des principaux objectifs de la norme proposée est de faciliter l'élaboration de normes pour les différents secteurs (voir figure 1).

Figure 1. Normes génériques et sectorielles d'application

Avantages et problèmes du PSE

L'adoption des PES à des fins de sécurité présentait de nombreux avantages potentiels, mais il a été reconnu que ceux-ci ne seraient atteints que si des méthodologies de conception et d'évaluation appropriées étaient utilisées, car : (1) de nombreuses caractéristiques des PES ne permettent pas l'intégrité de la sécurité (c'est-à-dire c'est-à-dire que les performances de sécurité des systèmes exécutant les fonctions de sécurité requises) doivent être prédites avec le même degré de confiance que celui qui est traditionnellement disponible pour les systèmes matériels moins complexes ("câblés") ; (2) il a été reconnu que si les tests étaient nécessaires pour les systèmes complexes, ils n'étaient pas suffisants en eux-mêmes. Cela signifiait que même si le SPE mettait en œuvre des fonctions de sécurité relativement simples, le niveau de complexité de l'électronique programmable était nettement supérieur à celui des systèmes câblés qu'ils remplaçaient ; et (3) cette montée en complexité signifiait que les méthodologies de conception et d'évaluation devaient être beaucoup plus prises en compte qu'auparavant, et que le niveau de compétence personnelle requis pour atteindre des niveaux de performance adéquats des systèmes relatifs à la sécurité était par la suite plus élevé.

Les avantages des SPE informatisés sont les suivants :

• la possibilité d'effectuer des vérifications de diagnostic en ligne sur des composants critiques à une fréquence nettement supérieure à ce qui serait autrement le cas
• le potentiel de fournir des verrouillages de sécurité sophistiqués
• la capacité de fournir des fonctions de diagnostic et de surveillance de l'état qui peuvent être utilisées pour analyser et rendre compte des performances des installations et des machines en temps réel
• la capacité de comparer les conditions réelles de la centrale avec les conditions modèles « idéales »
• le potentiel de fournir de meilleures informations aux opérateurs et donc d'améliorer la prise de décision affectant la sécurité
• l'utilisation de stratégies de contrôle avancées pour permettre aux opérateurs humains d'être localisés à distance des environnements dangereux ou hostiles
• la possibilité de diagnostiquer le système de contrôle à distance.

L'utilisation de systèmes informatisés dans des applications liées à la sécurité crée un certain nombre de problèmes qui doivent être résolus de manière adéquate, tels que les suivants :

• Les modes de défaillance sont complexes et pas toujours prévisibles.
• Le test du calculateur est nécessaire mais ne suffit pas à lui seul pour établir que les fonctions de sécurité seront exécutées avec le degré de certitude requis pour l'application.
• Les microprocesseurs peuvent présenter des variations subtiles entre différents lots et, par conséquent, différents lots peuvent afficher un comportement différent.
• Les systèmes informatisés non protégés sont particulièrement sensibles aux interférences électriques (interférences rayonnées ; « pics » électriques dans les réseaux, décharges électrostatiques, etc.).
• Il est difficile et souvent impossible de quantifier la probabilité de défaillance de systèmes complexes liés à la sécurité incorporant des logiciels. Parce qu'aucune méthode de quantification n'a été largement acceptée, l'assurance logicielle a été basée sur des procédures et des normes qui décrivent les méthodes à utiliser dans la conception, la mise en œuvre et la maintenance du logiciel.

Systèmes de sécurité à l'étude

Les types de systèmes relatifs à la sécurité considérés sont les systèmes électriques, électroniques et électroniques programmables (E/E/PES). Le système comprend tous les éléments, en particulier les signaux provenant de capteurs ou d'autres dispositifs d'entrée sur l'équipement sous contrôle, et transmis via des autoroutes de données ou d'autres voies de communication aux actionneurs ou à d'autres dispositifs de sortie (voir figure 2).

Figure 2. Système électrique, électronique et électronique programmable (E/E/PES)

Le terme appareil électrique, électronique et électronique programmable a été utilisé pour englober une grande variété de dispositifs et couvre les trois classes principales suivantes :

1. appareils électriques tels que relais électromécaniques
2. appareils électroniques tels que les instruments électroniques à semi-conducteurs et les systèmes logiques
3. appareils électroniques programmables, qui comprend une grande variété de systèmes informatisés tels que les suivants :

• microprocesseurs
• microcontrôleurs
• automates programmables (PC)
• circuits intégrés spécifiques à l'application (ASIC)
• contrôleurs logiques programmables (PLC)
• autres dispositifs informatiques (par exemple, capteurs, transmetteurs et actionneurs « intelligents »).

