Vous êtes sur la page 1sur 196

cole doctorale IAEM Lorraine

Dpartement de Formation Doctorale en Automatique

Institut National
Polytechnique de Lorraine

Contribution lvaluation de la sret de


fonctionnement des Systmes Instruments
de Scurit intgrant de lIntelligence
THSE
Prsente et soutenue publiquement le XXXXXXXX
pour lobtention du

Doctorat de linstitut National Polytechnique de Lorraine


Spcialit Automatique, Traitement du signal et Gnie Informatique
par
ABDELHAK MKHIDA
Ingnieur ENIB

Composition du jury
Prsident :
Rapporteurs :
Examinateurs :
J-F. AUBRY
J-M. THIRIET

Professeur lINPL
Professeur lUniversit Joseph Fourier de Grenoble

Centre de Recherche en Automatique de Nancy


UMR 7039 Nancy Universit CNRS
2, Avenue de la Fort de Haye 54516 Vandoeuvre-Ls-Nancy
Tl. +33 (0) 83 59 59 59 Fax +33 (0) 3 83 59 56 44

-2-

exxv|xx

-3-

-4-

Acronymes
ALARP, (As Low As Reasonably Practicable), aussi bas que raisonnablement possible
AMDEC, Analyse des Modes de Dfaillance, de leurs Effets et de leur Criticit
ANSI, (American National Standards Institute)
APD, Analyse prliminaire de dangers
API, Automates Programmables Industriels
APR, Analyse Prliminaire de Risques
ASIC, (Application Specific Integrated Circuit), circuits intgrs spcifiques une
application
BPCS, (Base Process Control System) systme de commande de processus de base
CAN, (Controller area Network)
CD, couverture de diagnostic
CEI, Commission Electrotechnique Internationale
E/E/PE, systmes lectriques, lectroniques et programmables E/E/EP
EUC, (Equipment Under Control),
FPL, (FPL, Fixed program language), langage de programme fig
GAME, (Globalement Au Moins Equivalent)
ISA, (Instrumentation, Systems and Automation Society)
ISO, (International Standardardisation Organization), Organisme international de
normalisation
LVL, (Limited Variability Language), langage de variabilit limite
MDT, (Mean Down Time), dure moyenne dindisponibilit,
MTBF (Mean Time Between Failures), ou dure moyenne entre deux dfaillances successives
MTTF (Mean Time To Failure), dure moyenne de bon fonctionnement avant la premire
dfaillance
MTTR (Mean Time To Repair ), Dure moyenne de rparation
NCS, (Networked Control System), Systmes commands par rseau,
NTR (Nuisance Trip Rate), taux darrts intempestifs
PES, (Programmable Electronic System), systme lectronique programmable
PFD (Probability of Failure on Demand), probabilit de dfaillance la demande
PFDavg (Average Probability of Failure on Demand), moyenne de la probabilit de
dfaillance la demande
PFH, (Probability of a dangerous Failure per Hour), probabilit de dfaillance dangereuse
par heure
PFS, (Probability of Failure to Safe), probabilit de dfaillances en scurit,
PVST, (Partial Valve Stroke Testing): Test Partiel de la Course de Vanne
RdP, Rseaux de Petri
RFF, (Risk Reduction Factor), facteur de rduction de risque,

-5-

SADT, (Structured Analysis and Design Technique) ou Analyse Structure et Technique de


Conception
SAID, Systmes dAutomatisation Intelligence Distribue
SAN (Stochastic Activity Network), Rseaux dactivits stochastiques
SIF, (Safety Instrumented Function), fonction instrumente de scurit
SIL, (Safety Integrity Level), niveaux dintgrit de scurit
SIS, Systmes Instruments de Scurit
SISID, (Systmes Instruments de Scurit Intelligence Distribue)
SFF, (Safe Failure Fraction), taux des dfaillances en scurit
SRS, (Safety related systems) systmes relatifs la scurit
TEDS, (Transducer Electronic Data Sheet), fiche technique embarque dans la mmoire du
capteur spcifie par la norme IEEE 1451
USOM, (USer Operating Mode)

-6-

Table des matires

Table des matires


Acronymes................................................................................................................................. 5
Introduction ............................................................................................................................ 11
1. Problmatique................................................................................................................... 11
2. Objectifs ........................................................................................................................... 12
3. Organisation du rapport de thse...................................................................................... 13
Instrumentation intelligente .................................................................................................. 16
1. Introduction ...................................................................................................................... 16
2. Notion dintelligence........................................................................................................ 17
3. Concept dinstrument intelligent ...................................................................................... 19
3.1. Evolution des instruments intelligents ...................................................................... 19
3.2. Instrument smart et instrument intelligent............................................................. 20
3.3. Architecture matrielle dun instrument intelligent .................................................. 21
3.4. Architecture fonctionnelle......................................................................................... 24
4. Modles gnriques dinstruments intelligents ............................................................... 28
4.1. Modles internes ....................................................................................................... 28
4.2. Modle USOM (modle externe).............................................................................. 28
4.3. Approche client serveur ............................................................................................ 30
5. Systmes dautomatisation intelligence distribue........................................................ 31
5.1. Introduction ............................................................................................................... 31
5.2. Evolution des SAP vers les SAID ............................................................................. 32
5.3. Caractristiques des SAID ........................................................................................ 34
5.4. Les SAID sont ils considrs comme des systmes complexes ? ............................. 34
5.5. SAID et sret de fonctionnement ............................................................................ 35
6. Validation dans les instruments intelligents..................................................................... 36
6.1. Hirarchie ncessaire l'laboration de la mesure.................................................... 37
6.2. Caractristiques de la validation ............................................................................... 38
7. Classification de lintelligence dans les instruments........................................................ 41
7.1. Niveau 0 .................................................................................................................... 42
7.2. Niveau 1 .................................................................................................................... 42
7.3. Niveau 2 .................................................................................................................... 42
7.4. Niveau 3 .................................................................................................................... 42
8. Conclusion........................................................................................................................ 43
Les Systmes Instruments de Scurit................................................................................ 46
1. Introduction ...................................................................................................................... 46
2. Concept de la scurit ...................................................................................................... 47
2.4. Scurit fonctionnelle................................................................................................ 50
3. Normes relatives aux systmes instruments de scurit................................................. 50
3.1. Norme CEI 61508 ..................................................................................................... 50

-7-

Table des matires

3.2. Norme CEI 61511 ..................................................................................................... 52


3.3. Norme CEI 62061 ..................................................................................................... 54
3.4. Norme ISA-84 ........................................................................................................... 54
4. Systmes instruments de scurit et terminologies relatives.......................................... 54
4.1. Systme instrument de scurit ............................................................................... 54
4.2. Fonction instrumente de scurit............................................................................. 55
4.3. Le systme instrument de scurit comme couche de protection............................ 56
4.4. Problmes typiques des systmes instruments de scurit ...................................... 58
5. Analyse de risque du procd........................................................................................... 59
5.1. Rduction du risque ncessaire ................................................................................. 60
6. Evaluation du risque et dtermination du niveau dintgrit de scurit ......................... 61
6.1. Risque tolrable et concept ALARP ......................................................................... 61
6.2. Niveaux dintgrit de scurit ................................................................................. 64
6.3. Allocation des SILs aux fonctions instrumentes de scurit ................................... 66
7. Les limites de la norme CEI 61508 et sa situation vis--vis des SAID ........................... 70
7.1. Limites de la norme CEI 61508 ................................................................................ 70
7.2. Positionnement vis--vis des SAID........................................................................... 72
8. Paramtres de performance en scurit pour les systmes instruments de scurit ....... 74
9. Conclusion........................................................................................................................ 76
Vers une scurit intelligente ................................................................................................ 79
1. Introduction ...................................................................................................................... 79
2. Contexte et problmatique ............................................................................................... 80
2.1. Instruments intelligents versus instruments traditionnels ......................................... 80
2.2. Problmatique relative lutilisation des instruments intelligents dans les boucles de
scurit ............................................................................................................................. 83
3. Intelligence dans les systmes instruments de scurit .................................................. 86
3.1. Utilisation dun rseau de communication................................................................ 86
3.2. Les tests dans les systmes instruments de scurit ................................................ 89
3.3. Lutilisation des instruments intelligents dans les SIS.............................................. 93
3.4. Systmes Instruments de Scurit Intelligence Distribue (SISID) ..................... 97
4. Mthodologie dvaluation des systmes instruments de scurit intelligence
distribue ............................................................................................................................ 101
4.1. Modlisation fonctionnelle et dysfonctionnelle ...................................................... 101
4.2. Analyse fonctionnelle et dysfonctionnelle .............................................................. 104
4.3. Description de la mthodologie............................................................................... 106
5. Modles de base des constituants des SISID ................................................................. 107
5.1. Modle dun capteur dfaillant ............................................................................... 108
5.2. Modlisation du systme complet ........................................................................... 109
5.3. Prise en compte de la redondance de quelques dispositifs...................................... 112
5.4. Modle dun instrument intelligent ......................................................................... 113
6. Conclusion...................................................................................................................... 115
Mise en uvre de lvaluation de la sret de fonctionnement des SISID...................... 117
1. Introduction .................................................................................................................... 117
2. Approche de modlisation avec les rseaux dactivit stochastiques (SAN) et simulation
de Monte Carlo................................................................................................................... 118
2.1. Rseaux dactivits stochastiques ........................................................................... 118
2.2. La modlisation par loutil Mbius......................................................................... 119
2.3. Simulation de Monte Carlo ..................................................................................... 119
3. Modle dun SIS classique architecture 1oo1 ............................................................. 120
3.1. Architecture 1oo1 dun SIS..................................................................................... 120
-8-

Table des matires

3.2. Modle SAN du SIS ................................................................................................ 121


3.3. Evaluation des performances du SIS classique ....................................................... 123
4. Evaluation dynamique des Systmes Instruments de Scurit Intelligence Distribue
............................................................................................................................................ 127
4.1. Structure 1oo1 D ..................................................................................................... 127
4.2. Introduction du rseau de communication dans la structure 1oo1D ....................... 130
4.3. Introduction des instruments intelligents dans la structure 1oo1D ......................... 134
4.4. Indicateur de performance....................................................................................... 139
4.5. Conclusion............................................................................................................... 140
5. Exemple dun rservoir sous pression quip dun systme de scurit........................ 141
5.1. Description .............................................................................................................. 141
5.2. Modle des composants .......................................................................................... 142
5.3. Dfinition des tats.................................................................................................. 146
5.4. Fonctionnalit de validation au niveau des capteurs ............................................... 148
5.5. Performances en scurit du systme rservoir de pression................................. 149
5.6. Indicateurs de performances.................................................................................... 153
5.7. Conclusion............................................................................................................... 154
6. Inclusion des dfaillances de la fonctionnalit validation dans le modle dysfonctionnel
du capteur ........................................................................................................................... 154
6.1. Description des tats du capteur.............................................................................. 154
6.2. Modle SAN du capteur.......................................................................................... 155
7. Conclusion...................................................................................................................... 156
Conclusion gnrale et perspectives ................................................................................... 158
Bilan ................................................................................................................................... 158
Perspectives ........................................................................................................................ 160
Annexe 1 : La sret de fonctionnement............................................................................ 163
1. Concepts de la sret de fonctionnement ....................................................................... 164
2. Mthodes danalyse de la sret de fonctionnement...................................................... 165
2.1. Analyse prliminaire de risques .............................................................................. 166
2.2. Lanalyse des modes de dfaillances, de leurs effets et de leur criticit................. 166
2.3. Arbres des causes .................................................................................................... 166
2.4. Diagrammes de fiabilit .......................................................................................... 167
2.5. Analyse de Markov ................................................................................................. 167
Annexe 2 : Les rseaux de Petri .......................................................................................... 169
1. Introduction .................................................................................................................... 170
2. Notions de base .............................................................................................................. 170
2.1. Structure dun rseau de Petri ................................................................................. 170
2.2. Marquage................................................................................................................. 171
2.3. Franchissement des transitions................................................................................ 171
2.4. Quelques proprits des rseaux de Petri................................................................ 172
2.5. Graphe de marquage dun rseau de Petri............................................................... 172
3. Extension des rseaux de Petri ....................................................................................... 173
3.1. Rseaux de Petri gnraliss ................................................................................... 173
3.2. Rseaux de Petri synchroniss ................................................................................ 173
3.3. Rseaux de Petri temporiss.................................................................................... 173
3.4. Rseaux de Petri colors ......................................................................................... 174
3.5. rseaux de Petri stochastiques ................................................................................. 174
3.6. Rseaux de Petri stochastiques gnraliss ............................................................. 176
Annexe 3 : Loutil de modlisation Mbius ....................................................................... 177
1. Introduction .................................................................................................................... 178
-9-

Table des matires

2. SAN................................................................................................................................ 178
3. La modlisation par loutil Mbius................................................................................ 179
Rfrences bibliographiques ............................................................................................... 184

- 10 -

Introduction

Introduction
1. Problmatique
Les tablissements industriels ne se proccupent plus uniquement des performances des
systmes en terme de qualit, de productivit et de rentabilit mais aussi en terme de scurit.
Des systmes spcifiques appels systmes instruments de scurits sont utiliss avec pour
objectif de rduire les risques doccurrence dvnements dangereux dans ces tablissements
en garantissant la protection des quipements, des personnes, de lenvironnement et des biens.
Ces risques traduisent la fois la gravit du dommage et la frquence doccurrence de
lvnement dangereux. Les chelles de gravit comportent plusieurs niveaux qui sont valus
en fonction des consquences de lvnement dangereux sur les personnes, lenvironnement
et les biens.
L'installation en scurit peut comporter plusieurs moyens pour atteindre une situation o tous
les risques sont rduits un risque tolrable. Des critres clairs et non ambigus doivent tre
dfinis en regard des niveaux de risque tolrable. Des mesures pour la mise en scurit du
procd doivent tre ddies chaque spcificit de protection. La conception du procd, le
choix des dispositifs et quipements de linstallation font partie de ces moyens. L'action sur
les systmes de commande de base des processus (BPCS), qui sont employs pour optimiser
les conditions de conduite de procd afin de maximiser la qualit et la production, peut aussi
contribuer rduire les risques. Ces actions restent parfois insuffisantes et il faut introduire
dautres systmes de scurit pour rduire encore le risque un niveau acceptable. Les
systmes instruments de scurits sont introduits pour pallier ce besoin et rpondre aux
situations dangereuses lorsque le procd se trouve dans des situations dangereuses.
Les systmes instruments de scurit sont utiliss pour excuter des fonctions de scurit, ils
sont aussi appels boucles de scurit et ils comprennent tous les matriels, logiciels et
quipements ncessaires pour obtenir la fonction de scurit dsire. Ces systmes peuvent
atteindre un niveau dintgrit de scurit important en conformit avec les normes en vigueur
(europenne, internationale) telle que la norme CEI 61508 [CEI 00], la norme CEI 61511
[CEI 03] ou encore la norme ANSI/ISA S84.01-1996 [ISA 96] qui traitent de la scurit
fonctionnelle des systmes relatifs la scurit. Ces systmes (SIS) ont pour objectif de
mettre le procd en position de repli de scurit lorsquil volue vers une voie comportant un
risque rel (explosion, feu, etc.), cest--dire un tat stable ne prsentant pas de risque pour les
personnes, lenvironnement ou les biens.
La norme CEI 61508 est une norme multisectorielle traitant de l'ensemble de la problmatique
des systmes lectriques, lectroniques et programmables E/E/EP tandis que la norme CEI
61511 est une dclinaison oriente vers les industries des procds. Ces deux normes
dfinissent les niveaux dintgrit de scurit (SIL, Safety Integrity Levels) et fixent le niveau
- 11 -

Introduction

de rduction du risque que doit atteindre le SIS. Il existe 4 niveaux possibles, nots SIL1
SIL4. Chacun deux dpend de la gravit et de la frquence doccurrence du risque. Il est
vident que si un risque est trs important, il ncessite des rpliques trs efficaces. Ces deux
normes dfinissent un critre important pour caractriser les SIS : le PFD avg (Average
Probability of Failure on Demand). La valeur du PFD avg reprsente la probabilit moyenne
de dfaillance du SIS lors de sa sollicitation ou encore lindisponibilis moyenne de la
fonction de scurit.
Dun autre ct, lvolution importante des quipements dautomatisation favorise par le
formidable dveloppement de linformatique et de la microlectronique a contribu fortement
lamlioration des instruments dans ces systmes dautomatisations en les dotant dune
certaine intelligence. Ces instruments devenus intelligents intgrent de nouvelles
fonctionnalits [BAY 93] et assurent conjointement avec les rseaux de communication la
distribution des traitements et leur dlocalisation au plus prs du processus physique.
Lincorporation des instruments intelligents dans les boucles de scurit nous mne vers une
scurit intelligente et les systmes deviennent des systmes instruments de scurit
intelligence distribue (SISID). La justification de lusage de ces instruments dans les
applications de scurit nest pas compltement avre. Ces instruments disposent datouts
importants utiles ce type dapplications [NOB 04].
Ces systmes disposent dun nombre important de traitements et dune augmentation de la
complexit contrairement aux systmes classiques qui ne sont pas dots dintelligence. Ceci
rend la tche de lvaluation de la sret de fonctionnement plus difficile apprhender.
Linfluence de linstrumentation intelligente sur lattribut scurit de la sret de
fonctionnement qui consiste se prserver de situations dangereuses ou catastrophiques, est
contraste. Elle contribue une amlioration [CAM 01] dans les applications o la scurit
est critique par la mise en place de moyens dautodiagnostic et de validation mais elle peut
introduire de nouveaux modes de dfaillance affectant la scurit [GAR 02] par lemploi de
dispositifs non prouvs plus complexes et disposant dlments logiciels. Ainsi, les
nouvelles fonctionnalits incorpores offrent des possibilits dautodiagnostic et une mise en
place darc rflexe permettant lamlioration de la scurit. Dautre part, de par leur
complexit, ces systmes peuvent galement tre sources de dfaillance.
Quant lvaluation de la sret de fonctionnement de ce type de systmes, elle nest pas
triviale [JUM 03]. La difficult de lvaluation de la sret de fonctionnement de ce type de
systmes trouve son origine dans lexistence de difficults lies la modlisation. Les
incidents ou accidents qui perturbent le systme durant son cycle de vie sont les rsultats de
dfaillances lies aux entits qui constituent le systme et son environnement [KUM 96].

2. Objectifs
Le travail prsent dans cette thse a pour objectif dvaluer les performances en terme de
sret de fonctionnement des systmes instruments de scurit disposant dinstruments
dintelligents en conformit avec les normes de scurit fonctionnelle. La performance d'une
fonction de scurit peut tre exprime comme la probabilit de dfaillance sur demande PFD
et la probabilit de dfaillances sres PFS. Ces deux attributs sont importants pour la scurit
et leurs valeurs reprsentent respectivement une mesure du niveau de scurit atteint (SIL) et
la perte financire (arrts frquents de la production) cause par le systme de scurit en
raison de dclenchements intempestifs. La valeur PFD est une exigence satisfaire le niveau
d'intgrit de scurit de la norme CEI 61508. Pour la valeur PFS il n'existe pas actuellement

- 12 -

Introduction

de prescriptions dans le monde de la scurit internationale, bien que les utilisateurs de


systme de scurit exigent un niveau aussi bas que possible de la valeur de la PFS. Dans nos
travaux, nous parlerons indiffremment du SIL dun SIS ou du SIL dune fonction
instrumente de scurit (SIF, Safety Instrumented Function). Nous prenons comme
hypothse que chaque SIS ne peut raliser quune seule SIF.
La mthodologie que nous utilisons consiste en la modlisation de laspect fonctionnel et
dysfonctionnel de ces systmes en adoptant le formalisme bas sur les rseaux de Petri
stochastiques qui assurent la reprsentation du comportement dynamique de ce type de
systmes. La modlisation est traite sous la forme dune approche stochastique utilisant les
SAN (Stochastic Activity Network). Les SAN sont un formalisme de modlisation puissant et
sont une extension des rseaux de Petri stochastiques [MOV 84] [AZG 05]. Les SAN
conservent toute la puissance de modlisation des rseaux de Petri stochastiques par lemploi
dactivits stochastiques. Un autre avantage des SAN est manifest par le pouvoir daccder
aux diffrents marquages de toutes les places chaque instant moyennant des portes dentre
et de sortie.
Ce formalisme de modlisation est coupl la technique de simulation (simulation de Monte
rseaux dactivits
Carlo) pour lvaluation des performances. Lassociation des
stochastiques une mthode de simulation de Monte-Carlo constitue une approche alternative
puissante pour valuer la performance globale en sret de fonctionnement des systmes
prsentant des aspects temporels et dynamiques [GHO 08]. Les SAN qui sont une extension
des RdP ont le grand avantage de pouvoir modliser et traiter non seulement des processus
non-Markoviens, mais encore des processus concourants et interdpendants. Les SAN
associs cette simulation allient un grand pouvoir de modlisation et une souplesse
d'utilisation pour les techniques de simulation de Monte-Carlo relativement insensibles aux
dimensions du problme traiter. Les SAN-MC satisfont au double critre prcdent et ont
donc t retenus dans le cadre de ce travail.
La modlisation de tous les dispositifs est conue dune manire hirarchique, en partant des
modles de base du systme. La composition est forme par la jonction des modles de base
qui constituent des structures gnriques sous forme de bibliothque de composants.
Lvaluation des performances en scurit est assure par la dtermination des deux mtriques
PFD et PFS qui se rapportent aux deux modes de dfaillances cits par la norme mais aussi du
niveau dintgrit de scurit (SIL).

3. Organisation du rapport de thse


Le premier chapitre prsente le concept les instruments intelligents qui sont considrs
comme composantes des systmes d'automatisation intelligence distribue (SAID). Ces
instruments disposent de techniques numriques intgres dans les microcontrleurs et les
interfaces de communication et offrent la possibilit dun traitement local de linformation qui
est permis par le dveloppement des rseaux de communication. Les architectures matrielles
et fonctionnelles dun instrument intelligent sont montres ainsi que quelques modles
gnriques. Dans ce chapitre, nous discutons aussi des caractristiques des systmes
dautomatisation intelligence distribue qui sont une extension des systmes automatiss et
de laspect sret de fonctionnement qui est trs li a leur dveloppement. Nous discutons
galement de la validation [ROB 93] [CLA 00] [CLA95] dans les instruments intelligents qui
assure par les donnes transmises via le rseau de communication une bonne qualit du SAID
et participe laugmentation des performances de sa sret de fonctionnement. Nous

- 13 -

Introduction

proposons aussi notre vision de lintelligence dans les instruments par la proposition de
gradation de cette notion travers quatre niveaux allant de 0 3.
Le second chapitre est ddi aux systmes instruments de scurit (SIS). Un tour dhorizon
est effectu dcrivant les normes de scurit relatives aux SIS. La norme CEI 61508 est la
norme gnrique et dispose dautres dclinaisons selon le secteur industriel. Cette norme
formalise une dmarche pour lestimation du risque que prsente le procd et permet
dvaluer la diminution du risque que doit apporter le systme instrument de scurit. Cette
norme est base sur lanalyse du risque et son valuation permettant dobtenir une intgrit de
scurit qui se matrialise par des niveaux dintgrit de scurit (Safety Integrity Level :
SIL). La dernire partie de ce chapitre traite des critiques formules envers la norme CEI
61508, sa situation par rapport aux systmes dautomatisation intelligence distribue (SAID)
et des performances valuables en terme de scurit.
Dans le chapitre 3, nous nous intressons au concept nouveau de la scurit intelligente. Ce
concept est inhrent lutilisation dinstruments intelligents dans les systmes instruments
de scurit. Nous positionnons la problmatique de lutilisation des instruments intelligents
dans les applications scuritaires en situant quelques diffrences qui existent entre les
systmes classiques et les systmes intelligents. Ensuite, nous discutons de lintroduction du
concept de lintelligence dans un systme instrument de scurit par la distribution des
traitements au plus prs du processus et suivant les niveaux dintelligence introduits
auparavant cest--dire dans les dispositifs de terrain tels que les capteurs et actionneurs.
Enfin, nous proposons une mthodologie dvaluation des systmes instruments de scurit
auxquels il y a eu incorporation dinstruments intelligents pour devenir des Systmes
Instruments de Scurit Intelligence Distribue (SISID).
Dans le dernier chapitre, la modlisation et lvaluation des performances relatives la sret
de fonctionnement sont traites avec des structures qui disposent dintelligence dans les
instruments composant les SIS. Dans un premier temps, nous proposons titre de rfrence
ltude dun systme sans intelligence. Puis, la mthodologie pour lvaluation de la sret
de fonctionnement des systmes instruments de scurit intelligence distribue est mise en
uvre travers la modlisation dun systme SIS sans redondance auquel nous introduisons
des instruments intelligents et un rseau de communication. Une autre application concerne
un exemple de procd constitu dun rservoir sous pression contenant un liquide
inflammable volatil avec linstrumentation associe [GOB 01]. Les systmes de scurit
concerns sont ceux qui obissent aux directives dcrites au chapitre 2 concernant les
systmes instruments de scurit. Ce sont donc des systmes qui ragissent des demandes
dactivation de la fonction de scurit suite des situations dangereuses induites par le
procd de fabrication. Les taux de dfaillance pour chaque composant sont supposs connu
priori, les valuations vont concerner les interactions entre les diffrents composants du
systme. Lestimation du taux de dfaillance global du systme est assure par la
dtermination des performances en scurit et en se basant entre autres sur les taux de
dfaillances individuels des diffrents composants. Les mtriques utilises pour lvaluation
de la sret de fonctionnement des SISID se rapportent aux deux modes de dfaillances cits
par la norme : le mode de dfaillance dangereux et le mode de dfaillance en scurit. Nous
avons galement introduit des indicateurs de performance refltant limpact de
lincorporation dun niveau dintelligence donn sur les performances globales en scurit.

- 14 -

Chapitre 1 : Instrumentation Intelligente

Chapitre 1 :
Instrumentation Intelligente

- 15 -

Chapitre 1 : Instrumentation Intelligente

Instrumentation intelligente
1. Introduction
Les dernires dcennies ont vu le formidable dveloppement de l'informatique et de
l'informatique industrielle grce aux progrs de la microlectronique. La rduction des
cots, l'augmentation des performances, de la rapidit, de l'intgration et des capacits
de stockage ont conduit une vritable rvolution technologique.
Le milieu industriel a profit galement de ce changement et l'change de donnes
informatises est devenu une problmatique classique dans les entreprises modernes. Il
tait donc incontournable que les techniques numriques migrent vers les composants
les plus proches du processus, savoir les capteurs et actionneurs qui intgrent
aujourd'hui des micro-contrleurs et des interfaces de communication.
Les instruments intelligents sont des nouveaux systmes dinstrumentation qui sont
apparus avec les progrs de la microlectronique et des rseaux associs aux besoins
des utilisateurs. Ces instruments offrent la possibilit d'un traitement local de
l'information qui est rparti sur les diverses entits permettant ainsi une distribution de
l'excution des tches et faisant apparatre une commande distribue.
Le traitement local a t permis par le dveloppement parallle des rseaux de terrain
favorisant le partage des ressources par l'interconnexion des units de traitement et la
rduction des cblages.
L'interconnexion des instruments intelligents en rseau conduit aussi des problmes
d'informatique rpartie comme la synchronisation [TAI 00], le partage des ressources,
la communication et des problmes plus spcifiques l'automaticien comme le respect
des contraintes temporelles [ROB 93], la dfinition de scnarios de commande, la
supervision, la fusion de donnes, le fonctionnement en mode dgrad, la planification
des actions [JOS 96].
Un instrument intelligent est donc une composante des systmes d'automatisation
intelligence distribue. Il est constitu d'un capteur ou d'un actionneur dot de
fonctionnalits de communication, de configuration, dautodiagnostic et de validation,
en plus des fonctionnalits de mesure ou d'action [REV 05] [ROB 93]. Il est
gnralement constitu d'un processeur ou d'un microcontrleur et d'une interface de
communication un rseau de communication (souvent un rseau de terrain). Son
logiciel peut implmenter du simple traitement du signal aux mthodes de l'intelligence
artificielle. Les instruments intelligents sont connects en rseaux un systme central
(ordinateur ou automate programmable). Il est aussi possible de crer une application
complte constitue uniquement d'instruments connects entre eux.
- 16 -

Chapitre 1 : Instrumentation Intelligente

2. Notion dintelligence
L'intelligence est une notion particulirement complexe, et elle est difficile dfinir. Plusieurs
attributs peuvent entrer dans sa dfinition. Nous allons commencer tout dabord par dfinir le
vocable intelligence.
Intelligence vient du latin intellegentia (facult de comprendre), driv du latin intellegere
signifiant comprendre, et dont le prfixe inter (entre), et le radical legere (choisir, cueillir) ou
ligare (lier) suggrent essentiellement l'aptitude relier des lments qui sans elle resteraient
spars.
Du point de vue de la psychologie, l'intelligence est l'intgration de la perception, la raison,
l'motion, le comportement de la dtection, du savoir, de la planification et de laction sur le
systme afin de russir atteindre ses objectifs [ALB 91].
De nombreuses dfinitions sont donc proposes dans la littrature en mettant plutt laccent
sur tels ou tels attributs. [LAU 04] propose que lintelligence est gnralement dfinie comme
la capacit dun systme adapter son comportement aux contraintes de son environnement :
par exemple la capacit dadaptation des situations nouvelles, la capacit dapprentissage,
dabstraction, de contrle, de rsolution de problmes, etc. [ALB 91] dresse des niveaux de
lintelligence en dclinant quau minimum, l'intelligence exige la capacit explorer
l'environnement, prendre des dcisions, et de contrler l'action. Des niveaux plus levs de
l'intelligence peuvent inclure la capacit de reconnatre les objets et les vnements, de
reprsenter la connaissance dans un modle, et de raisonner pour planifier l'avenir. Dans des
formes avances, l'intelligence fournit la capacit de percevoir et de comprendre, de choisir de
faon judicieuse, et d'agir avec succs sous une grande varit de circonstances afin de
survivre, de prosprer dans un environnement complexe et souvent hostile.
[STE 03] a introduit trois niveaux de lintelligence, lintelligence analytique, lintelligence
crative et lintelligence pratique. Lintelligence analytique est laptitude analyser et
valuer des ides, rsoudre des problmes et prendre des dcisions. Elle serait mesure par
les tests classiques. Lintelligence crative consiste aller au-del de ce qui est donn et
gnrer des ides nouvelles. Quant lintelligence pratique, cest laptitude trouver la
meilleure adaptation possible entre soi et les demandes de lenvironnement.
Un modle qui est reconnu actuellement est celui de [CAR 93]. Dans ce modle, on trouve un
troisime niveau est reprsent par lintelligence gnrale. Au deuxime niveau on trouve huit
facteurs de groupe (intelligence fluide, intelligence cristallise, mmoire gnrale, perception
visuelle, perception auditive, capacit de rappel, rapidit cognitive, vitesse de traitement). Le
premier niveau est reprsent par des facteurs de groupe mineurs correspondant des
aptitudes de faible tendue.
En effet, [CAR 93] a repris la notion dintelligence gnrale transversale toutes les
oprations mentales impliques sans opposition aux dfenseurs dune conception postulant
une pluralit dintelligences [MEY 06]. Les diffrentes formes dintelligence ont t inspires
entre autres par R.B. Cattell (1941) qui avait mis en vidence deux facteurs particulirement
importants, il sagit de lintelligence fluide et de lintelligence cristallise. Lintelligence
fluide est la comptence qui nous permet de rsoudre des problmes pour lesquels nous ne
possdons pas de solutions apprises. En revanche, lintelligence cristallise est une
comptence drive de lexercice de lintelligence fluide au cours de lapprentissage.
Il existe donc plusieurs formes dintelligence, classes sous forme de niveaux. Ces niveaux
stalent du concept gnral de lintelligence des facteurs beaucoup plus spcifiques.

- 17 -

Chapitre 1 : Instrumentation Intelligente

A partir des travaux en psychologie de lintelligence prcits auparavant, nous pouvons


tablir une classification des niveaux dintelligence.
Un modle hirarchique qui sapparente au modle de [CAR 93] peut tre propos, dans
lequel nous aurons trois niveaux dintelligence, du niveau le plus gnral au niveau le plus
proche des particularits de chaque situation. Ce modle hirarchique intgre la fois
lintelligence gnrale ainsi que les autres formes spcifiques dintelligence.
Le premier niveau concerne lintelligence gnrale [CAR 93] [MEY 06], les performances
diffrentes tches cognitives dpendent toutes dun mme facteur dintelligence gnral. Les
potentialits qui se rapportent ce niveau relatent daptitudes trs gnrales. Cette intelligence
gnrale est sous-jacente toutes les formes dintelligence. Ce premier niveau sapparente
notre sens un systme dinformation classique reprsent par la boucle Mesure-DcisionAction o la dcision est prise en fonction dune image de ltat du processus donne par les
capteurs. Lorsque cette image dcrit convenablement ltat rel du processus, les dcisions
dactions seront mieux adaptes.
Le deuxime niveau concerne des formes spcifiques dintelligence dcrites par huit facteurs
de groupes dans [CAR 93]. Ces facteurs de groupes sont lintelligence fluide, lintelligence
cristallise, la mmoire gnrale et apprentissage, la perception visuelle, la perception
auditive, la capacit de rappel, la rapidit cognitive et la vitesse de traitement. [ALB 91] a
qualifi lintelligence dans ce niveau par lhabilit reconnatre les objets et les vnements
et planifier lavenir. Nous pouvons attribuer ce niveau dintelligence un systme dans lequel
on observe une croissance et une volution tant par laccroissement en puissance de calcul et
par l'accumulation de connaissances sur la faon de dtecter, de dcider et dagir dans des
situations complexes et difficiles. Les aspects spcifiques de lintelligence dcrits dans [CAR
93] peuvent tre alors assimils dans un point de vue systme dinformation travers les
correspondances suivantes : lensemble intelligence fluide, intelligence cristallise et mmoire
gnrale dapprentissage correspond aux mmoires du systme; la perception visuelle et
auditive correspondent aux lments de sensation du systme et finalement lensemble
constitu de la capacit de rappel, de la rapidit cognitive et de la vitesse de traitement
correspond traitement logique des informations support par un microcontrleur.
Finalement, le troisime niveau daprs [ALB 91] se rapporte une forme avance
dintelligence qui fournit la capacit de percevoir et de comprendre, de choisir de faon
judicieuse, et d'agir avec succs sous une grande varit de circonstances afin de prosprer
dans un environnement complexe et souvent hostile. [STE 03] va dans le mme sens en
dclinant une lintelligence pratique quil dfinit par laptitude trouver la meilleure
adaptation possible entre soi et les demandes de lenvironnement. Nous constatons que
lapprhension de lenvironnement est essentielle ce niveau dintelligence. En effet, il ne
suffit plus au systme dinformation damliorer la qualit de limage du processus travers
le traitement local au niveau de ses capteurs permettant lamlioration de la qualit du signal
labor (correction) mais aussi tre en mesure de permettre lchange dinformations
labores et la coopration entre diffrents nuds du systme pour permettre de prendre des
dcisions et dagir sur le processus dune faon convenable.
Dans la section suivante, nous allons nous intresser linstrumentation intelligente par
lintroduction du concept dinstrument intelligent.

- 18 -

Chapitre 1 : Instrumentation Intelligente

3. Concept dinstrument intelligent


Un instrument intelligent (quil soit capteur ou actionneur) est obtenu par lassociation de la
technologie issue de linstrumentation, de llectronique et de linformatique. Il est capable
dintgrer des fonctions supplmentaires telles que la validation, lautodiagnostic, la
compensation, la communication, etc. Ces instruments sont capables dadapter leur
fonctionnement suivant des changements produits dans leurs environnements.
Lensemble des fonctionnalits permet linstrument intelligent de crdibiliser sa fonction
associe sa coopration dans un systme distribu. La capacit valider la mesure pour le
capteur et rendre compte de la ralisation par lactionneur reflte cette crdibilisation et la
participation dans un systme distribu se manifeste par la participation la commande, la
scurit (alarmes), lexploitation du systme
[NOB 04] dfinit un instrument intelligent par un instrument dont le but principal est la
mesure ou la commande dune variable dun processus, cest un instrument incluant de la
flexibilit dans son utilisation avec des paramtres rgls par le fabricant ou loprateur. Le
cycle de vie dun instrument intelligent inclut la production de quelques progiciels gnrs
par le fabricant et utiliss pour la configuration par loprateur.

3.1. Evolution des instruments intelligents


3.1.1. Les instruments intelligents jusquau milieu des annes 1990
Linstrument intelligent tait bas sur lutilisation dun lment de mesure traditionnel, mais a
inclut des possibilits de traitements micro programms pour amliorer l'excution de
l'lment de mesure. La sortie tait analogique en 4-20 mA et peut tre aussi numrique en
ajoutant le protocole HART par exemple.
L'intelligence dans ces instruments intelligents est principalement assure par des
microprocesseurs. Typiquement la mesure du capteur aprs compensation tait convertie en
forme numrique et traite, par exemple, en linarisant la sortie dans le cas o elle excde sa
plage de fonctionnement, et puis en ladaptant dans un format appropri la transmission sur
un rseau analogique ou pseudo-numrique.
3.1.2. Les instruments intelligents aprs la fin des annes 1990
Vers la fin des annes 90, les fabricants ont refait la conception des lments de mesure de
beaucoup d'instruments. Des techniques numriques ont t adoptes dans la conception de
capteurs et dactionneurs qui ont fait voluer ces instruments avec lemploi de ces nouvelles
technologies. Le rsultat tait significatif dans trois secteurs de performances pour ces
instruments :
 Prcision,
 Traitement des signaux bord au plus prs du procd physique avec une
dlocalisation de certaines tches de la dcision.
 Diagnostic bord ; une amlioration raisonnable du diagnostic est disponible. Par
exemple, un metteur de diffrence de pression a maintenant 64 sorties pour le
diagnostic de signal disponibles sur le rseau [NOB 04].

- 19 -

Chapitre 1 : Instrumentation Intelligente

3.2. Instrument smart et instrument intelligent


Lvolution des instruments fait apparatre une progression de linstrument analogique,
linstrument numrique puis linstrument intelligent avec les limites suivantes :
 Linstrument analogique rudimentaire a pour rle une simple conversion qui est une
transmission dune information analogique pour le capteur et une action sur le
processus pour un actionneur.
 Linstrument numrique offre aussi la conversion du signal travers une chane de
traitements offrant la possibilit de numriser le signal en vue de son utilisation par
une centrale dacquisition.
 Linstrument "Smart" possde des fonctionnalits qui amliorent ses performances
mtrologiques, par des fonctions embarques de mmorisation et de traitement de
donnes.
 Linstrument intelligent est enrichi par une capacit crdibiliser sa fonction associe
une implication plus importante dans la ralisation des fonctions du systme auquel
il appartient. Cette crdibilisation fait rfrence une certaine capacit valider la
mesure produite pour le capteur ou rendre compte de la ralisation effective pour
lactionneur. Linstrument intelligent participe la commande du systme, sa
scurit en offrant des possibilits dalarme, son exploitation en diffusant des
informations relatives sa maintenance. Il coopre via un systme de communication,
slectionne les donnes transmettre et ventuellement prend une dcision.
Le dictionnaire de lIEEE [DOR 93] tente dlucider la distinction entre linstrument "Smart"
et linstrument intelligent en stipulant que les systmes intelligents, sont construits partir de
systmes "Smart", avec un ensemble ddi dactionneurs et de capteurs intgrs, et que les
systmes "Smart" contiennent une grande partie de capteurs distribus. En gnral, le terme
de systmes "Smart" implique gnralement un constituant structurel dans lequel des
fonctions numriques de dtection, d'actionnement, de traitement du signal et de commande
sont intgres de faon tangible.
Dautres auteurs [FRA 00] [ZHA 04] tayent galement que la dfinition de "Smart
instruments" n'a pas t aussi largement accepte et elle est soumise un mauvais usage.
[FRA 00] dfinit malgr cela un instrument "Smart" comme un instrument qui fournit des
fonctions au-del de celles qui sont ncessaires pour gnrer une reprsentation correcte des
grandeurs dtectes ou commandes. Cette fonction simplifie gnralement l'intgration de
linstrument dans des applications dans un environnement de rseau ". Cette dfinition fournit
un point de dpart pour le contenu minimum d'un instrument "Smart" [FRA 00].
La distinction entre "Smart sensor "et "Intelligent sensor" est illustre par la figure 1.1 :

- 20 -

Chapitre 1 : Instrumentation Intelligente

Capteur Intelligent

Automatisation

Capteur "Smart"
Mtrologie
Intgration

Capteur
"Classique"

Traitement du
Signal

Compensation

Connexion
Point Point

Connexion
Point Point

Rseau(x) de
Terrain

Figure 1.1 : Capteur "Smart" et Capteur Intelligent

Finalement notons que jusqu' prsent, aucun accord commun n'a t tendu la dfinition
dun capteur intelligent avec l'absence d'une dfinition officielle de n'importe quelle
organisation [ZHA 04] [MAS 98] [BOW 94].
Nous allons revenir ces dfinitions sous forme de classification par niveaux la fin de ce
chapitre.

3.3. Architecture matrielle dun instrument intelligent


3.3.1. Constituants de larchitecture matrielle
Larchitecture matrielle support de lintelligence des instruments (capteurs ou actionneurs)
est ralise autour dun systme microprocesseur qui tablit un dialogue permanent avec les
diffrents constituants travers un bus interne. Elle dpend de lapplication et de
lenvironnement de communication et peut tre associe, par exemple, des robots ou des
automates programmables. Elle se compose des sous-ensembles suivants :
 Des moyens de communication avec les oprateurs et/ou le systme
dautomatisation ; ces moyens permettent lchange des informations utilises par
les oprateurs ou les autres quipements de la structure distribue,
 Des moyens de traitement numrique (unit de calcul associe des mmoires) qui
permettent le traitement des informations et la distribution du systme,
 Un transducteur pour le capteur ou un organe dactionnement pour lactionneur.
[MEK06] propose une architecture matrielle comprenant les lments suivants:

- 21 -

Chapitre 1 : Instrumentation Intelligente


 un lment de sensation qui lie le monde extrieur un systme de capteur par la
gnration dun signal lectrique (par exemple la tension, le courant) avec la
rponse aux proprits physiques de l'environnement telles que la temprature, la
pression, l'intensit lumineuse, le son, la vibration, etc.
 un lment d'interface pour le conditionnement du signal et la conversion de
donne. Le signal obtenu en sortie du capteur est modifi et converti en donne
numrique avant dtre transfr llment de traitement.
 un lment de traitement qui inclut un microcontrleur avec une mmoire associe
et un logiciel; c'est la composante principale de l'architecture o le signal entrant
est trait.
 un lment de communication, lequel pourvoit une
bidirectionnelle entre llment de traitement et les utilisateurs.

communication

 une source dalimentation.


L'architecture matrielle d'un instrument intelligent s'apparente celle d'une machine
informatique classique. Ainsi pour un utilisateur externe, un instrument peut tre considr
comme une entit proposant des services qui manipulent des variables et font appel un
ensemble de ressources [TAI 00].
La figure 1.2 prsente un modle standard darchitecture matrielle pour les instruments
intelligents [BEA 93] [BAY 94]. Cette structure est devenue standard grce la norme
IEEE1451 [SHN00] qui la reprend. Cette norme a pour but de fournir un cadre cohrent et
ouvert permettant la mise en relation d'appareillages de faible capacit mmoire et dont les
possibilits se rduisent oprer des prises de mesures en un point donn.
La philosophie gnrale du dveloppement de ce standard repose sur la cration d'une volont
d'uniformiser les interfaces des appareils, et ce en ajoutant des capacits celles dj
existantes, tout en conservant le cot de la transition possible tous les vendeurs de
l'industrie.

- 22 -

Chapitre 1 : Instrumentation Intelligente

Capteur

Actionneur

Bus de communication interne

Instrument
intelligent

Microprocesseur

Noeud

Mmoires
Interface de
communication
Rseau

Figure 1.2 : Architecture matrielle dinstruments intelligents


Le standard envisag propose galement lindpendance vis--vis de la couche rseau mise en
uvre ainsi que lindpendance vis--vis du type de microprocesseur embarqu sur le
systme. La famille 1451P consiste en la proposition et le dveloppement de quatre
standards :
 IEEE 1451.1, Network Capable Application Processor (NCAP);
 IEEE 1451.2, Transducer to Microprocessor and Transducer Electronic Data Sheet
(TEDS) Format;
 IEEE 1451.3, Digital Communication and Transducer Electronic Data Sheet
(TEDS) Format for Distributed Multidrop Systems;


IEEE 1451.4, Mixed Mode Communication Protocols and TEDS Formats.

Un instrument intelligent est donc constitu de capteurs ou dactionneurs relis un nud par
lintermdiaire dun bus interne. Cet instrument peut tre compos uniquement de capteurs,
uniquement dactionneurs ou des deux. Il peut aussi tre compos dun seul capteur et dun
seul actionneur.
Un noeud est un ensemble de composants dont les principaux sont :
 Le microprocesseur : qui permet de faire les calculs,
 Les mmoires (ROM ou EPROM, RAM),
 Linterface de communication : qui permet de grer la rception ou lmission de
donnes sur le rseau.

- 23 -

Chapitre 1 : Instrumentation Intelligente

Une telle architecture matrielle est capable dintgrer les diffrentes fonctionnalits qui
peuvent appartenir aux instruments intelligents.
3.3.2. Aperu sur la norme IEEE 1451
La norme IEEE 1451 [IEE 04] a pour objectif de dfinir une interface standardise pour les
rseaux de capteurs. Celle-ci offre la possibilit de configurer automatiquement les capteurs
en y intgrant une interface spcifique et une fonction d'auto-reconnaissance. Cette norme
spcifie le format d'une fiche technique embarque dans la mmoire du capteur sous forme du
fichier TEDS (pour Tranducer Electronic Data Sheett). Ce fichier est une sorte
didentificateur de capteur. Cette fiche possde, entre autre, l'identit du capteur, ses
caractristiques (sensibilit,...) ainsi que la possibilit pour l'utilisateur d'ajouter des donnes
personnelles (localisation du capteur,...) [LEE 00]. Ce concept est dj mis en uvre dans les
capteurs de process (type Hart et bus de terrain) mais le terme TEDS est plutt rserv aux
capteurs de mesure mcanique.
Le fichier TEDS comprend trois zones distinctes, lune spcifie lidentit du capteur (son
fabricant, son numro de srie, etc), la deuxime comporte ses principales caractristiques
techniques (avec notamment sa gamme de mesure, sa sensibilit, sa date dtalonnage, etc),
et la dernire est rserve lutilisateur.
Cette norme standardise les caractristiques des capteurs intelligents savoir la dfinition des
interfaces pour quils puissent se connecter des rseaux divers. Parmi ces fonctions, nous
pouvons citer : la facilit dinstallation, lauto-identification, lauto-diagnostic, la fiabilit, le
temps dveil pour la coordination avec dautres noeuds, quelques fonctions logicielles, le
traitement du signal, des protocoles de contrles standards et des interfaces rseaux. De plus,
cette norme vise rapprocher lintelligence du point de la mesure et minimiser les cots
dintgration ou de maintenance dans des rseaux distribus [LEW 04]. La norme propose
galement lindpendance vis--vis de la couche rseau mise en uvre ainsi que
lindpendance vis--vis du type de microprocesseur embarqu sur le systme.
Cette norme nest pas encore acheve, cest une solution provisoire et une tape vers des
capteurs intelligents raccords sur un rseau universel.

3.4. Architecture fonctionnelle


Les capacits internes de calcul et de traitement assures par un systme microprocesseur
ainsi que sa facult dchange bidirectionnel dinformations avec le mdium externe de
communication ont permis linstrument intelligent dintgrer les fonctions du systme
dinformation, ainsi que de nouvelles fonctionnalits susceptibles damliorer la qualit de la
mesure et de la commande.
Diverses fonctionnalits ont t proposes pour un instrument intelligent.
Robert [ROB 93] a propos les fonctionnalits de configuration, de communication, de
mesure, de calcul et de validation. De mme, Meijer [MEI 94] inclut trois fonctionnalits;
compensation, calcul et communication. Tandis que Tian [TIA00] suggrait que ce qui
s'appelle un capteur intelligent devrait avoir les fonctions de compensation, validation, fusion
de donnes (data-fusion) et communication. Pour Revillard [REV 05] un instrument
intelligent est capable dintgrer des fonctionnalits comme la communication, lautoconfiguration, lauto-contrle. Mekid [MEK 06] propose les fonctionnalits de compensation,

- 24 -

Chapitre 1 : Instrumentation Intelligente

de traitement (processing), de communication, de validation, dintgration, de fusion de


donnes et de nouvelles fonctionnalits peuvent tre ajoutes telles que lauto-calibration.
La fonctionnalit compensation consiste en lamlioration des mesures pour une meilleure
prcision en considrant les erreurs dans le systme.
La fonctionnalit intgration concerne lintgration de l'lment de sensation par
l'informatique et la communication sur un botier simple pour liminer le raccordement de fils
entre les composants, pour rduire la taille globale des capteurs, pour employer de faon
optimale l'nergie et pour rduire des cots.
La fonction de la fusion de donnes est de s'assurer que seule l'information la plus approprie
soit transmise entre les capteurs.
Les fonctionnalits gnriques des capteurs intelligents se rsument comme suit : lacquisition
(mesure et conditionnement), la configuration (paramtrage et rglage), la validation
(traitement et prise de dcision) et la communication.
Si la fonction mesure est l'une des fonctions primordiales d'un capteur intelligent, car elle
permet d'alimenter par les donnes qu'elle fournit toutes les autres fonctionnalits, il en est
autrement pour l'actionneur intelligent.
En ce qui concerne lactionneur intelligent, on peut rutiliser la mme architecture
fonctionnelle et remplacer la fonctionnalit mesure par une autre que lon nommera
actionnement et qui aura pour but dexcuter la commande reue par lactionneur. On dit que
ce type dactionneur intelligent fonctionne en boucle ouverte. On dit que celui-ci fonctionne
en boucle ouverte sil ne dispose pas de fonction mesure et quil fonctionne en boucle
ferme sil possde un systme dinformation comprenant au minimum cette fonction, dont le
rle est de dlivrer les informations ncessaires llaboration de la commande. Ainsi un
actionneur, outre ses fonctionnalits propres, intgre celles du capteur et il dispose de
possibilits de gestion locale des informations.
Une illustration des fonctionnalits dun capteur intelligent est montre dans la figure 1.3
[ROB 93] :

- 25 -

Chapitre 1 : Instrumentation Intelligente

MESURE

CONFIGURATION
Fonctionnelle

Technologique
Acquisition
Traitement
du signal

Oprationnelle

Correction
Compensation

VALIDATION

Conversion en
mesure
Oprationnelle

Technologique
Mtrologique
Oprationnelle

Test
Diagnostic
Historique

COMMUNICATION
Synchronisation

Datation

Figure 1.3 : Fonctionnalits dun capteur intelligent [ROB 93]


La structure fonctionnelle dun actionneur intelligent comprend les fonctions actionner,
traiter, mesurer, communiquer bnficiant de lamlioration de leurs performances que
permet dintgrer une capacit locale de traitement de linformation [STA 94]. La fonction
traiter comprend les activits surveiller, laborer des informations, grer la base de donnes.
Ce traitement dinformation l o elles sont produites permet de fournir une base de donnes
locale valide pour lensemble des utilisateurs.

