BN 3425

Qualification des systèmes
programmés dans les centrales
par Alain LEGRAS

Ingénieur Arts et Métiers, Institut National Polytechnique
Directeur adjoint Division Énergie et Industrie à Sema Group
et Daniel QUENOT
Ingénieur de l’École Supérieure d’Électricité
Ingénieur d’études de sûreté et architecture des systèmes à Sema Group
1. Présentation .............................................................................................. BN 3 425 - 2

1.1 Particularité des centrales nucléaires ........................................................ — 2
1.2 Nature des systèmes programmés ............................................................ — 2
1.3 Objectifs de qualité des systèmes programmés....................................... — 3
2. Documents normatifs ............................................................................. — 3
2.1 Paliers français et RCC-E ............................................................................. — 3
2.2 Normes AIEA................................................................................................ — 4
2.3 Normes CEI .................................................................................................. — 4
2.4 Autres normes, travaux en cours ............................................................... — 5
3. Qualification des systèmes programmés. Pratiques ..................... — 5
3.1 Généralités ................................................................................................... — 5
3.2 Systèmes de protection .............................................................................. — 6
3.3 Automates de sûreté ................................................................................... — 9
3.4 Système de conduite du palier N4 ............................................................. — 11
3.5 Site de Kashiwasaki, Japon ........................................................................ — 14
4. Qualification des systèmes programmés. Tendances ................... — 14
4.1 Constructions nouvelles.............................................................................. — 14
4.2 Rénovations ................................................................................................. — 15
5. Conclusion ................................................................................................. — 15
Pour en savoir plus........................................................................................... Doc. BN 3 425
omme les autres secteurs industriels, les centrales nucléaires ont largement
C bénéficié de l’utilisation de moyens informatiques, et ce à tous les niveaux :
outils de conception, systèmes de protection et de contrôle-commande, outils de
suivi d’exploitation. Cet article traite de la qualité du logiciel des systèmes de
protection et de contrôle-commande des centrales nucléaires récentes.
Un paragraphe général permettra au lecteur d’appréhender le contexte d’utili-
sation du logiciel dans une centrale nucléaire, caractérisé par des contraintes de
sûreté et de disponibilité, des facteurs économiques, ainsi que par l’apport fonc-
tionnel permis par la technologie informatique.
Une deuxième partie présente les codes et normes qui président à l’élabora-
tion et à l’évaluation de la qualité des systèmes programmés.
Une troisième partie expose, pour chaque type de système, les caractéristi-
ques (choix techniques, pratiques) qui permettent d’obtenir la qualité adéquate.
Cette présentation est basée sur des exemples concrets de tels systèmes, dans
les centrales nucléaires françaises et étrangères.
Une dernière partie fait le point sur les tendances futures, extrapolées à partir
des études et des projets en cours.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Génie nucléaire BN 3 425 − 1
QUALIFICATION DES SYSTÈMES PROGRAMMÉS DANS LES CENTRALES __________________________________________________________________________
1. Présentation de remplacer simplement les moyens dits « conventionnels », mais

d’améliorer la sûreté de la conduite et le rendement économique de
la centrale.
1.1 Particularité des centrales nucléaires