Par définition, un système relatif à la sécurité a deux objectifs :

1. Il met en œuvre les fonctions de sécurité requises nécessaires pour atteindre un état sûr pour l'équipement sous contrôle ou maintenir un état sûr pour l'équipement sous contrôle. Le système relatif à la sécurité doit exécuter les fonctions de sécurité qui sont spécifiées dans la spécification des exigences des fonctions de sécurité pour le système. Par exemple, la spécification des exigences des fonctions de sécurité peut stipuler que lorsque la température atteint une certaine valeur x, soupape y doit s'ouvrir pour permettre à l'eau d'entrer dans le récipient.
2. Il atteint, seul ou avec d'autres systèmes relatifs à la sécurité, le niveau d'intégrité de sécurité nécessaire pour la mise en œuvre des fonctions de sécurité requises. Les fonctions de sécurité doivent être exécutées par les systèmes relatifs à la sécurité avec le degré de confiance approprié à l'application afin d'atteindre le niveau de sécurité requis pour l'équipement sous contrôle.

Ce concept est illustré à la figure 3.

Figure 3. Principales caractéristiques des systèmes liés à la sécurité

Pannes du système

Afin d'assurer un fonctionnement sûr des systèmes E/E/PES relatifs à la sécurité, il est nécessaire de reconnaître les diverses causes possibles de défaillance du système relatif à la sécurité et de s'assurer que des précautions adéquates sont prises contre chacune. Les défaillances sont classées en deux catégories, comme illustré à la figure 4.

Figure 4. Catégories de défaillance

1. Les pannes matérielles aléatoires sont les pannes qui résultent d'une variété de mécanismes normaux de dégradation du matériel. De nombreux mécanismes de ce type se produisent à des rythmes différents dans différents composants, et comme les tolérances de fabrication entraînent la défaillance des composants en raison de ces mécanismes après différents temps de fonctionnement, les défaillances d'un équipement total comprenant de nombreux composants se produisent à des moments imprévisibles (aléatoires). Les mesures de la fiabilité du système, telles que le temps moyen entre les pannes (MTBF), sont utiles mais ne concernent généralement que les pannes matérielles aléatoires et n'incluent pas les pannes systématiques.
2. Les défaillances systématiques résultent d'erreurs dans la conception, la construction ou l'utilisation d'un système qui provoquent sa défaillance sous une combinaison particulière d'entrées ou dans certaines conditions environnementales particulières. Si une défaillance du système se produit lorsqu'un ensemble particulier de circonstances survient, alors chaque fois que ces circonstances se présenteront à l'avenir, il y aura toujours une défaillance du système. Toute défaillance d'un système relatif à la sécurité qui ne résulte pas d'une défaillance matérielle aléatoire est, par définition, une défaillance systématique. Les défaillances systématiques, dans le contexte des systèmes E/E/PES liés à la sécurité, comprennent :

• défaillances systématiques dues à des erreurs ou omissions dans la spécification des exigences des fonctions de sécurité
• défaillances systématiques dues à des erreurs dans la conception, la fabrication, l'installation ou le fonctionnement du matériel. Celles-ci incluraient les défaillances résultant de causes environnementales et d'erreurs humaines (par exemple, l'opérateur)
• défaillances systématiques dues à des défauts dans le logiciel
• défaillances systématiques dues à des erreurs de maintenance et de modification.

Protection des systèmes liés à la sécurité

Les termes utilisés pour indiquer les mesures de précaution requises par un système relatif à la sécurité pour se protéger contre les pannes matérielles aléatoires et les pannes systématiques sont mesures d'intégrité de la sécurité du matériel et mesures systématiques d'intégrité de la sécurité respectivement. Les mesures de précaution qu'un système lié à la sécurité peut appliquer contre les pannes matérielles aléatoires et les pannes systématiques sont appelées intégrité de la sécurité. Ces concepts sont illustrés dans la figure 5.

Figure 5. Termes de performance de sécurité

Dans la norme internationale CEI 1508 proposée, il existe quatre niveaux d'intégrité de sécurité, appelés niveaux d'intégrité de sécurité 1, 2, 3 et 4. Le niveau d'intégrité de sécurité 1 est le niveau d'intégrité de sécurité le plus bas et le niveau d'intégrité de sécurité 4 est le plus élevé. Le niveau d'intégrité de la sécurité (qu'il soit 1, 2, 3 ou 4) pour le système relatif à la sécurité dépendra de l'importance du rôle joué par le système relatif à la sécurité pour atteindre le niveau de sécurité requis pour l'équipement sous contrôle. Plusieurs systèmes liés à la sécurité peuvent être nécessaires, dont certains peuvent être basés sur la technologie pneumatique ou hydraulique.

