Vous êtes sur la page 1sur 6
INRS METHODOLOGIE ‘Analysis of satety-dedicated programmable controllers. Elements of methodology The objective of the current study was to develop a new method for the evaluation Of safety-dedicated programmable Controllers. Three test laboratories were Contacted to analyse five contolers in tho context of the european standard EN 954. The approach used by the laboratories was as folows. fst, a theoretical analysis of the hardware and software using the documentation ‘Second, the pracieal study mado up of ‘ferent functional, behavioural and ‘envrormental taste A ertial analysis of these results allowed Us fo dovelop an optimised analytical procedure tha! wil be proposed for ‘approval to the partners concerned by these tests contolers manufacturers, test laboratories, technical centers. Programmable cortater/ Salty anaes | MePecsogy Analyse des automates dédiés a la sécurité Eléments méthodologiques C. Vigneron, service Electronique - Sécurité des systémes, centre de recherche de IINRS, Nancy Cette étude avait pour objectif d’élaborer une nouvelle méthode d'éva- luation des automates dédiés 4 la sécurité (APIS). A cet effet, trois laboratoires d’essais ont été sollicités pour analyser cing automates sur la base de la norme européenne EN 954. La démarche suivie par les labora- tolres a été : d’abord V'analyse théorique sur document pour le matériel et le logiciel ; puis ’étude pratique regroupant les ossais fonctionnels, com- portementaux at environnementaux. L’analyse critique des résultats a permis d’élaborer une ébauche de procédure d'analyse optimisée qui sera proposée pour approbation aux partenaires concernés par ces essais : constructeurs d'automates, labo- ratolres dessals, centres techniques. ‘Avlomate programmable / Niveau de sécuré / Analyse / Methodologie Dies grvion une gecennie, sont Japparus sur le marché de la com mande 'automatismes, des automates programmables industrie's dédiés a la sécurité (APIS). Ces cispositis tels {ue = Tricon de Triconox, H51 de HIMA, 5000S de AEG Schneider Automation, FSC 101 de Pepper et Fuchs... étaient lies orientés vers la commande de processus, en chimie, pétrochimic. Plus récemment, des _constactours, proposent des automates dédiés a la sécurité plus compacts, moins coU- teux, destinés a la commande de machines comme les O5F at 115° do ‘Siemens, PSS 3000 et 3056 de Pilz. Les automates de processus assurent la cisponibite evoula secunté do lins- talation; fos automates désies. 8 la commande de machines. quant & eux piilogont en ‘gendral lo paramete Sécunto. Pour tous eas autémates, fa sorete de fonctionnement (secure vou disponibite) est assurée rine palement par des architectures redon- dantes d'ordre 2 ou 3 ev/ou par divers festa, contres, modules sécunts positive (asta) Dans tous les domaines d'application, los utilsatours, "les proventeurs siinterrogent sur utlsation d'un APIS Pour assuror une fonction de sécurts Grecte tele quun artet Gurgence, une commande bimanuelle.. Pour répon- Gre a cette question i est nécessaire analyser automate et Gevaluer son niveau de sécurite 7. ANALYSE PROBLEMATIQUE, _ METHODE D'ETUDE Liévaluation du niveau do sécurité APIAS est un cas particulier du pro- biome plus général de 'évaluaton de dispositis @ microprocesseurs. Rapgelons quil état relativement aisé dévaluer le niveau de sécurité de dis: posits a relais, & composants discreis, voire faiblement intégrés : une liste de detailances quasi exhaustive permet- fait de faire reposer Tévaluation prati- Cahiors de notes decumentaies ~ Hygiene et secunts du avail 166, > irmesire 1997 WF Partonarat constructeurlanalyste Défintion au réterenti’ analyse Document 8 exiger Variation alse fonctionnelle “anatyoe fos ‘08s ccumeants ‘e fassurance ‘tempore porelle Qualité ‘analyae de eeu AMDE, qualtatve 2 auaniarive ? ‘esis de comportement cen présence de pannes Essais ervonnementaux essai de connectique injection de pannes rier composers écana-climatiques - eectriques -cEM = Piss Analyse qualitative os logiciets aystome dxpltation modules de séous modules de sscurté Fig. 1. Ensemble des étapes d'analyse quement exclusivement sur des essais. de comportement en présence de fau- tes intemes. Actuellement, es systémes comportent de plus en plus de composants com: plexes: plusieurs millions deportes our un circuit specitique ASIC, meme densité pour des circuits programma bles tels que microprocesseurs, copro- cesseurs.. De plus, cette logique pro- grammabie introduit te “probleme supplémentaire de évaluation du niveau de sécurité du logicil. Dans cos conditions, Fanalyse de sécu- Tité ne peut plus teposer exclusive: ment, comme par le passé, sur des essais