Vous êtes sur la page 1sur 75

Anne 2011 2012 UE Sret des Installations Industrielles

Les Normes en Sret de


Fonctionnement

Introduction lIEC 61508

Pierre DAVID pierre.david@grenoble-inp.fr 1


Anne 2011 2012 UE Sret des Installations Industrielles

Plan
1. Norme, certification, homologation
2. Les normes de la SdF
3. La scurit fonctionnelle
4. LIEC 61508 :
a. Historique, contenu
b. Intrts, points forts
c. Concepts de Base
d. Approche gnrale
e. Cycle de vie
f. Grands principes de lIEC 61508
g. Dveloppement du logiciel
h. Mise en uvre
i. Gestion documentaire et organisationnelle
j. Limites et piges
5. Exemple de certification

Pierre DAVID pierre.david@grenoble-inp.fr 2


Anne 2011 2012 UE Sret des Installations Industrielles

NORME, CERTIFICATION,
HOMOLOGATION

Pierre DAVID pierre.david@grenoble-inp.fr 3


Anne 2011 2012 UE Sret des Installations Industrielles

Normes et vocabulaire associ

 Qui impulse la construction d'une norme ?


 Qui dfinit le contenu de la norme ?
 Qui est concern par les normes ?
 Quels sont les examens de conformit dun produit la norme ?
Validation / Certification.
 Que signifie une homologation ?
 Pourquoi crer une norme ?

Pierre DAVID pierre.david@grenoble-inp.fr 4


Anne 2011 2012 UE Sret des Installations Industrielles

Pourquoi crer une norme ?


 Donner une crdibilit aux produits/services mis sur le
march.
 Donner une crdibilit une organisation.
 Amliorer la qualit globale dans un domaine.
 Favoriser linteroprabilit des produits.
 Donner un rfrentiel dvaluation dun(e)
produit/service/process/organisation
 Faciliter les contractualisations.
 Aider les dveloppeurs/fabricants.
 Faciliter la communication entre acteurs dun mme domaine.


Pierre DAVID pierre.david@grenoble-inp.fr 5


Anne 2011 2012 UE Sret des Installations Industrielles

Construction dune norme

 Les participants :
 Une autorit de tutelle : ex. ASN (Autorit de Sret Nuclaire).
 Une organisation : ex. INCOSE (International Council on Systems
Engineering).
 Un groupe de constructeurs/acteurs dun domaine.
 Organisme de normalisation (ISO, SAE, CEI, AFNOR )
 Administration nationale.

Bien souvent les acteurs priv dun domaine sont moteurs dans
ltablissement des rfrentiels normatifs qui les concerneront!!!

Pierre DAVID pierre.david@grenoble-inp.fr 6


Anne 2011 2012 UE Sret des Installations Industrielles

Validation, certification
 Certification (ex. COFRAC): procdure par laquelle une tierce
partie donne une assurance crite quun produit, un processus
ou un service est conforme aux exigences spcifies.
 Validation : Activit la charge du fournisseur visant
dmontrer par l'analyse et des tests que lquipement satisfait
totalement aux exigences spcifies contractuellement.

 Les acteurs valuant le respect dune norme doivent tre agrs


par un organisme de certification.
 Les valuations doivent tre menes par une tierce partie
indpendante des dveloppeurs du produit et des
commanditaires.
Rq: Diverses validations ont lieu au cours du cycle de dveloppement et
permettent de vrifier que chaque sous-systme rempli ses exigences.
Pierre DAVID pierre.david@grenoble-inp.fr 7
Anne 2011 2012 UE Sret des Installations Industrielles

Accrditation, homologation
 Accrditation (COFRAC) : attestation dlivre par une tierce
partie, ayant rapport un organisme dvaluation de la
conformit, constituant une reconnaissance formelle de la
comptence de ce dernier a raliser des activits spcifiques
dvaluation de la conformit.
 Homologation : constat d'aptitude une utilisation donne,
dlivr un quipement fabriqu suivant un processus bien
dfini, dans une unit de production identifie d'un fournisseur
pralablement qualifi. Il en dcoule deux points cruciaux :
 Lhomologation est une vrification de l'aptitude une utilisation, et non
la seule conformit aux prescriptions d'une norme,
 Elle est prononce par lexploitant final (ex. rseau ferroviaire) et non
par une tierce partie ou un fournisseur.

Pierre DAVID pierre.david@grenoble-inp.fr 8


Anne 2011 2012 UE Sret des Installations Industrielles

LES NORMES DE LA SDF


LA SCURIT FONCTIONNELLE

Pierre DAVID pierre.david@grenoble-inp.fr 9


Anne 2011 2012 UE Sret des Installations Industrielles

Le contexte et les normes de la SdF

 Le vocabulaire consacr aux tudes de SdF est compil dans la


norme CEI 60050 (191) : Vocabulaire Electrotechnique
International, Chapitre 191 Sret de fonctionnement et
qualit des services 1990.
 Elle est cite par de nombreuses normes relatives la SdF et
admise par un large ventail dindustriels, chercheurs ou
institutions.
 Plusieurs directives, manant principalement de lUE,
encadrent les aspects relatifs la scurit des machines,
processus ou produits industriels. Il sagit par exemple des
directives SEVESO II, MACHINES, ATEX ou Equipements
Mdicaux.