Communiquer
Grer
lapplication

Mesurer

Surveiller

Elaborer les
informations

Grer la base
de donnes

Processus
Actionner

Dcider

Traiter

Figure 1.4 : Architecture fonctionnelle gnrique dun actionneur intelligent [STA 94]

- 26 -

Chapitre 1 : Instrumentation Intelligente

Un instrument intelligent doit pouvoir intgrer les fonctionnalits d'un capteur intelligent et
celles d'un actionneur intelligent pour tendre vers plus de gnricit. La figure 1.5 illustre une
proposition de fonctionnalits d'un instrument intelligent gnrique.

Test interne

Mesure

configuration

Validation
Diagnostic
Dcision

Actionnement

Communication

Figure 1.5 : Architecture fonctionnelle dinstruments intelligents


La figure ci-dessus fait apparatre le schma classique Mesure-Dcision-Action dans la
description de tout systme automatis. Linstrument intelligent est dot galement d'un
logiciel qui est implant dans son nud pour pouvoir intgrer toutes ces fonctionnalits.
Linstrument intelligent par limplantation de ces fonctionnalits soctroie des capacits de
calcul et des moyens de communication. Lintelligence impliquera plus de renseignements
dans le nud instrument et une distribution accrue dinformations.
La fonctionnalit principale qui caractrise lintelligence notre sens est celle reprsente par
le trio validation, diagnostic, dcision. Elle est le cur de linstrument intelligent et les autres
fonctionnalits (autres la mesure et lactionnement) concourent son tablissement et
constituent des moyens au service de cette fonctionnalit. La capacit des capteurs de
communiquer avec d'autres parties du systme de contrle permettra d'avoir plus de
renseignements au noeud capteur (donc dintelligence) et une distribution accrue du contrle.
Cette fonctionnalit se rapporte donc la correction des conditions environnementales et
leur validation, la ralisation des fonctions de diagnostic et la prise de dcisions. Cest
cette fonctionnalit qui sera la base de lamlioration de la sret de fonctionnement qui lie
troitement lamlioration de la crdibilit par la validation, la dtection de dfauts et la
prise de dcision adquate.

- 27 -

Chapitre 1 : Instrumentation Intelligente

4. Modles gnriques dinstruments intelligents


Plusieurs modles gnriques dinstruments intelligents ont t proposs afin de prendre en
compte les nouvelles fonctionnalits. Tous ces modles peuvent tre classs en deux
catgories selon quils cherchent spcifier linstrument intelligent par son modle interne ou
externe.
Le modle interne [GEH 94] dun instrument intelligent dcrit les fonctions quil doit intgrer
pour raliser les services quen attendent les utilisateurs. Il dfinit la structure et la nature des
traitements implants. Dans ce sens, il sadresse plus particulirement au concepteur.
Le modle externe [RUM 91] dun instrument intelligent caractrise, dun point de vue
externe, lensemble des services prvus par le concepteur. Ceux-ci sont commands laide
de requtes et selon un protocole de commande spcifique appartenant au modle. La
structuration de ce modle est donc indispensable pour assurer linteroprabilit et
linterchangeabilit dun ensemble dinstruments constituant une application. Ce modle
sadresse donc plus particulirement lutilisateur.
Nous abordons quelques modles gnriques dinstruments intelligents.

4.1. Modles internes


La mthode SADT (Structured Analysis and Design Technique) ou Analyse Structure et
Technique de Conception est une mthode de spcification fonctionnelle analysant un
systme ou un produit, de manire descendante, modulaire et hirarchique [CAL 90].
La mthode SADT permet la modlisation formelle du concept dinstruments intelligents.
Cette mthode descriptive permet la reprsentation de larchitecture, des diffrentes activits
de linstrument, des flux de donnes. Cependant, nombre dobjectifs, besoins et contraintes
restent exprims en langage informel, cest--dire par du texte. Ces descriptions gnriques
doivent donc tre compltes par dautres modles de reprsentation. Des formalismes tels
que les rseaux de Petri ou les graphes dtats sont bien adapts la reprsentation des aspects
temporels et de la gestion des activits.
Une autre approche pour le modle interne a t la modlisation du capteur intelligent par une
approche oriente objet partir de la mthode OMT (Object Modeling Technique) [RUM 91].
Le but de cette mthode semi-formelle est de fournir trois modles pour dcrire les aspects
statiques, dynamiques et fonctionnels. La varit des modles, leur richesse smantique et
leur reprsentation graphique permet dexprimer nimporte quel concept en restant trs
abstrait. Cette capacit dabstraction peut tre vue comme une force mais aussi comme une
faiblesse. En effet, elle est source dincohrences et va lencontre de certains principes de la
construction du logiciel (validation ds lanalyse, automatisation de la construction).

4.2. Modle USOM (modle externe)


En ce qui concerne le modle externe, lapproche USOM (USer Operating Mode) est la plus
rpandue [BOU 97]. Dans ce type dapproche, linstrument intelligent peut tre considr par
un utilisateur comme une entit proposant des services, lesquels manipulent des variables et
font appel un ensemble de ressources. Ainsi, la notion de service est dfinie en adoptant une
reprsentation de larchitecture matrielle de linstrument intelligent identique celle dune
machine informatique classique. Par ailleurs, et afin dviter la ralisation par lutilisateur

- 28 -

Chapitre 1 : Instrumentation Intelligente

dactions incompatibles, les diffrents services dun instrument sont regroups en sousensembles cohrents dits modes dutilisations.
4.2.1. Services d'un instrument intelligent
Les services sont dfinis d'un point de vue externe, ils sont le rsultat de l'excution d'un
traitement (ou l'ensemble de traitements), auquel on peut associer une interprtation en termes
fonctionnels. La description d'un service consiste dcrire le rsultat produit par son
excution. Un service est une entit qui consomme des variables et en produit d'autres
conformment la figure suivante :
Conditions d'activation

Variables
consommes

TRAITEMENTS

Variables
produites

Ressources
Figure 1.6 : Reprsentation d'un service
L'excution d'un service est dclenche par l'avnement d'une condition d'activation et
ncessite la disponibilit d'un certain nombre de ressources. Le service peut s'excuter de
manire nominale dans le cas o l'ensemble de ressources qu'il utilise est valid.
La dfaillance de certaines ressources n'implique pas forcment l'indisponibilit du service
qui les utilise. Des traitements de remplacement peuvent tre prvus. L'ensemble de ces
traitements dfinit les versions possibles de ce service.
4.2.2. Organisation des services en modes d'utilisation
Un mode dutilisation comprend au moins un service et chaque service appartient au moins
un mode dutilisation. Ainsi lensemble des modes dutilisation est un recouvrement de
lensemble des services.
A un instant donn, linstrument se trouve dans un mode dutilisation donn. Seuls les
services appartenant ce mode pourront tre excuts.

- 29 -

Chapitre 1 : Instrumentation Intelligente

Ensemble de services
Mode dutilisation 2

Mode dutilisation 3

Mode dutilisation 1

Figure 1.7 : Modes dutilisation et services

4.3. Approche client serveur


Le choix dun modle gnrique doit permettre lexpression dune architecture fonctionnelle
gnrale adapte aux applications de contrle-commande.
Tailland [TAI 00] considre que les deux modles internes et externes sont ncessaires et
complmentaires. Il voit la couche interne dun instrument intelligent comme un
enchanement de services appels services internes. Ces services internes sont des entits
fonctionnelles lmentaires qui ne sont pas accessibles directement par lutilisateur. En fait,
ce modle utilise une approche client/serveur qui positionne la couche interne comme serveur
de la couche externe. Pour la couche externe, le modle USOM est utilis. Donc, lutilisateur
voit linstrument intelligent comme un ensemble de services (les services externes).
Rvillard [REV 05] labore un modle dinstrument intelligent qui se base sur le modle
client/serveur en reprenant des tudes menes dans [TAI 00]. Ce modle dinstruments
intelligents traite la relation de type client/serveur qui permet dexprimer les fonctionnalits
offertes par un instrument son utilisateur (personne physique ou autre instrument
intelligent). Il traite aussi la relation client/serveur qui stablit au sein mme de linstrument
intelligent. Cette relation se manifeste par la ralisation de service externe par linstrument
intelligent. La conception des instruments intelligents utilise une mthode de conception
centre architecture avec un logiciel qui gre le comportement des instruments intelligents.
La figure 1.8 est le rsultat des tudes menes dans [BEN 01]. Elle reprsente le modle
dinstrument intelligent qui se base sur le modle client/serveur de [CAL 90].

- 30 -

Chapitre 1 : Instrumentation Intelligente

CLIENT

Interface de
linstrument

Service externe
Fonctions

Interface
interne

Service interne
Fonctions de base

Figure 1.8 : Modle client/serveur


Aprs avoir dress le concept dinstrument intelligent, nous allons dans ce qui celui
sintresser au systme dautomatisation intelligence distribue qui intgre ce type
dinstruments.

5. Systmes dautomatisation intelligence distribue


5.1. Introduction
Les systmes dautomatisation intelligence distribue (SAID) sont une extension des
systmes automatiss. Ils se sont dvelopps au mme temps que les nouvelles technologies.
Ces systmes sont composs dinstruments intelligents (capteurs et actionneurs intelligents),
dunits de traitement et de rseaux de communication. Les SAID se prsentent sous forme
darchitecture distribue contrairement larchitecture centralise classique permettant ainsi
une dlocalisation de quelques tches de traitements au plus prs du processus grce au rseau
de communication.
Les principaux composants dun systme dautomatisation sont les capteurs qui dterminent
ltat actuel du processus sous contrle, les rgulateurs qui tablissent les nouvelles
commandes et les actionneurs qui excutent les nouvelles commandes sur le processus.
Les liaisons entre diffrents constituants des systmes dautomatisation sont assures soit par
des boucles classiques 4-20 mA ou par des rseaux de communication.
Les systmes dautomatisation intelligence distribue sont constitus dinstruments
intelligents qui sont des capteurs et des actionneurs intelligents. Ils constituent avec les
systmes de communication les constituants de base des SAID, ils sont dots dune
intelligence manifeste par une capacit de traitement local offrant des fonctions autres que
les fonctions primitives (mesurer pour un capteur et agir pour un actionneur).
.

- 31 -

Chapitre 1 : Instrumentation Intelligente

5.2. Evolution des SAP vers les SAID


Un systme automatis accomplit des fonctions en minimisant les interventions humaines.
L'accomplissement de ces fonctions est quivalent la dlivrance de services qui ont pour
objectifs en particulier l'augmentation de la productivit, l'amlioration de la qualit,
l'augmentation de la scurit ainsi que de faciliter la tche des oprateurs.
Un systme automatis se compose d'un certain ensemble d'entits en interaction qui sont
l'homme, le processus automatiser, le systme d'automatisation. Ces entits sont organises
pour satisfaire un besoin et le choix de l'organisation est fait en fonction du procd.
Un Systme Automatis de Production (SAP) dsigne lensemble des installations destines
augmenter la valeur ajoute de produits conformment aux objectifs de productivit, de
qualit, de fiabilit, etc. Il regroupe lensemble des moyens matriels et logiciels conduisant
la fabrication dun produit.
Le SAP regroupe ainsi les lments constituants la partie automatisme, communication et
conduite de linstallation. Il assure lacquisition des informations fournies par les capteurs, en
fait le traitement et labore la commande des actionneurs.
Une autre approche du SAP consiste le dcomposer en deux parties bien distinctes, une
partie commande (ou systme dinformation) o sont effectues les tches de coordination et
une partie oprative qui est constitue en partie du processus physique [GRE 91]. Capteurs,
actionneurs et machines-outils dans les processus manufacturiers constituent la partie
oprative du processus.
Le SAP assure aussi la communication par lchange dinformation avec son environnement.
Il comprend galement une interface avec les oprateurs permettant la conduite ainsi que la
gestion technique. Le SAP est en effet en relation directe avec le systme de dcision de
lentreprise.
On distingue trois types darchitectures diffrentes pour structurer les systmes automatiss
de production :
Larchitecture fonctionnelle dun systme dautomatisation est un modle abstrait formalis
de la structure et du comportement externe des activits du systme dautomatisation. Cest
une description de la solution envisage pour rpondre aux exigences du cahier des charges.
Larchitecture fonctionnelle est un rsultat de ltape de spcification.
L'architecture matrielle d'un systme automatis est constitue d'un ensemble de machines
dotes de systmes d'exploitation, d'un ensemble de moyens de communication connectant
ces machines.
Larchitecture oprationnelle dsignera le rsultat dune projection de larchitecture
fonctionnelle sur une architecture matrielle. Larchitecture oprationnelle valide et
optimise est le rsultat de ltape de conception. Il sagit de la meilleure architecture
oprationnelle au sens dun ou plusieurs critres. Elle est valide dans le sens o elle est
conforme au cahier des charges, cest--dire quelle respecte toutes les contraintes nonces
[TAI 00].
Le terme SAID provient donc de SAP (Systme Automatis de Production) auquel ID
(Intelligence Distribue) a t ajoute dans les annes quatre-vingt-dix avec lapparition des
units de traitement numrique et des rseaux de communication [THI 04]. Le terme P de
production a ensuite t enlev pour tendre plus de gnricit.

- 32 -

Chapitre 1 : Instrumentation Intelligente

Les SAID sont des systmes constitus de composants intelligents rpartis autour dun rseau
de communication tel quun rseau de terrain. Dans le cas o la boucle de commande est
ferme par un canal de communication, ces systmes sont appels des systmes commands
en rseau ("Networked Control Systems" ou NCS) [WAL 99].
Daprs le dictionnaire de lIEEE [DOR 93], le SAID est une structure de contrle interactif
intgrant des caractristiques cognitives qui peuvent inclure des techniques d'intelligence
artificielle et certaines constructions fondes sur la connaissance pour muler le
comportement d'apprentissage avec une capacit globale de la performance. Le rle du SAID
est de pouvoir fournir une approche systmatique pour traiter les nombreuses contraintes qui
sont impliques dans la commande.
Les SAID se sont dvelopps avec laugmentation croissante du nombre dinformations
ncessaires au contrle des processus industriels qui a conduit au dveloppement dunits de
traitement de plus en plus performantes, capables de traiter rapidement un grand nombre
dinformations. Ces systmes permettent aussi une grande flexibilit en terme de vitesse de
commande, de scurit, de conformit de la fabrication, de fiabilit [LAF 97]. Ils contribuent
assurer dimportants services comme le traitement et la communication [DAI 03].
La premire volution est apparue avec lintroduction des bus de terrain, ils ont permis de
dporter les entres/sorties numriques et analogiques et de rduire les cots et temps de
cblage. Lensemble des informations est trait par lunit centrale.
La rpartition de lunit centrale et le rapprochement des traitements au niveau des
instruments de terrain ont fait voluer le concept de systmes dautomatisation vers celui de
SAID [BAY 05] [HER 97]. Les traitements locaux peuvent tre implants directement dans
les composants dautomatisme intelligents (capteurs et actionneurs intelligents) ou dans des
petites units de traitements (micro-automate) grant un sous-ensemble de composants
intelligents.
Le micro-automate communicant sera utilis comme un module de traitement dport pour
traiter une partie de lapplication [CHO 96].
La figure 1.9 montre un systme dautomatisation intelligence distribue illustrant la
rpartition de lunit centrale et le rapprochement des traitements au plus prs des
quipements. Ces traitements sont implants directement dans les capteurs et actionneurs
intelligents ou dans des petites units de traitements grant un sous-ensemble de capteurs et
actionneurs.
E

Unit de
Traitement S
C

Capteurs
Dtecteurs

C
Unit de
Traitement

Capteurs et
Actionneurs
Intelligents
CI

CI

AI

AI

Procd

Figure 1.9 : Automatisme dcentralis


- 33 -

C
Unit de S
Traitement

Pr-actionneurs
Actionneurs

Chapitre 1 : Instrumentation Intelligente

De nos jours, les architectures distribues sont la base de beaucoup de systmes industriels
[CAM 99]. Ces architectures distribues offrent non seulement un cblage rduit et une
simplification de la maintenance mais elles offrent aussi une occasion dimplmentation de
lois de commande sophistiques [LEE 01]. Lautomatisme dcentralis permet une relle
distribution des fonctions au plus prs des capteurs/actionneurs. Lintelligence peut tre
intgre directement dans les C/A.

5.3. Caractristiques des SAID


Les SAID sont caractriss par un ensemble de proprits telles que la structuration hybride
qui est reflte par la coexistence de systmes continus et de systmes chantillonns et
dautres vnements discrets, les reconfigurations offertes par le caractre dynamique de ces
systmes, lintgration de fonctionnalits relatives la prsence dun rseau de
communication dans un systme de commande.
Daprs [RIE 02], un systme automatis est un systme hybride avec des sous-systmes
continus, chantillonns et des sous-systmes vnements discrets. Cette proprit est
retrouve au sein mme dun constituant du systme qui est par exemple le capteur qui envoie
priodiquement sa mesure et peut envoyer une information de dpassement dun seuil par
exemple.
Les reconfigurations offrent un caractre dynamique des SAID durant le cycle de vie [BAR
03]. Les changements par rapport ltat initial peuvent tre trs rapides, tels que larrt de
fonctionnement dun composant ou encore lents tels que la diminution de vitesse daction
pour un actionneur subissant une usure.
Outre le caractre hybride et la proprit de dynamisme caractrisant les systmes
dautomatisation intelligence distribue, ces systmes utilisent un rseau de communication.
Celui-ci rend complexe lanalyse et la conception de ces systmes [ZHA 01]. Quelques
facteurs influent sur le fonctionnement de ce type de systmes tels que le dlai de
transmission de donnes qui peut dans certains cas dstabiliser le systme, les ventuelles
pertes de trames de communication et leur impact sur le systme et le rseau peut tre
considr comme dfaillant, lordre darrive des trames de communication peut aussi diffrer
de lordre de lmission et les informations peuvent aussi tre tronques en plusieurs trames.
Nanmoins, ces systmes associant des rseaux de communication offrent des amliorations
par rapport aux systmes classiques telles que la rduction du cblage, laugmentation de la
flexibilit, le potentiel de communication des informations sur la supervision ou le diagnostic,
la coopration des composants au sein d'une architecture distribue.

5.4. Les SAID sont ils considrs comme des systmes complexes ?
La complexit dun systme tient compte de leurs comportements, leur taille, de la diversit
des informations mises en jeu ainsi que des phnomnes rgissant le fonctionnement de ces
systmes [BEN 04].
Les systmes complexes posent des problmes nouveaux et importants danalyse et de
modlisation et parfois il nest pas possible de passer de ltape de lanalyse ltape de
lexcution des traitements sans le passage par des tapes intermdiaires permettant la
rduction du problme.

- 34 -

Chapitre 1 : Instrumentation Intelligente

La modlisation de systmes complexes conduit l'obtention de modles non-linaires dont la


dynamique est influence la fois par des vnements discrets et des dynamiques continues.
Le cas des SAID sapparente bien au cas des systmes complexes dont la complexit est aussi
lie ltude de la sret de fonctionnement.
Dans [NIC 90], il est rappel que la dfaillance dune simple pice, le non-respect dune
partie de la procdure, une erreur de diagnostic peuvent en certaines circonstances
compromettre gravement le fonctionnement dune installation.

5.5. SAID et sret de fonctionnement


La distribution des traitements dans les SAID apporte priori plus defficacit au niveau de la
sret de fonctionnement de ces systmes par rapport aux systmes classiques architecture
centralise [LAP 95] [VIL 88]. En effet, la dfaillance dune unit de commande nentrane
pas ncessairement larrt de linstallation dans la mesure o une distribution des tches vers
les autres units est ralise.
Lintelligence dans les capteurs et actionneurs contribue crdibiliser les informations
produites ou les actions effectues visant des objectifs de sret de fonctionnement.
Lutilisation des rseaux de terrain permettant la diffusion des informations vers tous les
quipements et la dlocalisation des traitements au plus prs du processus permettent une
ractivit loccurrence dincidents ce qui contribue lamlioration de la fiabilit. La
maintenabilit est grandement facilite par les possibilits dinterrogation distance sur ltat
des composants.
Un autre attribut de la sret de fonctionnement concerne la crdibilit englobant les aspects
intgrit et sret [CEI 91] et correspondant lassurance fournie par le dispositif de sa
capacit reconnatre et signaler son tat. La crdibilit est amliore par lensemble des
moyens de validation des instruments intelligents.
Finalement, linfluence de linstrumentation intelligente sur lattribut scurit de la sret de
fonctionnement qui consiste se prserver de situations dangereuses ou catastrophiques, est
contraste. Elle contribue une amlioration [CAM 01] dans les applications o la scurit
est critique mais elle peut introduire de nouveaux modes de dfaillance affectant la scurit
[GAR 02]. Ainsi, les capacits de communication offrent des possibilits dautodiagnostic et
une mise en place darc rflexe permettant lamlioration de la scurit. Dautre part, de par
leur complexit, ces systmes peuvent galement tre sources de dfaillance.
Il est ncessaire alors dtudier et damliorer la sret de fonctionnement des systmes qui
pourraient impliquer certains risques pour le processus de commande ou aux utilisateurs
[CAM 97].
Quant lvaluation de la sret de fonctionnement des SAID, elle nest pas triviale [JUM
03] [BAR 02]. Quelques problmes rsoudre concernent lvaluation des algorithmes et
programmes, lutilisation du rseau de communication (dlai ), lvaluation globale de la
sret de fonctionnement en tenant compte des caractristiques des composants et de la
topologie du systme distribu. Cette valuation concerne deux approches : lapproche
statique (aspect structurel) [CON 99] et lapproche dynamique (aspect fonctionnel et
dysfonctionnel) [BAR 03].
La difficult de lvaluation de la sret de fonctionnement de ce type de systmes trouve son
origine dans lexistence de difficults lies la modlisation. Les incidents ou accidents qui
perturbent le systme durant son cycle de vie sont les rsultats de dfaillances lies aux entits
- 35 -

Chapitre 1 : Instrumentation Intelligente

qui constituent le systme et son environnement. Un modle gnrique des diffrentes


causes directes dun accident est prsent dans [KUM 96] (cf. figure 1.10).
Des tudes ont t ralises pour lvaluation de la sret de fonctionnement des SAID en
phase dynamique en estimant le taux dusure en fonction de la configuration dynamique du
systme [MKH 05] [BAR 03]. Ceci a permis dobtenir une comparaison quantitative des
comportements dynamiques du systme.
Dune faon gnrale, la sret de fonctionnement des systmes automatiss reste difficile
valuer. Cette difficult rside essentiellement dans la complexit modliser lvolution
comportementale du systme. Cette complexit peut revtir diffrents aspects [BEN 04]:
 la taille,
 laspect technologique,
 le nombre dtats,
 la complexit stochastique,
 le nombre de composants,
 les effets de lintgration,
 le modle fonctionnel,
 le modle structurel.
Accidents

Erreurs humaines

actives

latentes

Dfaillances matrielles

recouvrement

Induites par
lhumain

Evnements
extrieurs

alatoires

Figure 1.10 : Causes dun accident selon [KUM 96]

6. Validation dans les instruments intelligents


Un instrument intelligent doit fournir des informations rputes valides. La notion
d'informations valides oblige la prise en compte de l'univers de la validation au sens le plus
large. Il y a toujours une limite au del de laquelle la validation devient impossible. Cette
limite peut tre soit : conomique, technologique, ou lie la mthode d'laboration de la
mesure
La fonctionnalit validation d'un instrument intelligent se doit de couvrir : la totalit de la
technologie alors mise en uvre, l'ensemble de l'espace fonctionnel de l'instrument, et enfin le
domaine oprationnel spcifique l'exploitant propritaire de l'instance matrielle de
l'instrument.

- 36 -

Chapitre 1 : Instrumentation Intelligente

La validation des donnes est une notion trs importante dans la mesure que les systmes
sensibles aux dfauts sont pris en compte. Lorsque des capteurs intelligents sont inclus dans
de tels systmes, des donnes sont fournies et elles vont qualifier l'estimation produite avec
une certaine confiance associe.

6.1. Hirarchie ncessaire l'laboration de la mesure


L'laboration de la mesure oprationnelle fournie au consommateur doit tre structure selon
une certaine hirarchie [ROB 93].

Figure 1.11 : Hirarchie dlaboration de la mesure oprationnelle [ROB 93]


La figure 1.11 dcrit la hirarchie ncessaire llaboration de la mesure oprationnelle qui
est une mesure valide directement exploitable par lutilisateur.
La mesure oprationnelle est issue de mesures primaires (grandeurs principales), celles-ci sont
ventuellement corriges par les mesures secondaires (grandeurs dinfluence) et elles sont
valides par rfrence des modles.
La fonctionnalit validation dun instrument intelligent couvre la technologie mise en uvre,
les mesures fonctionnelles incluant les mesures auxiliaires et le domaine oprationnel
spcifique au consommateur.
Nous pouvons donc caractriser les trois formes principales de validation :

- 37 -

Chapitre 1 : Instrumentation Intelligente


 La validation technologique : Elle consiste s'assurer que le matriel n'est pas
dfaillant. Elle concerne le bon fonctionnement de linstrument intelligent en termes
de technologie comme par exemple la mesure de la tension de lalimentation, de la
temprature de llectronique... Outre la dfaillance, la dtection d'erreur de
conception/installation telle que le corps d'preuve implant ne correspond pas la
configuration de l'instrument, fait partie de la validation technologique. Ainsi la
mesure fonctionnelle est valide par la prise en compte de mesures technologiques qui
se rapportent particulirement la technologie de linstrument [ROB 93]. Il faut noter
que cette validation technologique ne garantit pas que l'estimation produite par le
capteur est correcte, mais seulement que les conditions d'exploitation n'taient pas
contre des exactitudes ventuelles [STA 05].
 La validation fonctionnelle : Elle consiste s'assurer que les informations sont
valables d'un point de vue fonctionnel. Elle concerne toutes les formes de vrification
de la cohrence des donnes ; ce peut tre l'emploi de modle (variation dans ltendue
de mesure) ou la comparaison de diffrentes mesures successives afin d'en dtecter les
erreurs ventuelles. La cohrence de la mesure par rapport des modles permet
denrichir la validation. Les mthodes utilises concernent le diagnostic base de
modle et elles sont dveloppes pour diverses applications et revtent diffrentes
formes suivant la nature des applications envisages. Pour dtecter les lments
dfectueux dun systme, un certain degr de redondance est requis. La redondance
dsigne le fait de disposer dune mme information de plusieurs manires. Cette
redondance est utilise pour effectuer des tests de cohrence entre les variables
mesures elles-mmes ou entre les variables mesures et le modle du systme.
 La validation oprationnelle : Elle concerne essentiellement le recoupement
d'informations entre les diffrents quipements du systme et elle sopre par
lintermdiaire dun dialogue avec dautres lments du systme; ainsi l'envoi d'un
ordre un actionneur doit tre suivi d'un effet ressenti par certains capteurs et
inversement, l'volution d'une grandeur physique doit correspondre l'effet de
commandes transmises un ou plusieurs actionneurs. Par ailleurs, outre la dtection
de dfaillance, la validation oprationnelle doit contrler que les paramtres entre
instruments dfinis lors de la conception/installation sont cohrents (mme unit de
travail, priode d'chantillonnage compatible). La validation de la mesure
oprationnelle sopre aussi par lintermdiaire dun dialogue avec dautres lments
distribus du systme global assurant ainsi une sorte de redondance matrielle.

6.2. Caractristiques de la validation


6.2.1. Validation au niveau du capteur
La fonctionnalit validation est indissociable de la fonctionnalit mesure et elle a pour rle de
dcerner une confiance sur cette mesure. Nous allons nous intresser dans ce paragraphe
voir comment on peut assurer une validation de type fonctionnel notamment avec des
techniques prouves de diagnostic.
La dtection de dfauts base sur lutilisation de modles (diagnostic) consiste en la
gnration de rsidus par la reconstruction de la sortie et sa comparaison avec la sortie
mesure et ensuite ltape de la validation consiste en la prise de dcision vis--vis de ce
modle qui ne donne quune approximation du comportement rel.

- 38 -

Chapitre 1 : Instrumentation Intelligente

La cohrence entre les signaux mesurs du systme et ceux du modle est reflte par des
caractristiques statistiques dun signal indicateur de dfauts appel rsidu. Celui-ci est gnr
par un systme qui filtre les entres et les sorties de linstrument [NYB 97]. En pratique, on
gnre des rsidus ayant une moyenne nulle en fonctionnement normal et diffrents de zro
en fonctionnement dfaillant.
Pour [CLA 00], la nouvelle fonction exige dun instrument intelligent est la gnration en
ligne de lincertitude. Cest un nombre dans les mmes units que les donnes mesures et qui
reprsente lerreur associe la mesure. Cette incertitude sur la mesure possde deux
composantes : les effets alatoires dus aux bruits et les erreurs systmatiques. Les expriences
rptes peuvent rduire le premier mais pas le second.
Un modle de dfaut est donc une reprsentation formelle de la connaissance des dfauts et de
leurs faons dinfluencer le systme. Plus spcifiquement, le terme dfaut signifie que le
comportement dun composant a dvi de son comportement normal. Pour autant, il ne
signifie pas que linstrument a cess de fonctionner.
Un dfaut dans le dtecteur de temprature tel quun circuit ouvert est dtectable par les
autotests internes. Sans correction, le dfaut est propag par une quation de compensation
pour produire un grand offset. Une fois le dfaut marqu, lapproche correcte est dutiliser la
dernire bonne valeur du mesurande. Lincertitude relative correspond la temprature
enregistre dans lhistorique du capteur. La nouvelle valeur est peut tre imprcise mais
conviendra pour assurer la fonction.
Un autre algorithme possible consiste prendre la moyenne des valeurs stockes dans un
historique et se trouvant entre deux limites. La bonne valeur appartient lintervalle entre ces
deux limites et la valeur moyenne de la temprature est celle quon utilise pour la
compensation.
[ISE 92] propose un principe qui permet de calculer la nouvelle valeur des paramtres qui
minimise lcart entre les grandeurs mesures et les grandeurs calcules avec les paramtres
estims.
Le rsultat est ainsi compar aux paramtres du modle de rfrence obtenus dans le cas sans
dfauts et lerreur destimation est alors utilise comme rsidu.

(k )
r (k ) = nom
(k ) le vecteur de paramtres
o nom est le vecteur des valeurs nominales des paramtres et
estim linstant k.
(k ) peut tre calcul par deux faons : hors ligne ou en
Le vecteur de paramtres estim
(k ) est obtenu analytiquement partir des mesures chaque
ligne. Dans le premier cas
instant. Dans ce cas, lalgorithme de lestimateur au sens des moindres carrs traite
simultanment les N mesures recueillies sur le systme. Dans le deuxime cas lalgorithme
rcursif traite les mesures successivement. Cest--dire que lestimation future dpend de
lestimation prsente.
Le choix dun horizon glissant comportant N mesures savre plus efficace pour les raisons
suivantes [BAI 07]:

 les donnes correspondant aux mesures peuvent tre trop nombreuses pour tre
stockes en mmoire. On souhaite alors les utiliser simultanment et ne mmoriser

- 39 -

Chapitre 1 : Instrumentation Intelligente

quune quantit limite dinformation, indpendante du nombre de mesures plutt que


davoir grer une importante base de donnes ;
 on peut vouloir utiliser les rsultats pour prendre des dcisions immdiates partir des
mesures ralises, sans devoir attendre de disposer de toutes les donnes. Dans le
contexte de la sret de fonctionnement, on souhaite suivre lvolution des paramtres
du systme pour sassurer que son comportement reste normal.
Ainsi, les tests vont porter sur le gradient (vitesse de variation) du signal plutt que sur la
valeur absolue du signal. La dtection du dfaut se fera si lamplitude du signal nest pas
comprise dans un intervalle admissible.
La validation peut tre reprsente par lintersection de trois cercles dans la figure 1.12 qui la
montre comme rsultat de combinaisons de technologies.

Figure 1.12 : La validation par combinaisons de technologies [CLA 00]


Nous constatons que la validation est au cur dun processus combinant plusieurs
technologies. Lutilisation de microprocesseurs offre plusieurs flexibilits garantissant
limplantation de diffrents algorithmes de dtection de dfauts assurant ainsi du diagnostic
au sein des instruments dont les informations sont compenses. La dtection de dfauts base
sur lutilisation de modles (diagnostic) consiste en la gnration dincertitudes par la
reconstruction de la sortie et sa comparaison avec la sortie mesure et ensuite ltape de la
validation consiste en la prise de dcision vis--vis de ce modle pour formuler une
approximation du comportement rel.
6.2.2. Validation au niveau de lactionneur
Un actionneur permet une variable de processus (dbit, position ou force) dtre manuvre
selon la demande dun signal de commande u. Cet actionneur est considr abusivement
linaire, ragissant instantanment et possdant un rendement illimit. En pratique, les
actionneurs sont non linaires, ils ont une dynamique lente et leur action est limite. En outre,
ils se dtriorent dans le temps, ce qui dgrade la performance de la boucle [CLA 95].

- 40 -

Chapitre 1 : Instrumentation Intelligente

Un exemple dactionneurs subissant des non linarits (collage, hystrsis) est celui des
vannes de commande de dbit trs rpandues.
Lactionneur intelligent mesure et compense ses caractristiques indsirables, dtecte et
corrige des conditions de fautes et rend compte de son comportement. Les changements de la
dynamique ainsi que les limites de saturation courantes peuvent tre prises en considration
dans un actionneur intelligent.
Un actionneur idal reoit une demande ud et la transforme en commande ua. La relation qui
existent entre ud et ua est linaire entre deux limites de saturation umin et umax. Il est commode
de prendre umin = 0 et umax = 100% (par exemple, fermeture entire dune vanne et son
ouverture entire).
Supposons que lactionneur est satur. Il retourne le signal correspondant au signal rel de
lactionneur ainsi que le signal correspondant aux variables relatives au processus. Puisque ud
est contrle et ua est mesure, il est possible davoir une image prcise de la non linarit de
lactionneur avec lalgorithme de compensation. Le point cl est qu'il est alors possible
d'inverser la non linarit de sorte que par l'intermdiaire d'une table consultable n'importe
quelle valeur ua exige sera slectionne par la valeur de ud approprie.
Par consquent en employant la rtroaction interne ou en appliquant une non-linarit inverse
lactionneur nominal approche l'idal.
La validation dans un actionneur utilise tous les moyens disposition pour valuer et
compenser les non linarits internes.
[TOM 01] stipule quune mise en uvre russie de validation de lactionneur doit tre donc
tre capable d'observer ses propres caractristiques et soit continuellement capable dadapter
la compensation.
Le cas des actionneurs est similaire au cas des capteurs dans lutilisation de la mthode de
gnration de rsidus. La reconstruction base dobservateurs et filtres peut tre utilise, il
sagit dun processus simulant le fonctionnement du systme partir dun modle
mathmatique o la sortie est corrige par lerreur destimation de la sortie [BAI 07]. En rgle
gnrale, les approches base dobservateurs consistent comparer des fonctions des sorties
estimes avec les mmes fonctions de sorties mesures.

7. Classification de lintelligence dans les instruments


Comme guise de synthse, notons que la dfinition de lintelligence est sujette dbat. La
rfrence laquelle nous pouvons donc nous y attacher est lintelligence humaine. Nous
avons dress un bilan de lintelligence dans linstrumentation par la caractrisation de
diffrents niveaux relatifs aux diffrentes fonctionnalits implantes dans les instruments
puisquil existe donc plusieurs formes dintelligence, classes sous forme de niveaux qui
stalent du concept gnral de lintelligence des facteurs beaucoup plus spcifiques.
Nous avons caractris les systmes instruments en quatre niveaux : le systme rudimentaire,
encore trs rpandu, le systme numrique, le systme bas sur un instrument dit smart et
enfin le systme (exploitant un processeur ddi) bas sur un instrument intelligent.

- 41 -

Chapitre 1 : Instrumentation Intelligente

7.1. Niveau 0
Malgr les avances technologiques dans le domaine de linstrumentation et de la
microlectronique, beaucoup de systmes sont encore constitus rudimentairement dun
capteur (transducteur et conditionneur) qui transmet simplement une information analogique
et dun actionneur qui agit sur un processus avec un dispositif associ constituant lensemble
de llectronique. Selon le modle fonctionnel gnrique propos en figure 1.6, le niveau
requiert les fonctionnalits mesure et actionnement.

7.2. Niveau 1
Diffrentes volutions sont apparues avec une intgration plus ou moins grande via des
circuits associs au capteur. Ainsi le conditionnement du signal a t mis en uvre.
Lassociation dun dispositif de communication adapt a permis l'exploitation distance des
informations fournies par linstrument. Lassociation dun processeur a proximit de
linstrument a permis la numrisation du signal. A ce niveau l, on dispose dun instrument
numrique communiquant. La sret de fonctionnement ne va se trouver amliore du fait de
la complexit accrue par lemploi de composants numriques intgrant du logiciel et
introduisant de nouveaux modes de dfaillances. Les amliorations obtenues avec ce type
dinstruments sexpriment en termes de critres mtrologiques (meilleure prcision) et de
facilit dutilisation. Ce niveau requiert les fonctionnalits mesure, actionnement,
configuration et quelques fonctionnalits non dcrites et qui se rapportent lamlioration de
la mtrologie de linstrument.

7.3. Niveau 2
La notion dinstrument "smart", c'est dire de systme qui dispose d'une certaine capacit de
calcul assure par un circuit programmable du type microcontrleur ou microprocesseur lui
permettant de prendre en compte certaines drives et grandeurs d'influence et donc de gnrer
un signal corrig que le systme d'acquisition pourra alors acqurir via une interface de
communication intgre. L'existence d'un lment de calcul programmable et d'un bloc
mmoire associ va permettre l'implmentation de nombreuses fonctionnalits au sein de
linstrument telles que lexistence dautotests intgrs et autodiagnostics locaux susceptibles
de dterminer automatiquement l'lment dfaillant. Dautres fonctionnalits sont disponibles
dans le systme "smart" et se rapportent essentiellement la configuration distance (type et
numro d'identification de linstrument, sa date de mise en service et ses dates prvisibles de
maintenance programme, ses caractristiques mtrologiques et de fonctionnement).
Lassociation de la validation lautodiagnostic et la dcision vont permettre dapprhender
lenvironnement de linstrument localement et de pouvoir assurer la continuit du service en
prsence de dfauts. Ce niveau requiert lensemble des fonctionnalits dcrites dans le modle
fonctionnel gnrique mais leur exploitation est restreinte et nest pas complte.

7.4. Niveau 3
Lintrt de lutilisation dun instrument intelligent est la crdibilit des informations et la
sret de fonctionnement. En effet, une information errone peut conduire la prise dune
mauvaise dcision et mener la dfaillance du systme. Linstrument doit dlivrer une
information valide pour permettre lamlioration de la sret de fonctionnement du systme.
Les moyens mis en uvre pour lamlioration de la crdibilit et de la sret de
- 42 -

Chapitre 1 : Instrumentation Intelligente

fonctionnement se rapportent aux apports de la fonctionnalit validation sous toutes ses


formes. En effet, le placement de linstrument intelligent dans un contexte systme permet
lchange dinformations labores et la coopration entre diffrents nuds du systme pour
permettre de prendre des dcisions et dagir sur le processus. Linstrument fait alors partie
dune architecture distribue favorisant la communication des informations entre diffrents
instruments. Ici ce niveau, lensemble des fonctionnalits relatives au modle gnrique sont
implantes et exploites permettant ainsi de tirer le maximum de profits de lintelligence dans
les instruments.

8. Conclusion
Lvolution technologique des instruments intelligents et des rseaux de communication ont
permis le dveloppement des systmes dautomatisation intelligence distribue. La
dlocalisation du traitement au plus prs des instruments constituant ces systmes et les
possibilits accrues dchange dinformation permettent de distribuer le contrle commande.
Les instruments intelligents sont des quipements qui contiennent un certain nombre de
fonctionnalits leurs permettant de communiquer, de faire des calculs, dlaborer une mesure,
de la valider en fonction dlments disponibles localement ou distance, de prendre des
dcisions. Linstrument intelligent, en plus des fonctionnalits qui amliorent ses
performances mtrologiques, possde une capacit crdibiliser sa fonction (validant la
mesure produite pour le capteur ou rendant compte de la ralisation effective de laction de
lactionneur).
Lintelligence dans les instruments intelligents porte une smantique quivoque, un
instrument intelligent est souvent considr intelligent ds quil intgre un traitement
numrique. La dfinition de lintelligence dans un instrument intelligent nest pas universelle.
La dfinition de lintelligence est donc trs vaste. Nous pourrons dfinir lintelligence comme
la capacit d'un systme agir de faon approprie dans un environnement donn afin de
raliser un ou plusieurs objectifs.
Lvolution du concept dinstrument intelligent est illustre par le schma de la figure 1.13
[GEO 05]. En effet, le traitement des informations tait localis niveau suprieur de la
pyramide CIM qui est un niveau suprieur de dcision et o la visibilit est globale. Aprs, il
y a eu une volution vers la distribution du traitement au niveau des automatismes pour
remdier notamment aux cots levs des cblages et de linstallation et la fiabilit du
systme altre par la gestion de plusieurs boucles au moyen dun calculateur central. Le
dernier pas de lvolution des systmes dautomatisation est celui de lincorporation
dinstruments intelligents au niveau le plus bas de la pyramide CIM, cest--dire le niveau
terrain. Les traitements sont localiss au plus prs du processus physique et toute dfaillance
locale dune boucle nest pas rpercute aux autres niveaux du systme.

- 43 -

Chapitre 1 : Instrumentation Intelligente

Figure 1.13 : Evolution des systmes dautomatisation


Un des problmes lis au dveloppement des SAID relativement la communication est le
choix du rseau de terrain avec lequel ces constituants seront compatibles. Une fois que ce
choix a t effectu, il faut mettre en place une architecture adapte permettant lintgration
de ces fonctions. La notion dinteroprabilit entre les instruments de diffrents constructeurs
constitue un srieux problme et doit tre considre ds la conception. On peut noter
lexemple des systmes classiques utilisant le standard 4-20 mA comme un exemple de norme
respectant le principe dinteroprabilit puisquils dfinissent non seulement un systme de
transmission mais galement un formalisme de reprsentation des informations.
[TAO 05] propose une solution pour remdier au problme de linteroprabilit avec la
nouvelle gnration de capteurs intelligents IP connects par le protocole TCP/IP Internet
o les changes dinformations peuvent tre labors.
La validation dans les instruments intelligents (capteurs ou actionneurs) assure par les
donnes transmises via le rseau de communication une bonne qualit du SAID et participe
laugmentation des performances de sa sret de fonctionnement. Des donnes dfectueuses
peuvent provoquer des comportements inattendus ou la dfaillance du systme et donc,
linstrument intelligent doit tre en mesure d'valuer la validit de la collecte des donnes
pour viter tous effets dsastreux de la propagation de donnes errones. La validation
devient plus importante lorsque les donnes provenant de divers instruments sont envoys au
systme [CLA 00], [TIA 00]. Les objectifs de cette validation sont d'amliorer la scurit lors
de lutilisation des instruments intelligents dans les boucles de scurit.
Enfin, il nous est apparu ncessaire dattribuer des niveaux dintelligence aux instruments en
fonction des fonctionnalits implantes. Il y a des degrs ou niveaux de l'intelligence, et ceuxci sont dtermins par: la puissance de calcul du systme, la sophistication des algorithmes
que le systme utilise pour le traitement des donnes, par la gestion des modles, la
gnration de comportement et la coopration entre diffrents interlocuteurs du systme.

- 44 -

Chapitre 2 : Systmes Instruments de scurit

Chapitre 2 :
Systmes Instruments de
Scurit

- 45 -

Chapitre 2 : Systmes Instruments de scurit

Les Systmes Instruments de Scurit

1. Introduction
Diverses scurits sont mises en uvre lorsque les systmes automatiss
prsentent des risques pour lhomme, lenvironnement ou les biens. Ces types de
scurits utilisent des moyens contribuant soit la prvention soit la protection
pour limiter les consquences dun dysfonctionnement. Les systmes
instruments de scurit (SIS) sont souvent utiliss comme moyens de protection
pour raliser des fonctions instrumentes de scurit (SIF). Pour concevoir ces
systmes, deux normes sont utilises : lANSI/ISA S84.01-1996 [ISA 96] et la
CEI 61511 [CEI 03] qui est une dclinaison de la norme gnrique CEI 61508
[CEI 00].
Les systmes instruments de scurit sont utiliss pour excuter des fonctions de
scurit dans les industries de production par processus (ou de transformation). Ce
sont des moyens de scurit chargs de surveiller que le procd ne franchit pas
certaines limites (au-del desquelles il pourrait devenir dangereux) et dactionner
les organes de scurit lorsquun tel danger se prsente.
La premire partie de ce chapitre porte sur la norme CEI 61508 qui est une norme
gnrique et couvre plusieurs aspects tels que le cycle de vie, lallocation de
lintgrit de scurit en fonction dun objectif, le choix de larchitecture
matrielle ...
Pour tre plus facilement mise en oeuvre, des normes filles sectorielles ont t
imagines : cest le cas notamment de la norme CEI 61511, spcialement pense
pour mettre en oeuvre les systmes instruments de scurit, ou de la norme CEI
62061 qui est ddie au secteur machine.
Les normes ANSI/ISA S84.01-1996 [ISA 96] et CEI 61511 [CEI 03] tablissent
les prescriptions relatives la spcification, la conception, linstallation,
lexploitation et la maintenance du SIS, afin davoir toute confiance dans sa
capacit amener le procd dans un tat sr. Les tapes de base pour se
conformer ces normes sont :
 Etablir une cible de scurit (risque acceptable) du procd et valuer le risque
existant.
 Identifier les fonctions de scurit requises et les affecter aux niveaux de
protection.
 Dterminer si la fonction instrumente de scurit est requise.

- 46 -

Chapitre 2 : Systmes Instruments de scurit


 Implmenter la fonction instrumente de scurit dans un SIS et dterminer le SIL du
SIS.
 Vrifier que le SIS permet datteindre la cible de scurit exige au dpart.
Toute la difficult est destimer le risque que prsente le procd et dvaluer la diminution du
risque que doit apporter le systme instrument de scurit. La norme formalise une dmarche :
 d'analyse de risque qui identifie ce qui doit tre fait pour viter les vnements
dangereux associs au procd et
 dvaluation de risque permettant lobtention de l'intgrit de la scurit exige du
systme pour que le risque devienne acceptable.
Cette intgrit de scurit se matrialise par des niveaux SIL (Safety Integrity Level). Ces
niveaux SILs sont dautant plus importants lorsque la rduction du risque est importante et ils
doivent concerner la boucle complte du SIS. Donner un niveau de SIL pour un instrument n'a
en soi pas de sens.
La dernire partie montre les limites de la norme CEI 61508 et sa situation par rapport aux
systmes dautomatisation intelligence distribue (SAID). En effet, certains industriels
soulignent lextrme complexit qui rend cette norme difficilement applicable et son manque
de prcision laissant trop de place linterprtation. Des chercheurs aussi avancent quelques
rticences en estimant que la mise en uvre pratique de cette norme est difficile et sujette
caution dans la mesure o les rsultats obtenus dpendent de la manire dont elle est
applique [INN 06]. De plus, la norme reste muette propos des systmes dautomatisation
distribue et naborde pas les problmes de communication entre les diffrents instruments
des dispositifs de scurit ainsi que lintelligence propre de ces instruments. Nous terminons
le chapitre par une description des performances valuables en terme de scurit.

2. Concept de la scurit
Les tablissements industriels dploient beaucoup defforts pour viter des accidents. Mais
malgr cela, de nombreux accidents industriels se produisent dans le monde (SEVESO en
Italie (1976), AZF Toulouse (2001),) causant plusieurs victimes et dgts sur les biens et
lenvironnement. Lampleur et la frquence de ces accidents ont suscit de nombreux efforts
sur des tudes de scurit afin de mieux matriser les risques.
Dans les tudes de scurit, ltude de dangers doit mener lidentification de sources ou
situations pouvant nuire aux personnes, aux biens et lenvironnement. Cette tude de
dangers doit aboutir un ensemble de mesures de matrise de risques mises en uvre
lintrieur de linstallation un niveau jug acceptable par lexploitant de linstallation.

2.1. Notion de danger


La norme CEI 61508 [CEI 00] dfinit le danger comme une nuisance potentielle pouvant
porter atteinte aux biens (dtrioration ou destruction), lenvironnement, ou aux personnes.
Les dangers peuvent avoir une incidence directe sur les personnes, par blessures physiques ou
des troubles de la sant, ou indirecte, au travers de dgts subis par les biens et
lenvironnement.
Selon la norme OHSAS 18001 explique dans [GEY 05] :

- 47 -

Chapitre 2 : Systmes Instruments de scurit


 Un danger est une source ou une situation pouvant nuire par blessure ou atteinte la
sant, dommage la proprit et lenvironnement du lieu de travail ou une
combinaison de ces lments. Les dangers lis un systme sont inhrents au
fonctionnement ou au dysfonctionnement du systme, soit extrieur au systme
(conditions naturelles difficiles, actions humaines externes),
 Un vnement dangereux est un vnement susceptible de causer un dommage,
 Un dommage est une lsion physique, une atteinte la sant ou aux biens. On parle de
dommage corporel ou de dommage matriel.
Plusieurs auteurs et dictionnaires confondent le terme danger au terme risque, ce qui explique
lutilisation indiffrente de ces deux termes par plusieurs personnes.

2.2. Notion de risque


Le risque donne une mesure de la combinaison de deux facteurs qui sont la gravit dun
danger (ou sa consquence) et la frquence doccurrence. Sa rduction peut tre obtenue par
la prvention (rduction de la frquence doccurrence) ou la protection (rduction de la
gravit).
Selon Gouriveau [GOU03], le risque peut tre dfini par lassociation dvnements causes et
consquences dune situation donne. Les vnements causes peuvent tre caractriss par
leur occurrence (P) et les vnements effets par leur impact (I).
La dfinition du risque se retrouve aussi dans les normes, par exemple, selon lEN ISO
12100-1 [NF 04], cest la combinaison de la probabilit dun dommage et de sa gravit.
Selon la norme OHSAS 18001 explique dans [GEY 05] :
Un risque est la combinaison de la probabilit et de la consquence de la survenue dun
vnement dangereux spcifi.
Qualitativement, le risque se caractrise dune part par lampleur des dommages, suite
loccurrence dun vnement redout, selon un critre de gravit le plus souvent traduit par
des termes comme catastrophique, critique, marginal, mineur, insignifiant et dautre part par
son caractre incertain li lapparition dun vnement redout provoquant le dommage
partir dune situation dangereuse dtermine.
De manire plus formelle, un risque peut tre mesur par sa criticit, qui est fonction de sa
probabilit et de sa gravit :
c = p g

Le critre de Farmer [FAR 67] permet de dfinir les notions de risque acceptables et
inacceptables (figure 2.1).