de comportement en présence de defallances. De plus, vu la com- ploxité grandissante des ‘composants, Fessai e'éloigne toujours un pou plus de Texhaustvite En conséquence, il est apparu néces- saire d élaborer une nouvelle méthodo- logie danalyse. Pour trater ce. pro: bieme, uno étude a été lancée sous forme dappel doffre aupres de labora Cabiers de notes documentairos — Hygiéne et séourié du travail 1 166, 16” timestve 1667 tolres trangais reconnus pour leur com- pétence dans le domaine, A savoir FAPAVE alsacienne, TINERIS et le LOIE, Lobjectl de colte étudo était essentit lement d'obtenir los éléments néces: saires a [elaboration dune methodolo- Gie optimale analyse du niveau de Sécurité d APIAS. Chaque laboratoire s'est vu contier un ou deux automates quill devait analy- ser avec ses méthodes propres, seul un fil directeur méthodologique était suggéré dans Tappel dotfre, & savoir ~ analyse du cahier des charges, analyse critique de architecture ‘maténelle: points forts, points taibles, — analyse quablalive du logiciel sys- tome, = validation de points critiques par Injection de tautes, Le cadre normant prétérentiel propose était celui de la noime européenne EN 954-1 [1], En effet, INAS sintéressant tout particuliérement & la commande ‘sire de machines, EN 954 traitant des parlies de systémes de commandos Folatives & la sécurité semble otro lo domaine normaiif le mieux adapté. Ce choix n'exciuat pas cependant utlisa- lion du projet CEI 1508 [2] plus orienté vers les processus, ni Temploi de la norme CE! 1131 [3] pour les aspects, fonctionnels ot onvironnemeniaux des ‘automates progiammables industeiels, Le travail efflectué par 'INAS a consist analyser de mani@re ctitique les rap ports dianalyse fournis par les difé- rents laboratoires, & en effectuer la synthase et a dégager les éléments dune procedure danalyse. RESULTATS: METHODOLOGIQUES La figure 1 présente schématiquement les etapes danalyse utlisées par les différents laboratoires dessais. On y voit apparaitre deux grandes parties lune premiere concemne analyse théo- rique sur documents pour le matériel et le logiciel. Une deuxieme pari, prati- que, regroupe les essais fonctionnels, comporiemertaux et environnemen- taux Pour chaque étape de la procédure globale d'analyse, les méthodos utii- ‘8608 par les differents laboratoires sont rapportées de maniare synthétique dans le tableau |. En premiere lecture, ce tableau suscite quelques remar- ‘ques =Fobtention du constructeur, d'une documentation adéquate est fonda- ‘mentale pour la Suite de Tanalyse, ~ des méthodes formelles d'analyse ne ‘sont pas systématiquoment mises. en ‘ceuvie. Une analyse intuitive des sché- mas, de Farchitecture est utlisée, = un seul des laboratoires utlise une méthode probabiliste basée sur le pro- jet de nome CEI 1508, =Vanalyse et révaluation du logiciel ssystéme posent encore de nombreux problemes, —les essais_environnementaux bien qu'ossentiols ne faisaient pas objet de Fappel dot. Cos essais sont connus fet ne nécessitent pas une étude metnodalogique. Toutetois, un labora lore @ fourni des résultats dans ce domaine. Les laboratoires ~ les appareils tostés APAVE (Association des propritaires appareils & vapeur ef électriques) falgacienne * vioan de TRICONEX INERIS (Institut National de Environnement Industrie! ot des Ricques) : 5000S APRIL et 115 F de SIEMENS. LLCIE (Laboratoire Central des Industries Electiques) : HSIMS de HINA TABLEAU | ‘Synthése des approches méthodologiques Etapes Analyse INERIS Lore Rocuell documents ot contacts PAVE, Documents techniques, | Documents tecnniques, senvimas, renconies avec /consructeur constructour schémas, rencontres avec Idem + Modulation docu- ments en fonction categoria Riétérentio! principal EN 954 (CE! 1508 Elaboration 1&6 rontie| analyse EN 954 ‘Analyse fonctionnel Elaboration des schémas fonctionne's ‘SADT ‘Analyse entique de matho- dos ot choir de RELIASEP ‘Analyse de sireté qualitative ‘Analyse des schemas et validation par essais, teur Verification AMDE consinuce Vérlication AMDE construc ‘eur ‘Analyse de sOreté quantitative | Non ‘Oui Calcul do probabiité [Non des dallances non sires PFO. Examen documents qualité [Ou our Ou ‘Analyse du logiciel Systeme dexploitaion non Applicat dessais APAVE Systeme Pexploittion non Applicant dessais ‘Systeme doxplotaton ‘oui par « check kt» HSE et CEI 1508 Essais fonctionnels| Out Out Ou Essais de comportement sur défauts ‘Gonnestique + injection de | Gonnedtique fautes eux USA (outl Robo: cop) ‘Gannectane + injection do fautes, collage des sores Essai environnomentaux Noa! Verfcation des essais cons Non Cahiers de notes documentaites 166, 1°” timesto 1997 ne at sécurité’ du travail 3B