Pierre DAVID pierre.david@grenoble-inp.fr 10


Anne 2011 2012 UE Sret des Installations Industrielles

Directives sret
 Directive SEVESO II : prvention des accidents
majeurs sur les sites industriels. Seveso 1976
 Impose la mise en place de :
 Dispositifs de matrise des risques par les Etats,
 Systmes de protection des biens, des personnes
et de lenvironnement pour les sites industriels
classs dangereux. Bhopal 1984
 Plans de gestion de la scurit incluant plans
durgence, damnagement du territoire et
dinspection.
 La directive nest pas prescriptive sur le plan
technique mais organisationnelle.
Toulouse 2001
 Cest donc aux industriels de fixer leur cadre
normatif pour le choix des solutions
techniques.

Pierre DAVID pierre.david@grenoble-inp.fr 11


Anne 2011 2012 UE Sret des Installations Industrielles

La scurit fonctionnelle
 Les directives telles que SEVESO II, imposent la matrise de la
scurit des installations ou machines. Bon fonctionnement et
matrise des drives.
 Def. Scurit : absence de risque inacceptable.
 Def. Scurit fonctionnelle : sous ensemble de la scurit globale
qui dpend du bon fonctionnement dun systme ou dun
quipement en rponse ses entres. (un systme garantit activement la
scurit)
 Exemple: Un quipement de protection thermique, utilisant un capteur de
TC sur un moteur pour commander son dsenclenchement avant
surchauffe. VS. Une isolation thermique pour supporter les hautes
tempratures.
Le premier est un exemple de scurit fonctionnelle, pas le second, bien
quils traitent tous deux le mme risque.

Pierre DAVID pierre.david@grenoble-inp.fr 12


Anne 2011 2012 UE Sret des Installations Industrielles

Fonctions de scurit et
implmentation
 1er tape : les risques significatifs doivent tre identifis par le
spcificateur ou le dveloppeur.
 2me tape : dterminer si la scurit fonctionnelle est ncessaire pour ces
risques.
 Si oui, dfinir les fonctions de scurit ncessaires et les systmes devant
les assurer.
 La dfinition de la scurit fonctionnelle fait apparatre deux types
dexigences :
 Exigences des fonctions de scurit,
 Exigences dintgrit de la scurit (Proba. que la fonction de scurit soit
ralise correctement).

Les exigences des fonctions de scurit sont drives de l'analyse de risque et les
exigences d'intgrit de la scurit sont drives de l'valuation des risques.

Pierre DAVID pierre.david@grenoble-inp.fr 13


Anne 2011 2012 UE Sret des Installations Industrielles

Fonctions de scurit et
implmentation
 Les fonctions de scurit ncessitent de plus en plus
lutilisation de systmes lectriques, lectroniques et
lectroniques programmables (E/E/EP).

 Ces systmes tendent se complexifier, il devient difficile de


prdire tous leurs Modes de Dfaillance et de tester leur
comportement global.

 Leur conception doit donc tre au mieux matrise.

 Des rfrentiels normatifs sont donc crs cet effet.

Pierre DAVID pierre.david@grenoble-inp.fr 14


Anne 2011 2012 UE Sret des Installations Industrielles

Exercice

 Donnez pour un systme de votre choix :


 Un ou deux risques,
 Les fonctions de scurit associes,
 Des systmes E/E/EP implmentant ces fonctions.

Pierre DAVID pierre.david@grenoble-inp.fr 15


Anne 2011 2012 UE Sret des Installations Industrielles

LIEC 61508

Pierre DAVID pierre.david@grenoble-inp.fr 16


Anne 2011 2012 UE Sret des Installations Industrielles

La norme IEC 61508

 La norme rpond au besoin de grer techniquement la


scurit des systmes de protection.
 Intrts en prsence :
 Institutions reprsentant lintrt des citoyens,
 Les constructeurs de composants pour systmes de scurit,
 Les intgrateurs de systmes de scurit et les prestataires de
services,
 Les utilisateurs finaux, propritaires et exploitants des installations ou
machines dangereuses,
 Les organismes tiers de contrle et certification.

Pierre DAVID pierre.david@grenoble-inp.fr 17


Anne 2011 2012 UE Sret des Installations Industrielles

La CEI

 CEI: Comit Electrotechnique Internationale (IEC)


 Organisation mondiale de normalisation compose de
lensemble des comits nationaux.

 La CEI a pour objet de favoriser la coopration internationale


pour toutes les questions de normalisation dans les domaines
de llectricit et llectronique.
 Web: http://www.iec.ch/
 La CEI est divise en 94 Comits Techniques spcialiss par
domaine et technologie.