- 48 -

Chapitre 2 : Systmes Instruments de scurit

Gravit

Risque Inacceptable

Critre de Farmer

Risque acceptable

Probabilit
Figure 2.1 : Critre de Farmer
MAZOUNI [MAZ 07] propose une mthodologie gnrique qui est base sur la connaissance
pralable du concept daccident, de ses mcanismes de causalit ainsi que son processus de
matrialisation. Cette mthodologie gnrique permet dexploiter efficacement lchange du
savoir-faire en matire dAPR (Analyse Prliminaire des Risques).
Cette mthodologie consiste modliser un processus accidentel adapt pour lAPR afin
dobserver sa ralisation dune manire spatio-temporelle. La modlisation est de type
tat/transition pour le processus accidentel dAPR, cest--dire que l'identification des
scnarios d'accident est base sur le dveloppement du processus accidentel en fonction de
l'occurrence des diffrents vnements. Le modle propos prend en compte limplication de
plusieurs Entits Cibles de Danger (ECD) dans un mme accident avec une Entit Source de
Danger (ESD).
La mthodologie propose permet dorganiser des barrires de dfense chaque phase
lmentaire du processus accidentel. Ainsi concernant la situation dexposition, il convient de
rduire les frquences et les dures dexposition tandis que lobjectif pendant la situation
dangereuse serait dviter lapparition de lvnement redout et enfin durant la situation
daccident, on se contente de minimiser les prjudices pouvant tre ports lhomme,
lenvironnement ainsi quau systme et ses interfaces.
Dans la suite de ce chapitre, les concepts danalyse de risque et dvaluation de risque sousjacents la notion de risque seront traits ainsi que les relations entre le risque et lintgrit de
scurit.

2.3. Notion de scurit


Nous commenons par une dfinition de la scurit. C'est l'absence de risque inacceptable
[ISO 99] [CEI 00]. Ce risque inacceptable est d aux blessures ou atteintes la sant des
personnes, directement ou indirectement, rsultant d'un dommage au matriel ou

- 49 -

Chapitre 2 : Systmes Instruments de scurit

l'environnement. Selon [VIL 88], la scurit est laptitude dune entit viter de faire
apparatre, dans des conditions donnes, des vnements critiques ou catastrophiques.
Dans le domaine de la matrise des risques, la notion de scurit concerne la scurit innocuit
[LAP 95]. La prise en compte des vnements critiques tels que lintrusion de personnes
malveillants dans le domaine des systmes informatiques est concerne par la scurit
confidentialit. [LAP 95] prcise bien ces deux aspects concernant le paramtre scurit, la
scurit innocuit (safety) qui est lie la non occurrence de consquences catastrophiques
pour les personnes, les biens et lenvironnement et la scurit confidentialit (security) qui est
lie la non occurrence de divulgations non autorises des informations et au respect de
lintgrit de ces informations. Dans ce mmoire, nous nous intressons uniquement au
premier aspect de la scurit.

2.4. Scurit fonctionnelle


La norme CEI 61508 dans sa partie 4 dfinit la scurit fonctionnelle comme un sousensemble de la scurit globale qui se rapporte au systme command (EUC, Equipement
Under Control) et qui dpend du fonctionnement correct du systme E/E/EP relatif la
scurit, des systmes relatifs la scurit bases sur une autre technologie et des dispositifs
externes de rduction de risque.
La norme CEI 61511 dfinit la scurit fonctionnelle comme un sous-ensemble de la scurit
globale qui se rapporte au processus et au systme de commande de processus de base (BPCS,
Base Process Control System) et qui dpend du fonctionnement correct du systme
instrument de scurit et dautres couches de protection. Ce terme diffre de la dfinition
donne par la CEI 61508-4 pour reflter les diffrences dans la terminologie du domaine des
processus.
La scurit fonctionnelle permet de contrler les risques inacceptables qui pourraient
engendrer des blessures, porter atteinte la sant des personnes, dgrader lenvironnement ou
altrer des biens.

3. Normes relatives aux systmes instruments de scurit


3.1. Norme CEI 61508
En 1984, le comit technique 65 de la CEI a commenc une tche de dfinition d'une nouvelle
norme internationale relative la scurit. Cette norme CEI 61508 [CEI 00] est la seule
norme multisectorielle traitant de l'ensemble de la problmatique des systmes lectriques,
lectroniques et programmables E/E/EP, c'est--dire qu'elle traite la fois le matriel et le
logiciel. C'est galement la seule norme trs technique qui apporte des cls, auxquelles il
suffit de se conformer pour atteindre un objectif. Cette norme est oriente performances en
laissant l'utilisateur le soin de raliser son analyse de risque et elle lui propose des moyens
pour rduire ce risque. Elle ne concerne pas les systmes simples, pour lesquels le mode de
dfaillance de chaque lment est clairement dfini et pour lesquels le comportement du
systme peut tre totalement dtermin dans le cas d'une dfaillance. Par exemple, un systme
comportant des fins de course et des relais lectromcaniques relis un disjoncteur peut tre
tudi sans avoir recours la CEI 61508.
La norme CEI 61508 repose sur deux concepts qui sont fondamentaux vis--vis de son
application : le cycle de vie en scurit et les niveaux dintgrit de scurit.

- 50 -

Chapitre 2 : Systmes Instruments de scurit

Cette norme s'applique aux systmes relatifs la scurit lorsque l'un ou plus de ces systmes
comporte des dispositifs lectriques/lectroniques/lectroniques programmables. Elle
comprend 7 parties :
1. Dfinition des prescriptions gnrales qui sont applicables tous types de matriel,
2. Prescriptions spcifiques et supplmentaires pour les systmes E/E/PE - aspect
matriel,
3. Prescriptions spcifiques et supplmentaires pour les systmes E/E/PE - aspect logiciel,
4. Dfinitions et abrviations utilises,
5. Lignes directrices pour la dtermination des niveaux d'intgrit de scurit - mthode
et exemple,
6. Lignes directrices pour la mise en oeuvre des prescriptions relatives aux E/E/PE,
7. Prsentation des techniques et des mesures.
La norme CEI 61508 est la base d'autres normes sectorielles (ex : machines, procds
continus, ferroviaire, nuclaire) ou de produits (ex : variateurs de vitesse). Elle influence donc
le dveloppement des systmes E/E/PE et des produits concerns par la scurit travers tous
les secteurs.
La figure 2.2 [SMI 04] montre la norme CEI 61508 gnrique et ses normes filles par secteur
dactivit.
CEI 61508
Norme gnrique

CEI 61511
Norme sectorielle
Process industriels

CEI 62061
Norme sectorielle
Machine

CEI 61513
Norme sectorielle
Nuclaire

Ferroviaire

Autres

EN 50126

EN 50128

EN 50129

Figure 2.2 : Norme CEI 61508 et normes drives [SMI 04]


La norme IEC 61508 est gnrique. Les normes sectorielles qui en sont issues sont totalement
compatibles. Ceci signifie quil ne faut pas penser trouver une rduction du primtre
fonctionnel ou des entorses aux principes de bases de la CEI 61508 dans ses normes filles.
Les normes sectorielles ne font que prciser les modalits dapplication.
Les points importants de la norme :
 Elle concerne toutes les phases du cycle de vie des matriels et du logiciel (depuis
la conceptualisation, en passant par la conception, l'installation, lexploitation, la
maintenance, jusqu' la mise hors service);

- 51 -

Chapitre 2 : Systmes Instruments de scurit


 Elle fournit une mthode de dveloppement pour raliser la scurit fonctionnelle
des systmes relatifs la scurit;
 Elle dfinit des niveaux d'intgrit de scurit (SIL) des systmes E/E/PE relatifs
la scurit;
 Elle dcrit une approche base sur l'analyse de risque pour dterminer les niveaux
dintgrit de scurit (SIL) (voir 5.2 pour les dfinitions des niveaux de SIL)
atteindre pour un risque donn;
 Elle fixe des objectifs quantitatifs de dfaillances dangereuses des systmes de
scurit en fonction des niveaux d'intgrit de scurit;
 Elle dcrit les principes, techniques et mesures pour la ralisation de la scurit
fonctionnelle des systmes E/E/PE relatifs la scurit, mais n'utilise pas le
concept de scurit intrinsque, adapt des systmes peu complexes dont les
modes de dfaillances sont connus.

3.2. Norme CEI 61511


La norme sectorielle CEI 61511 concerne les systmes instruments de scurit pour le
secteur les processus industriels. Cette norme comprend trois parties :
1. Cadre, dfinitions, exigences pour le systme, le matriel et le logiciel,
2. Lignes directrices pour lapplication de la CEI 61511-1,
3. Conseils pour la dtermination des niveaux exigs dintgrit de scurit.
Cette norme tablit des prescriptions relatives au cycle de vie en scurit comprenant la
spcification, la conception, linstallation, la maintenance et le dmantlement dun systme
instrument de scurit, afin davoir toute confiance dans sa capacit amener le procd
dans un tat de scurit.
La figure 2.3 illustre la relation gnrale entre la CEI 61511 et sa norme mre CEI 61508 :

Systme instrument de
scurit pour le domaine de
la production par processus

Concepteurs de systmes
instruments de scurit,
intgrateurs et utilisateurs
CEI 61511

Constructeurs et
fournisseurs de dispositifs
CEI 61508

Figure 2.3 : Relation gnrale entre la CEI 61508 et la CEI 61511 [CEI 03]

- 52 -

Chapitre 2 : Systmes Instruments de scurit

La norme CEI 61511 restreint le primtre aux systmes pour des applications SIL 1 3 (les
applications SIL 4 ne pouvant tre traites par un SIS seul). Les applications qui ncessitent
lutilisation dune fonction instrumente de scurit de niveau dintgrit de scurit SIL 4
sont rares dans lindustrie de processus. Ces applications doivent tre vites en raison de la
difficult datteindre et de maintenir de tels niveaux levs de performance tout au long du
cycle de vie de scurit [CEI 03].
La CEI 61511 a une volont de simplification de la CEI 61508 en reprenant cette dernire
mais en la limitant strictement aux lments pertinents pour lindustrie des procds continus.
La relation entre ces deux normes pour le matriel et le logiciel est illustre par la figure 2.4
[KOS 06] [CEI 03].

Normes de systme instrument


de scurit pour le domaine de la
production par processus

Matriel pour le domaine de


la production par processus

Logiciel pour le domaine de


la production par processus

Dveloppement
de nouveaux
dispositifs
matriels

Utilisation
de dispositifs
matriels
valids en
utilisation

Utilisation de
matriels
dvelopps et
accessibles
selon la CEI
61508

Suivre la
CEI 61508

Suivre la
CEI 61508

Suivre la
CEI 61511

Dveloppement
de logiciels
(systme)
intgrs

Dveloppement
De logiciels
dapplication
utilisant des
langages
variabilit
totale

Suivre la
CEI 61508-3

Suivre la
CEI 61508-3

Figure

Dveloppement
De logiciels
dapplication
utilisant des
langages
variabilit limite
ou des
programmes
stabiliss

Suivre la
CEI 61511

2.4 : Relation entre la norme CEI 61511 et la norme CEI 61508 pour le matriel et le logiciel
[CEI 03]
Les spcifications indpendantes des secteurs se situent entre l'allocation des prescriptions de
scurit et les phases d'installation et de rception du cycle de vie de scurit complet. Les
normes sectorielles, telles que la norme CEI 61511, font habituellement rfrence ces

- 53 -

Chapitre 2 : Systmes Instruments de scurit

spcifications plutt que de les rpter. En consquence, la plupart des utilisateurs ont
systmatiquement besoin de la norme CEI 61508 [RIC 05].

3.3. Norme CEI 62061


La norme CEI 62061 [CEI 05] est spcifique au secteur des machines dans le cadre de la CEI
61508. Elle est destine faciliter la spcification du fonctionnement des systmes de
commande lectriques relatifs la scurit par rapport aux dangers significatifs des machines.
Cette norme internationale est destine tre utilise par les concepteurs de machines, les
fabricants et les intgrateurs de systmes de commande, et autres, impliqus dans la
spcification, la conception et la validation de systmes de commande lectriques relatifs la
scurit. Elle donne les exigences ncessaires la ralisation du fonctionnement requis.
La CEI 62061 sest limite lutilisation des trois premiers niveaux dintgrit de scurit
(SIL).
L'IEC 62061 a t rdige dans l'objectif de devenir une norme internationale harmonise
pour la directive Machine. Ceci a t rendu possible en rduisant le primtre de la CEI 61508
pour n'inclure que des exigences concernant des produits. La commission europenne
reconnat implicitement que lEN 954-1 [EN 96] est notoirement insuffisante ds que les
chanes de scurit des machines contiennent des automatismes programms. Elle
recommande (sans encore limposer) dappliquer la CEI 62061 [RIC 05].

3.4. Norme ISA-84


La norme ISA-84 tait accepte par linstitut national amricain des normes (American
National Standards Institute, ANSI) en mars 1997. Elle spcifie les exigences pour la
conception, linstallation, lutilisation et la maintenance des systmes instruments de scurit
[SUM 00a].
La norme ISA-84 dispose uniquement de trois niveaux dintgrit de scurit, SIL1 SIL3.
Cest une norme nationale et incomplte par rapport la norme CEI 61511 qui est une
harmonisation de normes de plusieurs pays.
En 2004, le comit d'ISA SP84 a vot pour adopter le CEI 61511 comme nouvelle version
d'ISA-84 (ANSI/ISA S84.00.01- 2004) [ISA 04]. Il y a, cependant, une diffrence
significative entre la norme ISA-84 et la norme CEI 61511. ISA-84 a ajout une clause
premire gnration dans la nouvelle (2004) version qui permet l'utilisation continue des
systmes instruments de scurit qui suivent la version originale de la norme [ISA 96]. ISA
est en cours de dveloppement de directives et exemples dimplmentation bass sur le
standard. Ceux-ci seront dits en tant que rapports techniques [ARC 05].

4. Systmes instruments de scurit et terminologies relatives


4.1. Systme instrument de scurit
La norme CEI 61511 [CEI 03] dfinit les systmes instruments de scurit de la faon
suivante : systme instrument utilis pour mettre en uvre une ou plusieurs fonctions
instrumentes de scurit. Un SIS se compose de nimporte quelle combinaison de capteur(s),
dunits logique(s) et dlment(s) terminal(aux).

- 54 -

Chapitre 2 : Systmes Instruments de scurit

La norme CEI 61508 [CEI 00] dfinit quand elle les systmes relatifs aux applications de
scurit par : un systme E/E/PE (lectrique/lectronique/lectronique programmable) relatif
aux applications de scurit comprend tous les lments du systme ncessaires pour remplir
la fonction de scurit.
Les systmes instruments de scurit sont donc utiliss comme moyens de prvention et
comportent une proportion grandissante de systmes lectriques, lectroniques ou encore
lectroniques programmables (E/E/EP). Ces systmes sont complexes ce qui rend difficile
dans la pratique la connaissance de chaque mode de dfaillance par lexamen des
comportements possibles et la prvision des performances en terme de scurit.
 Un systme instrument de scurit est un systme visant mettre le procd en tat
stable ne prsentant pas de risque pour lenvironnement et les personnes lorsque le
procd sengage dans une voie comportant un risque rel pour le personnel et
lenvironnement (explosion, feu).
Un certain nombre de proprits caractrisent les systmes instruments de scurit :
-

Les systmes instruments de scurit ncessitent une source d'nergie extrieure pour
remplir leur fonction de scurit.

On retrouve tout ou partie de ces diffrents lments pour constituer des chanes de
scurit.

Plusieurs capteurs ou actionneurs peuvent tre relis une mme unit de traitement.

Toutes les combinaisons de capteurs, d'unit de traitement et d'actionneurs qui sont


exiges pour accomplir des fonctions de scurit sont considres comme une partie
de systmes instruments de scurit.

Les capteurs, lunit de traitement, les lments finaux sont des quipements de scurit et
ralisent des sous-fonctions de scurit. Lensemble des sous-fonctions ralise la fonction de
scurit.

4.2. Fonction instrumente de scurit


La figure 2.5 illustre la dfinition dun systme instrument de scurit et des fonctions
instrumentes de scurit qui sont excutes. Cette figure illustre, entre autres, une fonction
instrumente de scurit (SIF n1) qui protge la temprature de processus et fait fermer une
vanne d'isolement en cas de drive de temprature de procd vers un tat dangereux. Les
autres fonctions instrumentes de scurit excutes dans cet exemple de SIS sont la
protection du niveau et la protection du dbit.
Une fonction instrumente de scurit (SIF, Safety Instrumented Function) est utilise pour
dcrire les fonctions de scurit implmentes par un systme instrument de scurit. Une
fonction instrumente de scurit peut tre considre comme une barrire de protection
fonctionnelle lorsque le systme instrument de scurit est considr comme un systme
ralisant cette barrire de scurit [SKL 06].
Une fonction instrumente de scurit est raliser par un systme instrument de scurit
(ou par une combinaison des composantes de ce systme), par un systme relatif la scurit
bas sur une autre technologie ou par un dispositif externe de rduction de risque.
Une fonction instrumente de scurit est spcifie pour sassurer que les risques sont
maintenus un niveau acceptable par rapport un vnement dangereux spcifique.

- 55 -

Chapitre 2 : Systmes Instruments de scurit

Fonction instrumente de scurit n1


Transmetteur de
temprature

Solnode

Vanne darrt

Transmetteur de
temprature

Capteur de
niveau

transmetteur de
dbit

Unit de
traitement

SIF n2

Pompe

Solnode

Vanne

Figure 2.5 : Fonction instrumente de scurit


Un systme instrument de scurit contient habituellement plusieurs fonctions instrumentes
de scurit. Si les exigences d'intgrit de la scurit pour ces fonctions instrumentes de
scurit diffrent, alors les exigences applicables au niveau d'intgrit de la scurit le plus
lev s'appliquent l'intgralit du systme instrument de scurit, sauf si l'implmentation
garantit une indpendance suffisante entre les fonctions de scurit. Pour une situation donne,
plusieurs fonctions de scurit peuvent conduire rduire la frquence doccurrence du
danger. Les probabilits de dfaillance des diffrentes fonctions de scurit ne peuvent
sadditionner que si les fonctions sont indpendantes entre elles. Dans ce mmoire, nous
prenons comme hypothse que chaque SIS ne peut raliser quune seule SIF.
Larchitecture fonctionnelle dun systme instrument de scurit qui est compose dun
ensemble de fonctions instrumentes de scurit est constitue de trois fonctionnalits de
base, la dtection (ou la mesure), la dcision et lactionnement.
Les exigences de niveaux dintgrit de scurit sont alloues aux fonctions instrumentes de
scurit spcifiques. Pour valuer lintgrit de scurit dun point de vue matriel, il est
ncessaire de faire une analyse des configurations de larchitecture matrielle supporte par la
fonction instrumente de scurit spcifie [LUN 06].
Dune autre faon, cest la projection de larchitecture fonctionnelle sur larchitecture
matrielle qui est un ensemble de composants interconnects qui forme larchitecture
oprationnelle [FAU 02] [CON 99].

4.3. Le systme instrument de scurit comme couche de protection


Lapplication de couches de protection multiples pour mettre le procd en scurit est
souvent utilise dans les industries de transformation [WIE 02]. Pour ce type d'industries,
l'installation en scurit peut tre dfinie par une situation o tous les risques sont rduits un
risque tolrable [KNE 02]. Des critres clairs et non ambigus doivent tre dfinis en regard
des niveaux de risque tolrable. Des mesures pour la mise en scurit du procd doivent tre

- 56 -

Chapitre 2 : Systmes Instruments de scurit

ddies chaque spcificit de protection. Par exemple, pour protger une unit particulire
d'une installation contre une surpression, les dispositions de scurit doivent se rapporter la
premire couche comprenant un transmetteur de pression, une unit de traitement et un
actionneur et la seconde couche de protection comportant une soupape de scurit de
surpression. Les deux couches de protection forment des systmes relatifs la scurit (Safety
related systems SRS). La premire couche est compose par des systmes base de
technologie E/E/EP (lectrique, lectronique et lectronique programmable). Ce type de
systmes est appel systmes instruments de scurit (SIS). La seconde couche dsigne les
SRS de type mcanique.

MOYENS DE SECOURS EXTERNES

MOYENS DE SECOURS INTERNES

PROTECTION

PREVENTION

CONDUITE ET
SURVEILLANCE

PROCESS

Figure 2.6 : Concept de couches de protection


La figure 2.6 montre le concept des couches de protection et la composition des diffrents
types de systmes relatifs la scurit (SRS) comme dfinis dans la norme CEI 68511-3. Il
est noter qu'il existe une distinction claire entre les BPCS et les SIS comme composantes
des couches de protection. L'objectif primaire d'un BPCS est d'optimiser les conditions de
conduite de procd afin de maximiser la qualit et la production. Les systmes instruments
de scurit s'appliquent pour prvenir des situations dangereuses (prvention) et rduire les
consquences d'vnements dangereux (protection). La distinction est motive par le fait que
le BPCS n'est ncessairement pas utilis pour contribuer la rduction de risque et parfois il
est lui-mme source de risques potentiels.
Les mthodes de rduction sont de diffrents types et concernent tout dabord le procd dont
la conception doit tre plus au moins sre. La conduite et la surveillance sont assures par les
systmes de commande de procds de base (BPCS), les systmes de surveillance (alarmes du
procd) et par la surveillance des oprateurs.
- 57 -

Chapitre 2 : Systmes Instruments de scurit

La partie prvention des couches de protection est assure par les dispositifs de scurit
mcaniques, par les alarmes suivies daction et par les systmes instruments de scurit de
prvention. La protection est assure par des dispositifs de scurit mcaniques, la supervision
par loprateur et par les systmes instruments de scurit dattnuation [KNE 02]. Les
moyens de secours internes et externes concernent respectivement les procdures
dvacuation lors de loccurrence dune situation critique ainsi que la raction du public aprs
une radiodiffusion durgence.
Il faut noter quil existe un amalgame propos de lemplacement des systmes instruments
de scurit comme couche de protection. Certains auteurs qualifient la couche alloue ce
type de systmes comme une couche de prvention [KNE 02] (la norme aussi dailleurs) [CEI
03] alors que ce type de systmes est vou uniquement la protection par la rduction du
risque ncessaire de telle sorte que ce risque devienne tolrable.
Il faut aussi diffrencier le BPCS qui est le systme de commande de base du processus et le
SIS qui est le systme instrument de scurit. En effet, le BPCS est aussi compos de
capteurs, de rgulateurs et dlments finaux. Bien que les architectures apparaissent
similaires, les fonctions diffrent beaucoup entre le BPCS et le SIS [GOB 05]. La fonction
primaire d'une boucle de rgulation est gnralement de maintenir une variable de processus
dans des limites prescrites. Le SIS surveille une variable de processus et ordonne l'action
lorsque cest exig.
Les SIS sont rarement activs et durant les oprations normales du processus, ils demeurent
statiques, dormants. La priode moyenne entre loccurrence dvnements dangereux est
souvent estime plus dune dizaine dannes [GOB 05]. Avec le BPCS, les signaux de
commande sont normalement dynamiques. Les modes de dfaillances diffrent aussi entre un
BPCS et un SIS.
Pour viter quune cause unique ou cause commune affecte simultanment les fonctions de
contrle (BPCS) et de scurit (SIS), la norme IEC 61508 recommande [SMI 04]:
 pour les fonctions faible criticit (SIL1 2) : la distinction des fonctions de pilotage
et de scurit notamment du point de vue logiciel. A ce niveau, la norme autorise
lutilisation dquipements (matriels) communs qui assurent simultanment des
fonctions de pilotage et de scurit, ils sont alors considrs comme des SRS et
doivent tres conus comme tels, notamment du point de vue du SIL.
 pour les fonctions criticit moyenne (SIL2 3) : distinction de la circuiterie,
(lectrique, ou autre : pneumatique par exemple), des capteurs et actionneurs.
 pour les fonctions haute criticit (SIL4) : sparation intgrale physique, lectrique et,
dans la mesure du possible, gographique des systmes.

4.4. Problmes typiques des systmes instruments de scurit


Une tude ralise par [HSE 95] a illustr l'origine d'un nombre de dfaillances de systmes
conduisant des vnements dangereux trs srieux.
Les dfaillances des systmes ne sont pas tout simplement dues des oprations incorrectes.
En effet, les dfaillances concernent les diffrentes tapes de la dure de vie dun systme (cf
figure 2.7).

- 58 -

Chapitre 2 : Systmes Instruments de scurit

Spcification

Modification
21%
Spcification
43%

Exploitation et

Conception et
ingnierie
Installation et validation
Exploitation et
maintenance

maintenance
15%

Modification

Installation et
validation
6%

Conception et
ingnierie
15%

Figure 2.7 : Causes primaires des dfaillances des systmes de commande [HSE 95]
Shell [SHE 98] a ralis une autre tude illustrative l'usine nationale de GNL en Oman au
Moyen-Orient. Le procd de production complet a t compos des systmes de
rtablissement de champ, d'une installation de transformation centrale, et d'un complexe de
liqufaction. Pendant une tude de scurit base sur lintgrit de scurit SIL, la conclusion
est que :
 67% des fonctions instrumentes de scurit (SIF) semblent sur-calibres en terme de
SIL,
 27% n'exigent aucun changement. Elles sont correctement calibres,
 6% des SIF semblent sous-calibres.
Shell a ralis un certain nombre de ces tudes sur diffrents sites qui ont prsent des
rsultats comparables.
Les fautes pourraient avoir t produites pendant l'valuation des risques et la spcification
des conditions de scurit ; des dfaillances pourraient galement avoir t faites pendant la
conception et l'excution du SIS, ou pendant la validation. Gnralement aprs avoir pass en
revue les deux tudes prcdentes, la conclusion tire est que les dfaillances pourraient se
produire diffrentes tapes du cycle de vie.
Dans les deux sections suivantes, nous allons nous intresser aux concepts sous-jacents la
notion de risque (dfinie au 2.2) et les relations entre le risque et lintgrit de scurit. Ces
concepts se rapportent lanalyse de risque et lvaluation de risque.

5. Analyse de risque du procd


La dtermination du de SIL requis pour un systme est troitement lie la notion de risque.
Plusieurs facteurs influent sur le niveau dintgrit comme par exemple la gravit des
blessures, le nombre de personnes exposes au risque, la frquence laquelle une ou des
personnes sont exposes au danger et la dure de cette exposition. Lanalyse de risque savre
indispensable pour contribuer dterminer le risque tolrable dans une situation spcifique.
- 59 -

Chapitre 2 : Systmes Instruments de scurit

L'analyse de risque comporte le dveloppement d'une valuation de combinaisons de risques


par la collecte et lintgration des informations relatives aux scnarios des frquences et des
consquences. Cest une composante majeure du management de risques dans une entreprise
[WAN 04].
Une analyse de dangers et de risques doit tre ralise ds la conception pour le procd et ses
quipements associs par exemple le BPCS (systme de commande du procd "Basic
Process Control System"). Cette analyse se rapporte la description de ces vnements
dangereux et des facteurs y contribuant, la description des consquences de ces vnements,
la dtermination des exigences pour la rduction de ce risque, laffectation de fonction de
scurit aux couches de protection, etc.
Cette analyse de risques se veut tre un instrument de prvention et de protection et se
manifeste sous forme de mthodes comportant des phases didentification, dvaluation et de
hirarchisation [TIX 02].

5.1. Rduction du risque ncessaire


La rduction de risque ncessaire est celle qui doit tre obtenue pour latteinte du risque
tolrable dune situation dangereuse. Le but de la dtermination du risque tolrable dun
vnement dangereux est dindiquer ce qui est raisonnable par rapport la frquence de
lvnement dangereux et ses consquences.
Lorsquun risque est qualifi dinacceptable, on utilise dans ce cas des moyens de prvention
pour diminuer la probabilit de lvnement redout ou des moyens de protection pour
diminuer la gravit de cet vnement redout. Une combinaison des deux est possible offrant
la possibilit de franchir la zone o le risque est inacceptable vers la zone dacceptabilit.
La prvention des accidents se rapporte llimination de dangers ou sur la diminution de
loccurrence dvnements redouts par lamlioration de la scurit des dispositifs de
contrle ou par limplantation des moyens empchant lapparition ou la propagation des
dangers (SIS).
La protection vient aprs lchec des moyens de prvention et se rapporte lattnuation des
consquences dun accident par des moyens limitant les dommages (systmes de secours,
procdures durgence).
La figure 2.8 illustre le concept de rduction de risque un niveau tolrable. Les niveaux de
protection sont conus pour rduire la frquence de lvnement dangereux et ses
consquences.

- 60 -

Chapitre 2 : Systmes Instruments de scurit

Risque
rsiduel

Risque
tolrable

Risque de
procd

Rduction de risque ncessaire

Augmentation
du risque

Rduction de risque actuelle


Risque partiel par
dautres niveaux de
protection non-SIS de
prvention/
rduction

Risque partiel
couvert par le
SIS

Risque partiel par


dautres niveaux de
protection

Rduction de risque obtenue par tous les niveaux de


protection

Figure 2.8 : Rduction de risque concepts gnraux


La rduction du risque ncessaire peut tre obtenue en combinant un ou plusieurs systmes
instruments de scurit (SIS) ou dautres niveaux de protection. Une personne peut faire
partie intgrante dune fonction de scurit. Par exemple elle peut recevoir des informations
sur ltat du procd, et excuter une action de scurit en fonction de ces informations. Si
une personne fait partie dune fonction de scurit, il convient alors de prendre en compte les
facteurs humains.

6. Evaluation du risque et dtermination du niveau dintgrit de


scurit
Dans cette section, lvaluation du risque qui est lie lintgrit de scurit est traite par la
proposition dune approche particulire prconise par la norme permettant de parvenir un
risque tolrable.

6.1. Risque tolrable et concept ALARP


6.1.1. Concept ALARP
Le principe ALARP [CEI 00] (As Low As Reasonably Practicable, aussi bas que
raisonnablement possible) appliqu au Royaume-Uni (figure 2.10) intgre une zone pour un
risque inacceptable, une zone dacceptation de risque et une zone ALARP dans laquelle les
objectifs globaux de scurit sont fixs. Si le risque analys se trouve dans cette zone, les
moyens mis en uvre pour atteindre le niveau de scurit dsir doivent tre valus ainsi que
la rduction du risque quils apportent.

- 61 -

Chapitre 2 : Systmes Instruments de scurit

La notion de raisonnable considre en particulier le cot li la rduction de risque et le ratio


gains obtenus / niveau dinvestissement.
Intolrable
le risque ne peut tre jamais
accept

Intolrable

Tolrable
Le risque est tolrable si sa
diminution nest pas possible
ou si les cots augmentent
plus que les avantages
obtenus

(ALARP: As Low As
Reasonably Praticable)
Le risque est acceptable
si on obtient une
amlioration

Pas significatif

Acceptable

Figure 2.9 : Risque tolrable et ALARP


La figure 2.9 illustre le principe ALARP. Elle fait apparatre trois zones, une zone
dacceptation du risque, une zone de rejet de risque et une zone appele zone ALARP dans
laquelle les objectifs de scurit sont fixs. Les zones sont dlimites par des frquences (par
heure) de risques donnes. A titre dexemple, la zone ALARP peut tre dlimite par
lintervalle [10-910-6] [CEN 00]. Si le risque analys se trouve dans cette zone, les moyens
mettre en uvre pour atteindre le niveau dintgrit de scurit dsir doivent tre valus
ainsi que la rduction du risque quils apportent.
Dautres principes dacceptation de risques existent tels que le principe allemand MEM et le
principe franais GAME [CEN 00].
Le principe MEM (Mortalit Endogne Minimale) fixe les objectifs globaux de scurit par
rfrence la mortalit endogne minimale dun individu, cest--dire le risque ambiant pour
une personne ge de 5 15 ans (fix 2.10-4/an). Les risques lis aux systmes techniques
sont considrs comme contribuant 5% du risque individuel.
Le principe franais GAME (Globalement Au moins Equivalent) impose pour un nouveau
systme le respect des mmes exigences de scurit quatteint un systme quivalent existant.
Ce principe ncessite de connatre les objectifs de scurit et le comportement relatif la
scurit du systme de rfrence.
6.1.2. Estimation du risque tolrable
Les risques identifis doivent tre estims en gravit et en probabilit.
La dtermination de la gravit se rapporte lvaluation des consquences partir de
l'intensit des effets, et de la vulnrabilit du voisinage.

- 62 -

Chapitre 2 : Systmes Instruments de scurit

La dtermination de la probabilit se fait partir des lments fournis par diverses bases de
donnes par combinaison des probabilits des vnements causals, des situations
circonstancielles,
Afin d'appliquer le principe ALARP il est ncessaire de dfinir trois rgions relatives la
probabilit et la consquence d'un incident. Pour tenir compte du concept ALARP,
l'adaptation d'une consquence avec une frquence tolrable peut tre faite par des classes de
risque. Le Tableau 2.1 est un exemple montrant trois classes de risque (I, II, III) pour un
certain nombre de consquences et de frquences. Le Tableau 2.2 interprte chacune des
classes de risque employant le concept ALARP. Les descriptions pour chacune des quatre
classes de risques sont bases sur la figure 2.11. Ces classes de risques sont les suivantes :
 Classe de risque I : risque intolrable
 Classe de risque II et III : ces classes sont situes dans la zone ALARP,
 Classe de risque IV : cette classe est la zone dacceptabilit.

Probabilit

Classes de risque
Consquence Consquence
catastrophique
critique

Consquence
marginale

Consquence
negligeable

Frquent

II

Probable

II

III

Ocasionnel

II

III

III

Peu frquent

II

III

III

IV

Improbable

III

III

IV

IV

Non crdible

IV

IV

IV

IV

Tableau 2.1: Exemple de classification de risques [CEI 00]


Lapprciation du risque est une fonction de la gravit et de la frquence. Il est souvent
difficile dapprcier lun ou les deux et encore plus la combinaison des deux. Dans une
dmarche danalyse du risque, il faut prendre acte de cette difficult. Lessentiel est de
pouvoir au moins classer les risques entre eux, selon une chelle que lon sest donn. Le
point important est alors la calibration initiale de cette chelle.
Cest lobjet des mthodes de classement du risque. Lintrt est de pouvoir comparer les
risques et de leur affecter la bonne rponse.

- 63 -

Chapitre 2 : Systmes Instruments de scurit

Risk class

Interpretation

Classe I

Risque intolerable

Classe II

Risque indsirable, tolrable uniquement sil est possible de


rduire le risque ou si le cot de la rduction est disproportionn
par rapport lamlioration possible

Classe III

Risque tolrable si le cot de la rduction de risque est


suprieur lamlioration apporte

Classe IV

Risque ngligeable

Tableau 2.2 : Interprtation des classes de risques

6.2. Niveaux dintgrit de scurit


Les normes CEI 61508 et CEI 61511 dfinissent le niveau dintgrit de scurit (Safety
Integrity Level : SIL) pour dfinir le niveau de rduction du risque, cest--dire le niveau
dintgrit de scurit que doit avoir le systme de protection. Plus le SIL une valeur leve,
plus la rduction du risque est importante. Par exemple un systme de SIL 4 apporte une
rduction de risque entre 10000 100000 alors quun systme de SIL 1 comporte un facteur
de rduction de risque compris entre 10 100 seulement.
Les SILs se caractrisent par des indicateurs discrets positionns sur une chelle quatre
niveaux. Le SIL 4 dsigne le degr de scurit le plus lev du fait de lexigence forte de
scurit impose et le SIL 1 dsigne lexigence la plus faible. Les SILs sont employs pour
spcifier les exigences de scurit des fonctions de scurit ralise par des systmes E/E/EP
relatifs la scurit selon la norme CEI 61508 [CEI 00] ou des fonctions instrumentes de
scurit selon la norme CEI 61511 [CEI 03]. Lutilisation des niveaux SILs permet de prendre
en compte les dfaillances rares mais possibles des systmes de scurit en plus des
dfaillances inhrentes au systme oprationnel menant aux vnements dangereux identifis
pendant lanalyse de risque [BEU 06]. Les SILs sont attribus aux fonctions de scurit sur la
base de ltude des dfaillances dangereuses de caractre systmatique ou de caractre
alatoire.
Les dfaillances systmatiques sont relies de faon dterministe une cause [CEI 03]. Ce
sont des dfaillances latentes qui se rvlent durant la phase dexploitation du systme
oprant sous certaines conditions. Les erreurs de conception et les dfauts logiciels ainsi que
certaines dfaillances matrielles lies lenvironnement se rapportent ces dfaillances
systmatiques. Ces dfaillances ne peuvent tre limines que par une modification de la
conception ou du processus de fabrication, des procdures dexploitation, de la documentation
ou dautres facteurs appropris. Elles ne sont pas quantifiables cause de leurs causes
difficilement prvisibles.
Les dfaillances alatoires concernent les dfaillances du matriel. Elles surviennent de
manire alatoire et rsultent de divers mcanismes de dgradation au sein du matriel [CEI
03]. La norme indique que ces dfaillances sont quantifiables. Les mcanismes de dgradation
se produisent des probabilits diffrentes dans divers composants et les dfaillances
surviennent des probabilits prvisibles mais des instants imprvisibles (cas alatoires).
- 64 -

Chapitre 2 : Systmes Instruments de scurit

Lune des diffrences majeures entre les dfaillances alatoires du matriel et les dfaillances
systmatiques est que les taux de dfaillances du systme, engendrs par les dfaillances
alatoires du matriel peuvent tre prdits alors que les dfaillances systmatiques ne peuvent
pas tre prdites. Cest--dire que les taux de dfaillance du systme issus des dfaillances de
matriel peuvent tre quantifis contrairement ceux issus des dfaillances systmatiques qui
ne peuvent pas tre prdits de manire statistique du fait que les vnements conduisant ce
type de dfaillances ne peuvent pas tre facilement prdits.
La norme IEC sapplique aussi bien aux systmes de scurit qui fonctionnent sur sollicitation
(lorsquune dfaillance apparat) que ceux qui travaillent en permanence pour maintenir un
procd dans un tat non dangereux. Le premier cas (systme sur sollicitation) peut tre
illustr par un systme darrt durgence qui va commander louverture dune vanne de
scurit si la pression dans un ballon devient trop leve. Le deuxime cas (fonctionnement
permanent) peut tre illustr par le contrle de la vitesse dune machine papier, qui doit tre
maintenu une vitesse trs lente pendant que les oprateurs sont en train de raliser une
opration de maintenance [MES 05].
Le mode de fonctionnement faible sollicitation est considr lorsque la frquence de
demande nest pas plus grande quune par an et est au plus gale deux fois la frquence des
tests priodiques [CEI 00]. Ce mode est gnralement attribu aux systmes de protection,
activit lors de loccurrence dun vnement redout. A partir de larchitecture du systme
instrument de scurit ralisant la fonction instrumente de scurit faiblement sollicite, la
moyenne de la probabilit de dfaillance la demande PFDavg (Average Probability of Failure
on Demand) est value sur un intervalle [0, t].
Le mode de fonctionnement continu ou forte sollicitation implique une forte demande du
systme instrument de scurit. Il est considr lorsque la frquence de demande est leve
ou continue, cest--dire quelle plus grande quune par an ou suprieure deux fois la
frquence des tests priodiques [CEI 00]. Ce mode est gnralement attribu aux systmes de
prvention dvnements redouts. A partir de larchitecture du systme instrument de
scurit ralisant la fonction instrumente de scurit faiblement sollicite, la probabilit de
dfaillance dangereuse par heure PFH (Probability of a dangerous Failure per Hour) est
value sur un intervalle de temps [0, t].
Pour chaque fonction instrumente de scurit fonctionnant en mode de sollicitation
respectivement en mode continu, le SIL requis doit tre spcifi en accord avec le tableau 2.3
respectivement le tableau 2.4 [CEI 03].

FONCTIONNEMENT A LA SOLLICITATION
Niveau dintgrit
de scurit (SIL)

Probabilit moyenne de
dfaillance la sollicitation
(PFDavg)

Rduction de risque
cible (RR)

10-5 PFDavg < 10-4

100 000 RR < 10 000

10-4 PFDavg < 10-3

10 000 RR < 1 000

10-3 PFDavg < 10-2

1 000 RR < 100

10-2 PFDavg < 10-1

100 RR < 10

Table 2.3 : Niveaux dintgrit de scurit : Probabilit de dfaillances lors dune sollicitation
- 65 -

Chapitre 2 : Systmes Instruments de scurit

FONCTIONNEMENT A MODE CONTINU


Niveau dintgrit
de scurit (SIL)

Probabilit de dfaillance dangereuse par heure

10-9 PFDavg < 10-8

10-8 PFDavg < 10-7

10-7 PFDavg < 10-6

10-6 PFDavg < 10-5

Table 2.4 : Niveaux dintgrit de scurit : Probabilit de dfaillances dangereuses de la SIF


Il est noter que le concept de SIL s'applique au systme instrument de scurit (SIS) dans
son intgralit et pas un sous-ensemble (par exemple un capteur).
Dans ces deux tableaux, les fonctions instrumentes de scurits ainsi que les systmes
instruments de scurit sont diffrencis selon le mode de fonctionnement par lutilisation
des paramtres PFDavg et PFH. Chaque SIL est dlimit par une borne maximale et une borne
minimale.

6.3. Allocation des SILs aux fonctions instrumentes de scurit


Les mthodes quantitatives et qualitatives dallocation des niveaux dintgrit de scurit un
systme instrument de scurit ou une fonction instrumente de scurit examinent les
diffrents dangers provenant du systme oprationnel sans la prise en compte de dispositifs de
scurit. Elles laborent ensuite le SIL de la fonction instrumente de scurit qui doit tre
implante pour rduire la criticit du danger analys.
Lobjectif global est de dcrire une procdure didentification des fonctions instrumentes de
scurit requises, dtablir leur niveau dintgrit de scurit et de les mettre en uvre dans
un systme instrument de scurit afin dobtenir la cible de scurit voulue pour le procd.
Les diffrentes mthodes listes ci-dessous font appel une apprciation plus ou moins
objective de la frquence et de la gravit. Elles ont nanmoins toutes en commun dassurer la
cohrence du classement des risques.
6.3.1. Les mthodes quantitatives
La mthode de la matrice de risques spcifie une zone dacceptation du risque dans un tableau
de criticit (cf. tableau 2.1), cette matrice permet lanalyse dun vnement dangereux compte
tenu de sa frquence doccurrence et de la gravit de ses consquences.
A laide du tableau de criticit, le risque Rnp (la notation np dsignant not protected, est
reprise de la norme CEI 61508) est valu selon la combinaison du niveau de gravit G de
lvnement dangereux avec la frquence Fnp lie la demande de la fonction de scurit
empchant la situation dangereuse. La rduction relative du risque est value par la
relation [KOS 06] :

- 66 -

Chapitre 2 : Systmes Instruments de scurit


PFDavg = Ft / Fnp = Rt / Rnp
O Ft est la frquence cible (spcifie pour le niveau du risque tolrable) et Rt est le risque
tolrable.
La dtermination du niveau dintgrit de scurit dpend de la rduction de risque ncessaire
pour atteindre le risque tolrable. Dans le contexte de prvention du risque, la fonction
instrumente de scurit diminue la frquence doccurrence de lvnement dangereux pour
rduire le risque. Dans ce cas elle doit, au minimum, ramener la frquence Fnp Ft (frquence
de risque tolrable).
La relation prcdente peut scrire donc :

PFDavg Ft / Fnp
Les tapes ncessaires pour lobtention du niveau dintgrit de scurit sont les suivantes
[KOS 06] :

 La dtermination de la frquence Fnp (relative au procd sans addition de mesures de


protection),
 La dtermination de la consquence (N) sans addition des mesures de protection. La
consquence N est donne par la relation : Rnp.Fnp = N,
 La dtermination par lutilisation de la matrice de risques (tableau 2.1) si le risque
tolrable est atteint pour la frquence Fnp et la consquence N. Si ceci mne la classe
de risque I, alors la rduction de risque est exige. La classe de risque IV concerne le
risque tolrable. Les classes de risque II et III exigeraient davantage de recherche
(utilisation du concept ALARP),
 La dtermination de la probabilit de dfaillance sur demande PFDavg pour le systme
instrument de scurit pour atteindre la rduction du risque ncessaire pour la
consquence donne de la situation considre,
 Pour lvaluation de la PFDavg , le niveau dintgrit de scurit peut tre dtermin
partir du tableau 2.3. Par exemple si 10-3 < PFDavg < 10-2 alors le niveau dintgrit de
scurit est SIL2.
Dautres mthodes qualitatives reposant sur le jugement dexpert sont utilises. Dans ces
mthodes, la rduction du risque se rvle implicite.

6.3.2. Les mthodes qualitatives


6.3.2.1. Graphe de risque
Il sagit dune mthode qualitative qui permet de dterminer le niveau dintgrit de scurit
dune fonction instrumente de scurit partir de la connaissance des risques associs au
procd et au systme de conduite de procd de base.
Le risque est dfini comme tant une combinaison de la probabilit doccurrence dun
dommage et de la gravit de ce dommage. En gnral, dans le secteur des process continus, le
risque est une fonction des quatre paramtres suivants [FAE 00] :

- 67 -

Chapitre 2 : Systmes Instruments de scurit

Paramtre

Description

Consquence

Nombre daccidents mortels et/ou de blessures graves


pouvant rsulter de loccurrence de lvnement dangereux.
Dtermin en calculant les nombres daccidents dans la
zone expose lorsque celle-ci est occupe en tenant compte
de la vulnrabilit lvnement dangereux.

Occupation

Probabilit que la zone expose soit occupe. Dtermine en


calculant la fraction de temps doccupation de la zone. Il
convient de prendre en compte la possibilit dune
probabilit accrue de personnes se trouvant dans la zone
expose afin de rechercher les situations anormales pouvant
exister lors de la progression vers lvnement dangereux.

Probabilit dviter le P
phnomne dangereux

Probabilit que des personnes exposes peuvent viter la


situation de phnomne dangereux qui existe si la fonction
instrumente de scurit choue la sollicitation. Dpend
sil existe des mthodes indpendantes dalerte des
personnes exposes au phnomne dangereux et sil existe
des moyens pour y chapper.

Taux de demande

Nombre de fois par an que lvnement dangereux se


produit si aucun systme instrument de scurit na t
adapt. Peut tre dtermin en considrant toutes les
dfaillances pouvant gnrer lvnement dangereux et en
estimant le taux global doccurrence.

Tableau 2.5 : Paramtres de risques relatifs au danger


Laffectation de valeurs numriques aux paramtres du tableau 2.5 constitue la base de
lvaluation du risque de procd qui existe en labsence de la fonction instrumente de
scurit concerne.
Le graphe ou diagramme de risque (figure 2.10) associe des combinaisons particulires des
paramtres de risque aux niveaux dintgrit de scurit. La relation entre les combinaisons
des paramtres de risque et les niveaux dintgrit de scurit est tablie en prenant en compte
le risque tolrable associ des phnomnes dangereux spcifiques.

- 68 -

Chapitre 2 : Systmes Instruments de scurit

X1

CA

Point de dpart de
lestimation de
rduction de risque

X2
PA
CB

CC

FA

PB

FB

PA
PB

FA
FB

CD

X3

X4

PA
PB

FA
FB

X5

PA

W
3

a
1

--a

---

-a

X6

PB

C = Paramtre de consquence

-- = Pas dexigence de scurit

F = Paramtre de temps dexposition

a = Pas dexigence de scurit spciale

P = Probabilit dviter lvnement dangereux

b = Une seule fonction de scurit


insuffisante

W = Taux de demande sans protection

1,2,3,4 = Niveau dintgrit de scurit

Figure 2.10 : Schma gnral de graphe de risque


A laide de ce graphe de risque, la fonction de scurit implanter pour prvenir un danger de
faible probabilit sera ralise en tenant compte des exigences relatives au SIL1.
Un exemple de classification des paramtres du graphe de risques est montr au tableau 2.6.

Paramtre

Classification

Gravit des Consquences

CA

Blessure mineure

CB

Blessure srieuse ou victime

CC

Plusieurs victimes

CD

Grand nombre de victimes

FA

Rare

FB

Frquent

Probabilit dviter le phnomne PA


dangereux
PB

Possible

Probabilit
dapparition
accident (Taux de demande)

Trs faible probabilit

Temps dexposition (Occupation)

dun W1

invraisemblable

W2

Faible probabilit

W3

Forte probabilit

Tableau 2.6 : Lgende de la classification des paramtres de risques

- 69 -

Chapitre 2 : Systmes Instruments de scurit

Dans cet exemple tir de [GOB 98], les consquences portent uniquement sur latteinte la
vie de personnes. La prise en compte des dgts matriels et de dommages causs
lenvironnement ncessite lutilisation de graphes additionnels.
6.3.2.2. Matrice de gravit des vnements dangereux
La matrice de gravit de risques intgre plusieurs fonctions instrumentes de scurit sous
rserve de leur indpendance contrairement la mthode de graphe de risque qui ne prend
quune fonction instrumente de scurit. Les trois composantes de la matrice sont la gravit
des consquences, la probabilit de loccurrence des accidents et le nombre de dispositifs de
scurit dj mis en place pour empcher le dveloppement du danger en accident.
Nombre de dispositifs de
scurit indpendants
rduisant le risque (y
compris la fonction en cours
de classification base sur la
technologie E/E/EP

3
2

* Systme de scurit non


requis
+ Mesures additionnelles
requises
(technologies
alternatives lE/E/EP

SIL1

SIL1

SIL1

SIL1

SIL2

SIL1

SIL2

SIL3

SIL1

SIL1

SIL2

SIL1

SIL2

SIL3

SIL3

SIL3

SIL3
+

Faible Moy.

Mineure

Eleve

Faible Moy.

Critique

Eleve

Faible Moy.

Eleve

Catastrophique

Probabilit doccurrence
de laccident
Gravit des consquences
du danger

Figure 2.11 : Exemple de matrice de gravit des vnements dangereux


Lexemple reprsent sur la figure 2.11 est tir de la norme CEI 61508. Suivant la mise
disposition dun dispositif de scurit permettant la prvention dun danger doccurrence
faible et dont les consquences sont critiques, le niveau dintgrit de la fonction de scurit
sera ralis en tenant compte des exigences relatives au SIL 1.

7. Les limites de la norme CEI 61508 et sa situation vis--vis des


SAID
Tant les industriels que les chercheurs se posent des questions sur lapplication de la norme
CEI 61508 et avancent quelques commentaires et interprtations propos de cette norme.
Celle-ci naborde pas le dlicat problme de lutilisation des instruments intelligents dans les
systmes dautomatisation et le champ reste libre de telle sorte que certains fournisseurs
revendiquent des instruments intelligents certifis CEI 61508.