Conception de systèmes liés à la sécurité

Une analyse récente de 34 incidents impliquant des systèmes de contrôle (HSE) a révélé que 60 % de tous les cas de défaillance avaient été « intégrés » avant que le système de contrôle lié à la sécurité n'ait été mis en service (figure 7). La prise en compte de toutes les phases du cycle de vie de la sécurité est nécessaire si l'on veut produire des systèmes adéquats relatifs à la sécurité.

Figure 7. Cause principale (par phase) de la défaillance du système de contrôle

La sécurité fonctionnelle des systèmes relatifs à la sécurité dépend non seulement de la garantie que les exigences techniques sont correctement spécifiées, mais également de la garantie que les exigences techniques sont effectivement mises en œuvre et que l'intégrité de la conception initiale est maintenue tout au long de la vie de l'équipement. Cela ne peut être réalisé que si un système de gestion de la sécurité efficace est en place et que les personnes impliquées dans toute activité sont compétentes en ce qui concerne les tâches qu'elles doivent accomplir. En particulier lorsque des systèmes complexes liés à la sécurité sont impliqués, il est essentiel qu'un système de gestion de la sécurité adéquat soit en place. Cela conduit à une stratégie qui garantit ce qui suit :

• Un système efficace de gestion de la sécurité est en place.
• Les exigences techniques spécifiées pour les systèmes E/E/PES relatifs à la sécurité sont suffisantes pour traiter à la fois les causes matérielles aléatoires et les causes de défaillance systématiques.
• La compétence des personnes impliquées est suffisante pour les tâches qu'elles doivent accomplir.

Afin de répondre de manière systématique à toutes les exigences techniques pertinentes de la sécurité fonctionnelle, le concept de cycle de vie de la sécurité a été développé. Une version simplifiée du cycle de vie de la sécurité dans la norme internationale émergente CEI 1508 est illustrée à la figure 8. Les phases clés du cycle de vie de la sécurité sont :

Figure 8. Rôle du cycle de vie de sécurité dans la réalisation de la sécurité fonctionnelle

• spécification
• conception et réalisation
• installation et mise en service
• opération et maintenance
• modifications après la mise en service.

Niveau de sécurité

La stratégie de conception pour l'obtention de niveaux adéquats d'intégrité de sécurité pour les systèmes relatifs à la sécurité est illustrée dans la figure 9 et la figure 10. Un niveau d'intégrité de sécurité est basé sur le rôle que le système relatif à la sécurité joue dans la réalisation du niveau global de sécurité pour les équipements sous contrôle. Le niveau d'intégrité de sécurité spécifie les précautions qui doivent être prises en compte dans la conception contre les pannes matérielles aléatoires et systématiques.

Figure 9. Rôle des niveaux d'intégrité de sécurité dans le processus de conception

Figure 10. Rôle du cycle de vie de sécurité dans le processus de spécification et de conception

Le concept de sécurité et de niveau de sécurité s'applique à l'équipement sous contrôle. Le concept de sécurité fonctionnelle s'applique aux systèmes relatifs à la sécurité. La sécurité fonctionnelle des systèmes relatifs à la sécurité doit être atteinte si l'on veut atteindre un niveau de sécurité adéquat pour l'équipement à l'origine du danger. Le niveau de sécurité spécifié pour une situation spécifique est un facteur clé dans la spécification des exigences d'intégrité de sécurité pour les systèmes relatifs à la sécurité.

Le niveau de sécurité requis dépendra de nombreux facteurs, par exemple, la gravité des blessures, le nombre de personnes exposées au danger, la fréquence à laquelle les personnes sont exposées au danger et la durée de l'exposition. Les facteurs importants seront la perception et les opinions des personnes exposées à l'événement dangereux. Pour déterminer ce qui constitue un niveau de sécurité approprié pour une application spécifique, un certain nombre d'entrées sont prises en compte, notamment :

• exigences légales applicables à l'application spécifique
• directives de l'autorité de réglementation de la sécurité appropriée
• discussions et accords avec les différentes parties impliquées dans la demande
• normes de l'industrie
• normes nationales et internationales
• les meilleurs conseils industriels, experts et scientifiques indépendants.

Résumé

Lors de la conception et de l'utilisation de systèmes liés à la sécurité, il ne faut pas oublier que c'est l'équipement sous contrôle qui crée le danger potentiel. Les systèmes relatifs à la sécurité sont conçus pour réduire la fréquence (ou la probabilité) de l'événement dangereux et/ou les conséquences de l'événement dangereux. Une fois que le niveau de sécurité a été défini pour l'équipement, le niveau d'intégrité de sécurité pour le système lié à la sécurité peut être déterminé, et c'est le niveau d'intégrité de sécurité qui permet au concepteur de spécifier les précautions qui doivent être intégrées dans la conception pour être déployé contre les pannes matérielles aléatoires et systématiques.

Retour