Pierre DAVID pierre.david@grenoble-inp.fr 18


Anne 2011 2012 UE Sret des Installations Industrielles

Systmes cibles de lIEC 61508


Assurer la scurit
dune
installation/Machine

Scurit
Scurit intgre Scurit
fonctionnelle
la conception organisationnelle
(SF)

SF purement
SF mcanique SF E/E/PE
logicielle

Primtre IEC 61508

Pierre DAVID pierre.david@grenoble-inp.fr 19


Anne 2011 2012 UE Sret des Installations Industrielles

Scurit des E/E/PE


 Pour les E/E/PE les pannes dangereuses peuvent provenir de :
 spcifications du systme incorrectes, pour le matriel ou pour le
logiciel,
 omissions dans la spcification des exigences de scurit (par exemple
le dveloppement de toutes les fonctions de scurit pertinentes dans
tous les modes d'exploitation),
 panne matrielle alatoire des mcanismes,
 panne matrielle systmatique des mcanismes,
 erreur sur le logiciel,
 erreur humaine,
 influence de l'environnement (par exemple lectromagntique,
temprature, phnomne mcanique),
 perturbations de la tension d'alimentation du systme (par exemple
perte d'alimentation, sous-tension).
LIEC 61508 contient les exigences ncessaires et suffisantes pour
minimiser lobtention ou limpact de ces pannes.
Pierre DAVID pierre.david@grenoble-inp.fr 20
Anne 2011 2012 UE Sret des Installations Industrielles

Caractristiques de lIEC 61508


 Norme Internationale.
 Premire dition : dcembre 1998.
 Adopte par lAFNOR en 1999 (NF 61508).
 Conue comme base pour dautres normes ddies par secteur.
IEC 61508

IEC 61511 Ferroviaire


IEC 62061 IEC 61513 ISO 26262 Avionique
Process EN 50126, 50 128,
Machines Nuclaire Automobile 50129
DO 178B
Industriels

 Elle intgre les activits de SdF dans le cycle de dveloppement


des E/E/PE.

Pierre DAVID pierre.david@grenoble-inp.fr 21


Anne 2011 2012 UE Sret des Installations Industrielles

Structure du document

 L'IEC 61508 est constitue de 7 parties :


 IEC 61508-1, Exigences gnrales,
 IEC 61508-2, Exigences pour les systmes lectriques / lectroniques /
lectroniques programmables concerns par la scurit,
 IEC 61508-3, Exigences pour le logiciel,
 IEC 61508-4, Dfinitions et abrviations,
 IEC 61508-5, Exemples de mthodes pour la dtermination des
niveaux d'intgrit de la scurit,
 IEC 61508-6, Directives pour l'application de l'IEC 61508-2 et de l'IEC
61508-3,
 IEC 61508-7, Vue d'ensemble de mesures et de techniques.

Pierre DAVID pierre.david@grenoble-inp.fr 22


Anne 2011 2012 UE Sret des Installations Industrielles

Objectifs de lIEC 61508


 Optimiser le dploiement des systmes E/E/EP pour amliorer la scurit
et les performances conomiques,
 Fixer un cadre global de scurit incluant les dveloppements techniques,
 Fournir une approche systme saine et flexible,
 Fournir une approche risk based pour dterminer les performances
des systmes en matire de scurit,
 Fournir une norme gnrique drivable pour diffrents domaines,
 Fournir les moyens pour acqurir une confiance justifie dans les
technologies bases sur linformatique,
 Fournir des exigences bases sur des principes communs. (Meilleure
communication parmi les parties prenantes : des fournisseurs aux tierces
parties).

Pierre DAVID pierre.david@grenoble-inp.fr 23


Anne 2011 2012 UE Sret des Installations Industrielles

Intrts et points forts


 Donne un rfrentiel mondial :
 Facilite les changes,
 Standardise les pratique dans un domaine,
 Banalise les produits et services associs,
 Rduction des cots associs la scurit et amlioration,
 Meilleure visibilit des cots des investissements,
 Laugmentation de la fiabilit fait souvent augmenter la disponibilit.

 Introduit un cycle de vie de scurit global,


 Rfrentiel de conception dun matriel sr,
 Introduit une approche qualitatives et quantitatives dans la gestion des
dfaillances,
 Concerne le matriel et le logiciel,
 Dcrit les principes, techniques et mesures pour la ralisation de la
scurit fonctionnelle des systmes E/E/EP relatifs la scurit.

Pierre DAVID pierre.david@grenoble-inp.fr 24


Anne 2011 2012 UE Sret des Installations Industrielles

Intrts et points forts

 Pour l'exploitant cela permet :


 le choix des quipements, en fonction de critres de scurit,
 le choix de la solution optimale,
 de raliser des solutions globales,
 d'apprcier la solution qui lui est propose.

 Pour le fabricant :
 positionner les performances de ses produits par rapport la
concurrence.