7.1. Limites de la norme CEI 61508


Il ne sagit pas de faire une interprtation de la norme CEI 61508 traitant la scurit
fonctionnelle mais tout simplement de poser la problmatique sur la difficile utilisation de la

- 70 -

Chapitre 2 : Systmes Instruments de scurit

norme. Il est noter que les lecteurs de cette norme ressentent rapidement la ncessit dtre
guids, tant les notions qui y sont exposes peuvent paratre complexes, inhabituelles ou
difficiles mettre en uvre.
Cette complexit la rend parfois difficilement applicable. Il faut rappeler que la norme est
compose de sept volumes contenant 500 pages environ et elle prconise plus de 1000
prescriptions.
Beaucoup de prescriptions ne sont pas assignes une certaine gamme des niveaux dintgrit
de scurit ou la complexit de la conception [FAL 04]. Ceci rend la norme difficile
utiliser pour de plus petits projets et rend la gestion de la scurit fonctionnelle trop chre
pour des petites et moyennes entreprises.
L'ambigut possible dans l'interprtation encourage les utilisateurs employer la norme
comme bote outils et mettre en application plutt les aspects qu'ils apprhendent [FAL
04]. Les utilisateurs en Amrique du Nord semblent tre principalement proccups par la
scurit de matriel (taux de dfaillances dangereuses, taux de dfaillances en scurit) [GOB
05] tandis quen Europe (Allemagne) [FAL 04], beaucoup d'utilisateurs semblent tre
proccups davantage par la scurit de logiciel. La norme laisse galement une bonne part
l'interprtation. Les interprtations diffrent entre les experts sur les contraintes
architecturales de matriel et la prise en compte du diagnostic. Les normes europennes du
secteur industriel telles que la norme EN 954-1 n'acceptent pas des systmes o le mode de
dfaillance dun composant simple pourrait mener un tat peu sr contrairement la CEI
61508.
La norme CEI 61508 dfinit lintgrit de scurit comme proprit de l'installation complte
de scurit du capteur lactionneur. En outre, les parties 2 et 3 de la norme entrent dans le
dtail dans la conception et la "vrification et validation" (V&V) des systmes lectroniques
programmables. Ceci mne souvent la confusion auprs des fournisseurs qui n'hsitent pas
attribuer un niveau de SIL leurs instruments. Pourtant, cela na aucun sens, le niveau de SIL
tant strictement associ une fonction de scurit donne. Pour raliser cette fonction,
lutilisateur met en uvre plusieurs sous-systmes : capteur, traitement, actionneur. Dans
chacun des sous-systmes, des composants peuvent tre mis en redondance. La PFDavg de
lensemble doit tre calcule partir des caractristiques des composants et des architectures
mises en uvre.
Le SIL ne saurait tre en aucun cas une caractristique intrinsque dun instrument. Ce que
nous pouvons considrer est uniquement une compatibilit avec un niveau de SIL. Cela
correspond une PFDavg comprise dans la plage correspondant au SIL requis, cette PFDavg
tant affecte dune priode de test dfinie.
La norme demande des informations sur la conception des lments entrant dans la chane de
scurit. Dans certains cas, il est possible de disposer de ces informations et de connatre le
niveau de fiabilit du dispositif entrant dans la chane de scurit. Le manque dinformations
sur la conception pour les lments constituant la boucle fait en sorte quil faut alors
sappuyer sur les retours dexprience du fournisseur, qui peut fournir des informations
prcises sur la fiabilit de ses produits. Et partir de l, il est possible de concevoir la chane
de scurit.
La probabilit de dfaillance sur demande devrait tre aussi renomme, car sa dnomination
prte confusion. Il ne sagit nullement dune dfaillance la sollicitation classique, mais
dune indisponibilit moyenne sur un intervalle temporel spcifi [INA 05].

- 71 -

Chapitre 2 : Systmes Instruments de scurit

Les formules littrales proposes dans le volume 6 de la norme, qui permettent le calcul de la
probabilit de dfaillance la demande pour diffrentes architectures de systmes, ont fait
lobjet de quelques critiques [GUO 07] [ZHA 03] [HOK 04]. Ces relations sont donnes sans
explications ou justifications et elles ont induit plus dinterrogations, voire de critiques, que
de solutions satisfaisantes [INA 05].
Par exemple, le cas de larchitecture 1oo1 (1 out of 1) dcrite dans la partie CEI 61508-6 de la
norme qui dispose dun seul canal et ne prsente donc pas de redondance. A cette architecture,
la norme affecte une dure moyenne dindisponibilit tCE telle que :
t CE =

DU T1

+ MTTR + DD MTTR
D 2
D

D : Taux de dfaillances dangereuses


DU : Taux de dfaillances dangereuses non dtectes
DD : Taux de dfaillances dangereuses dtectes
T1 : dure du test priodique
MTTR : Dure moyenne de rparation
La probabilit moyenne de dfaillance sur demande (indisponibilit moyenne) en est dduite :
PFDavg = D . t CE
La norme ne donne pas de justification pour la dtermination de ce genre de relations. [INA
05] a essay dlucider ceci par lutilisation dun modle markovien multi-phases. Les
rsultats ont montr quil faut avancer plusieurs hypothses telles que lutilisation de taux de
rparation fictif, le choix de lordre de quelques approximations, lassimilation de la dure
moyenne dindisponibilit la dure moyenne de non fonctionnement (MDT) [ZHA 03],
lapproximation qui consiste confondre la MTBF (Mean Time Between Failures ou dure
moyenne entre deux dfaillances successives) et la MTTF (Mean Time To Failure ou dure
moyenne de bon fonctionnement avant la premire dfaillance)
Les rsultats montrent aussi que la norme est conservative, puisquelle donne des rsultats
lgrement pessimistes.
[SIG 05] stipule que le concept dintgrit de scurit est ncessaire mais pas suffisant pour
caractriser correctement le niveau dintgrit de scurit dun systme instrument de
scurit. En effet, les formules centres sur la dtermination dun indicateur moyen ne
prennent pas en compte les dpassements rpts du seuil haut du domaine SIL concern ni
leurs consquences ngatives sur le niveau de scurit rel du SIS tudi.

7.2. Positionnement vis--vis des SAID


La norme CEI 61508, bien quelle soit relative aux systmes lectriques, lectroniques et
lectroniques programmables ddis la scurit, ne traite pas explicitement le cas des
systmes dautomatisation intelligence distribue ni celui des instruments intelligents qui les
composent.
Les seuls endroits o la norme fait allusion ce type dinstruments figurent dans la partie 4
relative aux dfinitions et abrviations. On y trouve suite la dfinition donne
llectronique programmable que celle-ci est une technologie base sur linformatique,
pouvant comprendre du matriel, du logiciel, ainsi que les units dentre et de sortie. La

- 72 -

Chapitre 2 : Systmes Instruments de scurit

norme prcise que ce terme recouvre les appareils microlectroniques bass sur une ou
plusieurs units centrales de traitement associes des mmoires. Et parmi les exemples des
dispositifs lectroniques programmables, la norme cite les microprocesseurs, les
microcontrleurs, les automates programmables, les circuits intgrs spcifiques une
application (ASIC), les automates logiques programmables et finalement les capteurs
intelligents comme faisant partie des autres appareils bass sur la technologie informatique.
De plus, la norme dans cette mme partie 4 prsente un systme lectronique programmable
(PES, Programmable Electronic System) comme tant un systme de commande, de
protection ou de surveillance bas sur un ou plusieurs dispositifs lectroniques
programmables recouvrant ainsi tous les lments du systme tels que lalimentation, les
capteurs jusquaux actionneurs en passant par les voies de communication.
Lillustration est faite sur la figure 2.12 suivante :
PE1

PE2

Figure 2.12 : Structure dun PES avec deux dispositifs lectroniques programmables [CEI 00]
Cette figure montre la faon dont est reprsent le PES dans la norme CEI 61508, il y a une
distinction de llectronique programmable des dispositifs PE1 et PE2 qui se retrouvent en
srie et qui peuvent reprsenter par exemple un capteur intelligent et un automate
programmable. Llectronique programmable peut par consquent naturellement tre prsente
en divers endroits du PES.
Une manire dont la norme traite la rpartition de cette lectronique programmable est de
considrer une certaine redondance parallle si on considre que la figure prcdente trait
une redondance srie. Dans ce cas de figure aussi, le PES est compos de canaux distincts
incorporant sparment de llectronique programmable.
Nous constatons bien quimplicitement il sagit ici dun partage de tches et dune
distribution de llectronique programmable travers les diffrents dispositifs qui constituent
le PES.
Lautre aspect absent ou presque de la norme est celui relatif aux rseaux de communication
et particulirement les rseaux de terrain. La norme reste muette sur cet aspect ainsi que sur
linterface matriel / logiciel. Sur laspect logiciel, la norme se contente de dresser
uniquement des recommandations.
Parmi ce type de recommandations, la norme spcifie le langage de programme fig (FPL,
Fixed program language) dans lequel lutilisateur est limit lajustement de quelques
paramtres (par exemple la gamme dun transmetteur de pression, les seuils dalarme, les
adresses de rseau). La norme spcifie aussi le langage de variabilit limite (LVL, Limited
Variability Language) qui est conu pour tre comprhensible par les utilisateurs du domaine
du processus et fournit la possibilit de combiner des fonctions de bibliothque spcifiques
une application.
Les exemples reprsentatifs de dispositifs avec FPL sont les capteurs intelligents et les vannes
intelligentes et un exemple des systmes utilisant les LVL est celui dun automate
programmable standard.

- 73 -

Chapitre 2 : Systmes Instruments de scurit

8. Paramtres de performance en scurit pour les systmes


instruments de scurit
La norme CEI 61508 [CEI 00] spcifie deux indicateurs de la scurit relatifs aux systmes
lectroniques programmables ddis aux applications de scurit. Ces deux paramtres
utiliss pour l'valuation de la sret de fonctionnement des SIS se rfrent deux modes de
dfaillances mentionns par les normes de scurit. Ces modes sont le mode de dfaillances
dangereuses et le mode de dfaillances sres. Ces indicateurs sont donns sous forme de
probabilits de dfaillance dangereuse (PFD) et de dfaillance en scurit (PFS). Leur
valuation comme lexige la norme CEI 61508 pose quelques problmes lis leur
spcificit. En effet, les systmes instruments de scurit intgrent de manire obligatoire en
fonction du niveau de scurit requis, des auto-tests systmatiques et des redondances
permettant la dtection et/ou la tolrance certaines dfaillances afin de garantir leffectivit
de la fonction de scurit.
A partir de larchitecture du systme instrument de scurit ralisant la fonction instrumente
de scurit faiblement sollicite, la moyenne de la probabilit de dfaillance la demande
PFDavg (Average Probability of Failure on Demand) est value sur un intervalle [0, t].
La performance d'une fonction de scurit peut tre exprime comme la probabilit de
dfaillance la demande (PFD), et la probabilit de dfaillances sres ou de dclenchements
intempestifs. Ces deux attributs sont importants dans le monde de la scurit et leurs valeurs
reprsentent respectivement une mesure pour le niveau de scurit atteint et cot financier
caus par le systme de scurit en raison de dclenchements intempestifs. La valeur de la
PFD est une exigence pour rpondre l'intgrit de la scurit au niveau de la norme CEI
61508 [CEI 00]. Pour la valeur PFS il n'y a pas actuellement de prescriptions internationales
en matire de scurit dans le monde, mme si les utilisateurs finaux du systme de scurit
exigent une valeur de PFS aussi faible que possible [WOL 05].
Plusieurs utilisateurs sont la recherche de systmes qui soient la fois fiables et srs. Un
systme est fiable sil ne tombe pas en panne frquemment. Un systme est sr si ses
dfaillances ne sont pas dangereuses.
La figure 2.13 montre le diagramme de Venn dun systme incluant le bon fonctionnement et
les deux modes primaires de dfaillances, le mode de dfaillances sres et le mode de
dfaillances dangereuses [MAR 01].

Figure 2.13: Systme avec modes de dfaillances


La fiabilit nest pas suffisante elle seule. Dans plusieurs applications, il est aussi important
que le systme tombe en panne dune manire prvisible (dfaillance sre).

- 74 -

Chapitre 2 : Systmes Instruments de scurit

Pour les deux modes de dfaillances, les dfaillances dangereuses sont beaucoup plus graves
puisque les systmes de protection ne peuvent assurer la mise en scurit du processus et les
dfaillances ne peuvent tre rvles.
Les systmes nouvellement conus disposent dautodiagnostic et dautotests internes qui
permettent de dceler un certain nombre de dfaillances par la dsactivation des sorties
lorsque des dfauts internes sont dtects. Cette fonctionnalit peut tre exploite par les
systmes instruments de scurit pour permettre de convertir les dfaillances sres en
dfaillances dangereuses. Leffet global des autodiagnostics sur le systme avec ses modes de
dfaillances peut tre dcrit par la figure 2.14 suivante :

Figure 2.14 : Effet des autodiagnostics sur le systme instrument de scurit


La norme CEI 61508 [CEI 00] (partie 6, annexe C) considre que la rpartition entre
dfaillances non dangereuses (sres) et dfaillances dangereuses peut tre dterministe pour
des composants simples. Pour des composants complexes, dont il nest pas possible
deffectuer une analyse dtaille de chaque mode de dfaillance, une rpartition des
dfaillances en 50 % de sres et 50 % de dangereuses est gnralement accepte :
D = S = 0.5
o est le taux de dfaillance du composant.
La norme dfinit pour les produits (et non pas le systme entier) tels que les capteurs,
actionneurs et units de traitements, un taux des dfaillances en scurit SFF (Safe Failure
Fraction).

SFF =

SD + SU + DD
SD + SU + DD + DU

Cette mtrique est un ratio de taux de dfaillances et ne dpend pas du taux total de
dfaillances. Le rsultat est un nombre entre zro et un. Il est souhaitable davoir un SFF
suffisamment important. Le SFF mesure la tendance de linstrument avoir des dfaillances
sres ou dtecter des dfaillances dangereuses.
Nous allons dterminer tout dabord les taux de dfaillances dangereuses et sres pour chaque
composant.

S
= S % , do S = S % et D = (1 S %)

- 75 -

Chapitre 2 : Systmes Instruments de scurit


Avec S = SD + SU

DD = CD D , avec CD le facteur de couverture de diagnostic des dfaillances dangereuses.


DU = (1 CD ) D
SFF = S % + (1 S %) CD , il y a indpendance de total.

(t ) = . Le taux de dfaillance constant est pris comme hypothse pour la plupart des
estimations statistiques, cela sapplique seulement si la dure de vie utile des composants
nest pas dpasse [CEI 00]. Dans notre cas, et comme cest prconis par la norme, nous
considrons des taux de dfaillance des composants constants sur toute la dure de vie du
systme.
et R ( t ) = e

, R(t) reprsente la fiabilit

La probabilit de dfaillance est donne par : F ( t ) = 1 e


parfois dfiabilit.
Si la demande est rare, alors dans ce cas : e
au premier ordre.

, elle est appele aussi

1 + t , lapproximation est arrte

La probabilit de dfaillance vaut alors : PF (t ) = t , et la probabilit de dfaillance moyenne


T

est donne par : PFavg =

1
PF (t )dt
T 0

La probabilit de dfaillance sur demande qui concerne le systme entier est donne par :
Ti

1
PFD(t )dt , avec la dure Ti qui reprsente lintervalle entre deux tests
Ti 0
priodiques.
PFDavg =

Dans le cas de lapproximation faite ci-dessus, on aura : PFDavg =

Ti
2

9. Conclusion
Les systmes instruments de scurit sont utiliss pour dtecter des situations dangereuses et
diminuer leurs consquences pour atteindre des niveaux de risques tolrables. La norme
gnrique CEI 61508 et sa norme fille CEI 61511 pour le secteur des procds continus
deviennent les normes de rfrence pour la spcification et la conception de ce type de
systmes (SIS).
La norme CEI 61508 utilise une approche base sur le risque pour dterminer les exigences
d'intgrit de la scurit des systmes E/E/PE concerns par la scurit. Dautre part, elle
utilise un modle global de cycle de vie de la scurit comme cadre technique pour les
activits ncessaires pour garantir que la scurit fonctionnelle soit atteinte par les systmes
E/E/PE concerns par la scurit.
Lapprciation du risque est une fonction de la gravit et de la frquence. Il est souvent
difficile dapprcier lun ou les deux et encore plus la combinaison des deux. Dans une
dmarche danalyse du risque, il faut prendre acte de cette difficult. Lessentiel est de

- 76 -

Chapitre 2 : Systmes Instruments de scurit

pouvoir au moins classer les risques entre eux, selon une chelle que lon sest donne. Le
point important est alors la calibration initiale de cette chelle. Cest lobjet des mthodes de
classement des risques. Lintrt est de pouvoir comparer les risques et de leur affecter la
bonne chelle.
Les niveaux dintgrit de scurit issus de la norme sont des objectifs de scurit utiles
lvaluation des risques. Ils donnent une mesure de la rduction du risque obtenue par les
moyens de protection fournis par le SIS.
Nanmoins, cette norme prsente des limites dutilisation et elle est sujette de nombreuses
critiques relatives la forme et au fond telles que la difficult de lapplication des formules, la
confusion pour la dtermination du niveau dintgrit de scurit pour certaines dfinitions de
base et mthodes proposes [HOK 04]
Les contraintes prouves par les utilisateurs pour lapplication de la norme pour les
architectures les plus simples les poussent entreprendre des modlisations pour les systmes
les plus complexes.
Dun point de vue oprationnel, il est naturellement prfrable de recourir des mthodes
prouves, telles que larbre des dfaillances, les graphes de Markov ou les rseaux de Petri,
plutt que dutiliser systmatiquement les formules analytiques exposes dans la CEI 61508
[INN 07].
Finalement, la norme reste muette sur laspect de la distribution de la gestion des fonctions de
scurit et sa rpartition sur lensemble de la structure du systme instrument de scurit. Le
vide laiss par la norme a t exploit par quelques fournisseurs qui ont profit de loccasion
pour annoncer lutilisation de rseaux de terrain dans la fabrication des systmes instruments
de scurit.

- 77 -

Chapitre 3 : Vers une scurit intelligente

Chapitre 3 :
Vers une scurit
intelligente

- 78 -

Chapitre 3 : Vers une scurit intelligente

Vers une scurit intelligente


1. Introduction
Lvolution des quipements dautomatisation a pouss dune part lutilisation des
instruments dans des quipements scuritaires qui deviennent plus intelligents, aptes
communiquer avec les quipements de production et, pourquoi pas, avec lhomme, de
manire optimiser leur comportement (optimisation de la scurit). D'autre part, il est
devenu possible dintgrer aux quipements intelligents une fonction scuritaire apte
apprhender son environnement et ragir localement en fonction du rle de lquipement
auquel elle est associe.
Les instruments intelligents sont des instruments de processus de base qui contiennent des
microprocesseurs. L'utilisation de microprocesseurs prsente un dfi dans de nombreuses
industries, en particulier pour des architectures critiques ou de scurit.
Le concept de scurit intelligente est inhrent lutilisation dinstruments intelligents dans
les systmes instruments de scurit. Plusieurs fabricants revendiquent la certification de
produits intelligents dans les applications de scurit en lanant des "smart SIS " mais sans
relle justification au niveau des performances fiabilistes. Des chercheurs emploient aussi le
vocable "scurit intelligente" dans des applications diverses couvrant le nuclaire [YAN 05]
[CHU 03] [BAE 01], le ferroviaire [JIA 03] ou encore les systmes de transport [FAR 04].
La premire partie de ce chapitre positionne la problmatique de lutilisation des instruments
intelligents dans les applications scuritaires en situant aussi quelques diffrences qui
existent entre les systmes classiques et les systmes intelligents.
La seconde partie traite de lintroduction du concept de lintelligence dans un systme
instrument de scurit par lutilisation dune part dun rseau de communication
typiquement un rseau de terrain et ensuite par la distribution des traitements au plus prs du
processus, cest--dire dans les dispositifs de terrain tels que les capteurs et actionneurs.
Dans la dernire partie, nous proposons une mthodologie dvaluation des systmes
instruments de scurit auxquels il y a eu incorporation dinstruments intelligents pour
devenir des Systmes Instruments de Scurit Intelligence Distribue (SISID).

- 79 -

Chapitre 3 : Vers une scurit intelligente

2. Contexte et problmatique
Lutilisation des instruments intelligents dans lindustrie des procds a t facilite par
laugmentation des performances dans les microprocesseurs utiliss en milieu industriel,
notamment en instrumentation. La justification de lusage de ces instruments dans les
applications de scurit nest pas compltement avre. Ces instruments disposent datouts
importants utiles ce type dapplications [NOB 04].
Les instruments intelligents sont placs dans des applications scuritaires plus "intelligentes",
afin de communiquer avec les quipements de production et, pourquoi pas, avec lhomme, de
manire optimiser leur comportement et/ou lintgration aux quipements intelligents dune
fonction scuritaire apte apprhender son environnement et ragir localement en fonction
du rle de lquipement auquel elle est associe.
Il existe actuellement une tendance lutilisation des instruments intelligents dans les
applications scuritaires du fait de laptitude des systmes diagnostiquer les dfaillances
ainsi que de permettre la mesure de certains paramtres complexes avec une confiance
amliore.
La justification de cette tendance vers lutilisation des instruments intelligents nest pas tout
fait prouve en dpit des revendications de quelques industriels qui se targuent doffrir des
systmes ddis la scurit en conformit avec les normes en vigueur et incorporant des
quipements de terrain intelligents ou encore des moyens de communication internes aux
fonctions de scurit.
En effet, certains constructeurs comme Fisher, Norgren-Herrion, Metso Automation
spcialiss dans les automatismes de processus proposent des produits tels que les
transmetteurs, les vannes et octroient des niveaux dintelligence ces produits dans le cas o
le dispositif contient un microcontrleur ou sil est dot dun test en ligne. Les moyens de
communication utiliss sont des boucles classiques 4-20 mA ou encore le protocole HART
qui nest pas un rseau de terrain [CIA 99].

2.1. Instruments intelligents versus instruments traditionnels


Les systmes classiques comportant des capteurs traditionnels produisent habituellement des
signaux lectriques de basse complexit directement partir des dispositifs de transduction.
La simplicit de ces systmes a men une acceptation de tels dispositifs dans des
applications de protection des systmes critiques de scurit (nuclaire par exemple). En
gnral ce sont des dispositifs mcaniques et lectriques simples, avec un retour d'exprience
suffisant, ils sont relis avec des circuits bien dfinis avec une faible interaction. Ceci se prte
une abstraction mathmatique facile pour les modles fiabilistes et pour la dtermination des
modes de dfaillance. Par consquent la probabilit de dfaillance dangereuse peut tre
calcule et value.
Avec la tendance moderne de traiter les donnes de tels instruments dans les systmes
informatiques (plus gnralement numriques), il y a eu un besoin de convertir les valeurs
lectriques sous des formes de reprsentations aptes tre traite par un logiciel. Ceci exige
une complexit de matriel et de logiciel bien au-dessus de celle qui existait dans ce type
dinstruments classiques [DOB 98]. Les nouvelles fonctions incorpores dans les instruments
intelligents sont fortement complexes et intgres. Ceci rend l'analyse de scurit difficile, de
mme que la nature fortement interactive des interfaces, particulirement quand un rseau de
communication est partag entre plusieurs dispositifs. Cependant ces fonctions disposent de

- 80 -

Chapitre 3 : Vers une scurit intelligente

moyens d'autotest et dune possibilit de redondance fonctionnelle qui peuvent assurer une
diminution acceptable de probabilit de dfaillance [DOB 98] [MAC 04].
Un autre aspect de diffrence qui existe entre les instruments classiques et les instruments
intelligents est le facteur temps. En effet, dans les capteurs conventionnels le temps et la
synchronisation ne sont pas pris en compte. Le capteur mesure continuellement les paramtres
physiques et prsente un signal par lintermdiaire de la boucle de courant 4-20 mA. Par
consquent, le dlai entre la mesure et son envoi est normalement ngligeable [MEU 04].
Pour les capteurs intelligents ce n'est pas aussi simple. Le temps sajoute aux grandeurs
physiques. En effet, si une date est fausse, la mesure peut tre considre comme aberrante
par le systme dinformation [ROB 93], en particulier, la mesure fournie est susceptible dtre
postdate ou antidate.
Notons que conformment au chapitre 1, il y a une diffrence entre un capteur analogique
(classique, niveau 0) et un capteur numrique (niveau 1). La numrisation du signal a permis
lassociation dun processeur a proximit du capteur. Lutilisation de la microinformatique va
permettre d'exploiter les caractristiques temporelles des signaux issus des capteurs
(transforme de Fourier rapide). Le capteur numrique dispose d'une certaine capacit de
calcul assure par un circuit programmable du type microcontrleur ou microprocesseur lui
permettant de prendre en compte certaines drives et grandeurs d'influence. Llment de
calcul est constitu, au minimum, dun microcontrleur, dune EEPROM dun convertisseur
analogique numrique et un dispositif de multiplexage pour acqurir squentiellement les
donnes. En plus il existe un traitement des signaux discrets ralis par des algorithmes
spcifiques. Il existe cependant un certain retard puisque le microprocesseur qui gre le
systme fonctionne squentiellement.
Les instruments classiques diffrent aussi par rapport aux instruments intelligents dans
laspect de lintgrit des informations. [MEU 04] prcise que l'intgrit des donnes n'est pas
un grand problme dans les capteurs conventionnels. Des paramtres sont placs l'aide du
matriel (commutateurs rsistances par exemple) et sont donc fortement peu sensibles aux
influences externes. Pour les capteurs intelligents ces aspects sont plus complexes. Des
paramtres sont placs en utilisant des boutons et des affichages et ils sont stocks dans une
mmoire (RAM et/ou EEPROM). Le stockage dans la mmoire est ncessaire si le capteur
doit maintenir les paramtres aprs une panne de courant. Les donnes dans la mmoire
peuvent tre corrompues du fait de la sensibilit au rayonnement et la chaleur, et il est
ncessaire de faire une dtection et une correction d'erreur.
Les instruments intelligents disposent aussi de circuits fortement intgrs et par consquent
les fabricants sont maintenant capables doffrir des capteurs avec des sorties numriques
compatibles au plan logiciel qui n'ont besoin d'aucun circuit de pr-conditionnement. Ces
instruments offrent des fonctionnalits nouvelles telles que lexactitude, la flexibilit,
lautodiagnostic, la communication, la gestion des activit de linstrument [DES 06]. Ces
fonctions sont conues pour amliorer la qualit mtrologique de la mesure, de la fiabilit du
systme par lamlioration de la fiabilit des informations [TAN 96].
[YUR 06] [MAS 98] citent les avantages de lintgration comprenant outre la diminution du
nombre de composants et la chute des cots une fiabilit inhrente leve. [DES 06] rajoute
que le concept dinstrument intelligent a t dfini dans les annes 80 pour aborder le manque
de fiabilit et que les instruments intelligents contribuent lamlioration de la fiabilit et de
la ractivit. Cette ractivit est rendue possible par les moyens de traitement disponibles
localement au niveau terrain. En effet, lintgration des fonctionnalits de surveillance et de
diagnostic vont permettre de matriser la sret de fonctionnement du systme par le biais de

- 81 -

Chapitre 3 : Vers une scurit intelligente

dtection de dfauts par des mthodes de surveillance locale. Aussi, les systmes
architecture rpartie vont prsenter de l'intrt par lemploi dun nombre de points de mesure
lev permettant au systme une coopration accrue grce notamment la communication.
Un point de vue tout fait oppos est exprim par le tableau suivant des donnes qui est
extrait de [DOB 98]. Il met en vidence lutilisation de diffrentes technologies pour des
capteurs de pression. Premirement l'approche conventionnelle pour un capteur 4-20 mA
l'aide des circuits analogiques a t considre. Ensuite le mme capteur a t considr o la
majeure partie du circuit analogique est remplace par un simple ASIC analogique. Enfin le
capteur "smart " communicant reli par un bus de communication a t considr. Ce dernier
fonctionne en interne numriquement et permet lamlioration de la fonction de traitement de
linformation. Lindicateur de fiabilit considr ne contient aucune indication relative aux
dfaillances de logiciel. Pour un systme contenant 32 capteurs le taux de dfaillances prvu
est montr, tenant compte des composants lectroniques seulement. Le manque de fiabilit
additionnel rsultera du logiciel et de tout autre matriel.

Composant

Taux de dfaillances (par 10 heures)

Taux de dfaillance du
systme comportant 32
capteurs avec un organe
dacquisition de donnes et
le cblage

Capteur analogique 4-20 mA

2.777

97.9

Capteur avec ASIC 4-20 mA

2.318

82.9

Capteur "smart "

5.543

180

communicant

Tableau 3.1 : Donnes de fiabilit relatives aux diffrents systmes


suivant la nature des capteurs [DOB 98]
La conclusion simple tirer de ce tableau est que le systme comportant des capteurs
numriques connects laide de rseau de terrain pourrait tre moins fiable quun systme
capteurs classiques. Daprs notre classification faite dans le chapitre 1, ce cas dtude
sapparente aux instruments numriques communicants (niveau 1) qui disposent dune
complexit accrue par rapport aux instruments classiques (niveau 0). A ce niveau
dintelligence (niveau 1), les aspects relatifs la sret de fonctionnement ne peuvent gure
tre amliors. Notons aussi que lapproche dcrite dans le tableau 3.1 est incomplte du fait
quune seule partie des causes de dfaillances est prise en compte.
Les capteurs conventionnels emploient les boucles 4-20 mA pour la communication. Ces
boucles ne peuvent pas tre employes des distances trs longues. Les rseaux de
communication sont souvent capables d'atteindre dimportantes distances moyennant
lemplacement de rpteurs. Dans ce cas, les rpteurs sont ncessaires, ce qui augmente la
quantit d'quipement et la possibilit de dfaillance.
En conclusion, et suivant cette disparit dans les avis, ceci nous laisse prsager une analyse
adquate sur la vraie contribution de lintelligence dans les systmes instruments surtout

- 82 -

Chapitre 3 : Vers une scurit intelligente

pour des applications relatives la scurit en tenant compte de la classification des niveaux
dintelligence dans les instruments.

2.2. Problmatique relative lutilisation des instruments intelligents dans


les boucles de scurit
Lintroduction des instruments intelligents dans des applications scuritaires bases sur les
systmes instruments de scurit doit avoir pour objectif lamlioration de la scurit et non
pas le contraire sinon quoi bon des investissements colossaux en technologies, ressources
humaines, formation et cot de revient si le rsultat final de cette introduction est similaire ou
en de du niveau des performances par rapport des systmes classiques utilisant des
instruments conventionnels.
Pour cela, regardons de prs la valeur ajoute quapporte un systme dautomatisation
intelligence distribue (SAID). Celle-ci peut se rsumer en la distribution de lintelligence (ou
encore des traitements) en utilisant comme auxiliaire la communication par rseau mais aussi,
dans le cas darchitecture rpartie, le pouvoir de faire du diagnostic distribu.
Inutile de montrer encore le mrite de lutilisation de ce type de systmes surtout en contrle
commande, ceci tait l'objet du premier chapitre.
La question qui se pose est relative donc la sauvegarde des performances dans un systme
instrument de scurit par lintroduction de lintelligence dans les diffrentes fonctions de
scurit, voire lamlioration de ces performances.
La norme CEI 61508 [CEI 00] spcifie deux indicateurs de la scurit relatifs aux systmes
lectroniques programmables ddis aux applications de scurit. Ces deux indicateurs sont la
probabilit de dfaillance dangereuse (PFD) et la probabilit de dfaillance en scurit (PFS).
Leur valuation comme lexige la norme CEI 61508 pose quelques problmes lis leur
spcificit. En effet, les systmes instruments de scurit intgrent de manire obligatoire en
fonction du niveau de scurit requis, des auto-tests systmatiques et des redondances
permettant la dtection et/ou la tolrance certaines dfaillances afin de garantir leffectivit
de la fonction de scurit.
La norme exige un certain nombre de recommandations et de prescriptions relatives
lutilisation des moyens de communication de donnes pour raliser des fonctions de scurit.
Notamment lorsquune forme quelconque de communication de donnes est utilise dans la
ralisation dune fonction de scurit, la probabilit de dfaillance de la fonction de scurit
due au processus de communication doit tre estime en prenant en compte les erreurs de
transmission, les rptitions, les suppressions, les insertions, les modifications du
squencement, la corruption, le retard et le masquage. Cette probabilit doit tre prise en
compte lors de lestimation de la probabilit de dfaillance dangereuse de la fonction de
scurit, due une dfaillance alatoire du matriel.
Le terme masquage signifie que le contenu exact dun message nest pas correctement
identifi. Par exemple, un message provenant dun composant qui nest pas de scurit est
identifi incorrectement comme un message provenant dun composant de scurit.
En particulier, les paramtres suivants doivent tre pris en compte en estimant la probabilit
de dfaillance de la fonction de scurit due au processus de communication:
a) le taux derreur rsiduel;
b) le taux de perte dinformation rsiduel;

- 83 -

Chapitre 3 : Vers une scurit intelligente

c) les limites et la variabilit de la vitesse de transfert de linformation;


d) les limites et la variabilit du temps de retard d a la propagation de linformation.
La norme explique aussi que la probabilit dune dfaillance dangereuse (en h1) est gale au
quotient de la probabilit derreur rsiduelle par la longueur du message (en bits) multiplie
par la vitesse de transmission sur le bus des messages relatifs la scurit ainsi que par un
facteur de 36001.
Les dfaillances de cause commune et celles dues aux processus de communication des
donnes peuvent rsulter deffets autres que les dfaillances des composants matriels (par
exemple, perturbation lectromagntique, erreurs de dcodage, etc.). Toutefois, de telles
dfaillances sont considres, pour les besoins de la prsente norme, comme des dfaillances
alatoires du matriel.
La norme recommande aussi quafin de matriser les anomalies systmatiques, la conception
E/E/PES doit avoir des caractristiques de conception telles que les systmes E/E/PE relatifs
la scurit soient tolrants, entre autres, aux erreurs et autres effets provenant dun processus
de communication de donnes.
La question demeure donc sur la prise en compte des dfaillances du rseau de
communication et de lintroduction de son modle de dfaillance.
Les architectures des systmes de scurit dans lautomatisation peuvent avoir une forme
classique o lintgration de la fonction de scurit se fait uniquement au niveau des
automates programmables industriels (la fonction traitement) ou une forme dans laquelle la
scurit est distribue avec un traitement local de la scurit au niveau des priphriques
dcentraliss tout en gardant un traitement central de la scurit au niveau des API.

(a)

Mesure 1

(b)

Traitements
1&2

Mesure 2

Traitement 1

Traitement 2

Actionnement
Mesure 1

Mesure 2

Actionnement

Figure 3.1 : Comparaison entre une architecture centralise (a) et une architecture
distribue (b)
La prsence d'un rseau apporte une fonctionnalit additionnelle, savoir la communication.
La dcomposition fonctionnelle de ces deux architectures est propose par [CAU 04] dans
laquelle la fonction de communication constitue un composant du systme.
La figure 3.2 montre cette dcomposition fonctionnelle pour les deux architectures.
1

La valeur 3600 correspond la conversion dune heure en secondes puisque la vitesse de


transmission a pour unit le baud (bit par seconde) et la probabilit derreur est donne avec
lunit h1.

- 84 -

Chapitre 3 : Vers une scurit intelligente

Mesure

Traitement

Actionnement

(a)

Communication

Mesure

Traitement

Communication

Actionnement

(b)
Figure 3.2 : Fonction communication dans larchitecture distribue [CAU 04]
Ce modle qui considre que la fonction communication fait partie intgrante du systme et
peut se prsenter sous forme dun composant part entire tantt entre la mesure et le
traitement et tantt entre le traitement et lactionnement ne peut suffire pour reprsenter le
modle fiabiliste du systme.
La norme, par lutilisation des blocs diagrammes de fiabilit dans sa partie 6, donne la
probabilit moyenne de dfaillance sur demande dune fonction de scurit du systme
E/E/PE comme la combinaison de la probabilit moyenne de dfaillance sur demande pour
tous les sous-systmes assurant ensemble la fonction de scurit.
Plus formellement :
PFDSYS = PFDS + PFDL + PFDFE
O
 PFDSYS est la probabilit moyenne de dfaillance sur demande dune fonction de
scurit du systme E/E/EP relatif la scurit,
 PFDS est la probabilit moyenne de dfaillance sur demande du sous-systme capteur
(fonction mesure),
 PFDL est la probabilit moyenne de dfaillance sur demande du sous-systme logique
(fonction traitement),
 PFDFE est la probabilit moyenne de dfaillance sur demande du sous-systme
lment final (fonction actionnement).
Cette modlisation en diagrammes de fiabilit ne peut cependant sappliquer pour la
reprsentation de la fonction communication de larchitecture distribue et on ne peut sommer
facilement et simplement les probabilits moyennes de dfaillances conscutives pour aboutir
la valeur moyenne de la probabilit de dfaillance PFDSYS globale.
En effet, la reprsentation (b) de la figure 3.2 est insuffisante pour dcrire les phnomnes qui
se passent rellement. Ce nest pas vraiment un diagramme de fiabilit parce que quelque soit
le temps le modle ne bouge pas. En fait, il nest pas du tout tenu compte des dfaillances
rseaux qui sont des dfaillances temporelles. Aussi, il y a existence dun mode commun
auquel le modle ne fait pas allusion et qui est d la distribution et donc de la prsence de la
communication dune part entre les capteurs et le traitement et dautre part entre le traitement
et lactionneur.
Nanmoins, cette fonction communication peut tre modlise par un seul bloc dans le
modle fiabiliste du systme afin davoir un modle de rfrence dun point de vue statique.
- 85 -

Chapitre 3 : Vers une scurit intelligente

Laspect principal de lintelligence des systmes dautomatisation est celui de la distribution


des traitements au plus bas niveau (dit niveau 0) de la pyramide CIM (Computer Integrated
Manufacturing : fabrication intgre sous le contrle de linformatique) [SHE 94]. Cette
distribution permet la rpartition des tches de contrle des processus aux dispositifs de
terrain (capteurs et actionneurs) favorisant ainsi la mise en place des autotests pour une
dtection rapide et un dclenchement de mesures ncessaires aux moments opportuns. La
distribution est vue ainsi comme une sorte de sous-traitance des traitements par limplantation
des fonctionnalits complexes dans les dispositifs de terrain.
Il est aussi intressant de situer la contribution de cette amlioration de pouvoir de ractivit
la fiabilit de ce type de systmes plus complexes et disposant dautres modes de dfaillances
par rapport aux systmes classiques. [BRO 05] fait savoir que lutilisation de transmetteurs
intelligents amliore la robustesse aux dfaillances de causes communes par la sparation du
transducteur de llectronique permettant au capteur dtre reli directement au processus
physique avec une lectronique qui se situe dans un endroit accessible.

3. Intelligence dans les systmes instruments de scurit


Lintroduction de lintelligence dans les systmes instruments de scurit se concrtise par la
dportation dune partie de la dcision dans les instruments de terrain (capteurs et/ou
actionneurs) au moyen de lutilisation dun rseau de communication typiquement un rseau
de terrain.

3.1. Utilisation dun rseau de communication


Lorganisme international de normalisation ISO a dfini un modle de rfrence ou modle
OSI (Open System Interconnection) [ZIM 80]. Le modle OSI distingue sept couches et
dfinit leurs rles respectifs. Les couches physiques, liaison de donnes, rseau et transport
soccupent du transfert de donnes sur le rseau de communication et permettent le transfert
de donnes dune machine une autre machine. Les couches session, prsentation et
application sont plus lies au type dapplication utilise.
3.1.1. Rseau de terrain
Les rseaux de terrain reprsentent, par rapport aux rseaux de communication classiques, une
modification en terme darchitecture dans le but de diminuer les dlais de communication des
changes dinformations entre les lments du procd.
Larchitecture dun rseau de terrain est rduite aux couches essentielles de larchitecture ISO
de lOSI, cest--dire les couches application, liaison des donnes et physique.
Les principales caractristiques que doivent satisfaire les rseaux de terrain sont : temps de
transfert dtermin, contrle de flux, faible longueur des trames, capacit traiter/grer des
vnements particuliers (type de synchronisation), gnration dun trafic priodique (ou
cyclique) en plus du trafic apriodique et mise en uvre de mcanismes particuliers
permettant la vrification des contraintes temporelles moyennant un bon contrle de laccs
au mdium [BER 96].

- 86 -

Chapitre 3 : Vers une scurit intelligente

De nombreux rseaux de terrain ont t mis sur le march (Profibus, WorldFip, CAN,
Interbus-S, ) [CIA 99], ils offrent aux quipements des systmes automatiss la possibilit
de communiquer entre eux.
Derrire les bus de terrain se profile une volution vers Ethernet dans lunivers des
automatismes.
Le rseau Ethernet est spcifi par la norme IEEE 802.3 [IEE 98], cest un rseau dont le
contrle daccs au medium physique (MAC : Medium Access Control) utilise lalgorithme du
CSMA/CD (Carrier Sense Mutiple Access / Collision Detection). CSMA/CD est le moyen par
lequel deux (ou plus) stations partagent le mme support physique.
Avec larrive des commutateurs (switchs) en remplacement des concentrateurs (hubs),
Ethernet a volu vers Ethernet commut et il a commenc sintresser aux applications
temps rel.
La configuration adopte dans un rseau Ethernet commut est celle dune topologie en toile,
avec un commutateur central dont les ports sont relis un et un seul quipement.
Linterconnexion avec les autres lments est ensuite ralise en reliant les commutateurs
entre eux. Le mode Full Duplex prvu dans la norme IEEE 802.3 permet une communication
simultane entre deux stations assurant une diminution de risque de collisions lorsque le
rseau est fortement sollicit.
On appelle couramment ce type de rseau un rseau Ethernet commut Full Duplex. Ces
rseaux possdent lavantage de ne plus possder dindterminisme quant au temps daccs au
support physique, et de ne pas entraner de pertes de trames par collision.
Le rseau Ethernet commut peut tre ouvert ou ferm. Dans le premier cas, il peut tre
victime d"attaques" extrieures (virus, piratage) mais surtout peut se poser galement le
problme de la qualit de service, ou de la disponibilit du rseau (commutateur satur par
exemple).
3.1.2. Rseaux de terrain relatifs la scurit
Pendant longtemps, les architectures dautomatismes distribus, tant dans le manufacturier
que dans le secteur des procds se sont heurts un obstacle majeur : leur fonction de
scurit restait cble en fil fil.
Les rseaux de terrain relatifs la scurit offrent lindpendance de la communication lie
la scurit et de la communication standard (cas de Profisafe) mais aussi leur cohabitation
(cas de ASI-Safety at work).
Plusieurs types de rseaux relatifs la scurit sont implments dans des applications
industrielles spcialises, parmi lesquels on trouve ASI-Safety at work, Profisafe, SafetyBus
[WOO 03].
Nous allons nous intresser dcrire un rseau de terrain relatif la scurit qui est le rseau
Safetybus p bas sur le standard CanOpen.
A lorigine le CAN (Controller Area Network) a t dvelopp pour lusage automobile par
Bosch. La fiabilit et le cot taient les principaux objectifs [CIA 99].
Le rseau CAN possde des fonctionnalits Multi Matres (multi master) pour accrotre la
possibilit dassurer des temps rapides de recouvrement derreurs aprs leur dtection [PAR
99]. Sur le rseau CAN, chaque message possde un identificateur qui dtermine sa priorit.

- 87 -

Chapitre 3 : Vers une scurit intelligente

Un principe darbitrage est effectu autorisant ainsi les messages plus haute priorit tre
transmis.
La topologie utilise par CAN est le bus. Lorsque celui-ci est libre, nimporte quelle station
peut commencer transmettre une information. Lorsque deux nuds tentent daccder
simultanment au mdium, larbitrage est gagn par celui qui dispose de la haute priorit.
CANopen est un protocole qui utilise le bus CAN. Lun des objectifs de CANopen est de
supporter des systmes temps rel [PAR 99]. En effet des tches particulires sont attribues
aux diffrents intervenants impliqus (matres ou esclaves). Safetybus est bas sur CANopen.
Il est destin la mise en rseau dapplications de scurit dportes. Il ncessite lutilisation
dun ou plusieurs automates de scurit. Des modifications ont t apportes au niveau de la
couche dchange de donnes CSMD afin de rendre le protocole plus sr. Il comporte les
couches 1 et 2 suivant le modle ISO / OSI. La couche 1 est partiellement redfinie tandis que
la couche 7 subit une rvision totale. Cette nouvelle couche 7, intgrant les mesures de
scurit et le systme de gestion du rseau a t ajoute dans le SafetyBUS p. Le rseau
Safetybus dispose de nouvelles fonctionnalits de contrle de signaux intgres, des
fonctions timer pour la transmission des messages et des fonctionnalits de diagnostic
intgres, dune dcentralisation des modules entres/sorties, la connexion des capteurs et
actionneurs est assure directement par le Safetybus [SAF 05].
Grce la sparation stricte, tablie par le Safetybus p, entre la communication Fail-safe et les
tches de commande standard ainsi que la communication standard, d'importantes exigences
vont tre transfres l'utilisateur. Le but est de pouvoir modifier rgulirement les
programmes et les fonctions dans la partie Standard d'un automate. Dans la technique de
commande de scurit, au contraire, il faut essayer de garder le plus longtemps possible l'tat
enregistr [SAF 05]. Grce la sparation entre l'automate de fonctionnement et la partie
scurit, on obtient une libert rtroactive. Toute modification apporte dans la partie Failsafe doit tre documente et peut entraner une nouvelle homologation de la technique de
commande de scurit.
Profisafe [PRO 02] est la dclinaison scurit de Profibus. Lun des critres fondamentaux en
matire de dveloppement de Profisafe tait de continuer utiliser tels quels les composants
standard de communication Profibus, dont les cbles, les circuits intgrs, le protocole DP
(Decentralized Periphery) etc., de sorte que les applications de scurit puissent coexister
sans conflits avec les applications standards.
Profisafe dfinit le raccordement dquipements scurit intrinsque (arrts durgence,
barrires immatrielles). Le domaine particulier de la scurit peut ainsi bnficier des
multiples atouts dune communication ouverte sur Profibus.
Un autre rseau qui possde une extension scuritaire est le rseau AS-I. AS-I est un bus qui
travaille uniquement au niveau capteur/actionneur [CIA 99]. Le systme d'interface
Actionneur Capteur AS-i standard se compose d'un matre, d'un lment de rseau (bus) et
d'esclaves. Le matre est l'lment de liaison entre l'hte (automate programmable) et les
priphriques. Il prend en charge suivant un protocole strict le transfert des donnes et la
gestion du systme (rception des nouveaux esclaves, consultation de la configuration). La
transmission des donnes s'effectue de manire strictement cyclique (polling) selon le
principe matre-esclave.
Le concept "Safety at Work" permet de raccorder directement au bus AS-I standard des
lments de scurit. Ainsi, il est possible d'envoyer par le mme cble AS-I des donnes
d'Entres / Sorties ayant un rapport ou non avec la scurit. A cet effet, il existe un moniteur
spcifique qui gre les esclaves ddis la scurit. Les caractristiques de scurit exiges
- 88 -

Chapitre 3 : Vers une scurit intelligente

sont respectes par l'envoi de donnes supplmentaires entre les esclaves et les moniteurs de
scurit.
3.1.3. Evaluation de la sret de fonctionnement dun rseau de terrain
La prsence dun rseau de communication dans un systme dautomatisation distribu fait en
sorte quil y a interaction permanente entre le rseau et le reste des composants du systme.
Les aspects doivent alors tre pris en compte avec un soin attentif [JUA 02].
Si les rseaux de terrains semblent tre une meilleure solution pour lamlioration de la sret
de fonctionnement, ils peuvent tre aussi un obstacle en regard de nouvelles dfaillances
introduites [CAU 03]. Le choix du rseau de terrain dans une application avec une
architecture spcifique doit tre bas sur les moyens de sret de fonctionnement afin de
prdire, liminer ou tolrer les fautes identifies durant la phase de conception.
Le canal de communication est souvent modlis comme une ligne de transmission, c'est-dire un lment physique induisant un retard constant, dpendant des proprits structurelles
de la ligne. Cette description devient plus complexe lorsque le systme est command
travers un rseau de terrain utilis par de multiples utilisateurs. Dans ce cas, le retard induit ne
dpend plus seulement d'lments physiques mais aussi et surtout des algorithmes mis en
place pour la gestion du trafic sur le rseau et le codage de l'information.
Les difficults de lvaluation manent des contraintes dues au rseau telles que les
caractristiques temporelles.
Les aspects relatifs aux caractristiques temporelles se manifestent par la perte de trames ou
encore une partie de cette trame, par la corruption de ces trames, ou par lordre de leur arrive
qui peut tre diffrent de celui de leur mission.

3.2. Les tests dans les systmes instruments de scurit


Les normes et directives en matire de scurit imposent de vrifier rgulirement ltat de
fonctionnement des lments constituant la chane de scurit. Le niveau de SIL attribu un
SIS est calcul en prvoyant des tests priodiques sur les diffrents lments qui composent le
systme.
Les normes mentionnent clairement les tests en ligne et hors ligne comme une condition pour
maintenir le niveau de SIL pour les systmes de scurit.
Si toutes les dfaillances taient dtectes, il ne serait pas ncessaire de vrifier
priodiquement les lments entrant dans la composition dun SIS.
Le problme pos parfois est celui de la priodicit de ces tests et la planification des arrts
des procds pour maintenance qui deviennent de moins en moins frquents. En effet, il parat
draisonnable dinterrompre dlibrment la production dans un procd pour tester une
vanne qui ne sera peut-tre jamais sollicite. Du coup, dans certains cas, il faut parfois
attendre six ans pour avoir loccasion de tester une vanne darrt hors ligne [GRU 98].
3.2.1. La fonction test et les inspections visuelles (hors ligne)
Le diagnostic (test en ligne) et les inspections visuelles sont des moyens trs importants pour
vrifier si un SIS est capable datteindre ses fonctions de scurit et de rvler les dfaillances
qui entravent la mise en scurit du procd au moment o il y a une demande [LUN 07].
- 89 -

Chapitre 3 : Vers une scurit intelligente

Le diagnostic est un moyen de dtection en ligne des dviations, des dgradations et des
divergences et il est souvent ralis par du matriel et du logiciel ddis et implments dans
les dispositifs (par exemple, les chiens de garde).
La norme dfinit le test priodique comme un essai effectu pour rvler des dfauts non
dtects dans un systme instrument de scurit, de telle sorte que, au besoin, le systme
puisse tre restaur dans sa fonctionnalit de conception.
Les dfaillances dtectes par les tests de diagnostic sont appeles dfaillances dangereuses
dtectes [CEI 00]. Dautres mtriques sont aussi spcifies par la norme. La figure suivante
illustre la rpartition des dfaillances selon la norme.
SU

DU

SD
DU
DD
SD
SU

DD

Figure 3. 3 : Proportion de dfaillances selon un exemple illustr dans la norme [CEI 00]
DD : Taux de dfaillances dangereuses dtectes,
DU : Taux de dfaillances dangereuses non dtectes,
SD : Taux de dfaillances en scurits dtectes,
SU : Taux de dfaillances en scurit non dtectes.
La norme dfinit en outre, la proportion de dfaillances en scurit SFF (Safe Failure
Fraction):

SFF =

SD + SU + DD
SD + SU + DD + DU

Cette mtrique est un ratio de taux de dfaillances et ne dpend pas du taux total de
dfaillances. Le rsultat est un nombre entre zro et un. Il est souhaitable davoir un SFF
suffisamment important. Le SFF mesure la tendance de linstrument avoir des dfaillances
sres ou dtecter des dfaillances dangereuses.
Le test de diagnostic souvent utilis ne rvle pas toutes les dfaillances et ne teste pas la
fonction de scurit complte.
Daprs [ISA 96], les tests de diagnostic sont effectus priodiquement et automatiquement
pour dtecter les dfauts latents cachs qui empchent les SIS de rpondre une demande.
Il existe deux types de tests de diagnostics [LAM 02] :

- 90 -

Chapitre 3 : Vers une scurit intelligente


 Les diagnostics de rfrence : comparaison par rapport une valeur prdtermine
comme la mesure de la priode (watch dog), le rebouclage de toutes les sorties sur une
entre,
 Les diagnostics par rapport une oprationnelle
La norme CEI 61508 dfinit un taux de couverture de diagnostic pour les tests automatiques
de diagnostic comme le rapport de taux de dfaillances dangereuses dtectes (par un test de
diagnostic) sur le taux total des dfaillances dangereuses (dtectes et non dtectes).