Pierre DAVID pierre.david@grenoble-inp.fr 25


Anne 2011 2012 UE Sret des Installations Industrielles

Concepts de base
 Scurit fonctionnelle
 Fonction de scurit
 Intgrit de scurit
 Systme relatif la scurit : un systme qui la fois :
 Met en uvre les fonctions de scurit pour atteindre et maintenir un
tat de scurit,
 Est prvu pour atteindre, par lui-mme ou grce dautres systmes
relatifs la scurit, le niveau dintgrit de scurit ncessaire aux
fonctions de scurit requises.
 Niveau dintgrit de scurit (SIL : Safety Integrity Level) :
Niveau discret (parmi 4 possibles) permettant de spcifier les prescriptions
concernant lintgrit de scurit des fonctions de scurit allouer aux
systmes E/E/EP relatifs la scurit. Le niveau 4 est le plus lev; le niveau 1
le plus bas.

Pierre DAVID pierre.david@grenoble-inp.fr 26


Anne 2011 2012 UE Sret des Installations Industrielles

Approche gnrale
Gestion de la scurit fonctionnelle
Exigences techniques
Principes Comptences des personnes
appliqus

La spcification
La conception et limplmentation
Linstallation et la mise en service
un cycle de Lexploitation et la maintenance
vie intgrant Les modifications aprs rception et le dmantlement

Les SIL sont Mesures destines combattre les pannes alatoires des matriels
atteints par Mesures destines viter les pannes systmatiques des matriels et des logiciels

Pierre DAVID pierre.david@grenoble-inp.fr 27


Anne 2011 2012 UE Sret des Installations Industrielles

Approche gnrale

 Les tapes de base commandes par la norme sont :


 Etablir une cible de scurit (risque acceptable) et valuer le risque
existant,
 Identifier les fonctions de scurit requises,
 Identifier les fonctions confier des systmes E/E/EP et fixer leur
objectif en termes dintgrit de scurit,
 Implmenter les fonctions instrumentes de scurit et en dterminer
le SIL,
 Vrifier que le systme instrument de scurit permet datteindre la
cible de scurit exige au dpart.

Pierre DAVID pierre.david@grenoble-inp.fr 28


Anne 2011 2012 UE Sret des Installations Industrielles

Le cycle de vie de scurit

Pierre DAVID pierre.david@grenoble-inp.fr 29


Anne 2011 2012 UE Sret des Installations Industrielles

La rduction des risques

Pierre DAVID pierre.david@grenoble-inp.fr 30


Anne 2011 2012 UE Sret des Installations Industrielles

Risque Tolrable
Application du principe
ALARP (As Low As Reasonably
Practicable)

Autres principes existants:


MEM (Mortalit Endogne
Minimal)
GAME (Globalement Au Moins
Equivalent)

Il est ensuite possible de


dterminer la rduction de
risque souhaite
(Prescription globale de
scurit).
Quelquun doit sengager sur le risque tolrable.
Pierre DAVID pierre.david@grenoble-inp.fr 31
Anne 2011 2012 UE Sret des Installations Industrielles

Niveaux dintgrit de scurit (SIL)


 La norme dfinit les SIL parmi 4 niveaux pour spcifier le niveau
de rduction du risque atteindre.
 SIL 4 est le niveau le plus lev, SIL 1 le plus faible.
 Les SIL dfinissent le niveau de scurit que remplissent les
fonctions de scurit ralises par les systmes relatifs la
scurit.
 Les SIL sont attribus au regard des tudes de risque prenant
en compte les dfaillances dangereuses alatoires et
systmatiques.
 Un sous-systme ou composant ne possde pas
intrinsquement de SIL. Mais peut se montrer adquat pour
atteindre un certain SIL, sil prsente la rduction de risque
spcifi dans le contexte de lapplication.

Pierre DAVID pierre.david@grenoble-inp.fr 32


Anne 2011 2012 UE Sret des Installations Industrielles

Niveaux dintgrit de scurit (SIL)

 Les objectifs quantifis associs au SIL, dpendent du type


sollicitation de la fonction.
 La frontire entre faible et forte sollicitation est fixe 1 par
an ou 2 fois la frquence des tests priodiques.
 Pour les faibles sollicitations, on se rfre la moyenne de la
probabilit de dfaillance la demande sur [0, t] : PFDavg
(average Probability of Failure on Demand).
 Pour les fortes sollicitations, on se rfre la probabilit de
dfaillance dangereuse par heure sur [0, t] : PFH (Probability
of Failure per Hour).

Pierre DAVID pierre.david@grenoble-inp.fr 33


Anne 2011 2012 UE Sret des Installations Industrielles

Niveaux dintgrit de scurit (SIL)


Fonctionnement la sollicitation
Niveau dintgrit Prob. Moy. de Rduction de risque cible
de scurit (SIL) Dfaillance la (RR)
sollicitation (PFDavg)
4 10-5 PFDavg< 10-4 100 000 RR < 10 000
3 10-4 PFDavg< 10-3 10 000 RR < 1000
2 10-3 PFDavg< 10-2 1000 RR < 100
1 10-2 PFDavg< 10-1 100 RR < 10

Fonctionnement en Mode Continu


Niveau dintgrit Prob. Moy. de Rduction de risque cible
de scurit (SIL) Dfaillance par (RR)
heure (PFH)
4 10-9 PFH< 10-8 100 000 RR < 10 000
3 10-8 PFH< 10-7 10 000 RR < 1000
2 10-7 PFH< 10-6 1000 RR < 100
1
Pierre DAVID pierre.david@grenoble-inp.fr 10-6 PFH< 10-5 100 RR < 10 34
Anne 2011 2012 UE Sret des Installations Industrielles

Allocation des prescriptions de


scurit
 La rduction du risque est confie une combinaison de dispositifs
pouvant contenir :
 Des systmes E/E/EP,
 Des systmes bass sur dautres technologies,
 Des dispositifs externes de rduction du risque.

 Lanalyse de risque permet dallouer, chaque dispositif de scurit,


le niveau dintgrit atteindre pour se conformer au risque
tolrable spcifi.

 Ainsi, deux processus de prescriptions sont ncessaires :


 Allocation des SIL aux fonctions de scurit,
 Exigences sur les performances atteindre par les lments de
larchitecture.

Pierre DAVID pierre.david@grenoble-inp.fr 35


Anne 2011 2012 UE Sret des Installations Industrielles

Allocation des SIL aux fonctions de


scurit
 Une mthode quantitative :
 Dterminer le risque tolrable,
 Dterminer le risque sur le systme,
 Dterminer la rduction de risque ncessaire,
 Allouer la rduction ncessaire au systme E/E/EP,
 Comparer la frquence cible (celle du risque tolrable) et la frquence
du risque non protg. On obtient : PFDavg = Ft/Fnp.
 Retranscrire le PFDavg obtenu en SIL (tableau prcdent).

Rq. : Les consquences sont ici supposes constantes, on suppose que lon ne
prend pas de mesure de protection.

Pierre DAVID pierre.david@grenoble-inp.fr 36


Anne 2011 2012 UE Sret des Installations Industrielles

Allocation des SIL aux fonctions de


scurit
 Une mthode qualitative : le graphe de risque
 Technique prenant en compte les consquences du risque, lexposition
au risque, la contrlabilit ou vitement et la frquence de survenue
de lvnement redout si le systmes est non protg.
 Plusieurs graphes peuvent tre utiliss, principalement par domaines
dapplication.

Pierre DAVID pierre.david@grenoble-inp.fr 37


Anne 2011 2012 UE Sret des Installations Industrielles

Allocation des SIL aux fonctions de


scurit

Pierre DAVID pierre.david@grenoble-inp.fr 38


Anne 2011 2012 UE Sret des Installations Industrielles

Allocation des SIL aux fonctions de


scurit
 Une autre mthode qualitative : la matrice de gravit
 Le risque est valu en termes de gravit et probabilit doccurrence,
et galement en termes de nombre de systmes indpendants utiliss
pour le contrler.

Pierre DAVID pierre.david@grenoble-inp.fr 39


Anne 2011 2012 UE Sret des Installations Industrielles

Exigences sur les systmes

 Il existe tout dabord diverses prescriptions gnrales tq. :


 Diversifier les systmes,
 Indpendance vis--vis des systmes de commande non ddis la
scurit,
 Prise en compte des dfaillances dorigine commune (ex. alimentation,
fournisseur dnergie, canaux de communication ),
 Sparation physique.

 Puis des exigences sur le produit

Pierre DAVID pierre.david@grenoble-inp.fr 40


Anne 2011 2012 UE Sret des Installations Industrielles

Exigences produit

 Sur les techniques de conception et le comportement :


 Classification selon type dutilisation,
 Technologie,
 Exigences qualitatives de comportement sur dfaut,
 Exigences quantitatives de comportement sur dfaut,
 Exigences sur la faon de concevoir et produire,
 Exigences sur le logiciel.

 Puis sur son utilisation et sa maintenance

Pierre DAVID pierre.david@grenoble-inp.fr 41


Anne 2011 2012 UE Sret des Installations Industrielles

Allocation des prescriptions de


scurit

Pierre DAVID pierre.david@grenoble-inp.fr 42


Anne 2011 2012 UE Sret des Installations Industrielles

Exigences qualitatives produit


 Deux types de composants sont concerns par la norme :
 Composants de type A :
 Tous les modes de dfaillance sont dfinis,
 La testabilit est de 100%,
 Un retour dexprience existe.
 Composants de type B :
 Les modes de dfaillances ne sont pas tous dfinis,
 La testabilit < 100% (ex. microprocesseur),
 Retour dexprience faible.

 Le type de composant utilis va dterminer larchitecture de la


solution devant exercer une fonction de SIL donn.
 La classification se fait en fonction de la proportion de dfaillance
en scurit SFF (Safe Failure Fraction) de ces composants.