DC =

DD

dangereuses

Ce taux de couverture de diagnostic reflte la qualit et ltendue des tests automatiques en


ligne. Sa grande valeur dsigne la pertinence de traitement des dfaillances dtectes par leur
dtection. Plus ce taux est important, plus grande est la confiance dans le systme instrument
de scurit du fait que les situations sres prdominent par rapport aux situations dangereuses
lors de loccurrence de dfaillances.
Les tests priodiques et les inspections visuelles sont raliss alors quil y a arrt de
production. Ils sont destins rvler les dfaillances non dtectes par les tests en ligne. Ils
sont raliss des intervalles rguliers. La dure de ces intervalles a une consquence directe
sur la probabilit de dfaillance sur demande relative la fonction de scurit excute. Les
dfaillances rvles par ce type de tests sont appeles par la norme dfaillances dangereuses
dtectes.
Dans plusieurs cas, les tests et les inspections visuelles sont excuts manuellement.
Cependant, les tests sont devenus automatiques avec les nouvelles technologies comme par
exemple le test partiel de course de vanne [SUM 00b].
Les tests et les inspections comprennent gnralement les six tches suivantes [LUN 07] :
 Lordonnancement par gestion au niveau de la maintenance. A un temps prdfini, les
tests ou les inspections sont soumis au systme,
 La prparation, lexcution et la restauration. Cette tche relate de lutilisation de la
documentation ncessaire, de lexcution de la procdure de test, la remise en place
dune faon adquate des composants affects lopration,
 Le report des dfaillances vers le systme qui gre la maintenance en mentionnant
toutes les dviations et dfaillances,
 Lanalyse des dfaillances. Lobjectif de cette tche est de comparer les performances
relatives au SIS par rapport aux performances cibles,
 Limplmentation de mesures de dfense. Il est important de prparer et implmenter
des moyens de corrections relatifs aux dfaillances enregistres,
 La validation et le perfectionnement continu. A des intervalles rguliers, il est
important de revoir les procdures utilises et faire des analyses propos de
lexcution de ces procdures en regard des objectifs relatifs aux SIS consistant
maintenir leurs performances pendant lexploitation et la maintenance.

- 91 -

Chapitre 3 : Vers une scurit intelligente

3.2.2. Lavantage des tests dans les SIS


La tendance vers lutilisation des instruments intelligents dans les applications de scurit est
motive par la capacit quoffre ce type dinstruments tre diagnostiqus en ligne mais aussi
au pouvoir de validation en regard des conditions environnantes [NOB 04] [MAC 04].
Les tests priodiques assurent la dtection des pannes caches afin de maintenir la scurit
fonctionnelle prescrite.
Limpact des tests priodiques sur la fiabilit est montr dans la figure suivante :
R(t)
1
0,99

0,9

t
Ti

0,1/

2 Ti

3 Ti

4 Ti

5 Ti

6 Ti

Figure 3.4 : Impact des tests priodiques sur la fiabilit


La figure 3.4 montre bien le rtablissement de la fiabilit du systme aprs chaque test
priodique et ainsi le niveau de SIL peut tre maintenu comme le prconise la norme. La
mtrique R(t) exprime tout simplement linverse de la probabilit de dfaillance sur demande
PFD et lon voit bien quen absence de tests priodiques, la valeur de R(t) se dgrade
nettement et sort de la bande [0,9 0,99], par consquent le SIL ne peut plus tre maintenu sa
valeur.
Les tests dans les lments finaux typiquement les vannes darrt se concrtisent partiellement
sur une partie de la course. Ces tests partiels peuvent tre pratiqus des priodes trs
rapproches afin de permettre le maintien du niveau SIL au niveau initial. Lavantage de
lutilisation dinstruments intelligents est que la commande ne provient plus de lautomate
programmable mais tout simplement de la vanne elle-mme. Les capteurs dots dintelligence
disposent aussi de moyens dautotests en ligne permettant de diagnostiquer la nature des
dfaillances avec un taux de couverture propre chaque instrument. Ils disposent aussi
dautres proprits telles que la raction au vieillissement prmatur, ladaptation l'usure
relle, la participation l'intelligence globale du systme
Lorsque les dispositifs dun systme de contrle sont distribus dans toute linstallation, il
semble raisonnable d'examiner la possibilit de distribuer la dtection associe et les tches de
diagnostic. Ces tches visent isoler les dfauts de la boucle qui affectent les performances.
[CHE 02] a utilis le diagnostic distribu en mettant en vidence une certaine similitude avec
- 92 -

Chapitre 3 : Vers une scurit intelligente

le concept de validation de [CLA 95] dcrit dans le chapitre et qui vise distribuer des tches
locales de dtection et de diagnostic des instruments (capteurs et actionneurs).
[WAN 00] introduit aussi le principe du diagnostic distribu en dcrivant la diffrence qui
peut exister entre un systme et un systme distribu. En effet, dans un systme, un
processeur central est ncessaire afin de recueillir tous les rsultats des tests et de diagnostics
sur le systme. Toutefois, dans les systmes distribus utilisant des rseaux de
communication, il n'existe pas de processeur central et tous les processeurs sont utiliss
sparment. Cette procdure permet le test et le diagnostic en ligne. Les tests peuvent tre
appliqus de manire asynchrone, c'est--dire un processeur peut toujours appliquer ses tests.

3.3. Lutilisation des instruments intelligents dans les SIS


Les performances globales obtenues en scurit dpendent de tous les constituants de la
boucle de scurit y compris les instruments de terrain. Ainsi, les fonctions de scurit sont
alloues au dispositif de traitement mais aussi aux capteurs et aux actionneurs.
3.3.1. Test partiel de la course de vanne (PVST)
Les actionneurs constituent le maillon le plus faible de la boucle de scurit [RAJ 05]. Cest
pourquoi bon nombre de fabricants et chercheurs se sont penchs sur la question afin de
proposer des solutions. Un cas particulier des actionneurs est celui des vannes utilises dans
les systmes instruments de scurit. Ces vannes sont considres comme les composants les
plus fragiles du fait quelles restent sans bouger pendant de longues priodes, et les
obturateurs auront tendance se coller.

Capteurs

Units de traitement

Actionneurs

35 %

15 %

50 %

Tableau 3.2 : Proportion de dfaillances relatives aux constituants dun SIS [AUB 04]
Une solution propose tant par les fabricants que les chercheurs consiste raliser des tests
priodiques sur une partie de course de lobturateur de la vanne ce qui est communment
appel PVST (Partial Valve Stroke Testing : Test Partiel de la Course de Vanne).
Le problme rencontr souvent dans les vannes est le blocage en fermeture ou en ouverture du
fait quil sagit de dispositifs statiques qualifis de dormants. Ces lments ne sont appels
ragir quau moment o il y a une demande suite un danger qui se prsente.
Malheureusement, du fait de la dure importante de la non raction (leur mise en repos) de ces
vannes, un certain nombre dentre elles ne rpond pas au moment opportun et elles restent
coinces dans leur position de repos.
Cest pourquoi le PVST consiste tester rgulirement les vannes sur un pourcentage de leur
course (10 20%) afin de sassurer que celles-ci ne resteront pas bloques lorsquon en aura
besoin. La vanne se trouve actionne sur une partie de sa course pour tester sa fonctionnalit

- 93 -

Chapitre 3 : Vers une scurit intelligente

sans interruption de la production. La proportion de 20 % de la course est choisie en se


rfrant au principe de Pareto (rgle des 80/20) [PAR 01], ce test 20% permet de dceler
80% des dfauts.
Le PVST a cependant des limites. Le test de course partielle ne garantit pas que la vanne
fonctionnera lorsquelle sera sollicite pour une fermeture complte. En effet, il se peut quil
y ait un blocage au niveau de la nouvelle bute et donc que la vanne ne se ferme pas
compltement mais uniquement 20% de sa course.
Llment qui dtermine la position de la vanne est le positionneur de vanne. Il est dot
dintelligence. Il est mont sur des organes de rglage et dtermine une position bien prcise
de la vanne par rapport au signal de commande (grandeur directrice labore par un
microprocesseur). Il compare le signal de commande provenant dun dispositif de rglage
avec la course de lorgane de rglage et met une pression dair.
Dautres solutions alternatives au PVST consistent utiliser une vanne de drivation (bypass)
autour des vannes darrt ou prvoir une redondance. Ces solutions sont ou coteuses ou
potentiellement dangereuses [GRU 98]. En effet, le doublement du nombre de vannes
augmente le cot de lquipement de base, mais aussi les cots de mains duvre lis aux
essais de maintenance puisque les tests priodiques portent sur un nombre plus lev de
vannes. En plus, les cots de la tuyauterie supplmentaire pour les vannes de drivation sont
importants. Le danger peut provenir dune vanne de drivation qui ne peut remplacer la vanne
darrt au moment de test de celle-ci hors ligne.
3.3.2. Capteurs intelligents constituant de SIS
Le tableau 3.2 qui dcrit la proportion des dfaillances des dispositifs constituant un systme
instrument de scurit montre bien que les dispositifs de terrain quils soient capteurs ou
actionneurs sont les plus vulnrables (avec un accroissement pour les actionneurs qui arrivent
en premier lieu).
La question qui se pose concerne la justification de lutilisation des capteurs intelligents
comme lments dentre des systmes instruments de scurit et sur leur contribution dans
la dgradation ou lamlioration des performances des SIS en matire de scurit et de
disponibilit.
[BIS 05] justifie lutilisation des capteurs intelligents dans les applications scuritaires par
trois critres :
 La justification par rapport aux exigences au sujet du comportement des systmes de
scurit,
 Lutilisation des normes et directives,
 La recherche des vulnrabilits connues du systme.
Un ensemble d'attributs tel que la prcision, le comportement sret intgre (fail-safe), le
temps de rponse, entre autres, a pu tre identifi pour un capteur intelligent. Toutes ces
qualits sont exiges daprs [JON 01] dans les systmes qui sont relatifs des applications
scuritaires. D'ailleurs, la justification dutilisation de capteurs intelligents fait partie d'une
plus grande justification de scurit pour un SIS par la satisfaction des contraintes et
lindpendance vis--vis des applications [BIS 05].

- 94 -

Chapitre 3 : Vers une scurit intelligente

Lensemble des fonctionnalits dun capteur intelligent ne peut tre utilise dans des
applications scuritaires. En effet, les capteurs intelligents doivent tre protgs en criture
afin dinterdire toute modification accidentelle distance.
La crdibilit des informations fournies par le capteur doit tre nanmoins amliore. En effet,
une seule information errone peut conduire la prise dune mauvaise dcision et mener la
dfaillance dun systme avec des consquences ventuellement dsastreuses.
Le capteur intelligent se doit de dlivrer une information valide afin de concourir
lamlioration de la scurit globale de lapplication.
[PER 04] diffrencie la prcision dun capteur intelligent avec celle dun capteur intelligent
dans une application scuritaire. En effet, certains capteurs intelligents relatifs la scurit
certifis selon la norme CEI 61508 possdent des mcanismes de rtroaction permettant de
comparer la sortie analogique avec la sortie digitale. Dautres ont plac un seuil pour le
contrle de drive pour permettre damliorer la prcision de la dtection des dfaillances
dangereuses.
Le temps de rponse de scurit est aussi diffrent daprs [PER 04] par rapport au temps de
rponse du capteur. Le temps de rponse du capteur est la dure qui spare le changement
lentre du capteur la rponse en sa sortie. Le temps de rponse de scurit est le temps de
rponse du capteur auquel il faut ajouter le temps ncessaire pour effectuer les tests.
Typiquement le temps de rponse de scurit est de 1 5 secondes.
Une rtrospective parat ncessaire pour sentir la diffrence qui peut exister pour lemploi des
capteurs dans les applications de scurit. En effet, les SIS utilisent des capteurs
conventionnels type capteurs TOR (tout ou rien) ou transmetteurs analogiques.
Les capteurs TOR se contentent de donner ltat de prsence ou dabsence de linformation.
Ce sont des capteurs qui envoient un signal binaire au moment o la grandeur physique
mesurer atteint un seuil prdfini par lutilisateur.
Pour les transmetteurs analogiques, la dtection de la mesure provoque une variation du signal
de sortie qui est transmis via une la boucle 4-20 mA. Certains transmetteurs analogiques sont
dots de communication selon le protocole HART qui est superpos la sortie analogique 420 mA.
Le systme de communication bas sur HART (Highway Adressable Remote Tranducer)
[CIA 99] nest pas un rseau de terrain et le protocole nest pas entirement numrique, il
permet la communication simultane de donnes analogiques et numriques. Son intrt est
dapporter les facilits de la communication numrique sans modifications des installations
existantes, dans la mesure o il y a compatibilit avec les instruments en 4-20 mA.
Plusieurs transmetteurs analogiques qui utilisent la boucle 4-20 mA pour la dtection des
variables des processus, emploient le niveau de courant de la boucle 4-20 mA pour signaler
des fautes internes dtectes par des diagnostics automatiques dans le transmetteur [GOB 05].

- 95 -

Chapitre 3 : Vers une scurit intelligente

3.8 mA

20.5 mA

0 mA
Indication
dfaillance

4-20 mA Fonctionnement normal

3.6 mA

Indication
dfaillance

21.5 mA

Figure 3.5 : Niveaux de courants utiliss pour lindication des dfaillances internes dans les
transmetteurs [GOB 05]

Lutilisation des capteurs TOR dans les applications de scurit pose un problme dans la
mesure o ce sont des dispositifs qui vont ragir des dpassements de seuils, et tant que ces
seuils ne sont pas franchis, les fins de course de ces capteurs TOR ne vont pas tre sollicites.
Ceci peut bien entendu mener des situations dangereuses sil y a franchissement et que le
capteur TOR est en panne et ne pourra pas indiquer sa nouvelle position.
Au contraire, les transmetteurs analogiques sont mieux adapts ces situations par rapport
aux capteurs TOR dans les applications de scurit du fait quils envoient en permanence
leurs mesures lunit de traitement de telle faon que sil y a interruption denvoi de
mesures, on sait quil y a forcment un problme au niveau de ces transmetteurs et la raction
peut tre immdiate. La nature dynamique de ces transmetteurs permet facilement de dire si
lquipement fonctionne correctement.
Le problme qui peut persister avec ces transmetteurs analogiques est celui dune part des
autotests ou de la couverture des diagnostics qui sont prconiss par la norme CEI 61508 et
galement celui de la crdibilit des mesures envoys par ces transmetteurs. On peut par
exemple recevoir sans interruption des mesures pouvant caractriser la dynamique de ces
transmetteurs mais comment quantifier le crdit que l'on peut accorder ces mesures.
A notre avis, lapport principal des instruments intelligents de terrain pour les applications
scuritaires va dans le sens de lamlioration de la mtrologie avec une prcision accrue et
une confiance alloue aux grandeurs mesures, ce qui permettra une crdibilit sur les
mesures. Dautre part, les autotests ne sont plus dirigs par lunit centrale de traitement mais
excuts localement au plus prs du procd et le compte rendu peut tre envoy par
l'utilisation de moyens de communications contemporains (rseaux de communication).
3.3.3. Le taux de dclenchement intempestif
Lautre mode de dfaillance auquel les systmes ddis la scurit peuvent tre confronts
est celui du dclenchement intempestif. Ce mode affecte plutt la disponibilit que la scurit.
Les arrts intempestifs du systme de scurit provoqus sont parfois appels fausses pannes
ou pannes sans risque [GRU 98].
La norme CEI 61508 dfinit dans sa partie 4 au paragraphe 3.6.8. la dfaillance en scurit
comme celle qui na pas la potentialit de mettre le systme relatif la scurit dans un tat
dangereux ou dans limpossibilit dexcuter sa fonction.
Une attention particulire doit tre porte sur ce type de modes de dfaillances qui ne sont pas
vritablement considres dans la norme [INA 07]. En effet, la norme ne traite que les
dfaillances dangereuses. Les formules donnes par la norme concernent uniquement ce type

- 96 -

Chapitre 3 : Vers une scurit intelligente

de dfaillances alors quun systme instrument de scurit peut subir deux modes de
dfaillances : les dfaillances dangereuses et les dfaillances en scurit.
Ce paramtre est lun des indicateurs fiabilistes des systmes ddis la scurit, il est
souvent donn sous forme de probabilit de dfaillances en scurit PFS (Probability of
Failure to Safe). Il est aussi exprim par le taux darrts intempestifs NTR (Nuisance Trip
Rate) [GRU 98] exprim en annes et il reprsente le temps moyen entre deux
dclenchements parasites.
Pour tre considre comme sre, aucune dfaillance dun composant ni aucune condition de
panne ne doit mener un tat de panne du systme.
Dans un systme ddi la scurit, les deux modes de dfaillances doivent tre pris en
compte. La PFS doit tre la plus petite possible. L aussi, daprs [GRU 98], il faut se
proccuper des transmetteurs et des vannes qui prsentent des NTR nettement moins levs
que celui dun automate programmable.
Lvaluation des systmes instruments de scurit est concerne par ces deux aspects
indissociables pour une tude relative la scurit mais mutuellement exclusifs.

3.4. Systmes Instruments de Scurit Intelligence Distribue (SISID)


Le concept de scurit intelligente favoris par lvolution grandissante des quipements
dautomatisation est matrialis par lutilisation des instruments intelligents dans les systmes
instruments de scurit (SIS) avec une distribution de lintelligence associe l'utilisation
d'un rseau de communication typiquement un rseau de terrain.
Les deux premiers chapitres de cette thse ont fait lobjet de description des systmes
dautomatisation intelligence distribue (SAID) composs essentiellement dinstruments
intelligents autour dun rseau de terrain et des systmes instruments de scurit. Les SAID
ne sont pas spcifiques aux applications scuritaires conformes aux normes internationales de
scurit rcentes CEI 61508 et CEI 61511. Leur utilisation dans les boucles de scurit a pour
objectif de tirer profit de leurs avantages exprims dans les applications non relatives la
scurit notamment en contrle/commande des systmes.
Les deux tableaux 3.3 et 3.4 mettent en vidence les correspondances des caractristiques
propres chacun des deux types de systmes (SAID et SIS), ainsi que les aspects relatifs la
sret de fonctionnement.
Les caractristiques dun SISID sont une forme dintersection entre celles des SAID et celles
des SIS. Lessentiel est quelles respectent les exigences des normes en terme darchitectures
et en terme de fonctions.
Laspect relatif la sret de fonctionnement doit tre conforme aux normes de scurit dans
la mesure o la dtermination des performances doit tre relative aux mtriques exprimes
dans les normes.

- 97 -

Chapitre 3 : Vers une scurit intelligente

Systme

Systme dAutomatisation
Intelligence Distribue (SAID)

Mission

Contrle/Commande
industriels

Architecture
fonctionnelle

Les fonctionnalits [MKH 07][MEK


06][REV 05] gnriques des instruments
intelligents se rsument comme suit :

Architecture
matrielle

Architecture
oprationnelle

des

processus

Mise en tat de scurit des processus

Larchitecture fonctionnelle dun systme


instrument de scurit [LUN 06] qui est
compose dun ensemble de fonctions
instrumentes de scurit est constitue de
trois fonctionnalits de base :


la dtection (ou la mesure),

la configuration est interdite


larchitecture dun SIS est fige,

la dcision

lactionnement

lactionnement

la communication

la communication nest pas


rellement prise en compte dans
la norme (seulement quelques
recommandations)

lacquisition (mesure et
conditionnement)

la configuration (paramtrage et
rglage)

la validation (traitement et prise


de dcision)




Les constituants des SAID sont [CON 99]


[VYA 03] :


plusieurs units de traitement

des composants intelligents

Un rseau de communication tel


quun rseau de terrain

Projection de larchitecture fonctionnelle


sur larchitecture matrielle par allocation
de fonctions lmentaires avec respects de
contraintes relatives aux capacits des
composants. Un exemple est celui dune
optimisation darchitectures base sur les
critres
de
cot
et
sret
de
fonctionnement [CON 99].


Systme Instrument de Scurit


(SIS)

Possibilit de
dynamique

reconfiguration

Les SIS se composent [CEI 03] [ISA96] :

dunits logiques

de capteurs et dlments
terminaux

Implantation dune ou de plusieurs SIF


(Fonction instrumente de scurit) sur
larchitecture matrielle qui est un
ensemble interconnect de composants
pour satisfaire les exigences dun SIL
(niveau dintgrit de scurit) selon les
normes CEI 61508 et CEI 61511.

Problme
dactivation/dsactivation selon
les besoins de mode de scurit
(batch)

Tableau 3.3 : Diffrentes caractristiques des SAID et des SIS

- 98 -

Chapitre 3 : Vers une scurit intelligente

Globalement, nous pouvons dire que les systmes dautomatisation intelligence distribue
disposant dinstruments intelligents offrent pour des applications scuritaires lavantage de
pouvoir amliorer la qualit des mesures avec des diagnostics internes. [MAC 04] relate que
les auto-tests dans les instruments intelligents permettent daccrotre la fraction des
dfaillances sres des ces dispositifs. Le pouvoir de validation en regard des conditions
environnantes peut aussi tre exploit afin damliorer les performances en scurit des
systmes instruments de scurit. Les inconvnients de lutilisation des SAID qui peuvent
altrer les systmes de scurit se rapportent aux risques engendrs par des systmes microprogramms tels que le potentiel des erreurs systmatiques dans les logiciels et aux problmes
dus la configuration (un utilisateur peut changer des paramtres internes des instruments, ce
qui peut nuire la scurit).
En se conformant la norme CEI 61508, il est possible dutiliser les instruments intelligents
dans les applications de scurit condition de sen tenir aux exigences et recommandations
de cette norme (tolrance aux anomalies). Les instruments utilisant de llectronique
programmable doivent tre fabriqus avec des procdures qui respectent la norme tant pour le
matriel que pour le logiciel.

- 99 -

Chapitre 3 : Vers une scurit intelligente

Systme

Systme dAutomatisation
Intelligence Distribue (SAID)









Architecture distribue base de


beaucoup de systmes industriels
[CAM 99],
Rapidit de traitement, grande
flexibilit [LAF 93] [DAI 03],
Rduction du cot et du cblage,
Simplification de la maintenance
[LEE 01],
Structuration hybride [RIE 02],
Reconfigurations offrant un
caractre dynamique [BAR 03],
Coopration des composants,
systmes rpartis autour dun
rseau de communication,
Contrle/Commande des
processus industriels

Caractristiques
et aspects
relatifs la
sret de
fonctionnement
Pour ce type de systmes, on dtermine
souvent la fiabilit, la disponibilit, la
maintenabilit par des mtriques telles
que : R(t), A(t), M(t), MTTF, MTTR, MUT
qui dsignent respectivement la fiabilit, la
disponibilit, la maintenabilit, dure
moyenne jusqu dfaillance, la dure
moyenne des temps de rparation et la
dure moyenne de bon fonctionnement
aprs rparation [PAG 80][VIL88].
R(t) = P[entit non dfaillante sur [0,t] ]
A(t) = P[entit non dfaillante linstant t]
M(t) = 1-P[entit non rpare sur [0,t] ]

MTTF = R(t )dt [PAG 80]


0

Systme Instrument de Scurit


(SIS)








Systmes statiques (dormants)


[GOB 05],
Systmes centraliss,

Moyens
de
protection
du
personnel ou de lenvironnement
[CEI 03] [CEI 00], application
de nombreuses industries de
processus,
Surveillance
des
procds [KNE 02], Partie des
couches de protection pour les
industries de transformation [WIE
02],
Les deux indicateurs proposs par la norme
sont la PFD et la PFS respectivement la
probabilit de dfaillance dangereuse et la
probabilit de dfaillance en scurit. ils
concernent toutes les deux la scurit.
PFD(t) = 1-R(t)-PFS(t) [GOB 98]
PFD(t) = 1-A(t) [SMI 04]
PFDavg=1/RRF [SUM98]
RFF : Facteur de rduction de risque,
PFDavg :
Probabilit
moyenne
de
dfaillance dangereuse.
La
norme
[CEI00]
donne
une
quantification rendue possible par la
connaissance du taux de dfaillance (), du
taux de couverture de chaque composant,
ainsi que de l'architecture du systme.
T

MTTR = [1 M (t )] dt
0

Evaluation de la
sret de
fonctionnement

Pas de spcification sur la


distribution de larchitecture dans
la norme,
Traitement au niveau du systme
logique,

Il existe des mthodes diverses pour


lvaluation de la Sdf de ce type de
systmes :
 approche dynamique [BAR 03]
 approche statique [CON 99]

PFDavg

1
= PFD(t )dt [ISA96]
T 0

La norme propose un certain nombre


dquations mathmatiques pour la
dtermination de la PFDavg=1/RRF
[SUM98]. Lvaluation est faite avec la
technique des blocs diagrammes de
fiabilit. Dautres techniques sont aussi
rpandues
telle
que
lapproche
markovienne [GOB 98][ZHA03].

Tableau 3.4 : Aspects relatifs la sret de fonctionnement des SAID et des SIS

- 100 -

Chapitre 3 : Vers une scurit intelligente

4. Mthodologie dvaluation des systmes instruments de


scurit intelligence distribue
4.1. Modlisation fonctionnelle et dysfonctionnelle
La modlisation de systmes en vue dune analyse de sret de fonctionnement doit
comprendre tant la modlisation fonctionnelle que la modlisation dysfonctionnelle. La
modlisation fonctionnelle est subordonne une analyse fonctionnelle du systme qui utilise
ces fonctions ainsi que leur organisation hirarchique tandis que la modlisation
dysfonctionnelle se rapporte gnralement aux aspects de la sret de fonctionnement des
systmes, celle-ci (Annexe 1) tant souvent dfinie comme tant la science des dfaillances.
La modlisation fonctionnelle et dysfonctionnelle a pour objectif lvaluation des
performances en fonctionnement normal et en fonctionnement anormal.
A l'issue des travaux prcdents [MKH 06a] [MKH 06b], la modlisation et lanalyse de la
sret de fonctionnement dinstruments intelligents ont t labores avec un objectif
damliorer les comprhensions du modle de SAID. Les techniques de modlisation
statiques permettent une validation du modle sans tenir compte des aspects temporels. Les
performances globales pour lvaluation de ce type de systmes pour des applications
relatives la scurit doivent tre dtermines avec une approche dynamique de modlisation
tenant compte entre autres du caractre hybride de ce type de systmes. En effet, les systmes
automatiss intelligence distribue (SAID) sont des systmes hybrides disposant dune
dynamique continue et dune dynamique discrte lie la commande numrique et
lexistence dvnements discrets (dfaillances, dpassements de seuils). Un systme hybride
est un systme qui ncessite dans sa description la prise en compte de sa dynamique continue
et de sa dynamique discrte. La dynamique continue est reprsente par des variables
continues, la dynamique discrte reprsente les changements dtats dus loccurrence
dvnements. Ces deux aspects rendent la modlisation hybride indispensable [MED 06].
Les mthodes les plus adaptes la modlisation et lanalyse des systmes dynamiques
hybrides sont les modles tats transitions tels que les graphes dtats (les graphes de Markov
et les automates) et les approches bases sur les rseaux de Petri [GRI 03] [SCH 04] [VIL 06].
Les mthodes de modlisation peuvent tre classes selon deux aspects : laspect
dysfonctionnel qui permet de dcrire les dfaillances et les rparations ainsi que le
comportement du systme en prsence de dysfonctionnements, laspect fonctionnel qui
sintresse au comportement des systmes.
La sparation entre ces deux aspects est la plus grande cause de linefficacit des mthodes
classiques de sret de fonctionnement concernant la fiabilit dynamique. Ces deux aspects
doivent tre intgrs dans un mme modle de fiabilit en respectant leur interaction [MKH
08b] [MED 06] [SCH 04].
4.1.1. Modlisation de laspect fonctionnel
Les automates font partie des moyens de modlisation des systmes vnements discrets et
sont lun des formalismes tats-transitions utiliss pour la description de ces systmes.
Le point faible de ce formalisme est lexplosion combinatoire du nombre dtats du graphe.
Pour viter ce problme, dans le cas de la modlisation des systmes complexes pouvant tre
dcoups en sous-systmes, il est possible de construire un modle dautomate pour chacun
deux et de les composer ensuite pour laborer lautomate correspondant au systme global.

- 101 -

Chapitre 3 : Vers une scurit intelligente

Un autre formalisme trs utilis dans la modlisation fonctionnelle des systmes vnements
discrets et dans les tudes de sret de fonctionnement des systmes dynamiques est celui des
rseaux de Petri (Annexe 2). Ils sont caractriss par une volution asynchrone dans laquelle
les transitions des composantes parallles sont franchies les unes aprs les autres, et par une
reprsentation explicite des synchronisations. Plusieurs extensions des rseaux de Petri ont t
labores pour rpondre la modlisation des problmes spcifiques. Lun des points forts
des rseaux de Petri par rapport aux autres formalismes repose sur des fondements thoriques
qui leur permettent de vrifier les proprits gnrales dun modle (vivant, sans blocage ou
born, etc.,) ainsi que laccessibilit de certains marquages.
4.1.2. Modlisation de laspect dysfonctionnel
La mthode des graphes de Markov est utilise pour analyser et valuer la sret de
fonctionnement des systmes rparables. La construction dun graphe de Markov consiste
identifier les diffrents tats du systme (dfaillants ou non dfaillants) et chercher comment
passer dun tat un autre lors d'un dysfonctionnement ou dune rparation.
Les graphes de Markov souffrent de lexplosion du nombre des tats [MED 06], car le
processus de modlisation implique lnumration de tous les tats possibles et de toutes les
transitions entre ces tats. Lutilisation des rseaux de Petri stochastiques savre une
alternative pour surmonter ce problme.
Les rseaux de Petri stochastiques [DAV 97] sont obtenus par lassociation de dures de
franchissement alatoires aux transitions. Une extension nomme "rseaux de Petri
stochastiques gnraliss" existe permettant ainsi de prendre en compte les transitions
immdiates sans dlai.
4.1.3. Modlisation fonctionnelle et dysfonctionnelle travers le langage Altarica
Le langage Altarica [GRI 98] a t cre par le Laboratoire Bordelais de Recherche
Informatique (LaBRI) ; il permet de dcrire la fois le comportement dun systme dans le
cas nominal et en prsence de dfaillances. Cest un langage formel simple, la fois
hirarchique et compositionnel. Sa smantique et sa syntaxe clairement dfinies lui permettent
dtre coupl diffrents outils de fiabilit et de validation comme Aralia [VIN 04], MocaRP
ou encore de model-checking.
Le dveloppement de modles Altarica est support par Cecilia OCAS (Outil de Conception
et dAnalyse Systme) workshop de Dassault Aviation qui fournit un diteur graphique de
modles et un gestionnaire de composants. De plus, cet outil intgre des fonctions de
simulation interactive et de gnration darbre de dfaillance.
AltaRica est fond sur la notion d'automate contraintes. Chaque composant du systme est
appel nud (node). Un nud possde un nom, des variables de deux types, celles d'tat,
internes et non visibles de l'extrieur, et celles de flux qui reprsentent l'interface du
composant avec son environnement. Les valeurs que prennent ces variables expriment leur
tat de fonctionnement. Des transitions de la forme [garde, vnement, mise jour] dcrivent
les changements d'tats sous l'effet d'vnements, suivant certaines conditions, et avec des
consquences sur la valeur des variables d'tat.

- 102 -

Chapitre 3 : Vers une scurit intelligente

Composant

Etat=
Nominal

Flux Entre

Transition :
Evt_Rep/[con
dition]

Assertion:
Sortie = true

Transition :
Evt_Def/[cond
ition]

Etat=
panne

Flux Sortie

Assertion:
Sortie = false

Figure 3.6 : Reprsentation dun composant sous forme dun automate

Les flux de sortie sont valus en fonction de ltat actuel, et ventuellement en fonction des
flux dentre par des assertions.
Les transitions dfinissent le passage dun tat un autre. Une transition est franchie sur
occurrence dun vnement et ventuellement en fonction de conditions portant sur les
valeurs des flux dentre.
Ces concepts sont illustrs par lexemple suivant. Le composant mesure_p a une variable
dentre nomme m_p qui indique la prsence dune grandeur lentre du composant et une
variable de sortie m1 qui indique la prsence dune mesure en sortie. La variable tat indique
ltat du composant, sa valeur est gale nominal lorsquaucune dfaillance ne sest
produite et hs lorsque le composant ne peut plus transmettre de mesure. Lvnement
panne dcrit une dfaillance qui fait passer le composant dans ltat hs. La transition
associe cet vnement ne peut se dclencher que si le composant est dans ltat nominal.
Lassertion signifie que la valeur de la mesure en sortie est gale la valeur de la grandeur en
entre si le composant est dans ltat nominal et sinon il ny a pas de mesure en sortie.

- 103 -

Chapitre 3 : Vers une scurit intelligente

node mesure_p
state
etat :{nominal,hs} ;
flow
m_p : bool : in ;
m1 : bool : out;
event
panne;
trans
etat=nominal|-panne->etat:=hs;
assert
if
(etat=nominal)&
m1=
true
else m_p=false;
init
etat:=nominal;
edon

then

m_p=true

Figure 3.7 : Description de modlisation en code Altarica


Dans un modle de systme, les instances de nud Altarica sont interconnectes par des
assertions qui relient les flux dentre dun composant avec les flux de sortie dautres
composants.
Le langage Altarica permet de dcrire les comportements fonctionnel/dysfonctionnel de
composants dans un formalisme tats/transitions. Il offre la possibilit de dcrire
formellement des comportements [MKH 07]. Sa faiblesse est quil nintgre pas la notion de
temps et la description de comportements dynamiques.

4.2. Analyse fonctionnelle et dysfonctionnelle


4.2.1. Analyse fonctionnelle
Une analyse fonctionnelle, en gnral, prcde une tude de sret de fonctionnement. Une
premire analyse fonctionnelle permet de dfinir avec prcision les limites matrielles du
systme tudi, les diffrentes fonctions et oprations ralises par le systme ainsi que les
diverses configurations dexploitation. Lanalyse fonctionnelle interne permet de raliser une
dcomposition arborescente et hirarchique du systme en lments matriels et/ou
fonctionnels. Elle dcrit galement des fonctions dans le systme.
4.2.1.1. La simulation
La simulation est une solution pour mener une vrification formelle des systmes. Cette
approche a pour avantage de pouvoir traiter des systmes hybrides incorporant les aspects
discrets et continus. Les performances temporelles de systmes modliss peuvent tre
mesures. Cette approche ne garantit pas labsence derreurs dans le modle tabli et ne
permet pas de considrer toutes les volutions.

- 104 -

Chapitre 3 : Vers une scurit intelligente

4.2.1.2. Le Model Checking


La vrification de modle ou le "model checking" [SCH 99] est une technique de vrification
formelle qui est dveloppe afin de permettre une vrification automatique et exhaustive de
systmes. Elle sapplique une large classe de systmes : protocoles de communication,
rseaux tlphoniques, industrie manufacturire, systmes embarqus, etc.
Cette technique est base sur une description du systme sous forme dun automate. La
gnration consiste gnrer des tats possibles, dexaminer tous ces tats, et didentifier
ceux qui sont en contradiction avec la proprit vrifie.
La modlisation du systme est base sur des formalismes tats/transitions (rseaux de Petri,
Altarica), et les proprits sont exprimes laide de formules de logique temporelle
(LTL).
4.2.2. Analyse dysfonctionnelle
Les tudes de scurit des systmes sont souvent bases sur une analyse qualitative ayant pour
objectif la dtermination des scnarios aboutissant loccurrence de ltat redout, suivie
dune analyse quantitative pour estimer la probabilit de leur apparition.
4.2.2.1. Limites des mthodes classiques
Les mthodes classiques de la sret de fonctionnement, comme celles prsentes dans
lannexe 1 sont statiques. Ces mthodes bases sur la logique boolenne pour reprsenter le
systme tudi sont adaptes des systmes configuration statique, cest--dire des
systmes dont les relations fonctionnelles entre leurs composants restent figes.
Dans le cadre de nos travaux, la prise en compte daspects dynamiques dans les systmes est
essentielle. Cet aspect nest pas pris en compte par les mthodes classiques de sret de
fonctionnement ce qui les rend inappropries pour ce type de systmes. Par exemple la
mthode des Arbres de Dfaillance ne tient pas compte de lordre dapparition des
vnements dans un scnario. En effet, une squence dvnements peut conduire un
vnement redout alors que les mmes vnements se produisant dans un ordre diffrent ou
des dates diffrentes peuvent lviter. Le temps sparant deux vnements nest pas pris en
compte dans la mthode des Arbres de Dfaillance, les reconfigurations ne peuvent donc pas
tre reprsentes. Les dfaillances temporaires ne sont pas non plus prises en compte.
Plusieurs extensions des mthodes classiques ont t proposes afin dlargir leurs champ
dapplication.
A titre dexemple, le caractre intermittent des dfaillances relatives un rseau de
communication les rendent difficilement modlisables par ce type de mthodes. En effet, il
nest pas facile dintgrer la dfaillance de transmission dun rseau dans une tude
[BAR 03]. Lautre problme rside dans le fait que les dfaillances du rseau ne se produisent
pas de la mme faon et un vnement peut tre fatal dans un scnario et ne le pas ltre
pendant un autre scnario.
Ces mthodes restent combinatoires et incapables de prendre en compte les changements
dtats et les reconfigurations dans les scnarios redouts.

- 105 -

Chapitre 3 : Vers une scurit intelligente

4.2.2.2 Simulation de Monte Carlo


La simulation de Monte Carlo est une mthode numrique base sur le tirage de nombres
alatoire [KER 02]. Elle permet destimer lesprance mathmatique dune variable alatoire
qui est une fonction de plusieurs paramtres. Elle permet galement destimer toute quantit,
dterministe ou stochastique, dont la valeur a pu tre associe lesprance mathmatique
dune variable alatoire qui nest pas directement lie la physique du problme tudi. Le
principe consiste tudier lvolution dun systme en simulant un modle gnrique
reprsentant le comportement du systme au cours dun scnario (ou histoire).
La quantification de la grandeur recherche (fiabilit ou probabilit dapparition dun
vnement redout) est base sur ltude dun certain nombre de scnarios diffrents,
permettant dextraire des rsultats statistiques.
Lavantage de ce type dapproche est linsensibilit par rapport la complexit et la taille des
systmes modliss [SCH 04].
Le temps de calcul reste un inconvnient pour cette mthode. En effet, dans le cas de modles
rgis par des vnements rares (cas typique des applications scuritaires), la dure dune
histoire peut tre excessivement longue et de plus un nombre non ngligeable dhistoires est
demand pour voir apparatre lvnement redout. De nombreuses techniques dacclration
de la simulation permettent de rduire ces temps de calcul. Elles sont bases sur la diminution
de la complexit du modle ou par la rduction du nombre de scnarios simuler favorisant
ainsi lapparition des vnements rares [GAR 98].

4.3. Description de la mthodologie


La mthodologie utilise pour ltude des systmes instruments de scurit intelligence
distribue (SISID) repose sur la structuration et la modlisation de ces systmes afin den
faire la vrification et lanalyse au moyen de rseaux de Petri stochastiques pour exploiter les
modles.
La mthodologie sappuie sur une structuration hirarchique et modulaire. Elle permet
dobtenir une architecture dtaille en termes de sous-systmes de base et de leurs interactions
partir de la vue systmique. Cette structuration sapplique la fois aux fonctionnalits de
mesure, de traitement, dactionnement et aux mcanismes de communication.
Les Rseau de Petri stochastiques prsentent galement l'intrt d'tre connu des spcialistes
de la sret de fonctionnement et de pouvoir par consquent servir non seulement pour
modliser laspect fonctionnel mais galement pour valuer les performances de la sret de
fonctionnement, ces raisons ont guid notre choix. Les capteurs et actionneurs (intelligents ou
non), les units de traitement et autres fonctions, les moyens de communication, le processus
lui-mme peuvent tre formaliss de la sorte, avec un point de vue la fois continu et discret,
en fonction des ncessits.
Les rseaux de Petri stochastiques assurent aussi le pouvoir de synchronisation et de
paralllisme. Ce qui rejoint les caractristiques de systmes comportant un rseau de
communication. Pour la reprsentation formelle du comportement de ceux-ci, il doit y avoir
un pouvoir dexpression relatif aux aspects de paralllisme et de synchronisation en plus du
pouvoir danalyses qualitative et quantitative [JUA 95]. Les dpendances stochastiques qui
peuvent rsulter des communications entre les diffrents composants du systme sont aussi
prises en compte par les rseaux de Petri stochastiques puisquils y sont bien adapts par la
construction de modles dvaluation de la sret de fonctionnement [MAL 94].

- 106 -

Chapitre 3 : Vers une scurit intelligente

La modlisation est traite sous la forme dune approche stochastique utilisant les SAN
(Stochastic Activity Network). Les SAN sont un formalisme de modlisation puissant et sont
une extension des rseaux de Petri stochastiques [MOV 84]. Le haut niveau de constructions
de modles est offert par les portes d'entre et les portes de sortie qui permettent des
commandes spcifiques dans l'excution du rseau et permettent aussi des constructions
hirarchiques pour le modle. Les modles composs sont bass sur des sous-modles plus
simples qui peuvent tre dvelopps indpendamment et joints d'autres sous-modles.
Loutil utilis pour les SAN est Mbius [DEA 02].
Dans cette mthodologie, paralllement aux modles fonctionnels, les modles
dysfonctionnels sont dvelopps en mme temps en exprimant les diffrents modes de
dfaillances relatifs aux diffrents composants. Ainsi, les modles fonctionnels et
dysfonctionnels seront intgrs dans un seul modle.
La jonction des diffrents composants permet la construction de tous les sous-modles et
constitue ltape ultime de la modlisation.
Ltape suivante consiste spcifier les critres dvaluation de la sret de fonctionnement.
Les performances de scurit ou de disponibilit s'expriment par la probabilit de se trouver
dans un tat dangereux (PFD) ou dans un tat de repli intempestif (PFS). Cette quantification
est rendue possible par la connaissance du taux de dfaillance, du taux de couverture de
chaque composant, ainsi que de l'architecture du systme.
Les modles sont ensuite analyss par simulation de Monte Carlo.
Pour lvaluation des paramtres de sret de fonctionnement choisis, nous poserons les
hypothses de calcul suivantes
 toutes les liaisons (hors rseau de communication) sont supposes prsenter une sret
infinie (probabilit de dfaillance nulle),
 les taux de dfaillance des lments constitutifs des boucles sont supposs constants
et connus (on tudiera le systme dans sa phase de maturit), les lois de probabilits
sont exponentielles,
 lintervalle de test de la boucle est choisi de sorte que le SIL reste constant sur toute la
dure de vie,
 la corrlation entre les modules des sous-systmes est suppose nulle (pas de
dfaillance de cause commune). Cette hypothse reprsente une restriction car il existe
toujours des conditions qui peuvent provoquer la dfaillance simultane de plusieurs
composants,
 une dfaillance dangereuse se traduit par une absence de raction du systme
instrument de scurit intelligence distribue,
 une dfaillance sre se traduit par la mise dans une position de repli du SISID ou par
une excution intempestive de la fonction de scurit.

5. Modles de base des constituants des SISID


Lapproche que nous proposons consiste laborer un modle de base en rseaux de Petri sur
lequel sappuiera lanalyse quantitative qui permettra de dterminer les performances en
terme de scurit des systmes instruments de scurit intelligence distribue (SISID). Le
modle est compos dune partie fonctionnelle spcifiant le comportement du systme et

- 107 -

Chapitre 3 : Vers une scurit intelligente

dune partie dysfonctionnelle dans laquelle est reprsente loccurrence de dfaillances qui
peuvent affecter le systme et le mettre en tat de panne.
Larchitecture fonctionnelle est indpendante de larchitecture matrielle. Les composants de
larchitecture matrielle susceptibles de tomber en panne sont le capteur, lautomate et
lactionneur.
Linteraction entre la partie fonctionnelle et la partie dysfonctionnelle est ensuite incorpore
pour traduire le comportement global du systme en prsence de dfaillances.
Le formalisme des rseaux de Petri se prte bien la modlisation comportementale de ce
type de systme. Ce formalisme offre la possibilit dintgrer les dfaillances, support dune
analyse quantitative.

5.1. Modle dun capteur dfaillant


Dans le modle dun capteur dfaillant base de rseau de Petri stochastique, le changement
dtat dun tat de fonctionnement normal un tat de panne est assujetti au franchissement
dune transition stochastique. Par hypothse, des distributions de loi exponentielle sont
associes aux transitions stochastiques.
Linteraction entre le modle fonctionnel et le modle dysfonctionnel est rgie par des
transitions immdiates ().
Un modle de capteur dfaillant est prsent en figure 3.8. Dans ce modle, la place P1
reprsente lopration effectue par le capteur (mesure par exemple). Ltat du capteur est
reprsent par les places OK et KO reprsentant respectivement ltat de marche et ltat de
panne. La partie fonctionnelle est dcrite par les places P1, P2 et la transition T1. Les actions
et oprations qui y sont associes sont relatives aux spcificits du capteur.
La place D reprsente un danger potentiel, cette place est marque sil y a occurrence de la
dfaillance par franchissement de la transition stochastique. A ce moment, on retire le jeton de
la partie fonctionnelle et le marquage simultan des places OK et P1 permet le franchissement
de la transition immdiate et le capteur se trouve dans un tat de dysfonctionnement.
Sur cet exemple simple, ltude de performances concernant la sret de fonctionnement
consiste en une mesure quantitative de la probabilit dtre un instant t dans la place D
[SCH 04].

- 108 -

Chapitre 3 : Vers une scurit intelligente

OK

P1

T1
KO
P2

Figure 3.8 : Modle dun capteur dfaillant

5.2. Modlisation du systme complet


Le modle complet est trait dans un premier temps sans redondance et sans introduction
dintelligence dans les dispositifs de terrain qui sont le capteur et lactionneur.
Dans ce modle, deux parties sont bien distingues : la partie fonctionnelle et la partie
dysfonctionnelle. Le rseau de Petri compos des places P1, P2, P3, P4, P5, P6 et P7 modlise
larchitecture fonctionnelle de lautomate. A ces places, sont associes des actions ou
oprations non dcrites ici. Des vnements sont associs aux transitions T1, T2, T3, T4, T5,
T6 et T7 dont les franchissements permettent la fonction de passer dune opration une
autre.
La place OK reprsente ltat de marche de lautomate. Le franchissement de la transition T8
traduit loccurrence dune dfaillance non dtecte. Cette transition est associe un taux de
dfaillance aut relatif lautomate. Le marquage de la place P5 (autotest de lautomate)
valide la transition immdiate et les dfaillances se partagent en dfaillances dtectes par le
test de diagnostic ou non dtectes et ceci suivant un taux de couverture de diagnostic CD. Le
marquage de la place P9 est synonyme de la situation de lautomate dans un tat sr quil peut
quitter aprs restauration laquelle on attribue une dure dterministe appele dure de
restauration.

- 109 -

Chapitre 3 : Vers une scurit intelligente

Modlisation dysfonctionnelle

Modlisation fonctionnelle

OK

P1
aut

T8

T1
T14

P7

DND

P2

T9
T2

T3

T4
P8

P3

P4

P5
CDCD

T5

T6

1-CD

T7
P10
P9

P11

Danger

Figure 3.9 : Modlisation fonctionnelle/dysfonctionnelle de lautomate

Sur une dfaillance de lautomate, la marque du rseau de Petri relatif la partie fonctionnelle
est rcupre afin de bloquer son volution et un jeton est mis dans la place P11 (Danger)
pour traduire un tat de panne de lautomate. Le jeton doit tre retirer de la partie
fonctionnelle l o il se trouve si la place P10 est marque. Un mcanisme de rcupration de
jeton est effectu sur toutes les places de la partie fonctionnelle.
Dans la figure 3.9, la partie fonctionnelle est dcrite par lensemble des places et des
transitions allant de P1 P7 respectivement de T1 T7. La prsence du jeton dans la partie
gauche reflte le bon fonctionnement de lautomate et tout dysfonctionnement entrane
systmatiquement un marquage nul dans toutes les places de cette partie. Cycliquement,
lautomate ralise ses propres autotests ainsi que des autotests du capteur et de lactionneur.
La prsence dun jeton dans les places P3, P4 ou P5 autorise lautotest de lun des dispositifs
prcits selon une politique de test gre par lautomate lui mme.
La politique de test est dcrite par le rseau de la figure 3.10. Dans cette figure, trois places Tc
(test capteur), Tv (test actionneur) et Ta (test automate) sont ajoutes au modle fonctionnel.
La prsence dun jeton dans lune de ces places traduit lentit qui subit le test de diagnostic
de la part de lautomate qui dispose dune gestion centralise des autotests des diffrents
dispositifs avec des taux de couverture de diagnostic propres chaque dispositif.
Dans cet exemple, le jeton se trouve initialement dans la place Tc relative au test du capteur.
Ensuite le jeton est rcupr par la place P1 et se trouve de nouveau dans la place P2 aprs

- 110 -

Chapitre 3 : Vers une scurit intelligente

franchissement de la transition dterministe T1 (Temporisation) et rcupr par la place Tv


(test actionneur). Aprs franchissement de la transition T3, cette fois-ci, cest la place Ta (test
automate) qui rcupre le jeton et cycliquement et suivant les priodes synchronises par la
temporisation, tous les dispositifs peuvent tre tests et le cycle peut recommencer nouveau.

P1

T1
Tc

Tv

Ta

P2

T2

T3

P3

P4

T5

T4

P5

T6

T7

Figure 3.10 : Politique de test de lautomate

Les modles du capteur et de lactionneur sont identiques. Les transitions stochastiques


traduisent loccurrence de dfaillances dans le cas o elles sont franchies.
Le modle du capteur est donn dans la figure 3.11.
La place Tc attend un ordre de test qui provient de lautomate, le capteur dans ltat de
marche OK passe dans ltat de dfaillances non dtectes DND et suite la prsence de jeton
dans la place Tc qui est une place partage avec le modle de lautomate, les dfaillances
seront non dtectes ou rvles avec un taux de couverture de diagnostic DC compris entre 0
et 100%. Une restauration du systme est possible lorsque la place Sur est marque refltant
ainsi le mode de dfaillances sres du capteur. Ceci avec une dure de restauration SD.

- 111 -

Chapitre 3 : Vers une scurit intelligente

Tc

OK
cap

DND
SD

P1

CD

Sur

1-CD

Danger

Figure 3.11 : Modle du capteur.

5.3. Prise en compte de la redondance de quelques dispositifs


Dans ce modle, la redondance de dispositifs de terrain (capteurs et actionneurs) est ralise
des fins de tolrance aux fautes et pour lamlioration des indicateurs de performances de la
sret de fonctionnement.
Il sagit dutiliser une redondance matrielle active de type 1oo2. Les deux capteurs
fonctionnent simultanment et la dfaillance de lun mne vers un tat dgrad. Les deux
actionneurs aussi sont tous les deux prts tre actionns et toute dfaillance de lun
nentrane pas forcment la dfaillance du systme. Bien entendu, il sagit de dfaillances
dangereuses, par contre toute dfaillance sre entrane forcment larrt du systme.
La figure 3.12 illustre le modle dun capteur avec une redondance active 1oo2 :

- 112 -

Chapitre 3 : Vers une scurit intelligente

Tc1

Tc2

OK

OK

cap

cap

DND

DND

SD

SD

P1

P1

CD

1-CD

Sur

CD

1-CD

Sur

Danger

Sur

Figure 3.12 : Capteur avec redondance active 1oo2

Il faut noter que les places Tc1 et Tc2 ne sont pas identiques. En effet, le modle fonctionnel
de lautomate va subir quelques changements afin de prendre en compte les autotests du
second capteur et du second actionneur.

5.4. Modle dun instrument intelligent


Dans ce modle, contrairement au modle classique, les autotests sont grs localement et les
diffrentes fonctionnalits sont traites. Le modle comprend une partie fonctionnelle et une
partie dysfonctionnelle. La partie fonctionnelle dcrit les oprations effectues par
linstrument lorsquil est dans un tat normal tandis que la partie dysfonctionnelle construite
laide de rseaux de Petri stochastiques reprsente des dfaillances et permet deffectuer les
mesures de performance relatives la sret de fonctionnement.

- 113 -

Chapitre 3 : Vers une scurit intelligente

Modlisation dysfonctionnelle

Modlisation fonctionnelle

OK

P1
cap

T1
T14

P7

DND

P2
T2

T10
T4

T5

T3
P3

P4

P8
P5

P6
CDCD

T7
T8

1-CD

T9
P10

T6
P9

P11

Danger

Figure 3.13 : Modle dun instrument intelligent

La partie fonctionnelle reprsente lensemble des fonctionnalits de larchitecture


fonctionnelle dun instrument intelligent lexception de la configuration. En effet, celle-ci ne
peut tre autorise dans un contexte scuritaire [MAC 04] puisque les informations qui
concernent les paramtres et les rglages sont figes.
Les transitions de la partie fonctionnelle ne sont pas stochastiques puisque lvolution est lie
des phnomnes dterministes. La dynamique de cette partie est beaucoup plus rapide que la
dynamique des dfaillances. Les oprations associes aux places ne sont pas dtailles et elles
couvrent les fonctionnalits propres de linstrument intelligent. Linteraction entre les
modles fonctionnel et dysfonctionnel est reprsente laide de transitions immdiates.
Selon la nature du dispositif, les fonctionnalits vont diffrer. Les places allant de P3 P6
vont dcrire soit un capteur intelligent ou un actionneur intelligent.
Le modle prsent en figure 3.13 est un modle gnrique dans lequel le marquage nest pas
autoris non plus dans la partie fonctionnelle lorsquun dysfonctionnement a lieu dans
linstrument concern.
Notons que pour le modle dcrit auparavant (figure 3.13), le niveau dintelligence incorpor
dans les diffrents dispositifs est le niveau 2 (cf., chapitre 1). En effet, les procdures
dautotests et de diagnostic dlocalises au niveau des capteurs et actionneurs procurent de
lintelligence ces dispositifs mais pas dans le sens le plus large (niveau 3). Dans le chapitre

- 114 -

Chapitre 3 : Vers une scurit intelligente

4, la contribution de ce niveau dintelligence vis--vis du niveau de scurit sera lucide


quantitativement.
Le niveau dintelligence le plus lev (niveau 3) daprs notre classification requiert une
coopration au niveau systme entre les diffrents dispositifs de scurit. Autres lautotest et
le diagnostic embarqu, des procdures de validation et prise de dcision sont implantes en
vue de lamlioration de la sret de fonctionnement du systme global. Le diagnostic
distribu peut tre aussi employ dans le cas o le systme dispose darchitecture rpartie
favorisant le dialogue et lchange dinformations entre les diffrents lments de scurit. Un
exemple dans le chapitre 4 met en vidence quelques aspects de ce niveau dintelligence.

6. Conclusion
La notion de scurit intelligente est sujette quivoque, et il ne suffit pas de disposer de
moyens de calculs aussi sophistiqus dans les dispositifs qui constituent les systmes
instruments de scurit pour qualifier ces systmes de smart SIS. Encore faut-il que ces
dispositifs saccrditent de fonctionnalits inhrentes aux instruments intelligents.
A notre sens, lintelligence se matrialise par lexistence de moyens de communication et de
pouvoir doctroi dune crdibilit accrue aux informations au niveau des dispositifs de terrain
qui se trouvent au plus prs des processus physiques et ils disposent dune certaine autonomie
de gestion.
Lincorporation de lintelligence dans les SIS mne vers cette scurit intelligence manifeste
par des SISID (Systmes Instruments de Scurit Intelligence Distribue) dont la
mthodologie dvaluation est propose la fin de ce chapitre. Cette mthodologie est base
essentiellement sur une structuration hirarchique et modulaire. En effet un ensemble de
modles est prsent afin dillustrer lapproche utilise. Ces modles peuvent tre imbriqus
pour dcrire convenablement les systmes modliss. La vrification et lanalyse sont traites
par les rseaux de Petri stochastiques.
Lapproche que nous proposons consiste laborer des modles en rseaux de Petri
stochastiques composs de partie fonctionnelle spcifiant le comportement des dispositifs et
de partie dysfonctionnelle formalisant loccurrence de dfaillances de composants
susceptibles de tomber en panne. Cette dernire partie permet deffectuer les mesures de
performances en termes de scurit. Les deux parties sont ensuite intgres pour reproduire le
comportement global du systme en prsence de dfaillances.
Les rseaux de Petri stochastiques sont trs bien placs pour rpondre nos besoins de
modlisation. Le franchissement dune transition stochastique permet de reprsenter le
changement de ltat dun dispositif vers un tat de dfaillance. Nous supposons que les
transitions stochastiques sont associes des distributions de loi exponentielle.
Lutilisation du formalisme bas sur les rseaux de Petri permet linclusion de fonctionnalits
de linstrument intelligent dans la partie fonctionnelle de celui-ci lexception de la
fonctionnalit configuration. Lintgration de ces fonctionnalits donne de lautonomie de
gestion locale, et par linteraction avec la partie dysfonctionnelle, elle va avoir de linfluence
sur les performances en scurit.

- 115 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Chapitre 4 :
Mise en uvre de lvaluation
de la sret de fonctionnement
des SISID

- 116 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Mise en uvre de lvaluation


de la sret de fonctionnement
des SISID
1. Introduction
Dans ce chapitre, la modlisation et lvaluation des performances relatives la sret de
fonctionnement sont traites avec des structures qui disposent dintelligence dans les
instruments composant les SIS. Dans un premier temps, nous proposons titre de rfrence
ltude dun systme sans intelligence.
La mthodologie pour lvaluation de la sret de fonctionnement des systmes instruments
de scurit intelligence distribue est mise en uvre travers la modlisation dun systme
SIS sans redondance auquel nous introduisons des instruments intelligents et un rseau de
communication. Une autre application concerne un exemple de procd constitu dun
rservoir sous pression contenant un liquide inflammable volatil avec linstrumentation
associe. Les systmes de scurit concerns sont ceux qui obissent aux directives dcrites
au chapitre 2 concernant les systmes instruments de scurit qui ne peuvent daprs la
norme de scurit CEI 61508 tre critiques en introduisant eux mmes des dangers potentiels
aux processus concerns par la scurit. Ce sont donc des systmes qui ragissent des
demandes dactivation de la fonction de scurit suite des situations dangereuses induites
par le procd de fabrication.
Les taux de dfaillance pour chaque composant sont supposs connus priori, les valuations
vont concerner les interactions entre les diffrents composants du systme. Lestimation du
taux de dfaillance global du systme est assure par la dtermination des performances en
scurit et en se basant entre autres sur les taux de dfaillances individuels des diffrents
composants. Les mtriques utilises pour lvaluation de la sret de fonctionnement des
SISID se rapportent aux deux modes de dfaillances cits par la norme : le mode de
dfaillance dangereux et le mode de dfaillance en scurit.

- 117 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

2. Approche de modlisation avec les rseaux dactivit


stochastiques (SAN) et simulation de Monte Carlo
Lintroduction de diffrentes variantes de rseau de Petri vise lamlioration de la
comprhension des modles et laugmentation du pouvoir de modlisation. Cest ainsi que ces
rseaux de Petri ont volu progressivement et plusieurs extensions ont t prsentes pour
rpondre des besoins spcifiques.
Parmi ces extensions, nous pouvons citer les rseaux de Petri stochastiques gnraliss
(RdPSG). Ce type de rseaux associe des transitions immdiates en plus des transitions
temporises. Une autre extension des RdP sont les Stochastic Activity Networks (SANs) qui
ont t introduits par [MOV 84]. Ce formalisme de modlisation puissant est une extension
des rseaux de Petri stochastiques; il dispose de fonctions de validation des transitions et de
fonctions permettant le changement de marquage aprs le franchissement des transitions. Ceci
se fait travers des portes dentres et des portes de sorties.

2.1. Rseaux dactivits stochastiques


Les SAN (Stochastic Activity Network) sont une gnralisation des rseaux de Petri
stochastiques [MOV 84]. Les modles offrent la possibilit de la concurrence, tolrance aux
fautes et la reprsentation dtats dgrads dans un simple modle. Les SAN sont plus
flexibles que beaucoup dautres extensions de RdP telles que les SPN et les GSPN
(respectivement, les rseaux de Petri stochastiques et les rseaux de Petri stochastiques
gnraliss) [AZG 05]. Leur flexibilit est manifeste par leur conservation de toutes les
capacits de modlisation des rseaux de Petri stochastiques par le biais dactivits
stochastiques et les avantages des rseaux de Petri colors par les structures associes des
places spcifiques appeles "extended places".
La structure des SAN est compose de places, de portes dentre (Input Gates), de portes de
sorties (Output Gates) et dactivits. Les activits sont similaires aux transitions pour les RdP.
Elles sont de deux types : temporises ou instantanes. Les activits temporelles "timed"
reprsentent les actions du systme modlis dont la dure a un impact sur la performance du
systme. Les activits instantanes "Instantaneous Activity" reprsentent les activits du
systme dont loccurrence est immdiate. Les portes dentre et de sortie contrlent la
validation des activits et assurent des comparaisons ou tests (portes dentre) et des
affectations (portes de sorties). Ces portent dfinissent aussi le marquage lorsque lactivit est
acheve.
Une porte dentre dispose dune sortie unique et de plusieurs entres en quantit limite.
Elle reprsente un lien entre ces places et lactivit unique lie la sortie de la porte.
Une porte de sortie dispose dune entre unique et de plusieurs sorties en quantit limite. Elle
caractrise le lien entre une activit unique en amont et les places en aval de la porte.
Les modles SAN sont utiliss pour lvaluation de systmes appartenant un large domaine
et ils sont supports par des outils de modlisation tels que UltraSAN [SAN 95] et Mbius
[DEA 02].
Un des objectifs des SAN concerne lvaluation des performances et de la sret de
fonctionnement. Lvaluation de ces performances de la sret de fonctionnement est
effectue par la dfinition dun ensemble de mesures dans le modle.

- 118 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Le dveloppement de nos modles est ralis par loutil Mbius qui est un support pour
lutilisation des SAN. Cet outil a montr sa puissance pour la modlisation et lvaluation de
la sret de fonctionnement de systmes vnements discrets [AZG 05] [TAI 04], ceci a t
concrtis dans les travaux qui concernent la fiabilit des systmes commands en rseau en
prsence de fautes transitoires mens par [GHO 08].

2.2. La modlisation par loutil Mbius


Le choix de cet outil a t motiv par le pouvoir dexpression facilitant ainsi la modlisation,
sa conception hirarchique qui permet la rutilisation de diffrents composants placs dans
une bibliothque et sa disposition de fonctions de rcompense qui permettent dlaborer
lvaluation des paramtres.
Mbius est un outil qui permet de modliser le comportement des systmes complexes. La
premire version est apparue en 2001 comme successeur de l'outil populaire et russi
d'UltraSAN. Bien que Mbius ait t l'origine dvelopp pour tudier la fiabilit, la
disponibilit, et la performance des systmes informatiques et systmes lis par un rseau, son
utilisation a augment rapidement. Il est maintenant employ pour une large gamme de
systmes vnement discret.
La large gamme de l'utilisation est rendue possible en raison de la flexibilit et de la puissance
de loutil Mbius. Ces qualits sont le fruit de son appui des formalismes multiples de
modlisation niveau lev (rseaux de Petri, arbres de dfaillances) et des techniques
multiples de solutions permettant dobtenir des estimations sur les variables recherches
(solutions numriques exactes ou solutions par simulation).
Loutil Mbius est conu pour lutilisation des rseaux de Petri stochastiques gnraliss mais
aussi dans le cas des rseaux de Petri colors par lintroduction des structures permettant la
prise en compte des jetons colors. Cet outil est bien structur et permet la modlisation
hirarchique et lutilisation des entiers et des rels dans la composition des jetons. La
programmation se fait en C++.
La solution calcule pour une variable de rcompense s'appelle un rsultat. Puisque la variable
de rcompense est une variable alatoire, le rsultat est exprim comme la caractristique
d'une variable alatoire. Ceci peut tre, par exemple, la moyenne ou la variance. Le rsultat
peut galement tre l'intervalle de confiance.
Les rsultats estimant les variables recherches peuvent tre donns par un calcul numrique
exact ou bien par simulation. Cette dernire est utilise pour tous les modles conus dans
Mbius.
De plus, Mbius est un outil particulirement adapt aux simulations de Monte Carlo sur la
base dune simulation vnements discrets.

2.3. Simulation de Monte Carlo


Lorsque les activits disposent de lois de probabilits avec des taux de transitions qui ne sont
pas constants, une solution de simulation peut tre obtenue gnralement et remplace ainsi la
solution analytique qui reste restrictive aux cas o les taux de transitions sont constants.
La simulation de Monte Carlo se place comme une alternative dans les cas o des solutions
analytiques ne sont pas ralisables. Le couplage de cette simulation de Monte Carlo avec les
rseaux de Petri offre de la souplesse dutilisation et un grand pouvoir de modlisation.
- 119 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Dune manire gnrale, une simulation de Monte Carlo consiste construire un modle
reprsentatif du comportement du systme et analyser lvolution de ce dernier, partir dun
grand nombre dexpriences. A chaque exprience, le comportement du modle simul est
diffrent ; ces diffrences sont explicitement lies la nature stochastique des processus
relatifs chaque entit du systme.
On simule ainsi le comportement fonctionnel et dysfonctionnel du systme en suivant son
volution sur une dure prfixe T qui constitue ce quon appelle une histoire (exprience).
On ritre un grand nombre de fois N une telle histoire en partant chaque fois des mmes
conditions initiales et en conservant en mmoire les donnes numriques obtenues (prsence
ou absence de jeton(s) dans telle ou telle place). Au terme de ces N histoires, on exploite
dune manire statistique lensemble des donnes accumules pour dterminer les estimations
dsires.
La quantification des probabilits cherches est base sur ltude de plusieurs scnarios
diffrents qui permettent davoir au final des rsultats statistiques.
Lestimation de la probabilit dun vnement dangereux peut tre effectue par lutilisation
dun estimateur binaire associ cette probabilit qui permet une incrmentation dune unit
dun compteur pour chaque histoire. Lestimation de la probabilit est dduite par le rapport
entre le nombre dhistoires o il y a occurrence de lvnement dangereux et le nombre total
des histoires [LAB 02].
Dans le cadre de la dtermination des performances en terme de scurit pour des systmes
instruments de scurit, la procdure suivie dans la simulation consiste obtenir dans un
premier temps pour chaque exprience ralise un ensemble de valeurs caractrisant les
paramtres de dfaillances dangereuses et dfaillances sres. Dans un second temps, la valeur
moyenne de chacun de ces paramtres pour lensemble des histoires est estime. Le nombre
dexpriences doit tre suffisamment grand pour obtenir des rsultats dun niveau de
confiance acceptable.

3. Modle dun SIS classique architecture 1oo1


3.1. Architecture 1oo1 dun SIS
Cette architecture comprend un seul canal et donc un seul chemin matriel que peut parcourir
un signal dans la chane de traitement dune demande.
Gnralement, pour une architecture MooN, le premier chiffre dsigne le nombre dlments
que lon doit avoir en tat de marche pour que le systme assure la fonction de scurit et le
second chiffre indique le niveau de redondance [CEI 00].
Dans le cas de larchitecture 1oo1, toute dfaillance dangereuse entrane la dfaillance du
systme. Une dfaillance sre se traduit par la mise dans une position de repli prdfinie ou
par une excution intempestive de la fonction de scurit.

- 120 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Capteur

Automate
programmable

Vanne
darrt

Figure 4.1 : Systme instrument de scurit (Architecture 1oo1)

3.2. Modle SAN du SIS


Compte tenu du mode de fonctionnement du canal et des hypothses mises dans la norme, un
modle SAN est conu sans utiliser la hirarchie dans la composition. La figure 4 montre une
description du modle dun SIS architecture 1oo1 sous Mbius.
Pour pouvoir assurer son fonctionnement, le SIS est compos d :
-

un capteur qui mesure ltat du processus,

une unit logique qui excute la fonction de scurit (automate programmable par
exemple),

un lment final qui met en uvre laction physique ncessaire pour obtenir un tat de
scurit.

Diffrentes dfaillances peuvent apparatre sur les composants. Ces dfaillances sont
qualifies par la norme CEI 61511 de deux types :
-

dfaillances dangereuses, qui ont la potentialit de mettre le systme instrument de


scurit dans un tat dangereux ou dans limpossibilit dexcuter sa fonction,

dfaillances en scurit, qui nont pas la potentialit de mettre le systme instrument


de scurit dans un tat dangereux ou dans limpossibilit dexcuter sa fonction.

- 121 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Figure 4.2 : Modle SAN dun SIS architecture 1oo1


Pour ce modle simple, chaque composant (capteur, automate, actionneur) peut se trouver
dans lun ou lautre des deux modes de dfaillances possibles identifis auparavant : les
dfaillances dangereuses ou les dfaillances sres. Ces modes de dfaillances sont bien
entendu dcrits dans les normes relatives de scurit et refltent lintrt que portent ces
normes vis--vis des performances en scurit. En effet la considration de ces modes de
dfaillances est synonyme de la prise en compte des aspects de la sret de fonctionnement.
Quand on sait que la non raction une situation dangereuse se manifeste comme une
indisponibilit de la fonction de scurit ou une dfiabilit du systme de scurit alors quun
dclenchement intempestif affecte automatiquement la disponibilit.
Chaque composant dispose dun taux de dfaillances constant et les lois de probabilit sont
exponentielles. Les places cap_ok, aut_ok et act_ok reprsentent le bon fonctionnement des
diffrents composants du SIS et donc ltat normal. Ltat dangereux du SIS est reprsent
par la place danger qui sera marque une fois sil y a prsence dun marquage sur lune des
places danger_c, danger_aut ou danger_a. Ltat sr du SIS est reprsent par la place sur.
Cette place sera marque une fois quil y a prsence dun marquage sur lune des places
sur_c, sur_aut ou sur_a. Les transitions instantanes t1 t6 sont de dures nulles et elles sont
aussitt franchies ds la prsence de jetons dans les places en amont de ces transitions. La
probabilit dexister dans un tat dangereux, respectivement dans un tat sr, est assujettie
la prsence dau moins un jeton dans la place danger, respectivement dans la place sur.

- 122 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

3.3. Evaluation des performances du SIS classique


Le SIS modlis est utilis pour raliser une fonction instrumente de scurit (SIF) dans
lhypothse de la demande faible.
Les taux de dfaillances des composants sont dduits de la table 1 extraite de [GOB 05]
suivante :
Composant

Taux de
heure)

dfaillances

(par Pourcentage des dfaillances


sres (S%)

Capteur

6.10-06

40 %

Unit de Traitement

2.10-05

70 %

Elment final

9.10-06

58.3 %

Table 4.1 : Donnes relatives aux constituants du SIS


Le tableau 2 rcapitule les diffrents paramtres utiliss pour le traitement de notre modle.
Ces paramtres se rapportent aux taux de dfaillances dangereuses du capteur, taux de
dfaillances dangereuses de lautomate, taux de dfaillances dangereuses de lactionneur, taux
de dfaillances sres du capteur, taux de dfaillances sres de lautomate et taux de
dfaillance sres de lactionneur.

Composant

Taux
de
dfaillances Taux de dfaillances sres
dangereuses (D)
(S)

Capteur

3,6.10-6

2,4.10-6

Unit de Traitement

6.10-6

1,4.10-5

Elment final

3,75.10-6

5,25.10-6

Tableau 4.2 : Taux de dfaillances dangereuses et sres


On prend pour dure T la valeur de 8760 heures qui correspond un an. Cette dure
correspond la priode entre deux tests note Ti par la norme.
Les rsultats obtenus seront compars en regard de la norme.
Les rsultats regroups au tableau 4.3 concernent les probabilits de dfaillances dangereuses
et en scurit.

- 123 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Mthode

Norme

SAN (Mbius)

Sim tree

4380

5,8473.10-2

5,526.10-2

5,6796.10-2

5000

6,675.10-2

6,4277.10-2

6,4571.10-2

8760

1,1694.10-1

1,0851.10-1

1,1037.10-1

10000

1,335.10-1

1,2031.10-1

1,2497.10-1

4380

9,4827.10-2

9,0867.10-2

9,047.10-2

5000

1,0825.10-1

1,0532.10-1

1,026.10-1

8760

1,8965.10-1

1,6958.10-1

1,7275.10-1

10000

2,165.10-1

1,9065.10-1

1,9467.10-1

Dure
PFD

PFS

Tableau 4.3 : Les diffrents rsultats relatifs larchitecture 1oo1


Les rsultats qui concernent la norme sont obtenus par lutilisation et lapplication des
formules prconises par la CEI 61508 (voir le 8 du chapitre 2 pour le cas du systme
1oo1). Certes ces relations sont donnes sans explications ou justifications et elles induisent
plus dinterrogations, voire de critiques, que de solutions satisfaisantes [INA 05]. Lobjectif
est de vrifier ces formules malgr la simplicit de lexemple afin de se faire une opinion
critique sur la norme.
La colonne portant le nom "Sim tree" est relative aux rsultats obtenus par lutilisation dun
outil de simulation des arbres de dfaillances. La modlisation et ainsi la simulation nous ont
permis de dterminer les probabilits relatives au systme 1oo1 pour diffrentes dures en
plus dune analyse de laspect quantitatif par la gnration de coupes minimales (la coupe
minimale est la combinaison des vnements de base entranant lvnement redout).
Le modle du systme 1oo1 simul par Mbius est celui reprsent en figure 4.2. Dans ce
modle, la dtermination des probabilits de dfaillances dangereuses et en scurit passe par
le calcul du nombre de franchissements des transitions qui mnent vers les places qui
reprsentent la PFD et la PFS.
On constate que la norme est conservative, puisquelle donne des rsultats lgrement
pessimistes. La diffrence qui existe dans ces rsultats reprsente lapproximation utilise par
la norme dans lutilisation des quations simplifies. En effet, dans lhypothse des
vnements rares relatifs aux systmes de scurit, les taux de dfaillances sont trs faibles de
telle sorte que les lois exponentielles peuvent tre approximes un ordre un des portions de
droite en ngligeant les termes dordre suprieurs [CEI 00] [GOB 98].

- 124 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

La figure 3 donne les probabilits de dfaillances dangereuses avec des intervalles entre les
deux tests Ti = 8760 heures.

Figure 4.3 : Probabilit de dfaillance dangereuse et intervalles de tests


La probabilit de dfaillance dangereuse PFD(t) est un paramtre qui volue dans le temps, la
dtermination de sa valeur moyenne PFDavg sur une dure particulire permet davoir un
paramtre constant qui reflte en quelque sorte la qualit du systme. Cette dure nest ni tout
fait un temps de mission ni une dure de vie mais plutt un intervalle entre deux tests
conscutifs. Il se peut dailleurs que la fonction de scurit nait jamais t sollicite pendant
cet intervalle. Le systme qui ralise la fonction de scurit est considr comme neuf aprs
ce test. Do les performances retrouves (cf. figure 4.3) pour le systme entre deux tests
conscutifs.
La figure prcdente est labore partir des hypothses formules dans le chapitre 3 (voir
paragraphe 4.3). Le systme instrument de scurit est inactif pendant les dures
dinspection priodique et pendant lopration de maintenance. La figure 4.3 montre le
passage brutal zro du paramtre PFD(t) qui justifie ses hypothses. En ralit, certains
systmes industriels restent oprationnels mme pendant les tests priodiques vitant ainsi
lindisponibilit de la fonction de scurit pendant lexcution de ces tests. La relation qui
donne la probabilit de dfaillance sur demande devient plus complexe puisque dautres
paramtres agissent sur cette indisponibilit tels que la dure des tests[SIG 07]
La valeur moyenne de la probabilit de dfaillance dangereuse est reprsente par la ligne
horizontale dans la figure prcdente. Elle est gale PFDmoy = 5,661.10-2. Cette valeur
correspond un SIL 1 selon le tableau 2.3 du chapitre 2. Dans notre exemple, avec un
intervalle entre deux tests gal un an, le niveau de SIL 1 reste garanti alors que si lintervalle

- 125 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

entre deux tests devient plus important, le niveau de SIL peut ne plus tre garanti
momentanment et le systme instrument de scurit ne sera plus conforme aux normes de
scurit qui nautorisent pas de niveau de SIL en de du SIL 1. Il faut donc sassurer que la
PFD(t) instantane reste dans les limites du SIL requis en vitant de dpasser les frontires de
SILs adjacents. De ce fait, on peut conclure que la PFDmoy ne saurait elle seule pouvoir
dcrire le comportement de lindisponibilit dun SIS excuter une fonction de scurit. Et
pour que la reprsentation soit complte, il faut prendre en compte galement lvolution de la
PFD(t) instantane et sassurer qu tout moment, cette indisponibilit reste quivalente au
SIL requis lapplication.
La rpartition en pourcentage du niveau de SIL pendant toute la dure entre deux tests est
illustre dans la figure 4.4 suivante :
Rpartition du niveau de SIL
0,90
0,80
0,70
0,60
0,50
0,40
0,30
0,20
0,10
0,00
SIL0

SIL1

SIL2

SIL3

SIL4

Figure 4.4 : Rpartition du niveau de SIL


Cette figure montre que le SIS qui dispose dun niveau de SIL gal 1 (cf. figure 4.3) passe
9.9% dans la zone correspondante SIL 0 o la norme ne peut plus tre applique. Le SIS
passe plus dun mois pendant les tests dintervalle avec un SIL 0. Le SIS demeure dans la
zone SIL 1 pendant 81.5 % et le reste du temps est rparti entre les zones correspondantes aux
SIL 2 et au SIL 3. Dailleurs, lorsquun SIS est conu pour un niveau de SIL, il peut disposer
dun niveau de SIL suprieur mais pas le contraire. Pour la zone qui correspond au niveau de
SIL 4, le SIS passe 0,085 %, ce qui est trs ngligeable. Il faut noter que les applications
courantes natteignent jamais ce niveau de SIL.
Notre systme consacre la plupart du temps dans la zone SIL 1 et prs de 10% de la mission
en temps en SIL 0, ce qui est loin d'tre ngligeable et peut tre dangereux. De plus, si ce
systme passe aussi plus de 7% de sa mission dans la zone SIL3, qui correspond une zone
de risque faible, ces moments passs dans cette zone ne compensent pas les risques de se

- 126 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

trouver en zone SIL 0. Avec le systme test priodiquement, quand le seuil d'une mauvaise
zone SIL est empit, le systme reste dans cette zone jusqu'au prochain test priodique et
cela peut tre pour un long dlai lorsque les composants sont tests tous les 10 ans, par
exemple.
Notons que le passage dans la zone SIL 0 correspond au franchissement par la PFD(t)
instantane de la valeur 0,1 (cf. tableau 2.3). Cest--dire quil faut rester au de de cette
valeur frontalire pour demeurer dans la zone SIL o la norme peut tre applique. Le
systme SIS dans le cas o il atteint un SIL non conforme se trouve sans usage possible dans
une application de scurit conformment la norme.
Le MTTF pour ce systme est de 8,83 annes. Seules les dfaillances dangereuses sont
considres pour son laboration. En effet, il existe aussi le MTTFS [GOB 05] qui est relatif
aux dfaillances sres.

4. Evaluation dynamique des Systmes Instruments de Scurit


Intelligence Distribue
4.1. Structure 1oo1 D
Introduisons tout dabord la structure 1oo1 D dans laquelle le canal comporte une voie
comme le montre la figure 4.5 :
La dtection des dfaillances par autodiagnostic des dispositifs a pour objectif datteindre la
fiabilit des quipements requise par le niveau dintgrit des fonctions (de scurit).
Une dfaillance dangereuse se traduit par une absence, potentielle ou avre, de raction de la
fonction de scurit. Une dfaillance sre se traduit par la mise dans une position de repli
prdfinie du systme ou par une excution intempestive de la fonction de scurit. La
dtection dune dfaillance, sre ou dangereuse, se traduit par une mise en position sre du
systme ou une excution force de la fonction de scurit.

Capteur

Automate
programmable

Vanne
darrt

Dispositif dautodiagnostic

Figure 4.5 : Schma de la structure 1oo1D

- 127 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Le diagnostic permet la conversion les dfaillances dangereuses dtectes en dfaillances


sres [GOB 05].
4.1.1. Modles des composants

Figure 4.6 : Conception hirarchique et composition des sous-systmes


Dans cette partie, une description globale du modle SAN est illustre et les modles de
plusieurs composants du systme sont prsents. Le modle est conu dune manire
hirarchique et sa composition est prsente sur la figure 4.6.
Cette tape permet linterconnexion entre les diffrents sous-systmes via des places
partages.
4.1.1.1. Modle du capteur

- 128 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Figure 4.7 : Modle du capteur (structure 1oo1D)


Dans le modle du capteur de la figure 4.7, un certain nombre de dfaillances sont exprimes.
Il sagit des dfaillances sres (place Sur) et dfaillances dangereuses (place Danger). Un
taux de couverture de diagnostic DC est allou au capteur (Coverage). Ce taux de couverture
exprime le rapport entre le taux de dfaillances dtectes et le taux de dfaillances totales.
Aprs loccurrence dune dfaillance sre, il y a possibilit de restaurer le systme par le
franchissement de la transition dterministe (restore) dont la dure est gale au temps
ncessaire la restauration complte du systme aprs un dclenchement intempestif par
exemple. La prsence dune marque dans la place Tc autorise un autotest du capteur gr par
lautomate. Les dfaillances non dtectes DND peuvent tre qualifies de sres ou de
dangereuses suite lexcution de lautotest.
4.1.1.2. Modle de lautomate

- 129 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Figure 4.8 : Modle de lautomate (structure 1oo1D)


Le modle de lautomate de la figure 4.8 montre une disposition de deux parties, lune
fonctionnelle et lautre dysfonctionnelle. Dans la partie fonctionnelle ( gauche), les cycles de
lautomate sont excuts par une horloge priodique (periode). Les autotests des diffrents
dispositifs sont grs localement suivant une politique de test qui consiste allouer la mme
dure de test pour les diffrents dispositifs et commencer par le test du capteur (Tc), puis
lactionneur (Tv) et enfin lautomate (Ta). Cette politique nest pas la seule possible tre
excute par lautomate et dautres politiques peuvent tre ventuellement implantes. Pour la
partie dysfonctionnelle, il faut sassurer que le jeton est soutir de la partie fonctionnelle l o
il se trouve lorsque le systme tombe en panne sre ou dangereuse. Lautomate peut tre
galement restaur en cas de dfaillance sre et il dispose galement dun taux de couverture
de diagnostic qui lui est propre.
Le modle de lactionneur ressemble celui du capteur, cette fois-ci, la prsence dune
marque dans la place (Tv) de lautomate autorise des autotests de lactionneur. Cette place est
partage avec une autre place du modle de lactionneur. La prsence dun jeton dans cette
place permet aprs lexcution du test la rpartition des dfaillances non dtectes.

4.2. Introduction du rseau de communication dans la structure 1oo1D


Lintroduction des rseaux dans les applications distribues offre de la flexibilit mais
introduit aussi quelques problmes nouveaux. Les dlais, la perte de trames, les retards
ventuellement non borns, la gigue[CAU 04].

- 130 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Dans cette partie, nous allons nous intresser un modle de systme 1oo1D avec un rseau
de terrain type CAN.
Il faut prciser que vis--vis des travaux que nous menons, le rseau de communication est un
moyen utilis par les fonctions qui octroient de lintelligence aux instruments. Cest pourquoi,
il a t introduit sans se proccuper de sa sensibilit aux perturbations et sans considration
des effets de la perte des messages.
4.2.1. Modlisation du rseau de terrain sous Mbius
Cette partie est consacre au modle du systme avec un rseau de communication (CAN:
Control Area Network) et ensuite nous allons galement introduire des instruments
intelligents au lieu d'instruments traditionnels. Dans cette tude, nous nous concentrons sur le
rseau CAN mme si ce type d'tudes peut tre tendu d'autres types de rseaux de
communication.
Lensemble des composants est reli par un rseau de communication qui est dfini comme
un medium par lequel transitent des trames contenant des donnes du systme. Tous les
composants sont reprsents comme des systmes chantillonns avec Te comme priode
dchantillonnage. Cette priode dchantillonnage est constante et elle est la mme pour tous
les composants. Sa valeur est de 0.5 unit de temps. Tous les composants sont chantillonns
avec cette priode dchantillonnage et le rseau de communication est un systme ragissant
aux vnements discrets.

Figure 4.9 : Modle du rseau de terrain avec loutil Mbius


La modlisation du rseau de communication reprsente le modle le fonctionnement dun
rseau CAN (Controller Area Network) [GHO 08]. Le rseau est constitu dans cet exemple
de trois stations mettrices qui vont pouvoir envoyer des messages (trames) sur un mdium
partag (canal de transmission). Les messages envoys sont placs dans des places tampons
(buffer) qui sont des places tendues, les messages ensuite attendent la libration du canal
pour tre transmis vers leur destination. La manire daccder au canal est celle dune
transmission base sur des niveaux de priorit des messages. Ceci signifie que chaque abonn

- 131 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

sera affect dune priorit lui permettant ou non denvoyer ces caractristiques via le canal,
pour viter les collisions sur le canal.
Le medium (canal) est affect dun retard reprsentant le dlai de transmission des messages.
Le message en sortie du canal est prt tre envoy et il est disponible dans la place
received.
Lorsque le bus est libre, nimporte quel metteur qui dispose de son propre identificateur peut
commencer transmettre une information sur le canal. Lorsque deux nuds tentent daccder
simultanment au medium, le nud qui dispose de la plus haute priorit gagne larbitrage et
accde au bus, son information est envoye sans perte de temps alors que le nud affect
dune priorit moindre attend la libration du medium pour mettre.
Nous avons procd vrifier des valeurs de la priode dchantillonnage autres que Te=0,5.

Te

0,5

PFD

7,7.10-2

7,33.10-2

7,08.10-2

7,03.10-2

PFS

2,1.10-1

2,078.10-1

2,05.10-1

1,995.10-1

Tableau 4.4 : Performances en scurit en fonction de la priode dchantillonnage


Dune faon gnrale, la probabilit des dfaillances dangereuses a diminu ainsi que la
probabilit de dfaillances sres. Ceci est d au fait que les informations qui concernent les
dfaillances ne sont envoyes que pendant des instants discrets et non pas en continu. Les
performances sont en effet trs sensibles aux priodes dchantillonnages des diffrents
dispositifs. Et de ce fait, les instants de rvlations dpendent largement des priodes
dchantillonnages, ce qui provoque donc ce changement des valeurs de ces deux mtriques.
Le rseau de communication garantit les dlais de transmission infrieurs la priode
dchantillonnage. Cest le seul composant dans le systme qui travaille dune manire
vnementielle. Le dlai de transmission est constant. Il faut noter que laccent nest pas mis
sur linfluence des retards ni celui de la perte ou de laltration des trames.
Lintroduction du rseau a pour consquence quelques modifications dans les modles de
base des constituants de la boucle de scurit afin de tenir compte des mcanismes de
transmission de donnes via le rseau. A titre dillustration, le modle de lautomate
communicant est montr dans le sous paragraphe suivant.
4.2.2. Modles chantillonns des composants
4.2.2.1. Modle de lautomate
Le modle de lautomate dcrit par la figure 4.10 est un dispositif communicant, il dispose
dune intelligence locale (et centrale vis--vis de la boucle de commande considre) lui
permettant entre autres de grer les autotests dans les dispositifs de terrain en envoyant des
ordres par voie de communication par rseau.

- 132 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Lautomate, qui est dot dune capacit de communication, envoie ses messages
priodiquement. A chaque priode dchantillonnage (transition periode_aut dans la figure
4.10), lautomate est dispos envoyer des informations sur le rseau.
En effet, tous les dispositifs (capteur, actionneur) disposent dune priode dchantillonnage
et ils sont considrs comme des systmes chantillonns.
Dans ltude mene, le rseau de communication garantit un dlai exprimant le retard affect
aux messages infrieurs aux priodes dchantillonnage de tous les dispositifs.

Figure 4.10 : Modle de lautomate communicant


La place colore sortie_automate est une place partage avec la place entree_automate de la
figure 4.9 qui correspond la description du rseau de communication. Cette place contient
les informations prtes tre envoyes par le rseau aux diffrents interlocuteurs. Cette place
dispose dun jeton de type color appel trame qui est relatif un ensemble dattributs qui
sont etat, valeur, emetteur et dispo. Ces attributs sont communs entre toutes les places qui
sont en relation avec le rseau pour les oprations dmission et de rception des messages. Ils
expriment en effet la nature de lmetteur de linformation (capteur ou autres), son tat,
laffectation dune valeur pour diffrencier les destinataires des autotests et la disposition
mettre dans le rseau.

- 133 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

4.3. Introduction des instruments intelligents dans la structure 1oo1D


4.3.1. Modle de capteur intelligent
Dans le modle, lordre de test nest plus transmis via le rseau de communication par
lautomate et la fonctionnalit relative au test ainsi que les autres fonctionnalits du capteur
intelligent sont traites localement. Les modules de test peuvent tre sollicits soit lorsque
cest ncessaire, soit cycliquement, soit en permanence suivant un principe de surveillance
active [NOI 95]. Dans notre modle, le capteur intelligent dispose cycliquement selon les
instants dune priode dautotests. Les autres fonctionnalits sont aussi synchronises par
cette priode.

Figure 4.11 : Modle de capteur intelligent


Le modle du capteur de la figure 4.11 montre une disposition de deux parties, lune
fonctionnelle et lautre dysfonctionnelle. Dans la partie fonctionnelle ( gauche), les cycles du
capteur sont excuts par une horloge priodique (periode_fonct_capt). Les autotests internes
sont grs localement suivant une politique de test qui consiste allouer une dure de test du
capteur (transition d1). La partie rserve aux autotests est constitue entre autres des places
t1 (dbut tche 1) et f_t1 (fin tche 1). Les transitions de la partie fonctionnelle ne sont pas
stochastiques puisque lvolution est lie des phnomnes dterministes. La dynamique de
cette partie est beaucoup plus rapide que la dynamique des dfaillances. Les oprations
associes aux autres places de la partie fonctionnelle ne sont pas dtailles et elles couvrent le
reste des fonctionnalits propres au capteur intelligent. Linteraction entre les modles
fonctionnel et dysfonctionnel est reprsente laide de transitions immdiates.
Pour la partie dysfonctionnelle, il faut sassurer que le jeton est soutir de la partie
fonctionnelle l o il se trouve lorsque le systme tombe en panne sre ou dangereuse. Le
- 134 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

capteur peut tre galement restaur en cas de dfaillance sre et il dispose galement dun
taux de couverture de diagnostic qui lui est propre. Dans le modle prsent en figure 4.11, un
certain nombre de dfaillances sont exprimes. Il sagit des dfaillances sres (place Sur_cap)
et dfaillances dangereuses (place Danger_cap). Un taux de couverture de diagnostic DC est
allou au capteur (coverage). Ce taux de couverture exprime le rapport entre le taux de
dfaillances dtectes et le taux de dfaillances totales. Aprs loccurrence dune dfaillance
sre, il y a possibilit de restaurer le systme par le franchissement de la transition
dterministe (restore) dont la dure est gale au temps ncessaire la restauration complte
du systme aprs un dclenchement intempestif par exemple. La prsence dune marque dans
la place t1 autorise un autotest du capteur gr localement. Les dfaillances non dtectes
DND peuvent tre qualifies de sres ou de dangereuses suite lexcution de lautotest. La
place sortie_cap assure lenvoi des informations via rseau aprs le franchissement de la
transition echa_capt dont la dure reprsente la priode dchantillonnage du capteur.
Le modle de lactionneur ne diffre pas beaucoup de celui du capteur intelligent et les parties
dysfonctionnelles sont similaires. Il faut noter que les diffrents modles, du capteur, de
lactionneur ou de lautomate, sont des modles chantillonns et que les informations sont
envoyes au rseau de communication priodiquement.
Diffrentes performances peuvent tre values sur ce modle.

Figure 4.12 : Evolution des deux mtriques en fonction du temps

La figure 4.12 montre lvolution des deux mtriques principales des performances en
scurit PFD et PFS pour une dure de 10000 heures qui est un peu suprieure une anne
(8670 heures). Les paramtres du modle sont :

- 135 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

lambda_actionneur

9.0E-6

lambda_automate

2.0E-5

lambda_capteur

6.0E-6

delai

1.0E-5

echantillonage_actionneur

0.5

echantillonage_aut

0.5

echantillonage_capteur

0.5

CD_actionneur

0.75

CD_automate

0.75

CD_capteur

0.75

p1

p2

p3

periode_fonct_actionneur

1.0

periode_fonct_capteur

1.0

periode_test_automate

1.0

restore_actionneur

24.0

restore_automate

24.0

restore_capteur

24.0

retard_reseau

0.01

Les taux de dfaillances des composants et le taux de restauration proviennent de [GOB 05].
Les autres paramtres cits ci-dessus concernent des identificateurs propres aux dispositifs
(p1, p2, p3) qui prennent des valeurs entires respectivement 2, 3 et 1. Le retard relatif au
rseau (0.01) est maintenu infrieur la priode dchantillonnage (0.5). Le taux de
couverture de diagnostic est pris gal 75 % (ni faible ni moyen selon la norme).
La figure 4.12 montre les performances en scurit dun systme instrument de scurit
intelligence distribue. Lvolution des deux mtriques qui dcrivent les performances en
scurit du systme tudi montrent une nette diminution de la probabilit de dfaillance
dangereuse et une augmentation de la probabilit de dfaillances sres. Une illustration est
faite sur le tableau 4.5 suivant :

- 136 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

PFD

PFS

Dure (heures)

SIS

SISID

1000

1,34.10-2

0,73.10-2

5000

6,37.10-2

3,85.10-2

8760

1,05.10-1

0,689.10-1

10000

1,17.10-1

0,781.10-1

1000

2,27.10-2

2,66.10-2

5000

1,026.10-1

1,18.10-1

8760

1,71.10-1

1,95.10-1

10000

1,926.10-1

2,20.10-1

Tableau 4.5 : Comparaison des performances du SIS et du SISID


En effet, plus on a un taux lev de dtection par les moyens dautotests intgrs, plus le taux
de dfaillances dangereuses saffaiblit et le taux de dfaillances sres augmente car des
dfaillances dangereuses se transforment en dfaillances sres. Nous relevons donc une
diminution de la valeur de la PFD et une augmentation de la valeur de la PFS par rapport aux
valeurs du systme SIS classique. La somme des deux mtriques reste quasi constante. Le
motif de cette volution est tout simplement la possibilit daccomplir des tches localement
(autotests) par les dispositifs de terrain.
Lintgration directe de la procdure de test dans les dispositifs de terrain (capteur et
actionneur) autorise le renseignement sur ltat de ces dispositifs sans lordre centralis
auparavant dans llment de dcision logique qui est lautomate dans notre exemple. Ce
changement de stratgie procure des rvlations sur les tats des dispositifs au fur et mesure
de leur apparition.
Maintenant, nous allons nous intresser la rpartition du niveau de SIL pour le systme
SISID.

- 137 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Figure 4.13a : PFD(t) et niveau de SIL


La figure 4.13a montre lvolution de la PFD(t) pour un SISID dans une chelle linaire.
Nous constatons que contrairement au SIS classique, la zone SIL 0 (absence de SIL) nest
jamais franchie et en majorit, le systme se trouve dans la zone SIL 1. La probabilit de
dfaillance dangereuse moyenne PFDmoy est aussi mentionne et elle a une valeur de
3,589.10-2 ce qui correspond un systme de niveau SIL 1. Pour faire apparatre les autres
niveaux de SIL, nous passons une chelle semi-logarithmique (cf. Figure 4.13b).

Figure 4.13b : PFD(t) et niveau de SIL


- 138 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

On saperoit clairement daprs cette illustration des zones de SIL franchies par le systme.
Le pourcentage des diffrents niveaux de SIL est rparti dans la figure 4.14 suivante :

Rpartition du niveau de SIL


1,00
0,90
0,80
0,70
0,60
0,50
0,40
0,30
0,20
0,10
0,00
SIL0

SIL1

SIL2

SIL3

SIL4

Figure 4.14 : Rpartition du niveau de SIL pour un SISID


Cette figure montre que le SISID qui dispose dun niveau de SIL gal 1 passe 100% dans
des zones correspondantes un des niveaux de SIL suprieurs au niveau SIL 0 o la norme ne
peut plus tre applique. Le SIS demeure dans la zone SIL 1 pendant un peu plus de 87 % et
le reste du temps est rparti entre les zones correspondantes aux SIL 2 (11.5%) et au SIL 3
(1.1%). Le SISID a permis au systme qui tait non conforme la norme dans 9.9% des cas
(cf. SIS) de se conformer totalement 100% cette norme de scurit.
Le MTTF pour le SISID est de 14,54 annes. Nous observons une nette amlioration de cette
mtrique qui qualifie la fiabilit du systme.

4.4. Indicateur de performance


Afin d'examiner les rsultats et les effets de lintgration des niveaux dintelligence dans les
systmes de scurit, nous introduisons des indicateurs de performance. Un indicateur de
performance nous aide comprendre l'impact que subit la modification d'un paramtre tel que
la PFD du systme. Nous proposons pour le calcul de l'indicateur de performance la relation
suivante:
IPPFD =

( PFDmoy ) SISID
( PFDmoy + PFS moy ) SIS

- 139 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Nous avons introduit dans cette relation les valeurs moyennes plutt que les valeurs
instantanes pour avoir une estimation globale de ce taux en restant conforme la norme qui
prconise pour les performances en scurit les valeurs moyennes. Notons que concernant les
dfaillances sres, lindicateur peut sexprimer de la faon suivante :

IPPFS =

( PFS moy ) SISID


( PFDmoy + PFS moy ) SIS

Le calcul de ces deux indicateurs nous donne les valeurs suivantes:

IPPFD = 0.245 et IPPFS = 0.71


Ces valeurs correspondent donc lintroduction dune intelligence niveau 2 tel que cela tait
dcrit au chapitre 1.

4.5. Conclusion
Lintrt de cette tude porte sur la dtermination des performances en scurit du systme en
rgime dynamique. Elle permet dobtenir une comparaison quantitative des comportements
des systmes. Ainsi, elle permet de comparer les diffrents architectures de SIS disposant ou
non de moyens dautodiagnostics qui sont grs localement ou dune manire centralise.
Un rsultat important est la transformation de dfaillances dangereuses en dfaillances sres
par le biais de la diminution de la probabilit des dfaillances dangereuses et laugmentation
de la probabilit des dfaillances sres.
Cette tude nous a permis dapprocher la problmatique de la prise en compte de
lintelligence, telle qu'elle a t dfinie dans le chapitre 1, dans la conception des SIS. En
effet, lexemple trait nous a permis de dterminer le niveau de SIL relatif chaque systme
et de voir que lapport de lintelligence permet de couvrir les zones de niveaux de SIL exigs
par la norme pour un SIS qui disposait dun niveau de SIL 1 mais qui ne pouvait pas tre
maintenu pendant toute la dure entre deux tests dintervalle.
Laugmentation de la valeur de la PFS provoque une perte financire cause par le systme de
scurit en raison de dclenchements intempestifs. Ceci nous rappelle quen sret de
fonctionnement, le compromis scurit- disponibilit demeure mme avec ladjonction
dlments intelligents dans la boucle de scurit.
Lintroduction des indicateurs de performances a permis de mieux situer la contribution de
lintelligence introduite dans le systme de scurit vis--vis des performances globales de
scurit.

- 140 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

5. Exemple dun rservoir sous pression quip dun systme de


scurit
5.1. Description
Considrons lexemple suivant (figure 4.15) emprunt [GOB 01] et modifi par le
remplacement des instruments classiques par des instruments intelligents. Dans cet exemple,
un procd est constitu dun rservoir sous pression contenant un liquide inflammable volatil
avec linstrumentation associe. Le systme de protection disponible est un systme
instrument de scurit constitu de deux capteurs de pression qui relvent en continu la
valeur de la pression et ils sont contrls par un automate programmable qui commande aussi
le fonctionnement des vannes qui sont normalement ouvertes.

Automate programmable

Capteur
PT

Capteur
PT

Process

Elments finaux,
Vannes

Figure 4.15 : Rservoir sous pression quip de systme de scurit


Une condition dexcs de pression peut provoquer un rejet de produit inflammable dans
lenvironnement. Il sagit dun vnement initiateur qui peut se transformer en un scnario
dvnement dangereux selon la rponse des systmes de protection disponibles.
Dautres vnements initiateurs pouvant provoquer un rejet de gaz dans lenvironnement
pourraient inclure les fuites du matriel du procd, la rupture de la tuyauterie, et des
vnements externes tels quun incendie. Pour cet exemple, seule la condition dexcs de
pression est tudie.

- 141 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Le systme instrument de scurit a pour finalit, en cas de sollicitation, de fermer les deux
vannes qui sont en redondance 1oo2. Ainsi, il faudrait la dfaillance dangereuse des deux
vannes pour qu'un signal d'alarme valide ne soit pas trait correctement.
Le systme de scurit n'est pas capable d'induire une situation dangereuse de lui-mme. Le
pire des cas qui peut se produire est une panne dangereuse, c'est--dire que le systme ne peut
effectuer sa fonction de scurit prvue.
Les deux capteurs sont des transmetteurs intelligents de pression et sont galement en
redondance 1oo2. Des tests priodiques en ligne sont effectus par les deux transmetteurs.
Une information concernant la comparaison des signaux de sortie des deux capteurs est
effectue et renvoye lautomate programmable.
Deux modes de dfaillances peuvent affecter les diffrents types de composants. Il sagit des
dfaillances sres et des dfaillances dangereuses.

5.2. Modle des composants


La priode dchantillonnage est affecte au modle du process (rservoir sous pression) et de
ce fait tous les autres composants ragissent des vnements discrets.
La description globale du modle sous Mbius est donne et les modles des composants du
SIS sont montrs. Le modle est conu dune faon hirarchique et sa composition est donne
en figure 4.16.

Figure 4.16 : Conception hirarchique du process quip du systme de scurit


5.2.1. Modle du process
Le process (rservoir) et modlis par un systme chantillonn. Il est connect aux capteurs
laide de la place "vers_capteur" qui est une place partage. La place "process" contient un
jeton de type float (rel) qui correspond ltat normal du fonctionnement du rservoir et
donc la pression nominale.