Pierre DAVID pierre.david@grenoble-inp.fr 43


Anne 2011 2012 UE Sret des Installations Industrielles

Safe Failure Fraction

 Les dfaillances peuvent tre classifies par ltat atteint :


 Dfaillances Sres
 Dfaillances Dangereuses
 Ou par leur dtectabilit

DD : Dfaillances Dangereuses Dtectes


DU : Dfaillances Dangereuses non dtectes
S : Dfaillances Sres
T : Dfaillances Totales T DU
SFF =
T

Pierre DAVID pierre.david@grenoble-inp.fr 44


Anne 2011 2012 UE Sret des Installations Industrielles

Exigences qualitatives produit

Tableau 2 (IEC 61508 2)

Tableau 3 (IEC 61508 2)


Pierre DAVID pierre.david@grenoble-inp.fr 45
Anne 2011 2012 UE Sret des Installations Industrielles

Dtermination SFF
 La SFF doit tre calcule pour chaque sous systme de
larchitecture (Composant ou groupe de composant).
 La SFF et la couverture de diagnostic doivent tre calcules de
la faon suivante :
 Raliser une tude AMDE du sous-systme (ncess. Digramme du SIS,
cblage du sous-systme, taux de dfaillances des sous-composant et
pourcentage de participation aux dfaillances sres ou dangereuses),
 Classer les modes de dfaillances en dfaillance sre / dangereuse,
 Calculer les probabilits de dfaillances en scurit et de dfaillances
dangereuses pour chaque sous groupe de composants,
 Pour chaque groupe de composants calculer la proportion de
dfaillance dangereuse dtects par les tests de diagnostic,
 Calculer pour le sous-systme les probabilits totales de dfaillances
dangereuses / en scurit / dangereuses couvertes par le diagnostic.
 Calculer la SFF
Pierre DAVID pierre.david@grenoble-inp.fr 46
Anne 2011 2012 UE Sret des Installations Industrielles

Dtermination SFF
 Les anomalies ou
dfaillances qui
doivent a minima
tre dtectes afin
de raliser la
couverture de
diagnostic ou qui
doivent faire partie
de la dtermination
de la SFF sont
rpertories dans le
tableau A1 de la
partie 2. Ex:

Pierre DAVID pierre.david@grenoble-inp.fr 47


Anne 2011 2012 UE Sret des Installations Industrielles

Techniques de diagnostic

Pierre DAVID pierre.david@grenoble-inp.fr 48


Anne 2011 2012 UE Sret des Installations Industrielles

Exemple de calcul

Pierre DAVID pierre.david@grenoble-inp.fr 49


Anne 2011 2012 UE Sret des Installations Industrielles

Architecture srie (simple canal)

 Le SIL que peut revendiquer la fonction dpend du matriel


rpondant aux prescriptions du niveau dintgrit le plus bas.

Pierre DAVID pierre.david@grenoble-inp.fr 50


Anne 2011 2012 UE Sret des Installations Industrielles

 Architecture parallle :
 Le SIL du canal le plus fiable
peut tre augment de 1.

Pierre DAVID pierre.david@grenoble-inp.fr 51


Anne 2011 2012 UE Sret des Installations Industrielles

Exercice

 Indiquez le SIL que peuvent revendiquer les architectures


suivantes :
1)

Capteur Unit de traitement Relais


SFF = 50% SFF = 50% SFF = 80%
Type A Type A Type A

2)

Capteur Unit de traitement Relais


SFF = 50% SFF = 50% SFF = 80%
Type A Type B Type A

Pierre DAVID pierre.david@grenoble-inp.fr 52


Anne 2011 2012 UE Sret des Installations Industrielles

Exercice (suite)
 Indiquez le SIL que peuvent revendiquer les architectures
3) suivantes :

Capteur Unit de traitement Relais


SFF = 50% SFF = 50% SFF = 80%
Type A Type B Type A

Cible
Capteur Unit de traitement Relais
SFF = 50% SFF = 50% SFF = 80%
Type A Type B Type A

4) Capteur
SFF = 50%
Type A Unit de traitement Relais
SFF = 75% SFF = 80%
Type B Type A
Capteur Concentrateur
SFF = 65% SFF = 92% Cible
Type A Type A
Unit de traitement Relais
SFF = 75% SFF = 80%
Capteur Type B Type A
SFF = 50%
Pierre DAVIDType
pierre.david@grenoble-inp.fr
A 53
Rduire 4 et obtenir le mme SIL avec des composants identiques.
Anne 2011 2012 UE Sret des Installations Industrielles

La dcomposition dans lISO 26262

Pierre DAVID pierre.david@grenoble-inp.fr 54


Anne 2011 2012 UE Sret des Installations Industrielles

Rsum de lapproche
Analyse et Classification Prescriptions de scurit Ralisation des E/E/EP
des Risques
Dterminer le Risque
Tolrable Affecter les niveaux SIL

Analyser les Risques Allouer les Rductions Raliser et valider


Systme de Risque aux E/E/EP larchitecture du E/E/EP

Dfinir les Rductions Exprimer les exigences


de Risque ncessaires des E/E/EP

Fonctionnement la sollicitation

Niveau Prob. Moy. de Rduction de risque cible


dintgrit de Dfaillance la (RR)
scurit (SIL) sollicitation
(PFDavg)

4 10-5 PFDavg< 10- 100 000 RR < 10 000


4

3 10-4 PFDavg< 10- 10 000 RR < 1000


3

2 10-3 PFDavg< 10- 1000 RR < 100


2

1 10-2 PFDavg< 10- 100 RR < 10


1

Pierre DAVID pierre.david@grenoble-inp.fr 55


Anne 2011 2012 UE Sret des Installations Industrielles

Exigences qualitatives produit


 Sont donnes aussi des exigences sur les techniques et mesures mettre
en place pour matriser ou viter:
 Les dfaillances systmatiques
 Dues la conception,
 Dues aux contraintes environnementales,
 En exploitation .

 Des exigences sur lindpendance des personnes en charge de lvaluation


de la scurit fonctionnelle.
 Et des exigences pour une conception robuste du logiciel.

Pierre DAVID pierre.david@grenoble-inp.fr 56


Anne 2011 2012 UE Sret des Installations Industrielles

Cycle de conception logiciel

Pierre DAVID pierre.david@grenoble-inp.fr 57


Anne 2011 2012 UE Sret des Installations Industrielles

Prescription de scurit du logiciel


(exemple)

Pierre DAVID pierre.david@grenoble-inp.fr 58


Anne 2011 2012 UE Sret des Installations Industrielles

Prescription de scurit du logiciel


(exemple)

Pierre DAVID pierre.david@grenoble-inp.fr 59


Anne 2011 2012 UE Sret des Installations Industrielles

Mise en uvre (Matriel)

Pierre DAVID pierre.david@grenoble-inp.fr 60


Anne 2011 2012 UE Sret des Installations Industrielles

Mise en uvre (Logiciel)

Pierre DAVID pierre.david@grenoble-inp.fr 61


Anne 2011 2012 UE Sret des Installations Industrielles

Gestion documentaire et
organisationnelle
 Il faut spcifier linformation documenter afin daccomplir
efficacement le cycle de vie global.
 La documentation doit tre :
 Concise et prcise,
 Facile comprendre par les personnes qui devront lutiliser,
 Correspondre son objectif,
 Accessible et actualisable.
 Il faut spcifier les activits techniques et de gestion raliser
pendant le cycle de vie globale.
 Les personnes, services et organisations responsables de chaque
activits doivent tre clairement identifies.
 Des preuves sur la comptence des personnes impliques doivent
tre donnes.

Pierre DAVID pierre.david@grenoble-inp.fr 62


Anne 2011 2012 UE Sret des Installations Industrielles

Limites et piges
 Les systmes traits se dgradent avec le temps, attention aux
changements de SIL :

HIPPS = High Integrity Pressure


Protection System

[Tiennot et al. 2008]


Pierre DAVID pierre.david@grenoble-inp.fr 63
Anne 2011 2012 UE Sret des Installations Industrielles

Limites et piges

 Les chiffres :
 Difficult disposer dun bon Retour dExprience.
 Manque de justification sur les formules de calcul de la partie 6
(manque dhypothses).
 Dpassement instantan des SIL en exploitation.

 Un conseil : conserver le bon sens de lingnieur, ne pas se


focaliser sur les chiffres pour prouver nimporte quoi
nimporte quel prix!
les chiffres sont comme les espions, force de les torturer on leur fait
dire ce que lon veut.

Pierre DAVID pierre.david@grenoble-inp.fr 64


Anne 2011 2012 UE Sret des Installations Industrielles

EXEMPLE DE CERTIFICATION

Pierre DAVID pierre.david@grenoble-inp.fr 65


Anne 2011 2012 UE Sret des Installations Industrielles

Exemple de Certification
 LINERIS se pose comme autorit de certification pour la
norme CEI 61508.

 Droulement de la certification:
 Demande de certification
 Examen du dossier de certification :
 Audit de lorganisation
 Examen du dossier de certification
 Dcision dattribution de la certification

 La certification est mene suivant le rfrentiel de


certification utilis et dvelopp par lINERIS.

Pierre DAVID pierre.david@grenoble-inp.fr 66


Anne 2011 2012 UE Sret des Installations Industrielles

Rfrentiel SIL INERIS

Pierre DAVID pierre.david@grenoble-inp.fr 67


Anne 2011 2012 UE Sret des Installations Industrielles

Rfrentiel SIL INERIS

Pierre DAVID pierre.david@grenoble-inp.fr 68


Anne 2011 2012 UE Sret des Installations Industrielles

Rfrentiel SIL INERIS


 Audit qualit :
 Organisation (gestion doc, management, prestataires)
 Rfrentiels de dveloppement (cycle global, matriel, logiciel)
 Validation de la documentation
 Prescriptions globales de scurit (tude de larchitecture
propose), tudes des documents suivant :
 Prsentation globale de larchitecture,
 Type des composants (A ou B),
 Testabilit du systme,
 Systmes de dtection,
 Comportements sur dfauts,
 Redondances utilises.
 Le dossier de scurit comprend alors les lments fournis par le
demandeur et les analyses menes par lINERIS.