- 142 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Figure 4.17 : Modle SAN du rservoir


Pour le franchissement de la transition instantane "dirac1", la porte dentre IG1 permet le
test sur la prsence dun jeton dans la "Place1". Le jeton apparat dans cette place seulement
aux instants k*Te (k = 0, 1, 2, 3, ), il est temporis par la priode dchantillonnage
(transition "T_echat"). Cette prsence de jeton est synonyme de la possibilit de lexcution
de lalgorithme prsent dans la porte de sortie IG2. En effet, la non occurrence de leffet
dangereux dans le rservoir qui prend la forme dune surpression entrane un fonctionnement
normal et lattribution de la marque de la place "process" la place partage "vers_capteur".
En cas de surpression (prsence dun jeton dans la place "surpression"), la pression ne varie
pas instantanment et elle va varier selon un systme du premier ordre dcrit par les quations
suivantes :
x(k + 1) = 0.99 x(k ) + 0.135u (k )
x(k ) = x(k + 1)
o x(k+1) et x(k) sont des variables internes du systme et u(k) est une entre. Aprs chaque
simulation, les valeurs de x(k+1) et x(k) sont rinitialises par la prsence dun jeton dans la
"Place2".
La transition "def" dispose dune distribution de loi exponentielle et le taux affect cette
transition est calcule dans lhypothse de la faible demande.
Le systme va voluer aux instants k*Te (k=0,1, 2, 3, ). Cette volution est observe dans
la figure 4.18 avec ladjonction dune surpression.

- 143 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Figure 4.18 : Evolution de la pression dans le rservoir


Cette figure montre lvolution de la pression dans le process (rservoir). On constate que la
valeur nominale de la pression est de 150 et que lvnement dangereux a lieu dans cet
exemple vers la date t = 4984 heures. Ce nest videmment pas la seule date laquelle peut
survenir cette surpression, en effet, dautres simulations permettront davoir des dates autres
que celle-l.
Aussitt la surpression arrive, la demande dactivation de la fonction de scurit est
dclenche. Les deux vannes en redondance 1oo2 vont pouvoir assurer la mise en tat sr du
process en cas de leur bon fonctionnement.
5.2.2. Modle du capteur
Dans le modle du capteur (figure 4.19), il y a cohabitation entre la partie fonctionnelle et la
partie dysfonctionnelle. Les deux modes de dfaillances qui affectent ce composant sont
reprsents dans la partie dysfonctionnelle par les places "capt1_danger" et "capt1_sur". Ces
places caractrisent respectivement les dfaillances dangereuses et les dfaillances sres. La
transition "def_capt1" est tire au moment de lavnement de la dfaillance qui suit une
distribution exponentielle et qui est suivi dune possibilit de couverture de diagnostic pour
permettre de rpartir les dfaillances dans les deux modes existants. Le tir de la transition
dterministe "restore" permet la restauration du composant vers ltat de fonctionnement
normal reprsent par la place "capteur1_OK".

- 144 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Figure 4.19: Modle du capteur


La place "entree_capteur1" qui est une place partage avec le modle du rservoir dispose de
la valeur de la mesure. A chaque priode dchantillonnage, une nouvelle mesure est tablie et
prpare pour lenvoi condition que le capteur ne soit pas dans une situation de dfaillance
dangereuse. Les messages sont donc envoys priodiquement. La dfaillance dangereuse ne
modifie pas la capacit de communication du capteur. Elle arrte uniquement la prise de
mesures.
Pour le cas des dfaillances sres, la procdure utilise (cf. chapitre1) est base sur
lutilisation de modles et elle consiste en la gnration de rsidus par la reconstruction de la
sortie et sa comparaison avec la sortie mesure et ensuite ltape de la validation consiste en
la prise de dcision vis--vis de ce modle qui ne donne quune approximation du
comportement rel.
Ainsi, les rsidus labors seront stocks dans la place "memoire1" et le contenu de cette
place sera utilis au moment o le capteur quitte son tat de fonctionnement normal et se
trouve en tat de dfaillances sres.
5.2.3. Modle de lautomate
La partie dysfonctionnelle est similaire pour tous les composants (capteurs, automate,
actionneurs). Ce sont les traitements qui vont diffrer dun composant un autre suivant
quon est dans cette situation ou une autre.
Lautomate reoit en son entre les deux mesures qui proviennent des deux capteurs
redondants. Les places "entree1_automate" et "entree2_automate" sont partages avec les
places de sorties de deux capteurs ("sortie_capteur1" pour le premier capteur dans la figure
prcdente par exemple). Au cas de la disponibilit dau moins un des deux capteurs et du
bon fonctionnement de lautomate, celui-ci va pouvoir laborer un ordre (franchissement de la
transition instantane "ordre") et le transmettre aux deux actionneurs qui sont en redondance
1oo2. Lordre transmis est soit ne rien faire lorsque la pression mesure par les capteurs est
nominale ou agir par la fermeture des actionneurs au cas o il y a une surpression.

- 145 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Figure 4.20 : Modle de lautomate


5.2.4. Modle de lactionneur
Lautorisation de lactionnement des actionneurs est assujettie leur bon fonctionnement. En
cas de dfaillance, lordre manant de lautomate ne peut aboutir.
Les actionneurs dans les applications relatives la scurit sont considrs comme des
composants dormants. Cest pourquoi, la seule fois o ils vont tre mis en actionnement est le
cas de la surpression et lapparition de lvnement dangereux dans le rservoir. Dans ce cas
la place "Place2" sera marque par un jeton qui va permettre le franchissement de la
transition "depression" synonyme du retour un tat de scurit.

Figure 4.21 : Modle de lactionneur


Aprs interaction entre les diffrents composants du systme global, celui-ci peut se trouver
dans quatre tats possibles.

5.3. Dfinition des tats


Le systme peut se trouver dans quatre types dtats :
-

un tat normal
- 146 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

un tat normal dgrad

un tat de dfaillances sres

un tat dangereux

5.3.1. Etat normal


La fonction de scurit est valide dans cet tat et peut tre active en cas de sollicitation et il
nexiste pas de dfaillance.
5.3.2. Etat normal dgrad
Dans ltat normal dgrad, la fonction de scurit est valide, des composants de systmes
pouvant tre dfaillants. Le systme peut ragir lors de lavnement dun vnement
dangereux. En effet, il y a plus dun moyen pour excuter la fonction de scurit. Cest le cas
de lexistence de la redondance.

5.3.3. Etat de dfaillances sres


Dans ltat sr, la scurit est assure pour le systme. Cet tat peut faire suite lapparition
dun vnement dangereux (surpression dans le rservoir) ayant entran la demande
dactivation de la fonction de scurit, on est donc dans le fonctionnement nominal du
systme.
Il peut aussi faire suite une dfaillance dun ou de plusieurs composants. Le systme peut
entrer dans cet tat lorsque :
-

il y a eu dtection de la dfaillance

il y a eu dclenchement intempestif auquel cas la dfaillance na pas eu daction


nfaste vis--vis de la scurit et le systme est plac dans un tat sr ou de scurit.

5.3.4. Etat dangereux


Cest un tat du systme o la fonction de scurit ne peut plus tre excute. Un ou plusieurs
composants sont dfaillants.
Le systme ne peut plus rpondre une demande dactivation de la fonction de scurit lors
de larrive dun vnement dangereux et il y a risque daccident.
La figure 4.22 regroupe les diffrents tats du systme ainsi que les transitions entre ces tats.

- 147 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Etat 1 : Etat
normal

Etat 3 : Etat
sr

Etat 2 : Etat
normal dgrad

Etat 4: Etat
dangereux

Figure 22 : Etats du systme et transitions entre tats

5.4. Fonctionnalit de validation au niveau des capteurs


La validation telle quelle a t dcrite dans le chapitre 1 est reprise dans la modlisation des
capteurs.
Le tableau 4.6 illustre le mcanisme de compensation labor au niveau des capteurs
redondants et la logique de dcision entreprise :

Capteur 1

Capteur 2

OK

OK

OK

Danger

OK

Sur

Sur

OK

Sur

Danger

Sur

Sur

Danger

OK

Danger

Danger

Danger

Sur

tat

Tableau 4.6 : Etats des capteurs redondants


En effet, le module de reconstruction de la sortie incorpor dans les deux capteurs va
permettre en cas de dfauts de gnrer un rsidu et la valeur de sortie sera substitue, ce qui
permet la continuit du service. La logique de dcision permet en fonction des tats des deux

- 148 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

capteurs et par lintermdiaire de la possibilit de la compensation de placer les deux capteurs


dans un tat correspondant conformment au tableau 4.6.

5.5. Performances en scurit du systme rservoir de pression

Figure 4.23 : PFD et PFS du systme rservoir

La figure 4.23 montre lvolution des deux mtriques principales des performances en
scurit PFD et PFS pour une dure de 10000 heures qui est un peu suprieure une anne
(8670 heures). Les paramtres du modle sont :
lambda_actionneur

float

9.0E-6

lambda_automate

float

8.10-7

lambda_capteur

float

6.10-6

lambda_demande

float

1.5E-4

capti

float

captimoin1

float

cd_capteur

float

0.75

cd_actionneur

float

0.75

- 149 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

cd_automate

float

0.75

periode_echantillonage

float

0.5

sd_capteur

float

24.0

sd_actionneur

float

24.0

sd_automate

float

24.0

ti

float

timoin1

float

residu

float

xk

float

xkplus1

float

ps1

int

ps2

int

plc

int

int

qu

int

Le taux de dfaillance qui concerne lvnement dangereux dans le rservoir est choisi
conformment la clause 3.5.12. de la partie 4 de la norme qui stipule que lon est en mode
de faible demande : lorsque la frquence des demandes de fonctionnement sur un systme
relatif la scurit est plus grande que une par an et au plus gale deux fois la frquence
des tests priodiques.
Ceci se traduit par une frquence comprise dans lintervalle suivant :
1,141.10-4< lambda_demande < 2,283.10-4
La fonction traitement peut tre plus au moins complexe. Elle peut se rsumer acqurir une
grandeur mesure par un capteur et lindiquer. Elle peut galement rcolter plusieurs
informations manant de plusieurs capteurs et en faire un traitement partir dune fonction
combinatoire. Les units de traitement peuvent tre classes en deux catgories suivant leur
technologie :
 Les technologies cbles, base de composants logiques lmentaires (relais), lis
entre eux lectriquement,
 Les technologies programmes, base dautomates programmables (API), de
systmes numriques de contrle commande (SNCC), ou de cartes lectroniques
microprocesseurs.
Dans la fonction instrumente de scurit relative au systme tudi, la logique utilise pour
la fonction traitement est rduite aux composants cbls de telle faon raliser des fonctions
logiques contrairement aux dispositifs de terrain qui disposent eux dune intelligence locale.

- 150 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Les technologies relais sont considrs comme un bon choix pour la logique de traitement
lorsque le nombre dentre/sorties est faible (moins de 6) et les modifications futures dans la
logique de traitement sont hautement improbables [GOB 05].
Il faut attirer lintention sur le fait que lutilisation de cette logique cble nest pas suffisante
pour assurer de meilleures performances en scurit mais ceci est compens par la
cohabitation avec cette logique cble dinstruments intelligents capables de compenser le
manque laiss par les automates programmables. Ceux ci sont gnralement composs dune
architecture particulire utilisant plusieurs microprocesseurs coupls des circuits dentre et
de sortie via des modules spcifiques. Cette panoplie de circuiterie fait en sorte que les
automates programmables disposent de taux de dfaillances additionnels et de nouveaux
modes de dfaillances.
[ISA 84] donne une relation qui illustre ces propos :

PLC = n IC IC + n IP + MP + m OP + mOC OC
o
nIC : nombre des canaux dentres (Input Channels),
n : nombre des modules dentre (Input modules),
m : nombres des modules de sorties (output modules),
MP : processeur principal (Main Processor),
mOC : nombre des canaux de sortie (output Channels).
Le taux de dfaillance global dun automate programmable est plus grand par rapport celui
dune logique cble relais.
La valeur cite parmi les paramtres ci-dessus sapparente celle du taux de dfaillance dun
systme logique cble. Le taux est gal 8.10-7 [GOB 05] tandis que pour lautomate
utilis pour le systme classique comportant le niveau 0, en ce qui concerne lintelligence
dans les instruments, celui l dispose dun taux de 2.10-5 (voir table 4.1).
Les autres paramtres cits ci-dessus sont utiliss pour la dtermination du rsidu pour la
reconstruction de la sortie en cas de dfauts dans le capteur (capti, captimoin1, ti, timoin1,
residu) ou comme variables internes dcrivant le fonctionnement dans quelques dispositifs
(xk, xkplus1) ou comme identificateurs propres aux dispositifs (ps1, ps2, plc).
La figure 4.23 montre les performances en scurit dun systme instrument de scurit
rservoir de pression. Lvolution des deux mtriques qui dcrivent les performances en
scurit du systme tudi montrent une nette diminution de la probabilit de dfaillances
sres et une augmentation de la probabilit de dfaillances sres. Une illustration est faite sur
le tableau 4.7 suivant :

- 151 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

PFD

PFS

Dure (heures)

SIS normal (niveau 0)

1000

5.10-3

SIS avec validation


(niveau 3)
2.10-4

5000

2,25.10-2

1,4.10-3

8760

4,13.10-2

3,4.10-3

10000

4,79.10-2

4,2.10-3

1000

2,79.10-2

1,46.10-2

5000

1,351.10-1

6,64.10-2

8760

2,221.10-1

1,123.10-1

10000

2,513.10-1

1,273.10-1

Tableau 4.7 : Comparaison des performances en scurit


Ladjonction de la fonctionnalit validation telle quelle a t dcrite auparavant a contribu
lamlioration des performances en scurit dune faon significative. En effet, la probabilit
de dfaillances dangereuses a nettement diminu alors que la probabilit de dfaillances sres
a sensiblement diminu par rapport aux valeurs relatives un SIS classique. Notons que ces
probabilits correspondent respectivement la prsence dans les tats 4 et 3 dcrits dans la
figure 4.24. Nous relevons donc une forte diminution de la valeur de la PFD due
essentiellement la transformation de quelques cas dangereux induisant le systme dans un
tat dgrad (2). Dailleurs, la probabilit de siger dans cet tat est passe de 2,87510-2 pour
le SIS normal 7,03.10-2 lorsquil y a validations dans les deux capteurs. Ceci montre
clairement que la prsence du systme dans cet tat quasi normal (tat dgrad) sest accrue
en affectant aussi la probabilit des dfaillances dangereuses. La nette diminution de la valeur
de la PFS par rapport aux valeurs du systme SIS classique a pour motif la prise en compte
dans les capteurs de pression des valeurs octroyes par le modle qui dcrit la fonctionnalit
de la validation. En effet, en prsence de dfaillances sres, la continuit du service peut tre
assure. Limpact est pressenti globalement dans le systme de scurit.
La valeur moyenne de lindisponibilit de la fonction de scurit donne par la PFDmoy pour
une dure de simulation de 10000 heures qui correspond un intervalle entre deux tests
priodiques est de 1,707.10-3. Le systme est par consquent dans un tat correspondant au
SIL 2. Pour le systme normal (niveau 0), la valeur moyenne de lindisponibilit de la
fonction de scurit PFDmoy = 2,33.10-2, ce qui correspond un systme SIL 1. Nous
constatons que le niveau de SIL a chang et il est amlior du fait quil est pass du niveau 1
au niveau 2. Ce rsultat illustre bien la contribution des instruments intelligents dans les
boucles de scurit.
La figure 4.24 montre lvolution des deux mtriques (PFD et PFS) et illustre les chutes de
leurs valeurs lorsque nous sommes passs dun systme classique un systme SISID.

- 152 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Figure 4.24 : Chute des deux mtriques


Le tableau 4.8 donne les pourcentages de temps pass dans les diffrentes zones SIL. Ce
tableau montre quil existe une cohrence apparente entre la valeur de la PFDmoy et le temps
pass dans les diffrentes zones SIL.

SIL

Pourcentage de temps pass dans les zones SIL (%)

SIL0

SIL1

SIL2

70,73

SIL3

26,35

SIL4

2,92

Tableau 4.8 : Pourcentage de temps pass dans les zones SIL

5.6. Indicateurs de performances


De la mme faon, nous reprenons les deux indicateurs de performances IPPFD et IPPFS dcrits
auparavant pour faire la correspondance entre les niveaux dintelligence et les performances
en scurit.
- 153 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Le calcul de ces deux indicateurs nous donne les valeurs suivante : IPPFD = 0.011 et IPPFS =
0.432.
Ces valeurs correspondent donc lintroduction dune intelligence niveau 3 tel que cela tait
dcrit au chapitre 1.
Nous constatons que le niveau 3 dintelligence a de linfluence directe sur les performances
en scurit. Lamlioration est nettement aperue dans les valeurs des indicateurs de
performances qui se trouvent diminus.

5.7. Conclusion
Malgr la nette diminution de la valeur de la PFS, linfluence sur le SIL du systme est faible
car le niveau dintgrit de scurit qui dcrit en quelques sorte la qualit dun systme de
scurit ne se mesure que par la probabilit de dfaillances dangereuses. Sa notion est en
quelque sorte une mesure de la confiance avec laquelle le systme peut s'attendre excuter la
fonction de scurit. Or, ceci est trs restrictif, et ce point l est lune des faiblesses de la
norme CEI 61508 qui accorde un niveau de confiance aux systmes disposant dun niveau de
SIL lev sans se proccuper du taux de dfaillances sres.
Dans la suite, nous allons inclure des dfaillances possibles des modules qui assurent le
diagnostic pour voir limpact de ce mode de dfaillance additionnel sur les performances en
scurit du systme.

6. Inclusion des dfaillances de la fonctionnalit validation dans le


modle dysfonctionnel du capteur
Dans cette partie, nous allons introduire la dfaillance possible du modle qui reconstruit la
sortie. En effet, une dfaillance dans le circuit de diagnostic ne possde pas un impact
immdiat sur le bon fonctionnement d'un capteur. Le capteur va continuer fonctionner
normalement. Toutefois, un dfaut de diagnostic dans le circuit du capteur permet de crer
une situation potentiellement dangereuse sur vnement d'une deuxime faute, la dfaillance
du diagnostic va tre incluse dans l'analyse de la PFD moyenne.

6.1. Description des tats du capteur

2
1
3

Figure 4.25 : Diffrents tats du capteur de pression


- 154 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

Les tats 1, 2 et 4 reprsentent respectivement ltat de bon fonctionnement du capteur, ltat


de dfaillances sres et ltat de dfaillances dangereuses. Ces tats sont communs au capteur
dcrit dans le modle du systme de scurit utilis pour le rservoir de pression. Ltat
nouveau est ltat 3 qui se comporte comme un tat dgrad au niveau du capteur qualifiant la
dfaillance de llment qui assurait la redondance fonctionnelle.

6.2. Modle SAN du capteur

Figure 4.26 : Modle SAN du capteur


Dans le modle dcrit par la figure 4.26, le capteur fonctionne avec succs dans les places
OK_1 et Degrade_3. Ces places reprsentent les tats de bon fonctionnement (1 et 3) dcrits
dans la figure 4.24. La dfaillance du module relatif au diagnostic (tir de la transition
lambda_diag) entrane lexposition du capteur un tat de danger si celui-ci se trouvait dans
un tat de dfaillances sres puisque le module de diagnostic ne peut plus rvler les
dfaillances sres.
La simulation de ce modle qui tient compte des dfaillances du module de diagnostic pour
un temps de mission de 8760 heures nous a permis dobtenir une probabilit de dfaillances
dangereuses dune valeur de 1,29.10-2. Alors que la valeur de cette probabilit en ayant un
module de diagnostic sans dfaillances est de 1,25.10-2.
Cette donne va avoir bien entendu un impact sur la PFD du systme global. Il faut noter
aussi que dautres modes de dfaillance sont ncessaires pour se procurer des informations sur
les performances de scurit et ceci a t mis en vidence par lexemple dapplication de ce
capteur.

- 155 -

Chapitre 4 : Mise en uvre de lvaluation de la sret de fonctionnement des SISID

7. Conclusion
Dans ce chapitre, nous avons pu construire un modle de simulation dun systme instrument
de scurit (SIS) auquel nous avons incorpor quelques fonctionnalits des instruments
intelligents dans le but dvaluer les performations en scurit. Le modle construit base de
rseaux dactivit stochastiques permet de modliser des architectures de SIS avec des
facilits offertes par un pouvoir de composition hirarchique de loutil de modlisation. Le
choix des rseaux dactivit stochastiques qui sont une extension des rseaux de Petri
stochastiques sest avr tre adquat pour mener bien llaboration du modle. Ce modle a
ainsi pu tre simul grce loutil Mbius. Les rsultats de simulation ont bien montr
limpact de lutilisation des instruments intelligents dans une application scuritaire sur les
performances en scurit. En effet, les valeurs des mtriques (PFD et PFS) ont volu avec
lintroduction de fonctionnalits propres aux instruments intelligents illustrant ainsi les
mcanismes introduits par ces fonctionnalits.
Nous avons pu travers le premier exemple montrer quun des apports des instruments
intelligents est la transformation de dfaillances dangereuses en dfaillances sres par le biais
de la diminution de la probabilit des dfaillances dangereuses et laugmentation de la
probabilit des dfaillances sres. Lexemple du rservoir dans lequel nous avons introduit
des modules de validation a permis de pressentir laction que peut avoir leur inclusion sur les
dfaillances sres du systme. Nous avons aussi trait le cas de la dfaillance de ces modules
qui a pour consquence laugmentation des dfaillances dangereuses du systme.
Nous avons pu percevoir que la notion de SIL qui revt un grand intrt selon la norme CEI
61508, semble insuffisante pour obtenir une bonne image de la ralit des risques encourus.
Lvaluation du pourcentage de temps que passe le systme dans chaque zone SIL permet
dobtenir une indication plus prcise.
Lintroduction des indicateurs de performances nous a permis de mieux faire la
correspondance entre les niveaux dintelligence requis dans les instruments et les
performances globales en scurit.

- 156 -

Conclusion gnrale et perspectives

Conclusion gnrale
et perspectives

- 157 -

Conclusion gnrale et perspectives

Conclusion gnrale et
perspectives
Bilan
Lobjectif de nos travaux tait dvaluer la sret de fonctionnement des systmes
instruments de scurit intgrant de lintelligence, afin de vrifier limpact de lutilisation
des instruments intelligents dans les applications scuritaires conformment aux nouvelles
normes relatives la scurit CEI 61508 et CEI 61511.
La complexit des systmes comportant des instruments intelligents ainsi que les exigences en
matire de scurit recommandes par les normes rendent dlicate la modlisation de ces
systmes et leur valuation dun point de vue sret de fonctionnement devient non triviale.
Ces systmes sont gnralement programms et ils disposent ventuellement de multiples
modes de dfaillances pour un composant, les modes de dfaillance ayant des effets diffrents
sur le systme, architecture fonctionnelle variable pour une architecture matrielle donne et
ils sont souvent soumis des tests priodiques et autotests, ce qui induit la co-existence de
dfaillances dtectes et de dfaillances non dtectes, avec une trs forte influence du taux de
dtection sur les caractristiques de sret de fonctionnement du systme.
Toutes ces caractristiques font qu'ils sont particulirement difficiles modliser, surtout si
l'on veut utiliser des modles classiques en sret de fonctionnement, tels que les arbres de
dfaillances. Nous avons explor diffrentes voies pour modliser et obtenir des rsultats
qualitatifs (coupes minimales, squences amenant un tat indsirable) et/ou quantitatifs
(indisponibilit, dfiabilit) sur de tels systmes.
L'apprhension qualitative de la logique de dysfonctionnement du systme conduisant un
vnement redout prdfini impose la mthode de l'arbre des dfaillances. La reprsentation
par graphes d'tats (Markov) permet la modlisation de l'volution prvisible du systme. La
mthode de larbre des dfaillance est base sur la logique boolenne pour reprsenter le
systme tudi et elle est adapte des systmes configuration statique, cest--dire des
systmes dont les relations fonctionnelles entre leurs composants restent figes. Cette
mthode est donc inapproprie dans le cas de nos travaux. La modlisation avec les graphes
de Markov permet de prendre en compte les dpendances temporelles et stochastiques plus
largement que les mthodes classiques. En dpit de leur simplicit conceptuelle et leur
aptitude pallier certains handicaps des mthodes classiques, les graphes de Markov souffrent
de lexplosion du nombre des tats, car le processus de modlisation implique lnumration
de tous les tats possibles et de toutes les transitions entre ces tats. Cette seconde approche

- 158 -

Conclusion gnrale et perspectives

est fortement limite par le fait que les lois rgissant les transitions entre tats doivent tre du
type exponentiel (taux de dfaillance et de rparation constants). Or les dures de
fonctionnement avant dfaillance de nombreux composants ou systmes ne suivent pas
compltement une loi exponentielle et des lois de Dirac peuvent tre mises en jeu
conjointement. On peut donc en conclure que l'approche markovienne ne peut contribuer la
rsolution du problme pos.
La mthodologie, que nous avons utilise, a consist en la modlisation de laspect
fonctionnel et dysfonctionnel de ces systmes en adoptant le formalisme bas sur les rseaux
de Petri stochastiques qui assurent la reprsentation du comportement dynamique de ce type
de systmes. La modlisation est traite sous la forme dune approche stochastique utilisant
les SAN (Stochastic Activity Network). Les SAN sont un formalisme de modlisation puissant
et sont une extension des rseaux de Petri stochastiques. Les SAN conservent toute la
puissance de modlisation des rseaux de Petri stochastiques par lemploi dactivits
stochastiques. Un autre avantage des SAN est manifest par le pouvoir daccder aux
diffrents marquages de toutes les places chaque instant moyennant des portes dentre et de
sortie. Ce formalisme de modlisation est coupl la technique de simulation (simulation de
Monte Carlo) pour lvaluation des performances. Lassociation des rseaux dactivits
stochastiques une mthode de simulation de Monte-Carlo constituent une approche
alternative puissante pour valuer la performance globale en sret de fonctionnement des
systmes prsentant des aspects temporels et dynamiques.
Nous avons pu construire un modle de simulation dun systme instrument de scurit (SIS)
auquel nous avons incorpor quelques fonctionnalits des instruments intelligents dans le but
dvaluer les performances en scurit. Ce modle a ainsi pu tre simul grce loutil
Mbius. Les rsultats de simulation ont bien montr limpact de lutilisation des instruments
intelligents dans une application scuritaire sur les performances en scurit. En effet, les
valeurs des mtriques (PFD et PFS) ont volu avec lintroduction de fonctionnalits propres
aux instruments intelligents illustrant ainsi les mcanismes introduits par ces fonctionnalits.
La modlisation de tous les dispositifs est conue dune manire hirarchique, en partant des
modles de base du systme. La composition est forme par la jonction des modles de base
qui constituent des structures gnriques sous forme de bibliothque de composants.
Lvaluation des performances en scurit est assure par la dtermination des deux mtriques
PFD et PFS qui se rapportent aux deux modes de dfaillances cits par la norme mais aussi du
niveau dintgrit de scurit (SIL).
A travers nos travaux, nous avons pu parvenir aux rsultats suivants :
 Nous avons pu laborer un modle fonctionnel dinstrument intelligent intgrant un
ensemble de fonctionnalits relatives au capteur intelligent et lactionneur intelligent
pour tendre vers plus de gnricit.
 A travers un premier exemple, nous avons montr quun des apports des instruments
intelligents est la transformation de dfaillances dangereuses en dfaillances sres par
le biais de la diminution de la probabilit des dfaillances dangereuses et
laugmentation de la probabilit des dfaillances sres.
 Nous avons pu constater par lintroduction des indicateurs de performances quil
existe un impact direct du niveau dintelligence sur les performances en scurit.
Lamlioration est nettement aperue dans les valeurs des indicateurs de performances
pour des applications niveau lev dintelligence (exemple du rservoir).

- 159 -

Conclusion gnrale et perspectives


 La notion de SIL qui revt un grand intrt selon la norme CEI 61508, semble
insuffisante pour obtenir une bonne image de la ralit des risques encourus.
Lvaluation du pourcentage de temps que passe le systme dans chaque zone SIL
permet dobtenir une indication plus prcise. En effet, lexemple trait nous a permis
de dterminer le niveau de SIL relatif chaque systme et de voir que lapport de
lintelligence permet de couvrir les zones de niveaux de SIL exigs par la norme pour
un SIS qui disposait dun niveau de SIL 1 mais qui ne pouvait pas tre maintenu
pendant toute la dure entre deux tests dintervalle.
 La valeur PFD qui est une exigence satisfaire le niveau d'intgrit de scurit de la
norme CEI 61508 ne peut elle seule dcrire les performances en terme de scurit
pour les systmes et il faut inclure la valeur PFS pour laquelle il n'existe pas
actuellement de prescriptions dans le monde de la scurit internationale, bien que les
utilisateurs de systme de scurit exigent un niveau aussi bas que possible de la
valeur de la PFS.
 En terme de mthodologie, nous avons pu dans nos modles faire cohabiter
linteraction entre laspect fonctionnel et laspect dysfonctionnel pour la description
du comportement du systme en introduisant aussi le modle de la demande
dactivation de la fonction de scurit. Lapproche que nous proposons consiste
crer un modle global sur lequel sappuie lanalyse quantitative. Il est compos dune
partie fonctionnelle spcifiant le comportement du systme et dune partie
dysfonctionnelle. Cette dernire consiste formaliser loccurrence de dfaillances de
composants susceptibles de tomber en panne.

Perspectives
Les rsultats obtenus dans cette thse se situent dans le cadre formul par un ensemble
dhypothses: composants non rparables, taux de dfaillance constants, absence de causes
communes de dfaillances. Les perspectives de ces travaux visent revenir sur ces hypothses
en proposant et en mettant en vidence quelques perspectives dextension des rsultats
obtenus :
 Concernant les normes CEI 61508 [CEI 00] et CEI 61511 [CEI 03] :
o La prise en compte des paramtres qui figurent dans ces normes tels que le
facteur de dfaillances de cause commune. La prise en compte de ce facteur
se fait en ajoutant au modle dysfonctionnel des instruments en redondance le
modle SAN ces dfaillances de cause commune.
o Lexploration du cas des systmes disposant de taux de demandes lev ou
continu. Cela implique lvaluation du taux de dfaillances par heure (PFH)
comme exig par les normes ddies la scurit CEI 61508 et CEI 61511.
o Lanalyse de limpact sur les dfaillances sres spcialement en relation avec
la fraction des dfaillances sres.
 La gnralisation du cas de lincorporation de lintelligence niveau 3 une
architecture rpartie disposant dune multitude dinstruments intelligents
communicant entre eux et changeant leurs informations.
 Le traitement du cas de la dfaillance du rseau de communication (pertes de
trames) et voir son influence sur les paramtres en scurit.

- 160 -

Conclusion gnrale et perspectives


 Lutilisation dun rseau de terrain ddi la scurit dans larchitecture globale du
systme de scurit.

- 161 -

Annexes

Annexes

- 162 -

Annexe 1 : la sret de fonctionnement

Annexe 1 : La sret de
fonctionnement

- 163 -

Annexe 1 : la sret de fonctionnement

La sret de fonctionnement

1. Concepts de la sret de fonctionnement


La sret de fonctionnement est la science de dfaillances [VIL 88]. Elle inclut ainsi leur
connaissance, leur valuation, leur prvision, leur mesure et leur matrise. Au sens strict, cest
la proprit qui permet ses utilisateurs de placer une confiance justifie dans la qualit du
service dlivr [LAP 88].
Les entraves de la sret de fonctionnement : fautes, erreurs et dfaillances sont les
circonstances indsirables, causes ou rsultats de la non sret de fonctionnement.
Une dfaillance du systme survient lorsque le service dlivr dvie de l'accomplissement de
la fonction du systme, c'est--dire de ce quoi le systme est destin. Une erreur est la partie
de l'tat du systme qui est susceptible d'entraner une dfaillance, c'est--dire qu'une
dfaillance se produit lorsque l'erreur atteint l'interface du service fourni, et le modifie. Une
faute est la cause adjuge ou suppose d'une erreur. Il existe donc une chane causale entre
faute, erreur et dfaillance.
La sret de fonctionnement englobe les attributs suivants :
 La fiabilit qui est laptitude dune entit accomplir une fonction requise, dans des
conditions donnes, pendant un intervalle de temps donn,
 La disponibilit qui laptitude dune entit tre en tat daccomplir une fonction
requise dans des conditions donnes, un instant donn ou pendant un intervalle de
temps donn, en supposant que la fourniture des moyens extrieurs est assure,
 La maintenabilit qui est laptitude dune entit tre maintenue ou rtablie, sur un
intervalle de temps donn, dans un tat dans lequel elle peut accomplir une fonction
requise, lorsque la maintenance est accomplie dans des conditions donnes, avec des
procdures et des moyens prescrits,


Lintgrit qui est la non-occurrence d'altrations inappropries de l'information,

 La scurit confidentialit (ou encore immunit) qui est labsence de divulgation non
autorise dinformations,


La scurit innocuit, qui est la non-occurrence de consquences catastrophiques pour


lhomme, l'environnement et les biens.

Lassociation des qualificatifs innocuit et immunit permet de lever lambigut associe


scurit. Il est noter que cette ambigut nexiste pas en anglais, qui dispose de safety pour
la scurit innocuit et de security pour la scurit-immunit, sret de fonctionnement tant
dependability.

- 164 -

Annexe 1 : la sret de fonctionnement

Le dveloppement dun systme sr de fonctionnement passe par lutilisation combine dun


ensemble de mthodes, appeles moyens de la sret de fonctionnement, qui peuvent tre
classes en :
 Prvention des fautes, comment empcher par construction, loccurrence ou
lintroduction de fautes
 Tolrance aux fautes, comment fournir par redondance, un service conforme la
spcification en dpit des fautes,
 Elimination des fautes, comment minimiser par vrification la prsence de fautes,
 Prvision des fautes, comment estimer la prsence, la cration et les consquences de
fautes.
Le schma complet de la taxonomie de la sret de fonctionnement est donn la figure A.1 :
Fiabilit
Disponibilit
Scurit innocuit
Attributs
Maintenabilit
Scurit confidentialit
Intgrit

Sret de fonctionnement

Fautes
Entraves

Erreurs
Dfaillances
Prvention des fautes

Entraves

Tolrance aux fautes


Elimination des fautes
Prvision des fautes

Figure A.1 : Taxonomie de la sret de fonctionnement [AVI 04]

2. Mthodes danalyse de la sret de fonctionnement


Les mthodes danalyse de la sret de fonctionnement utilisent pour la plus part une
dcomposition des grands systmes en sous-systmes ou composants individuels dont les
caractristiques sont supposes connues.
Lvaluation de la sret de fonctionnement dun systme consiste analyser les dfaillances
des composants pour estimer leurs consquences sur le service rendu par le systme. Les

- 165 -

Annexe 1 : la sret de fonctionnement

principales mthodes utilises lors dune analyse de la sret de fonctionnement sont dcrites
ci-dessous.

2.1. Analyse prliminaire de risques


LAnalyse Prliminaire des Risques (APR) est une extension de lAnalyse Prliminaire des
Dangers (APD) qui a t utilise pour la premire fois aux Etats-Unis, au dbut des annes
soixante [VIL 88]. Depuis, cette utilisation sest gnralise de nombreux domaines tels que
laronautique, chimique, nuclaire et automobile.
Cette mthode a pour objectifs :
1) didentifier les dangers dun systme et de dfinir ses causes,
2) dvaluer la gravit des consquences lies aux situations dangereuses et les
accidents potentiels.
LAPR permet de dduire tous les moyens, toutes les actions correctrices permettant
dliminer ou de matriser les situations dangereuses et les accidents potentiels. Il est
recommand de commencer lAPR ds les premires phases de la conception. Cette analyse
sera vrifie, complte au fur et mesure de lavancement dans la ralisation de systme.
LAPR permet de mettre en vidence les vnements redouts critiques qui devront tre
analyss en dtail dans la suite de ltude de sret de fonctionnement, en particulier par la
mthode des arbres de dfaillances qui sera dcrite par la suite.

2.2. Lanalyse des modes de dfaillances, de leurs effets et de leur criticit


LAnalyse des Modes de Dfaillance, de leurs Effets et de leur Criticit (AMDEC) est une
extension naturelle de lAnalyse des Modes de Dfaillance et de leurs Effets (AMDE) utilise
pour la premire fois partir des annes soixante pour lanalyse de la scurit des avions [VIL
88]. LAMDEC considre la probabilit doccurrence de chaque mode de dfaillance et la
classe de gravit de ces dfaillances, mais aussi les classes correspondantes de probabilits
doccurrence plus que les probabilits elles-mmes. On peut ainsi sassurer que les modes de
dfaillance ayant dimportants effets ont des probabilits doccurrence suffisamment faibles,
grce aux mthodes de conception, aux diverses vrifications et aux procdures de test.

2.3. Arbres des causes


La mthode a pour objectifs [VIL 88] la dtermination des diverses combinaisons possibles
dvnements qui entranent la ralisation dun vnement indsirable unique, la
reprsentation graphique de ces combinaisons sous forme dune structure arborescente.
Un arbre des causes est compos de portes et dvnements. Les vnements sont combins
par les portes classiques (ET, OU) ou des portes tendues (m sur n).
Lanalyse par arbre des causes est une analyse dductive qui permet de reprsenter
graphiquement les combinaisons dvnements qui conduisent la ralisation de lvnement
redout.
Lanalyse par arbre des causes doit rechercher, partir dun vnement indsirable (ou
redout), les dfaillances de composants dont la combinaison entrane lapparition de
lvnement indsirable.

- 166 -

Annexe 1 : la sret de fonctionnement

Deux aspects danalyse peuvent tre labors :


 laspect qualitatif en dterminant lensemble des coupes minimales (la coupe
minimale est la combinaison dvnements de base entranant lvnement redout),
 laspect quantitatif permettant la dtermination par un calcul la probabilit
dapparition de lvnement redout ou indsirable.
Lanalyse par arbre des causes est largement utilise dans les tudes de sret de
fonctionnement car elle caractrise de faon claire les liens de dpendance, du point de vue
dysfonctionnement, entre les composants dun systme. Bien que cette mthode soit efficace,
elle prsente des limites. Lune de ces limites est que lordre doccurrence des vnements
menant vers ltat redout nest pas pris en compte.

2.4. Diagrammes de fiabilit


Un diagramme de fiabilit permet le calcul de disponibilit ou la fiabilit du systme
modlis, mais avec les mmes restrictions quun Arbre des causes. Tous les chemins entre
lentre et la sortie dcrivent les conditions pour que la fonction soit accomplie. On suppose
que les composants nont que deux tats de fonctionnement (fonctionnement correct ou
panne).

2.5. Analyse de Markov


La mthode de graphes de Markov est utilise pour analyser et valuer la sret de
fonctionnement des systmes rparables. La construction dun graphe de Markov consiste
identifier les diffrents tats du systme (dfaillants ou non dfaillants) et chercher comment
passer dun tat un autre lors d'un dysfonctionnement ou dune rparation. A chaque
transition, de ltat Ei vers ltat Ej, est associ un taux de transition ij dfini de telle sorte que
ij.dt est gal la probabilit de passer de Ei vers Ej entre deux instants trs proches t et t+dt
sachant que lon est en Ei linstant de temps t.
Les tats sont classs en deux catgories :
 Des tats de fonctionnement : ce sont les tats o la fonction du systme est ralise,
des composants du systme pouvant tre en panne, ltat du bon fonctionnement est
ltat o aucun composant nest en panne,
 Des tats de panne : ce sont des tats o la fonction du systme nest plus ralise, un
ou plusieurs composants du systme tant en panne.
Le processus danalyse comprend trois parties :
 Le recensement et le classement de tous les tats du systme en tats de bon
fonctionnement ou tats de panne.
 Le recensement de toutes les transitions possibles entre ces diffrents tats et
lidentification de toutes les causes de ces transitions.
 Le calcul des probabilits de se trouver dans les diffrents tats au cours dune priode
de vie de systme ou le calcul des caractristiques de sret de fonctionnement.
La modlisation avec les graphes de Markov permet de prendre en compte les dpendances
temporelles et stochastiques plus largement que les mthodes classiques. En dpit de leur
simplicit conceptuelle et leur aptitude pallier certains handicaps des mthodes classiques,

- 167 -

Annexe 1 : la sret de fonctionnement

les graphes de Markov souffrent de lexplosion du nombre des tats [MON 98], car le
processus de modlisation implique lnumration de tous les tats possibles et de toutes les
transitions entre ces tats.

- 168 -

Annexe 2 : Les rseaux de Petri

Annexe 2 : Les rseaux de Petri

- 169 -

Annexe 2 : Les rseaux de Petri

Les rseaux de Petri

1. Introduction
Les rseaux de Petri constituent un outil mathmatique de modlisation dvelopp au dbut
des annes soixante par le mathmaticien allemand Carl Adam Petri. Les rseaux de Petri
dcrivent des relations existant entre des conditions et des vnements et ils modlisent le
comportement de systmes dynamiques vnements discrets [DAV 97].
Les rseaux de Petri prsentent des caractristiques intressantes savoir le paralllisme, la
synchronisation, le partage des ressources,

2. Notions de base
2.1. Structure dun rseau de Petri
Un rseau de Petri comporte deux types de nuds, les places et les transitions relis par des
arcs orients. Ltat dun systme est reprsent par son marquage.
Un RdP ordinaire non marqu est un quadruplet Q = < P, T, Pr, Post > tel que :
P = { P1, P2, , Pn } est un ensemble fini et non vide de places,
T = { T1, T2, , Tn } est un ensemble fini et non vide de transitions,
P T = , P et T sont disjoints,
Pr : P x T { 0, 1 } est lapplication dincidence avant ;
Post : P x T { 0, 1 } est lapplication dincidence arrire.
Un marquage initial est une distribution des marques dans lensemble des places P linstant
0.
Si on associe au couple Pi, Tj (Ti, Pj) la valeur 0, alors il nexiste pas darc entre Pi et Tj (Ti
et Pj), sinon ( ce mme couple, on associe la valeur 1) il existe un arc de poids (valuation) 1
entre ces deux arcs.
Le RdP not Q = < P, T, Pr, Post > est dit rseau de Petri ordinaire [DAV 97].
La reprsentation graphique dun rseau de Petri utilise des cercles pour reprsenter les places
et des traits (rectangles parfois) pour reprsenter les transitions. Les arcs sont des flches
auxquelles on associe la valuation (si elle nulle, on ne reprsente pas darc, il nexiste pas).

- 170 -

Annexe 2 : Les rseaux de Petri

Exemple de rseau de Petri

Place1

Transition1

Place2
Figure A2.1 : Exemple dun rseau de Petri

2.2. Marquage
Le marquage M dun rseau de Petri est une application de P vers IN :
M : P IN
La figure A2.1 reprsente un rseau de Petri marqu. Les places 1 et 2 contiennent des
nombres entiers (positifs ou nuls) de marques ou jetons. Le nombre de marques contenu dans
la place P1 est not M(P1) et il on a M(P1) = 4. Pour le mme exemple, M(P2) = 0. Le
marquage M du rseau entier est dfini par le vecteurs de ces marquages tel que M = (M(P1),
M(P2)) = (4, 0), dans le cas de la figure prcdente. Ltat un certain instant dfinit ltat du
RdP qui reflte ltat du systme modlis par le rseau. Lvolution du marquage par
franchissement des transitions dans un RdP traduit lvolution du systme modlis dans ces
diffrents tats aprs loccurrence de certains vnements.

2.3. Franchissement des transitions


Une transition est franchissable si chacune des places en amont de cette transition contient au
moins une marque [DAV 97]. Dans lexemple prcdent, la Transition 1 est franchissable ou
valide.
Le franchissement (tir) dune transition Tj consiste retirer une marque dans chacune des
places en amont de la transition Tj et ajouter une marque dans la place en aval de la
transition Tj.
Aprs franchissement, le RdP possde un nouveau marquage M. Une suite de
franchissements de transitions partir dun marquage donn est appele squence de
franchissement.

- 171 -

Annexe 2 : Les rseaux de Petri

2.4. Quelques proprits des rseaux de Petri


Un RdP est utilis pour dcrire un systme et ltudier. Lvolution dynamique de ce systme
est dcrite par lvolution du marquage. Les notions de RdP vivant, de RdP sans blocage sont
importantes ainsi que la notion de conflit.
2.4.2. Rseau born
Une place Pi est borne pour un marquage initial M0 sil existe un entier naturel k, tel que
pour tout marquage accessible partir de M0, le nombre de marques dans Pi est infrieur ou
gal k (on dit que Pi est k-borne).
Un RdP born pour un marquage initial M0 si toutes les places sont bornes pour M0.
Un rseau est sauf pour un marquage initial M0 si pour tout marquage accessible, chaque
place contient au plus une marque. Toutes les places sont 1-bornes.
2.4.1. Vivacit
Un rseau de Petri est vivant, si et seulement si, partir dun marquage initial, pour toute
transition t du rseau et tout marquage M accessible, il existe une squence de franchissement
qui contient t.
Toutes les transitions sont donc franchissables lors de l volution du marquage du rseau et il
y a toujours une possibilit de franchir nimporte quelle transition.
2.4.3. Blocage
Un blocage (ou tat puits) est un marquage tel quaucune transition nest valide.
Un RdP est sans blocage pour un marquage initial M0 si aucun marquage accessible Mi
partir de M0 nest un blocage.
2.4.4. Conflits
Un rseau de Petri sans conflit est un rseau dans lequel toute place a au plus une transition de
sortie.
Un conflit structurel correspond lexistence dune place P1 qui a au moins deus transitions
de sortie T1, T2,
Un conflit effectif est lexistence dun conflit structurel K et dun marquage M tel que le
nombre de marques dans Pi est infrieur au nombre de transitions de sortie Pi qui sont
valides par M.
Un RdP est sans conflit effectif pour un marquage initial M0, si pour tout marquage
accessible M, il ny a pas de conflit effectif.

2.5. Graphe de marquage dun rseau de Petri


Le graphe des marquages accessibles (ou graphe daccessibilit) est dfini comme le graphe
dont les nuds sont les marquages accessibles partir dun marquage initial et dont les arcs

- 172 -

Annexe 2 : Les rseaux de Petri

tiquets par les noms des transitions sont dfinis par la relation de franchissement entre les
marquages [DIA 01].
La recherche du graphe des marquages sous-jacent un rseau de Petri marqu, donne une
reprsentation de lensemble des tats accessibles. Des proprits qualitatives et quantitatives
peuvent tre ensuite extraites de cette nouvelle reprsentation.
Lanalyse par un graphe de marquage ncessite la connaissance au pralable dun marquage
initial, ce qui nest pas toujours le cas.

3. Extension des rseaux de Petri


Le pouvoir dexpression et de modlisation des RdP est amlior par de nombreuses
extensions qui ont t dveloppes. Ils introduisent entre autres laspect temporel et
permettent denrichir les structures des rseaux.

3.1. Rseaux de Petri gnraliss


Les RdP gnraliss attribuent des poids (nombres entiers strictement positifs) aux arcs. Une
transition est franchissable dans un rseau de Petri gnralis, si toutes les places Pi en amont
des transitions Tj contiennent au moins le nombre de jetons associs aux arcs. Tous les arcs
dont le poids nest pas explicitement spcifi ont un poids gal 1. Lors du franchissement de
la transition Tj, les nombres de jetons dans les places en aval de cette transition sont
augments par le poids p.
Cette extension des RdP permet la rduction de la taille du RdP ordinaire. Toutefois, la
transformation est possible du RdP gnralis vers le RdP ordinaire.

3.2. Rseaux de Petri synchroniss


A chaque transition, correspond un vnement (une garde), et le franchissement de cette
transition seffectue si :
 la transition est valide,
 quand lvnement se produira.
Ces rseaux de Petri permettent de faire communiquer et interagir le systme avec
lenvironnement ou un systme extrieur. Ils permettent donc de modliser des systmes
soumis des contraintes externes.

3.3. Rseaux de Petri temporiss


Cette extension est caractrise par lajout de temporisations, et donc une introduction de la
variable temps. Il existe des RdP T-temporiss et des RdP P-temporiss. Dans le premier cas
une dure est ajoute aux transitions. La transition est donc valide aprs coulement de la
dure qui est alloue. Dans le second cas, la temporisation est ajoute aux places.
Ces temporisations peuvent traduire les dures de droulement des actions ou doprations
associes aux transitions ou aux places.

- 173 -

Annexe 2 : Les rseaux de Petri

Il existe une quivalence entre les rseaux T-temporiss et les rseaux P-temporiss, et un
passage dun formalisme lautre est possible par transformation.

3.4. Rseaux de Petri colors


Les rseaux de Petri colors facilitent la modlisation de systmes de grande taille. Ils
prsentent un grand intrt pour modliser certains systmes complexes.
Le principe consiste reprsenter linformation par les ensembles place/marque. Aux
marques de chaque place sont associes une couleur (ou identificateur). Le franchissement de
ces marques peut tre effectu de plusieurs manires en fonction des couleurs associes aux
transitions. La relation entre les couleurs de franchissement et le marquage color est dfinie
par des fonctions associes aux arcs.
Il existe plusieurs types de RdP qui peuvent tre dis colors, avec des variantes dans leur
dfinition comme par exemple les rseaux de Petri prdicats.
Les rseaux de Petri prdicats comportent des marques auxquelles on attribue des
paramtres. Les arcs portent des tiquettes et les prdicats sont associs aux transitions. Le
prdicat peut pendant le tir de la transition modifier la valeur des marques utilises pour le
franchissement.

3.5. Rseaux de Petri stochastiques


Les rseaux de Petri stochastiques ont t introduits par Natkin [NAT 80] et Molloy [MOL
81] afin de rpondre certains problmes dvaluation quantitative des systmes
informatiques industriels.
Dans les rseaux de Petri stochastiques, les dlais associs aux transitions sont alatoires
contrairement aux dures dterministes et constantes associes aux RdP temporiss. Ces
temps sont modliss par des variables alatoires dont la loi la plus courante est la loi
exponentielle qui permet dapprocher le graphe des marquages un processus markovien
homogne.
Les rseaux de Petri stochastiques sont trs utiliss en sret de fonctionnement. Le
franchissement dune transition de nature stochastique reflte loccurrence dune dfaillance
modlise par une loi exponentielle et le passage dun tat de fonctionnement normal un tat
de panne.

OK

KO

Figure A2.2 Modlisation des tats normal et de panne dun composant

- 174 -

Annexe 2 : Les rseaux de Petri

Dans la figure A2.2, la variable reprsente le taux de dfaillance du composant et la variable


reprsente le taux de rparation de ce mme composant.
Dans un rseau de Petri stochastique, chaque transition Ti est lui est associe une dure de
franchissement alatoire di. Cette dure correspond au temps qui scoule entre la
sensibilisation et le tir effectif de la transition. On peut associer une fonction de rpartition
la variable alatoire (dure de franchissement) :
Fi (t ) = 1 e i ( M ) t
o le paramtre i(M) dpend du marquage M courant. Ce paramtre est appel taux de
transition relativement au marquage M.