Pierre DAVID pierre.david@grenoble-inp.fr 69


Anne 2011 2012 UE Sret des Installations Industrielles

Rfrentiel SIL INERIS


 Validation de larchitecture matrielle sur base de :
 Lanalyse fonctionnelle,
 Lvaluation probabiliste de la fiabilit,
 LAMDEC fonctionnelle au niveau de dtail composants,
 La modlisation des tats du systme,
 La quantification du niveau de scurit du systme.
 Le certificateur vrifie alors latteinte des probabilits de dfaillance
ncessaires lobtention du niveau de scurit vis.
 Validation du logiciel en respect avec le cycle en V et les mthodes de
dveloppement requises.
 Examen des plans de validation matriels et logiciels.

Pierre DAVID pierre.david@grenoble-inp.fr 70


Anne 2011 2012 UE Sret des Installations Industrielles

Rfrentiel SIL INERIS


 Validation de lvaluation, ralise par la structure de certification
mais indpendante du responsable daffaire.
 La validation est ralise partir des fiches et grilles dvaluation du
responsable daffaire. Le dossier de validation contient :
 Validation de laudit qualit,
 Validation de la documentation,
 Validation de lanalyse fonctionnelle,
 Validation de lanalyse des risques,
 Validation de la modlisation du systme,
 Validation de lvaluation de la fiabilit,
 Validation des calculs de probabilits de dfaillances,
 Validation du dveloppement logiciel,
 Validation des plans de tests,
 Validation des rsultats de tests.

Pierre DAVID pierre.david@grenoble-inp.fr 71


Anne 2011 2012 UE Sret des Installations Industrielles

BONUS

Pierre DAVID pierre.david@grenoble-inp.fr 72


Anne 2011 2012 UE Sret des Installations Industrielles

Pour une lecture rapide de la norme

 Chapitre A de CEI 61508 5 : concepts de risque et dintgrit


de scurit.
 Figure 2 et tableau 1 de CEI 61508 1 : cycle de vie de
scurit et objectifs de chaque phase.
 Clauses 6 et 8 de CEI 61508 1 : exigences sur le management
et lvaluation de la scurit fonctionnelle.
 Chapitre A de CEI 61508 6 : vision globale des exigences de
CEI 61508 2 et CEI 61508 3.
 Figure 2 et tableau 1 de CEI 61508 2 et figure 3 de CEI 61508
3 : comprendre exigences de scurit de CEI 61508 2 et
CEI 61508 3.

Pierre DAVID pierre.david@grenoble-inp.fr 73


Anne 2011 2012 UE Sret des Installations Industrielles

Rsum de lapproche CEI 61508


 La CEI 61508 utilise une approche base sur le risque pour
dterminer les exigences dintgrit de scurit des systmes
E/E/EP concerns par la scurit.
 Utilise un modle global de cycle de vie de la scurit comme cadre
technique pour les activits ncessaires pour garantir latteinte de la
scurit fonctionnelle.
 Couvre toutes les activits du cycle de vie : conception initiale,
analyse et valuation du risque, dveloppement des exigences de
scurit, spcification, conception, implmentation, exploitation,
maintenance, modification et dmantlement.
 Prend en compte les aspects systme et les mcanismes de panne.
 Donne des exigences pour se prmunir des pannes et les contrler.
 Dfinie les techniques et mesures ncessaires pour atteindre le
niveau dintgrit de la scurit ncessaire.

Pierre DAVID pierre.david@grenoble-inp.fr 74


Anne 2011 2012 UE Sret des Installations Industrielles

Bibliographie
 CEI 61508 : Comit Electrotechnique International Scurit fonctionnelle des systmes
lectriques / lectroniques / lectroniques programmables relatifs la scurit Partie 1
7.
 D. Charpentier, A. Adjadj : Prsentation de la norme EN 61508 publication de lINERIS.
 D. Delahaye : Cours de Sret de Fonctionnement Cours N4 : Normes CNAM 2009-
2010.
 ISA, Club Automation : Guide dinterprtation et dapplication de la norme IEC 61508 et de
ses normes drives IEC 61511 et IEC 62061 11/04/2005.
 A. Mkhida : Contribution lvaluation de la sret de fonctionnement des systmes
instruments de scurit intgrant de lintelligence Thse de doctorat de lINP de
Lorraine, soutenue le 14 novembre 2008 Nancy.
 INERIS : Rfrentiel SIL-INERIS, certification de conformit la orme CEI 61508 Version
1.1 Valide 11/01/2007.
 [Tiennot et al. 2008]: R. Tiennot, C. Grenouilloux, Y. Chaabi, J.P. Signoret, P. Bertho & B.
Nicolas. tude et Certification dun systme instrument de scurit sous-marin. 16me
Congrs de Matrise des Risques et Sret de Fonctionnement. 6 -10 Octobre 2008,
Avignon.

Pierre DAVID pierre.david@grenoble-inp.fr 75