3.5.1. Types de rseau de Petri stochastiques


Il existe deux types de rseaux de Petri stochastiques :

 Les rseaux de Petri stochastiques qui sont dduits des RdP autonomes (RdP dcrivant
le fonctionnement dun systme voluant de faon autonome et o les instants de
franchissement ne sont pas connus ou indiqus) : cest le modle initialement dfini.
Les marques sensibilisant les transitions ne sont pas rserves,
 Les rseaux de Petri temporisation stochastique : ils sont issus des rseaux de Petri
temporiss; lorsquune transition est sensibilise, celle-ci rserve le ou les jetons.
Ces deux types de rseaux de Petri ont le mme comportement sil ny a pas de conflit
effectif.
Le marquage dun RdP stochastique (et non pas dun RdP temporisation stochastique) est un
processus markovien homogne, et donc tous RdP, on peut associer une chane de Markov
homogne.

3.5.2. Analyse dun rseau de Petri stochastique


Lanalyse dun RdP stochastique consiste en deux approches :

 lapproche qui concerne les proprits de conservation dans un RdP. Celles-ci sont
dduites du calcul des invariants de marquages de places et franchissements de
transitions. On obtient alors des relations de conservation du marquage et du taux de
franchissement,
 lapproche qui consiste construire le graphe des marquages accessibles du RdP
autonome sous-jacent et tiqueter chaque arc par un taux de franchissement qui
dpend du taux associ la transition et du marquage des places en amont de cette
transition.
Lanalyse du RdP stochastique se ramne celle dun processus de Markov homogne
espace dtats discrets tems continu. Cette analyse est faite uniquement dans le cas o le
RdP sous-jacent est born.

- 175 -

Annexe 2 : Les rseaux de Petri

3.6. Rseaux de Petri stochastiques gnraliss


Les transitions dans les rseaux de Petri stochastiques sont associes toutes une
temporisation selon une distribution de loi exponentielle par exemple. [AJM 95] a introduit
les rseaux de Petri stochastiques gnraliss afin de saffranchir de certaines restrictions.
Dans les RdPSG (rseaux de Petri stochastiques gnraliss), les transitions autorises sont de
deux types et elles peuvent soient :
 Des transitions temporises bases sur des distributions exponentielles,
 Des transitions dterministes temporisation nulle (transition immdiate) base sur
une distribution de Dirac. Ces transitions sont franchies immdiatement ds quelles
sont sensibilises.
Les transitions immdiates expriment des synchronisations ou encore elles approximent des
dures trs faibles par rapport aux dures des transitions stochastiques.

- 176 -

Annexe 3 : Loutil de modlisation Mbius

Annexe 3 : Loutil de
modlisation Mbius

- 177 -

Annexe 3 : Loutil de modlisation Mbius

Loutil de modlisation Mbius

1. Introduction
Mbius est un outil de modlisation supportant les SAN (Stochastic Activity Network). Il
permet la combinaison de modles simples jusquaux modles composs. Les modles se
composent de la description de la structure du rseau et des variables de performances
dsires et des mthodes utilises pour lvaluation de ces performances.

2. SAN
Les SAN sont une gnralisation des rseaux de Petri stochastiques [MOV 84]. Les modles
offrent la possibilit de la concurrence, tolrance aux fautes et la reprsentation dtats
dgrads dans un simple modle. Les SAN sont plus flexibles que beaucoup dautres
extensions de RdP telles que les SPN et les GSPN (respectivement, les rseaux de Petri
stochastiques et les rseaux de Petri stochastiques gnraliss) [AZG 05]. Les SAN offrent
aussi des proprits concernant les RdP colors par lexistence de places spcifiques appeles
"extended places".
La structure des SAN est compose de places, de portes dentre (Input Gates), de portes de
sorties (Output Gates) et dactivits. Les activits sont similaires aux transitions pour les RdP.
Elles sont de deux types : temporiss ou instantanes. Les activits temporelles "timed"
reprsentent les actions du systme modlis dont la dure a un impact sur la performance du
systme. Les activits instantanes "Instantaneous Activity" reprsentent les activits du
systme dont loccurrence est immdiate. Les portes dentre et de sortie contrlent la
validation des activits et assurent des comparaisons ou tests (portes dentre) et des
affectations (portes de sorties). Ces portent dfinissent aussi le marquage lorsque lactivit est
acheve.
Une porte dentre dispose dune sortie unique et de plusieurs entres en quantit limite.
Elle reprsente un lien entre ces places et lactivit unique lie la sortie de la porte.
Une porte de sortie dispose dune entre unique et de plusieurs sorties en quantit limite. Elle
caractrise le lien entre une activit unique en amont et les places en aval de la porte.
La figure A3.1 montre la reprsentation graphique des portes dentre et de sortie :

- 178 -

Annexe 3 : Loutil de modlisation Mbius

Figure A3.1 reprsentation graphique des portes dentre et de sorties


Graphiquement, dans loutil Mbius prsent dans la section suivante, les portes dentres
sont reprsentes par un triangle lignes rouges horizontales tandis que les portes de sortie
sont reprsentes par un triangle lignes noires verticales.
Les modles SAN sont utiliss pour lvaluation de systmes appartenant un large domaine
et ils sont supports par des outils de modlisation tels que UltraSAN [SAN 95] et Mbius
[DEA 02].
Un des objectifs des SAN concerne lvaluation des performances et de la sret de
fonctionnement. Lvaluation de ces performances de la sret de fonctionnement est
effectue par la dfinition dun ensemble de mesures dans le modle.
Le dveloppement de nos modles est ralis par loutil Mbius qui un support pour
lutilisation des SAN.

3. La modlisation par loutil Mbius


Mbius est un outil qui permet de modliser le comportement des systmes complexes. La
premire version est apparue en 2001 comme successeur de l'outil populaire et russi
d'UltraSAN. Bien que Mbius ait t l'origine dvelopp pour tudier la fiabilit, la
disponibilit, et la performance des systmes informatiques et systmes lis par un rseau, son
utilisation a augment rapidement. Il est maintenant employ pour une large gamme des
systmes vnement discret [Mbius]. Le but de cette partie est de prsenter le logiciel
Mbius tool et les mcanismes de bases qui par la suite permettent de dvelopper des modles
plus complexes et accder leur tude.
La large gamme de l'utilisation est rendue possible en raison de la flexibilit et de la puissance
de loutil Mbius.
L'outil de Mbius est un environnement pour soutenir des formalismes multiples de
modlisation. Pour qu'un formalisme soit compatible avec Mbius, le concepteur doit pouvoir
traduire un modle tabli dans son formalisme dans un modle quivalent qui emploie des
composants de Mbius. Puisque des modles sont construits dans des formalismes
spcifiques, les avantages expressifs des formalismes particuliers sont prservs. Puisque tous
les modles sont transforms en composants de Mbius, tous les modles et techniques de
solution dans Mbius avec les proprits compatibles peuvent agir l'un sur l'autre les uns avec
les autres [Mbius].

- 179 -

Annexe 3 : Loutil de modlisation Mbius

3.1. Modle atomique


La premire tape dans la construction du modle est de produire un modle en utilisant un
certain formalisme. Le modle le plus fondamental s'appelle un modle atomique (atomic
model), il se compose des variables d'tat et actions. Les variables d'tat (les places) tiennent
des informations d'tat sur un modle, alors que des actions (transitions) sont le mcanisme
qui permet le changement dtat du modle.
Chaque modle atomique dans Mbius est form de places simples, de places tendues
(lquivalent des places colores), dactivits instantanes, dactivits temporelles, de portes
dentre et de portes de sorties (input gate et output gate). Tous ces composants crent la
partie statique dun rseau SAN, les jetons formant la partie dynamique. Chaque composant
possde diffrents attributs.
Le modle atomique est constitu de places, dactivits temporelles et instantanes et de
portes dentre et de sortie.
Places : les places sont de deux types : simples et tendues. Dans Mbius, la notion de place
tendue est utilise pour reprsenter les places colores. Chaque place simple possde un nom
et un marquage initial, elle est graphiquement reprsente comme un cercle bleu. Une place
tendue (extended place) possde un nom et une structure : la structure sera lquivalent de la
couleur.
Activits : une activit peut tre de deux types, instantane et temporelle. Une activit
instantane possde un nom et un nombre de cas. Si le nombre de cas est plus grand que un,
une probabilit est associe chaque cas. La somme des probabilits de tous les cas doit tre
gale un. Une activit temporelle possde tous les attributs dune activit instantane plus
un champ ddi au temps dactivation de lactivit. Le temps est stochastique et peut tre
dfini suivant plusieurs lois de probabilit (exponentielle, normale, binomiale).
Portes dentre : les portes dentre sont reprsentes graphiquement par un triangle rouge
dont le sommet est du ct des places dentre et la base est du ct de lactivit. Une porte
dentre relie une ou plusieurs places une seule activit. Une porte dentre possde un nom
et deux fonctions : la fonction de validation qui dfinit les conditions dactivation dune
activit et une fonction de porte qui permet de modifier le marquage des places en entre une
fois lactivit franchie.
Portes de sortie : les portes de sortie sont reprsentes par un triangle noir dont la base est du
ct de lactivit et le sommet est du ct des places en sortie. Une porte de sortie possde un
nom et une fonction de porte qui permet de modifier le marquage des places aprs le
franchissement de lactivit.
Les arcs : les arcs relient les places au portes dentre, les portes dentre aux activits, les
activits aux portes de sorties et les portes de sorties aux places de sortie.

- 180 -

Annexe 3 : Loutil de modlisation Mbius

Figure A3.2 : Exemple dun modle atomique sous Mbius

3.2. Modle compos


Si le modle construit est prvu pour faire partie d'un plus grand modle, ltape suivante est
de construire une composition (composed model) avec d'autres modles (cest--dire, modles
atomiques ou composs) pour former un plus grand modle. Ceci est parfois employ comme
technique commode pour rendre le modle modulaire et plus facile construire. Le modle
compos est hirarchiquement construit partir des sous-modles, qui prservent en grande
partie leurs caractristiques spcifiques de sorte que le modle compos ne dtruise pas les
proprits structurelles des sous-modles.
La jonction des modles atomiques est assure par les fonctions join et replicate qui ralisent
respectivement la jonction de plusieurs modles avec une dition dun ensemble de places
partages de mme type et la reprsentation de copies de modles de composants.
Join : la fonction join permet la jonction de plusieurs modles. La seule condition pour
joindre deux ou plusieurs modles est que ces modles partagent une ou plusieurs places
appeles places communes ou places partages. Les places communes doivent tre de mme
nature i.e contenant la mme structure et le mme marquage initial. Cest lintrieur de la
fonction join quon dfinit les places partages.
Replicate : prenons lexemple dun systme qui contient n composants identiques, la prise en
compte de ces n composants dans la modlisation peut se faire en faisant un modle
reprsentant le composant et n-1 copies du mme composant. Cela est possible en utilisant la
fonction replicate. La fonction replicate possde un seul attribut qui dfinit le nombre de
copies.

- 181 -

Annexe 3 : Loutil de modlisation Mbius

Figure A3.3 : Exemple dun modle compos dans Mbius

3.3. Fonction de rcompense


Aprs qu'un modle compos soit cr, ltape suivante consiste indiquer quelques mesures
d'intrt sur le modle en utilisant un formalisme de spcifications de rcompense (reward
model).
Dans cette tape lvaluation de paramtres peut tre dcrite par la dtermination de dure de
sjour dans une place ou le nombre de franchissements dune transition.
Deux fonctions sont dfinies dans reward:
Rate reward : cette fonction est utilise pour valuer les paramtres dpendant du temps,
comme par exemple la dure o une condition a t valide. Les conditions peuvent tre des
conditions sur les marquages des places. Par exemple si la prsence dun jeton dans une place
P1 reprsente lindisponibilit dun composant, alors lindisponibilit du composant peut tre
calcule partir de la fonction rate reward suivante :
If (P1->Mark ()= =1)
return 1;
Ce code retourne la dure pendant laquelle la condition P1->Mark()= =1 tait valide.
Impulse reward : cette fonction permet dvaluer les paramtres dpendant des
franchissements des activits, comme le nombre de franchissement ou la probabilit de
franchissement des activits.
/*defaillance*/
return 1;
Si on considre que lactivit defaillance reprsente une dfaillance dans le systme, ce code
nous permet de calculer le nombre de fois o cette transition sera franchie durant une dure
dtermine.

- 182 -

Annexe 3 : Loutil de modlisation Mbius

3.4. Study
Lattribution des valeurs propres aux variables est ralise par ltape qui concerne une tude
particulire (study). Dans cette tape, la possibilit de modification des valeurs des variables
est toujours possible sans retourner aux modles atomiques.

3.5. Solutions
Ltape suivante consiste typiquement appliquer un certain solutionneur (solver) pour
calculer une solution au modle de rcompense. Un solutionneur peut oprer
indpendamment du formalisme dans lequel le modle a t construit, condition que le
modle ait les proprits ncessaires pour le solutionneur.
La solution calcule une variable de rcompense s'appelle un rsultat. Puisque la variable de
rcompense est une variable alatoire, le rsultat est exprim comme la caractristique d'une
variable alatoire. Ceci peut tre, par exemple, la moyenne, la variance, ou la distribution de
la variable de rcompense. Le rsultat peut galement tre l'intervalle de confiance.
Les rsultats estimant les variables recherches peuvent tre donns par un calcul numrique
exact ou bien par simulation. Cette dernire est utilise pour tous les modles conus dans
Mbius.
En gnral la solution par simulation peut tre utilise pour tous les modles conus dans
Mbius, tandis que la solution numrique ne peut tre utilise que pour des modles
respectant les conditions suivantes :
 toutes les activits ont une distribution exponentielle sur la dure dactivation,
 toutes les activits ont ou bien une distribution exponentielle, ou bien une distribution
dterministe sur la dure dactivation. En plus une seule action dterministe peut tre
active au mme instant.
Dans les deux solutions un nombre de traces peuvent tre sauvegardes pour mieux
comprendre le comportement du modle, comme linstant des franchissements des activits
ou le marquage des places avant et aprs le franchissement.
Il est important de signaler que les solutions par simulation donnent des valeurs approximes
et non pas les valeurs exactes des variables recherches

- 183 -

Rfrences bibliographiques

Rfrences bibliographiques

- 184 -

Rfrences bibliographiques

Rfrences bibliographiques
[AJM 95]

M. Ajmone Marsan, G. Balbo, G. Conte, S. Donatelli et G. Franceschini,


Modelling with generalized stochastic Petri nets. Wiley series in parallel
computing. 1995.

[ALB 91]

J. S. Albus. Outline for a theory of intelligence. IEEE Transactions on Systems,


Man, and Cybernetics, Vol. 21, N. 3, 1991.

[ANT 03]

L. Antoni, Injection de fautes par reconfiguration dynamique de rseaux


programmables. Thse de doctorat de lInstitut National Polytechnique de
Grenoble (INPG). 2003.

[ARC 05]

ARC Advisory Group, Siemens Process Safety Systems Deliver Modern


Features
on
a
Proven
Platform,
October
2005.
http://www.automation.siemens.com/cd/safety/ftp/arc_white_paper_process_sa
fety.pdf

[AUB 04]

O. Aubry. Scurit des procds industriels. Forum ELEC/MESUCORA.


ELEC 2004. Endress + Hausser. Dcembre 2004.

[AVI 04]

A. Aviziennis, J. C. Laprie, B. Randell, Dependability an its threats : a


taxonomy, in Proceeding of the building the information society: Proc. IFIP
18th World Computer Congress, Toulouse, France, august, 2004.

[AZG 05]

A. Azgomi, A. Movaghar, Hierarchical Stochastic Activity Networks: Formal


definitions and behaviour, International Journal of Simulation, Systems,
Science and Technology, Vol. 6, No 1-2, pp. 56-66. 2005.

[BAE 01]

K. H. BAE, H. C. KIM, M. H. Chang, S. K. Sim. Safety evaluation of the


inherent and passive safety features of the smart design. Annals of Nuclear
Energy 28. pp 333-349. 2001.

[BAI 07]

H. Baikeche, Diagnostic des systmes linaires en boucle ferme. Thse de


doctorat de lInstitut National Ploytechnique de Lorraine. 2007.

[BAR 03]

P. Barger, Evaluation et validation de la fiabilit et de la disponibilit des


systmes dautomatisation intelligence distribue en phase dynamique. Thse
de doctorat de lUniversit Henri Poincar, Nancy 1, 2003.

[BAR 02]

P. Barger, J. M. Thiriet, M. Robert, Performance and dependability evaluation


of distributed dynamical systems, European Conference on System
Dependability and Safety (ESRA 2002/lambda-Mu13), Lyon (France), 19-21st
March 2002, pp. 16-22.

[BAY 05]

M. Bayart - B. Conrard - A. Chovin - M. Robert, capteurs et actionneurs


intelligents, Techniques de lingnieur, S7520, Informatique Industrielle, Mars
2005, Vol S2.

[BAY 94]

M. Bayart, Instrumentation intelligente - Systmes automatiss de production


intelligence distribue, Habilitation Diriger des Recherches, Universit de
Sciences et Technologies de Lille, 21 dcembre 1994.

[BAY 93]

M. Bayart, M. Staroswiecki, A Generic Functional Model of Smart Instrument


for Distributed Architectures, Intelligent Instrumentation for remote and on
site measurement, Bruxelles, Belgique, 12-13 mai 1993.

- 185 -

Rfrences bibliographiques

[BEA 93]

F. Beaudoin, J.M. Favennec Les capteurs intelligents : le concept et les


enjeux, Revue Gnrale de llectricit, Mars 1993, No 3, pp. 1-8.

[BEN 04]

V. Benard, Evaluation de la sret de fonctionnement des systmes complexes,


base sur un modle fonctionnel dynamique : la mthode SAFE-SADT, Thse
de doctorat de lUniversit de Valenciennes et du Hainut Cambresis, dcembre
2004.

[BEN 01]

Benoit E., Foulloy L., Tailland J., InOMs model: a Service Based Approach
to Intelligent Instruments Design, 5th World Conf. on Systemics, Cybernetics
and Informatics (SCI 2001), Vol. XVI, Orlando, USA, July 2001, pp. 160-164.

[BER 96]

N. Berg. Modlisation au moyen de rseaux de Petri temporiss stochastiques


dune application de contrle/commande de poste de transformation dnergie
lectrique rpartie sur le rseau de terrain FIP. Thse de doctorat. Universit
Paul Sabatier de Toulouse. 1996.

[BEU 06]

J. Beugin, Contribution lvaluation de la scurit des systmes complexes de


transport guid. Thse de doctorat de lUniversit de Valenciennes et du
Hainaut-Cambrsis, dcembre 2006.

[BIS 05]

P. Bishop, R. Bloomfield, S. Guerra, K. Tourlas. Justification of smart sensors


for nuclear applications. SAFECOMP 2005, LNCS 3688, pp, 194-207, 2005.

[BOU 97]

A. Bouras, Contribution la conception darchitectures rparties : modles


gnriques et interoprabilit dinstruments intelligents, Thse de Doctorat,
Universit des Sciences et Technologies de Lille, Juillet 1997.

[BOW 94]

M.E.C. Bowen, G.B. Smith, Design of flexible ASIC's including embedded


processors for smart sensor applications, Application Specific Integrated
Circuits for Measurement Systems, IEE Colloquium, Feb 1994.

[BRO 05]

S. R. Brown, M. Menezes. Measurement best practices for safety instrumented


systems. ISA EXPO 2005, Chicago, Illinois, 25-27 Octobre 2005.

[CAR 93]

Carroll, J.B., 1993. Human cognitive abilities. Cambridge University Press,


Cambridge.

[CAU 04]

L. Cauffriez, J. Ciccotelli, B. Conrard, M. Bayart, the members of the workinggroup CIAME. Design of intelligent distributed control systems: a
dependability point of view. Reliability Engineering and System Safety. Vol
84. pp, 19-32. 2004.

[CAU 03]

L. Cauffriez, B. Conrard, J. M. Thiriet, M. Bayart. Fieldbuses and their


influence on dependability. IMTC 2003 IEEE. Instrumentation and
Measurement Technology Conference. Vail, CO, USA. pp, 83-88. May 2003.

[CAL 90]

J. P. Calvez, Spcification et conception des systmes - une mthodologie,


dition Masson, Paris, 1990.

[CAM 01]

J. C. Campelo, P. Yuste, P.J. GIL, J.J. Serrano, DICOS: a real-time distributed


industrial control system for embedded applications, Control Engineering
Practice 9 (2001), pp. 439-447.

[CAM 99]

J. C. Campelo, F. Rodriguez, A. Rubio, R. Ors, P.J. Gil, L. Lemus, J.V.


Busquets, J. Albaladejo, .J. Serrano, Distributed industrial control systems: a
fault-tolerant architecture, Microprocessors and Microsystems 23 (1999),
pp.103112.
- 186 -

Rfrences bibliographiques

[CAM 97]

J. C. Campelo, F. Rodriguez, P. J. Gil, J.J. Serrano : Dependability evaluation


of fault tolerant architectures in distributed industrial control system.
WFCS97, 2nd IEEE International Workshop on Factory Communication
Systems, Barcelona, Spain (1997).

[CEI 05]

CEI 62061. Scurit des machines, scurit fonctionnelle des systmes de


commande lectriques, lectroniques et lectroniques programmables relatifs
la scurit. Commission Electrotechnique Internationale, Genve, Suisse, 2005.

[CEI 03]

CEI 61511, Scurit fonctionnelle des systmes instruments pour les


industries de Process. Commission Electrotechnique Internationale, Genve,
Suisse 2003.

[CEI 00]

CEI 61508. Scurit fonctionnelle des systmes lectriques, lectroniques et


lectroniques programmables relatifs la scurit. Commission
Electrotechnique Internationale, Genve, Suisse, 2000.

[CEI 91]

CEI 61069 Norme internationale- Mesure et commande dans les processus


industriel- Apprciation des proprits dun systmes en vue de son valuation
Partie 5 Evaluation de la sret de fonctionnement dun systme. Commission
Electrotechnique Internationale, Genve, Suisse, 1991.

[CEN 00]

CENELEC, NF EN 50126, Applications ferroviaires : spcification et


dmonstration de la fiabilit, de la disponibilit, de la maintenabilit et de la
scurit (FDMS). CENELEC, Comit Europen de Normalisation
Electrotechnique. Fontenay-aux-Roses, France UTE, Union Technique de
lElectricit et de la communication, 2000.

[CHE 02]

J. Chen, J. Howell. Towards distributed diagnosis of the Tennessee Eastman


process benchmark. Control Engineering Practice 10. pp, 971-987. 2002.

[CHO 96]

A. Chovin, Capteurs et actionneurs intelligents du concept aux applications,


Edition Terrain, juin 1996.

[CHU 03]

Y. J. Chung, S. H. Kim, H. C. Kim. Thermal hydraulic analysis of SMART for


heat removal transients by a secondary system. Nuclear Engineering and
Design 225. pp, 257-270. 2003.

[CIA 99]

CIAME. Rseaux de terrain: description et critres de choix. Editions Herms.


1999.

[CLA 00]

D. W. Clarke, Intelligent Instrumentation, Transactions of the Institute of


Measurement and Control 22,1 pp. 3-27, 2000.

[CLA 95]

D. W. Clarke. Sensor, actuator and loop validation. IEEE Control Systems


Magazine. Vol 15, issue 4. pp 39-45. august 1995.

[CON 99]

B. Conrard : Contribution lvaluation quantitative de la sret de


fonctionnement des systmes dautomatisation en phase de conception . Thse
de doctorat. Universit Henri Poincar, Nancy 1, 1999.

[DAI 03]

Y.S. Dai, M. Xie, K.L. Poh, G.Q. Liu, A study of service reliability for
distributed systems, Reliability Engineering and System Safety 79, 2003, pp.
103-112.

[DAV 97]

R. David, H. Alla, du grafcet aux rseaux de Petri, 2me dition, Herms,


1997.

- 187 -

Rfrences bibliographiques

[DEA 02]

D. D. Deavours, G. Clark, T. Courtney, D. Dalys, S. Derisavi, J. M. Doyle,


W.H. Sanders, P. G. Webster. The Mobuis framework and its implementation.
IEEE Trans. On Soft. Engineering, Vol. 28, N10, pp 956-969, 2002.

[DES 06]

X. Desforges, B. Archimde. Multi-agent framework based on smart


sensors/actuators for machine tools control and monitoring. Engineering
Application of Artificial Intelligence 19. pp, 641-655. 2006.

[DIA 01]

M. Diaz, Les rseaux de Petri, Modles fondamentaux, Herms, Paris, 2001.

[DOB 98]

A. Dobbing, D. Godfrey, M. J. Stevens and B. A. Wichmann. Reliability of


Smart Instrumentation. NPL, National Physical Laboratory. Middx, UK.
August, 1998.

[DOR 93]

R. C. Dorf. The Electrical Engineering HandBook. IEEE Press, 1993.

[EN 96]

EN 954-1, Scurit des machines. Partie des systmes de commandes relatives


la scurit. Partie 1 : Principes gnraux, dcembre 1996.

[FAE 00]

E. Fae, J. L. Durka, Conception et valuation de la scurit fonctionnelle des


systmes instruments de scurit. Rapport Final, Institut National de
l Environnement Industriel et des Risques, INERIS, 2000, www.ineris.fr

[FAL 04]

R. Faller. Project experience with IEC 61508 and its consequences. Safety
Science, vol 42. pp, 405-422. 2004.

[FAR 04]

S. M. Farritor, S. Goddard. Intelligent highway safety markers. IEEE


Intelligent Systems. Vol 19, n 6 . pp, 8-11. Nov/Dec 2004.

[FAR 67]

F. R. Farmer, Siting criteria - a new approach, in Symposium Containment


and Siting of Nuclear Power Plants, International Atomic Energy Agency,
Wieden. 1967.

[FAU 02]

S. Faucou. Description darchitectures oprationnelles valides temporellement.


Thse de doctorat de lInstitut de Recherche en Communications et en
Cyberntique de Nantes (IRCCyN), Dcembre 2002.

[FRA 00]

R. Frank. Understanding Smart Sensors. Second Edition. Artech House, 2000.

[GAR 02]

C.J. Garett, G.E. Apostolakis, Automated hazard analysis of digital control


systems, Reliability Engineering and System Safety 77, 2002, pp. 1-17.

[GAR 98]

R. Garnier. Une mthode efficace dacclration de la simulation des rseaux


de Petri stochastiques. Thse de luniversit de Bordeaux, 1998.

[GEH 94]

A.L. Ghin, Analyse fonctionnelle et modle gnrique des capteurs


intelligents - Application la surveillance de lanesthsie, Thse de Doctorat,
Universit des Sciences et Technologies de Lille, 26 janvier 1994.

[GEO 05]

B. Georgiev, Field Control Systems. 6th international PhD Workshop on


Systems and Control, Izola, Slovenia, Octobre 2005.

[GEY 05]

J. Gey, D. Courdeau, Pratiquer le management de la sant et de la scurit au


travail : Matriser et mettre en oeuvre lOHSAS 18001, ISBN 2124750836,
AFNOR Editions. 2005.

[GHO 08]

R. Ghostine. Influence des fautes transitoires sur la fiabilit dun systme


command en rseau.. Thse de doctorat de lINPL (Institut National
Polytechnique de Lorraine), 2008.

- 188 -

Rfrences bibliographiques

[GOB 05]

W. M. Goble, H. Cheddie. Safety Instrumented Systems Verification, Practical


Probabilistic Calculations. ISA (The instrumentation, Systems, and Automation
Society). 2005.

[GOB 01]

W. M. Goble, J. V. Bukowski, Extending IEC61508 Reliability Evaluation


Techniques to Include Common Circuit Designs Used in Industrial Safety
Systems, Proceedings Annual Reliability and Maintenability Symposium,
Philadelphia, PA, USA, pp 339-343, 2001.

[GOB 98]

W. M. Goble, Control systems safety evaluation and reliability (2nd edition),


Research triangle park (NC), ISA (The instrumentation, Systems, and
Automation Society), 1998.

[GOU 03]

R. Gouriveau, Analyse des risques. Formalisation des connaissances et


structuration des donnes pour lintgration des outils dtude et de dcision,
Thse de Doctorat de lINPT (Institut National Polytechnique de Toulouse)
2003.

[GRE 91]

GREPA : Le GRAFCET de nouveaux concepts, Cpadus-ditions, 1991.

[GRI 98]

A. Griffault, S. Lajeunesse, G. Point, A. Rauzy,J.-P. Signoret, P. Thomas. The


Altarica language. International Conference on Safety and Reliability.
ESREL98, p000-999. Rotterdam, Juin 1998.

[GRI 03]

M. Gribaudo, A. Horvath, A. Bobbio, E. Tronci, E. Ciancamerla, M.


minichino. Fuild Petri nets and hybrid model-checking : a comparative case
study. Reliability Engineering Systems Safety (RESS), vol 81, pp 239-257,
2003.

[GRU 98]

P. Gruhn, J. Pittmann, S. Wiley, T. Leblanc. Quantifying the impact of partial


stroke valve testing of safety instrumented systems. ISA Transactions 37. pp,
87-94. 1998.

[GUO 07]

H. Guo, X. Yang. A simple reliability block diagram method for safety


integrity verification. Reliability Engineering Systems Safety (RESS), vol 92,
pp 1267-1273, 2007.

[HER 97]

F. Hermann, Contribution la rpartition des traitements et des donnes sur


une architecture distribue quipe dun rseau de terrain FIP : Application
un processus thermique pilote, Thse de lUniversit Henri Poincar, Nancy I,
novembre 1997.

[HOK 04]

P. Hokstad, K. Corneliussen. Loss of safety assessment and the IEC 61508


standard. Reliability Engineering Systems Safety (RESS), vol 83, pp 111-120,
2004.

[HSE 95]

Health and Safety Executive Out of control HSE books, United Kingdom
1995.

[IEE 04]

IEEE Std 1451.4, IEEE Standard for A Smart Transducer Interface for Sensors
and Actuators: Mixed-Mode Communication Protocols and Transducer
Electronic Data Sheet (TEDS) Formats, IEEE Std 1451.4- 2004.

[IEE 98]

IEEE Std 802.3, Edition: Information technologyTelecommunications and


information exchange between systemsLocal and metropolitan area
networksSpecific requirementsPart 3: Carrier senses multiple access with

- 189 -

Rfrences bibliographiques

collision detection
specifications,1998.

(CSMA/CD)

access

method

and

physical

layer

[INN 06]

F. Innal, Y. Dutuit, A. Rauzy, J. P. Signoret. Quelques interrogations et


commentaires relatifs la norme CEI 61508. Congrs 15. Lille, France.
Octobre 2006.

[INN 05]

F. Innal, Y. Dutuit, M. Djebabra. Analyse critique des formules de base de


donnes dans la norme internationale CEI 61508-6. 6me congrs international
pluridisciplinaire, Qualit et sret de fonctionnement. Bordeaux, France.
Mars, 2005.

[ISA 04]

ISA 84.00.012004, Functional Safety Instrumented Systems for the Process


Industries, Parts 13, 2004.

[ISA 96]

ISA, Application of Safety Instrumented Systems for the process Industries,


ANSI / ISA-S84.01,1996.

[ISE 92]

R. Isermann,. Estimation of physical parameters for dynamic processes with


application to an industrial robot. International Journal of Control 55 (6), pp.
1287 1298. (1992).

[ISO 99]

ISO/CEI Guide 51. Aspects lis la scurit. Principes directeurs pour les
inclure dans les normes. International Organisation for Standardization. 1999.

[JIA 03]

Q. Jiang, C. H. Chen. A numerical algorithm of fuzzy reliability. Reliability


Engineering and System Safety. Vol 80. pp, 299-307. 2003.

[JON 01]

C.C.M. Jones, R.E. Bloomfield, P.K.D. Froome and P.G. Bishop, Methods for
assessing the safety integrity of safety-related software of uncertain pedigree
(SOUP),
Report
No:
CRR337
HSE
Books
2001
http://www.hse.gov.uk/research/crr_pdf/2001/crr01337.pdf

[JOS96]

J. F. Josserand, Cellule floue: contribution la commande floue distribue,


thse de doctorat, Universit de Savoie, 1996.

[JUA 02]

G. Juanole. Quality of service of communication networkes and distributed


automation, models and performances. Invited paper, 15th TriennialWorld
Congress of the IFAC, Barcelona, Spain. Juillet 2002.

[JUA 95]

G. Juanole. Rseaux de Petri et communications. Rapport LAAS N95296,


Rseaux de communications et Conception de protocoles, Coordonnateurs : G.
Juanole, A. Serhrouchni, D. Seret. Herms, pp, 265-287. 1995.

[JUM 03]

F. Jumel, J.M. Thiriet, J.F; Aubry, O. Malasse, Towards an information-based


approch for the dependability evaluation of distributed control systems, IMTC
2003 Instrumentation and Measurement Technologie Conference, Vail, CO,
USA, 20-22 May 2003.

[KER 02]

C. Kermisch et P.E. Labeau, Approche dynamique de la fiabilit des systmes,


Rapport MNFD 2002-10, Service de Mtrologie Nuclaire, Universit Libre de
Bruxelles (Belgique), novembre 2002.

[KNE 02]

B. Knegtering, Safety lifecycle management in the process industries: the


development of a qualitative safety-related information analysis technique. Phd
thesis, Technische Universiteit Eindhoven, 2002.

- 190 -

Rfrences bibliographiques

[KOS 06]

K. T. Kosmowski, Functional safety concept for hazardous systems and new


challenges. Journal of Loss Prevention in the Process Industries 19, pp. 298305, 2006.

[KOS 05]

Kosmowski, K.T. & Sliwinski, M. (2005). Methodology for functional safety


assessment. European conference on safety and reliability-ESREL05 GdyniaSopot-Gdansk, Poland, K. Kolowrocki , vol.2, pp 1173-1180.

[KUM 96]

H. Kumamoto, E. J. Henley. Probilistic risk assessment and management for


enginners and scientisits, 2th edition, IEEE Press, 1996.

[LAB 02]

P. E. Labeau, C.Kermisch. Approche dynamique de la fiabilit des systmes.


Rapport MNFD 2002-07, Service de Mtrologie Nuclaire,Universit Libre de
Bruxelles, juillet 2002

[LAF 97]

Joseph La fauci, PLC or DCS : selection and trends, ISA Transactions, vol 36
n1 pp 21 28, 1997.

[LAM 02]

P. Lamy, Probabilit de dfaillance dangereuse dun systme. Explications et


exemple de calcul. INRS (Institut National de Recherche et de Scurit), Note
scientifique n 225, 2002.

[LAN 08]

Y. Langeron, A. Barros, A. Grall et C. Brenguer, Combination of safety


integrity levels (SILs):A study of IEC61508 merging rules, Journal of Loss
Prevention in the Process Industries (2008),

[LAP 88]

J. C. Laprie, Sret de fonctionnement et tolrance aux fautes : concepts de


base, rapport LAAS n88.287, paru dans les techniques de lingnieur, 1988.

[LAU 04]

J. Lautrey. Hauts potentiels et talents : la position actuelle du problme.


Psychologie franaise, vol : 49. pp, 219-232. 2004.

[LEE 01]

D. Lee, J. Allan, H.A. Thompson, S. Bennett, PID control for a distributed


system with a smart actuator, Control Engineering Practice 9, (2001), pp.
12351244.

[LEE 00]

K. Lee, IEEE 1451: A standard in support of smart transducer networking,


IEEE Instrumentation and Measurement Technology Conference, Baltimore,
USA, 2000.

[LEW 04]

Franck L. Lewis. Wireless Sensor Networks. In Smart Environments :


Technology, Protocols and Applications, ed. Diane Cook and Sajal Das, John
Willey, New York, 2004.

[LUN 07]

M. A. Lundteigen, M. Rausand. Common cause failures in safety instrumented


systems on oil and gas installations : Implementing defense measures through
function testing. Journal of Loss Prevention in the Process Industries, vol 20,
pp. 218-229, 2007.

[LUN 06]

M. A. Lundteigen. Assessment of hardware safety integrity requirements.


Proceedings of the 30th EDReDA Seminar, Trondheim, Norway. June 2006.

[MAC 04]

D. Macdonald. Safety in field instruments and devices. Practical Industrial


Safety. Risk Assessment and Shutdown Systems. 2004. pp, 200-229.

[MAL 94]

M. Malhotra, K. S. Trivedi. Power-hierarchy of dependability-model types.


IEEE Transactions on Reliability, vol 43. pp, 493-502. 1994.

- 191 -

Rfrences bibliographiques

[MAR 01]

E. Marszal & W. Goble. High reliability computing for control and safety.
Proceedings of the 2001 Particle Accelerator Conference, Chicago. IEEE. pp,
279-282. 2001.

[MAS 98]

M. K. Masten. The intelligence in intelligent control. Annual Reviews in


Control. Vol 22. pp, 1-11. 1998.

[MAZ 07]

M. H. Mazouni, , D. Bied Charreton, J. F. Aubry. Proposal of a generic


methodology to harmonize Preliminary Hazard Analyses for guided transport.
IEEE(SMC), San AntonioTX, Avril 2007.

[MED 06]

M. Medjouji, Contribution lanalyse des systmes pilots par calculateurs :


Extraction de scnarios redouts et vrification de contraintes temporelles.
Thse de lUniversit Paul Sabatier de Toulouse. Mars 2006.

[MEI 94]

G. C. M. Meijer, Concepts and focus point for intelligent sensor systems,


Sensors and Actuators A, 1994, vol. 41-42, pp. 183-191.

[MEK 06]

S. Mekid, Further structural intelligence for sensors cluster technology in


manufacturing, Sensors, 2006, vol 6, pp. 557-577.

[MES 05]

LIEC 61508 simpose, sa famille aussi, MESURES, Novembre 2005,


www.mesures.com.

[MEU 04]

M.J.P. van der Meulen. On the use of smart sensors, common cause failure and
the need for diversity. 6th Int. Symp. Programmable Electronic Systems in
Safety Related Applications, Cologne, Germany, TUV, 2004

[MEY 06]

R. Meyers, C. Haussemand. Comment valuer les comptences cls dans le


domaine professionnel ? Revue Europenne de psychologie applique, Vol 56.
pp, 123-138. 2006.

[MKH 08a]

A. Mkhida, J. M. Thiriet, J. F. Aubry - Toward an Intelligent Distributed Safety


Instrumented Systems: Dependability Evaluation, World IFAC, Soul, Juillet
2008.

[MKH 08b]

A. Mkhida, J.M. Thiriet, J.F. Aubry - Impact de l'utilisation d'un rseau de


communication sur les performances en scurit d'un systme instrument de
scurit - 7me Confrence Francophone de Modlisation et Simulation Modlisation, Optimisation et Simulation des Systmes : Communication,
Coopration et Coordination, MOSIM'2008, Paris (France), 31 mars-2 avril
2008, pp.203-210.

[MKH 07]

A. Mkhida, J. M. Thiriet, J. F. Aubry. Modlisation formelle d'un instrument


intelligent dans le cadre d'analyse de sret de fonctionnement. 7me Congrs
International Pluridisciplinaire Qualit et Sret de Fonctionnement, Qualita
2007.

[MKH 06a]

A. Mkhida, J.M. Thiriet, J.F. Aubry - Evaluation de la fiabilit d'une vanne


intelligente par une approche probabiliste - 15me Congrs de Matrise des
Risques et de Sret de Fonctionnement, Lambda-Mu'2006, Lille (France), 913 octobre 2006.

[MKH 06b]

A. Mkhida, J.M. Thiriet, J.F. Aubry - Effet de la variation des donnes de


fiabilit sur le niveau de scurit des systmes d'automatisation distribus 6me Confrence Francophone de Modlisation et Simulation - Modlisation,

- 192 -

Rfrences bibliographiques

Optimisation et Simulation des Systmes , MOSIM'2006, Rabat (Maroc), 3-6


avril 2006, pages: 1120-1126, ISBN: 2-7430-0892-X.
[MKH 05]

A. Mkhida, P. Barger, J. M. Thiriet, J. F. Aubry Influence of the control


strategy choice on the safety level of a distributed automation system
Conference ESREL'2005 (European safety and reliability conference, GdanskGdynia (Pologne), 27-30 June 2005.

[Mbius]

Mbius, User Manuel. http://www.mobius.uiuc.edu/papers.html

[MON 98]

G. Moncelet, Application des rseaux de Petri lvaluation de la sret de


fonctionnement des systmes mcatroniques du monde automobile, Thse de
Doctorat, N3076, Universit Paul Sabatier, Toulouse, 9 octobre 1998.

[MOL 81]

M. K. Molloy,. On the integration of delay and throughput measures in


distributed processing models. Th. 1981. Universit de Californie, Los
Angeles, EU.

[MOV 84]

A. Movaghar, J.F. Meyer. Performability modelling with stochastic activity


networks. Proceddings of the 1984 Real Time Systems, Symposium, Austin,
TX. Pp 215-224, 2004.

[NAT 80]

S. Natkin, Les rseaux de Petri stochastiques et leur application lvaluation


des systmes informatiques. Th. Informatique. 1980. Conservatoire National
des Arts et Mtiers. Paris.

[NF 04]

NF EN ISO 12100 Parties 1 et 2 : Scurit des machines - Notions


fondamentales, principes gnraux de conception, janvier 2004.

[KUM 96]

H. Kumamoto, E. J. Henley, Probabilistic risk assessment and management for


enginners and scientists, 2nd edition, IEEE Press, 1996.

[NIC 90]

J. L. Nicolet, A. Carnino, J. C. Warner, Catastrophes? Non merci! La


preventions des risques technologiques et humains, Edition Masson, Collection
Le nouvel Ordre Economique, 1990.

[NOB 04]

T. Nobes, Smart instruments in protective measures, Is your product safe?


IEE Seminar, 2004.

[NOI 95]

J. L. Noizette, A. Khoury, J. M. Thiriet, M. Robert, un transmetteur intelligent


de temprature au service de lenvironnement.

[NYB 97]

M. Nyberg, et L. Nielsen. Parity functions as universal residual generators and


tool for fault detectability analysis. In Proceedings of the 36th IEEE
Conference on Decision and Control, San Diego, USA, pp. 4483 4489.
(1997).

[PAG 80]

A. Pags, M. Magnien. Fiabilit des systmes. Editions Eyrolles.

[PAR 01]

V. Pareto. On the distribution of wealth and income, in roots of the Italian


School of Economics and Finance: from Ferrara (1857) to Einaudi (1944), M.
Baldassarri and P. Ciocca, (EDS.), vol. 2, Houndmills, Palgrav. 2001.

[PAR 99]

D. Paret, Le bus CAN: Applications. CAL, CANopen, DeviceNet, OSEK,


SDS, Dunod, Paris, 1999.

[PER 04]

D. Perry. Selecting sensors for safety instrumented systems per IEC 61511.
Emerson Process Management. Rosemount Division. Chanhassen, USA. 2004.

- 193 -

Rfrences bibliographiques

[PRO 02]

Profibus: Thorie et pratique de la technologie. www.profibus.com. 2002.

[RAJ 05]

C. R. Raju. Strengthening the weak link : the shutdown valve. Sicon / 05.
Sensors for Industry Conference. Houston, Texas, USA. February 2005.

[REV 05]

J. Revillard, Approche centre architecture pour la conception logicielle des


instruments intelligents, thse de doctorat, Universit de Savoie, Dcembre
2005.

[RIC 05]

B. Rique, Guide dinterprtation et dapplication de la norme CEI 61508 et de


ses normes drives IEC 61511 (ISA-84.01) et IEC 62061. ISA (The
instrumentation, Systems, and Automation Society), Section France, 2005.

[RIE 02]

P. Riedinger, C. Iung, J. Daafouz, Commande optimale des systmes


dynamiques hybrides, Thorie et pratique. Confrence internationale
francophone dautomatique, CIFA 2002, Nantes, 2002.

[ROB 93]

M. Robert, J. M. Riviere, J. L. Noizette, et F. Hermann, Smart sensors in


flexible manufacturing systems, Sensors and Actuators A, vol. 37-38, pp. 239246,1993.

[RUM 91]

J. Rumbaugh, M. Blaha, W. Premerlani, F. Eddy, Object Oriented Modeling


and Design, Prentice Hall International, 1991.

[SAF 05]

SafetyBus p online. Disponible


products/safety/bus/concept.htmi. 2005.

[SAN 95]

W. H. Sanders, W. D. Obal, M. A. Qureshi, F. K. Widjanarko. The UltraSAN


modelling environment. Performance Evaluation, vol 24, No. 1-2, pp. 89-115.
1995.

[SCH 04]

R. Schoenig, Dfinition dune mthodologie de conception des systmes


mcatroniques srs de fonctionnement, Thse de LInstitut National
Polytechnique de Lorraine. Octobre 2004.

[SCH 99]

P. Schnoebelen, Vrification de Logiciels: Techniques et outils du model


checking, ouvrage collectif, coordination P. Schnoebelen, Vuibert, ISBN 27117-8646-3, , Paris, 1999.

[SHE 94]

A. W. Sheer. CIM Computer Integrated Manufacturing. Springer Verlag 1994.

[SHN 00]

R. D. Shneeman, K. B. Lee, Distributed Measurement and Control Based on


the IEEE1451 Smart Transducer Interface Standards. IEEE Transactions on
Instrumentation and Measurement, 49(3), 2000.

[SHE 98]

Shell Global Solutions, Instrument Protective Function Classification,


Brochure The Hague Netherlands, 1998.

[SIG 07]

J. P. Signoret, Y. Dutuit, A. Rauzy. High Integrity Protection Systems (HIPS):


Methods and tools for efficient Safety Integrity Levels (SIL) analysis and
calculations. Risk, Reliability and Societal Safety Aven & Vinnem (eds).
Taylor & Francis Group, London. pp, 663-669, 2007.

[SIG 05]

J. P. Signoret. Methodology SIL evaluations related to HIPS. Total Draft


Memo, April 27-2005.

[SKL 06]

S. Sklet. Safety barriers: Definitions, classification and performance. Journal of


Loss Prevention in the process industries, vol 19, pp 494-506, 2005.

- 194 -

http://www.pilz.com/english/

Rfrences bibliographiques

[SMI 04]

D. J. Smith, K. G. L. Simpson, Functional Safety, a Straightforward guide to


applying IEC 61508 and Related Standards. Second edition. Elsevier
Butterworth Heinemann, 2004.

[STA 05]

M. Staroswiecki, Intelligent Sensors: A functional view. IEEE Transactions on


Industrial Informatics, Vol 1 N4. Novembre 2005.

[STA 94]

M. Staroswiecki, M. Bayart, Actionneurs intelligents, Herms, Paris, 1994.

[STE 03]

Sternberg, R.J., 2003. A broad view of intelligence The theory of successful


intelligence. Consulting Psychology Journal: Practice and Research 55, 139
154.

[SUM 00a]

A. E. Summers, Setting a new standard of the safety instrumented systems,


Chemical Engineering, 2000.

[SUM 00b]

A. Summers, B. Zachary. Partial-stroke testing of block valves. Control


Engineering, 47(12). pp, 87-89. 2000.

[TAI 04]

A. T. Tai, W. H. Sanders, L. Alkalai, S. N. Chau, K. S. Tso.


Performability analysis of guarded-operation duration: a translation approach
for reward model solutions. Performance Evaluation Journal, Vol, 56. Pp, 249
276. 2004.

[TAI 00]

J. Tailland, "Instruments intelligents : modles et outils de conception", Thse


de Doctorat, Universit de Savoie, juillet 2000.

[TAN 96]

A. H. Taner, N. M. White. Virtual instrumentation: a solution to the problem of


design complexity in intelligent instruments. Measurement and Control. Vol
29. pp, 165-171. 1996.

[TAO 05]

B. Tao, H. Ding, Y.L. Xiong, Design and implementation of an embedded IP


sensor for distributed networking sensing, Sensors and Actuators A 119,
(2005), pp. 567-575.

[THI 04]

J. M. Thiriet, Sret de fonctionnement de systmes dautomatisation


intelligence distribue, Habilitation diriger les recherches. Universit Henri
Poincar, Nancy 1, dcembre 2004.

[TIA 00]

G. Y. Tian, , Z. X. Zhao, et R. W. Baines, A fieldbus-based intelligent sensor,


Mechatronics, 2000, vol. 10, pp. 835-849.

[TIX 02]

J. Tixier, G. Dusserre, O. Salvi, D. Gaston, Review of 62 risk analysis


methodologies of industrial plants, Journal of Loss Prevention in the process
industries 15, pp. 291303. 2002.

[TOM 01]

M.S. Tombs, Self validating actuators. The Institution of Electrical Engineers.


2001.

[VIL 06]

E. Villani, P. I. Kaneshiro, P. E. Miyagi. Hybrid stochastic approach for the


modelling and analysis of fire safety systems. Nonlinear Analysis, 2006, vol.
65, pp. 1123-1149.

[VIL 88]

A. Villemeur, Sret de fonctionnement des systmes industriels, Edition


Eyrolles, Paris, 1988.

[VIN 04]

A. Vincent, A. Griffault, G. Point. Vrification formelle pour Altarica. Maitrise


des risques et sret de fonctionnemnt, Lambda-mu 14. Bourges, Septembre
2004.
- 195 -

Rfrences bibliographiques

[VYA 03]

V. Vyatkin, H. M. Hanisch. Verification of distributed control systems in


intelligent manufacturing. Journal of Intelligent Manufacturing. pp, 123-136,
2003.

[WAL 99]

Gregory C. Walsh, Hong Ye and Linda G. Bushnell, Stability Analysis of


Networked Control Systems, Proceedings of American Control Conference,
June 1999.

[WAN 04]

Y. Wang, Development of a computer-aided fault tree synthesis methodology


for quantitative risk analysis in the chemical process industry. PhD thesis,
Texas A & M University, 2004.

[WAN 01]

S. J. Wang. Distributed Diagnosis in Multistage Interconnection Networks.


Journal of Parallel and Distributed Computing 61. pp, 254-264. 2001.

[WEI 02]

Jan A.M. Weiegerinck, Introduction to the risk based design of safety


instrumented systems for the process industry, Seventh International
Conference on Control, Automation, Robotics And Vision (ICARV02), Dec
2002, Singapore.

[WOL 05]

V.P. Wolfgang & M.J.M. Houtermans. The effect of the diagnostic and
periodic testing on the reliability of safety systems. TUV Industrie Service
GmbH, Automation, Software, Information Teschnology (ASI). 2005.

[YAN 05]

S. H. Yang, Y. J. Chung, H. C. Kim. Assessment of the MDNBR enhancement


methodologies for the SMART control rods banks withdrawal event. Annals of
Nuclear Energy 32. pp. 1567-1583, 2005.

[YUR 06]

S. Y. Yurish. Digital sensors design based on universal frequency sensors


interfacing IC. Sensors and actuators A 132. pp. 265-270, 2006.

[ZHA 04]

Y. Zhang, Y. Gu, V. Vlatkovic, X. Wang, Progress of smart sensor and smart


sensor networks, Procedings of the 5th World Congress on intelligent Control
and Automation, Juin 2004, Hangzhou, Chine.

[ZHA 03]

T. Zhang, W. Long, Y. Sato. Availability of systems with self-diagnostic


components-applying Markov model to IEC 61508-6. Reliability Engineering
Systems Safety (RESS).

[ZHA 01]

W. Zhang, M. S. Branicky, S. M. Phillips, Stability of networked control


systems, IEEE Control Systems Magazine, pp. 84-99, 2001.

[ZIM 80]

H. Zimmerman. OSI reference model. The ISO model of architecture for


Opens Systems Interconnexion. IEEE Transaction on Communication 28(4).
pp. 425-432, 1980.

- 196 -