1.2.1 Apport des systèmes programmés
« Une centrale nucléaire est destinée à fournir une énergie électri-
que compétitive dans le contexte économique actuel. Cependant, Les systèmes numériques de protection réacteur sont apparus au
elle contient des produits radioactifs qui présentent de ce fait un début des années 1980, en France sur le palier 1 300 MW. Par rap-
danger pour l’environnement ». Cette phrase, extraite du mémento port aux systèmes de protection conventionnels, ils ont permis
de la sûreté nucléaire en exploitation, énonce assez bien les deux d’affiner et d’augmenter la couverture des critères de déclenche-
principales contraintes, parfois divergentes, qui vont définir la ment de l’arrêt d’urgence, d’éviter les éventuels arrêts d’urgence
qualité nécessaire des systèmes programmés comme des autres provoqués de manière intempestive par une défaillance simple du
systèmes. système de protection, d’améliorer les conditions de test en exploi-
tation du système.
L’aide aux actions de sauvegarde consécutives à un arrêt
1.1.1 Sûreté nucléaire d’urgence, la régulation plus fine du procédé, l’exécution automati-
que de séquences sont autant de progrès que l’on doit au potentiel
L’application de la doctrine de sûreté nucléaire aux systèmes de des systèmes programmés.
contrôle-commande des centrales françaises est présentée dans
Au niveau de l’interface opérateur, les systèmes programmés per-
l’article [BN 3 411]. On se reportera aussi à cet article pour la défini-
mettent une aide considérable : présentation réduite et ordonnée
tion des niveaux de classement des équipements et des exigences
des alarmes en fonction de la situation de la tranche, procédures de
associées. Nous nous limitons ici au rappel succinct suivant :
conduite notamment d’approche par états largement supportées
— une étude déterministe de sûreté (prise en compte des acci- par l’informatique [BN 3 421].
dents « de dimensionnement », c’est-à-dire prévisibles à la concep-
tion) est effectuée. Elle est complétée par une étude probabiliste de Le palier français N4 est aujourd’hui le plus avancé au monde en
sûreté (prise en compte des accidents « hors dimensionnement » termes de conduite informatisée (figure 1). Grâce à ce nouveau
c’est-à-dire les accidents autres ou combinatoires des précédents moyen, les opérateurs disposent de postes de conduite « assise »
pouvant avoir une influence sur la probabilité de fusion du cœur). cumulant, entre autres, tous les avantages cités ci-dessus.
Ces études permettent d’identifier les équipements de contrôle- Les systèmes programmés permettent aussi :
commande impliqués dans la prévention ou la limitation des consé-
— d’optimiser la maintenance (décompte de la fatigue de chacun
quences des accidents, leur fonction par rapport à la sûreté, et
des organes de la centrale, procédures de mise hors service provi-
d’attribuer à ces systèmes ce que l’on appelle un niveau de
soire d’un circuit, maintenance conditionnelle grâce à la sur-
classement ;
veillance d’organes par analyse vibratoire) ;
— les niveaux de classement définis pour le palier 1 450 MW des
centrales nucléaires françaises sont par ordre de sévérité décrois- — d’améliorer la connaissance du procédé. Les systèmes d’archi-
sante 1E, 2E, SH, IPS-NC (important pour la sûreté - non classé), NC vage renseignent les experts, qui peuvent améliorer le contrôle du
(non classé). procédé et, à plus long terme, sa conception ;
— de bénéficier des techniques de simulation permettant la mise
L’article [BN 3 411] présente aussi la démarche retenue pour le au point du procédé, de son contrôle et la formation des opérateurs.
réacteur européen du futur (EPR) conduisant à une découpe en qua-
tre catégories (E1A, E1B, E2, E3). D’autres référentiels (méthode de Tous les aspects des systèmes programmés ne peuvent être abor-
classement et définition des exigences associées à ces classements) dés dans cet article qui se limite aux systèmes programmés impli-
existent, telle celle présentée dans la norme CEI 1226 [1] ou celle qués dans la conduite opérationnelle de la tranche.
imposée par la NRC aux États-Unis.
Les exigences de qualité sont décrites dans des documents
(codes, normes ou autres). Leur prise en compte est garantie tout au 1.2.2 Flexibilité des systèmes programmés
long du cycle de développement du système par une démarche de
qualité du fabricant, par des audits du maître d’ouvrage, par un pro- Les systèmes programmés apportent aussi une flexibilité nou-
cessus de qualification à l’initiative de l’autorité de sûreté. velle par leur caractère très hautement configurable. Modifier ou
optimiser un automatisme, créer de nouvelles séquences, créer de
nouvelles vues (images) du procédé sont autant d’opérations ren-
1.1.2 Enjeu économique dues possibles uniquement à l’aide d’outils de CAO. Cette flexibilité
est surtout appréciable dans les phases de mise en service et dans
Une centrale nucléaire est une installation industrielle représen- l’évolution en cours d’exploitation.
tant un investissement très important, et donc un enjeu écono- Bien sûr, cette flexibilité ne dispense pas du respect des contrain-
mique fort. La production d’électricité à partir du combustible tes de sûreté et donc de qualification. C’est pourquoi une modifica-
nucléaire est intrinsèquement complexe, requiert une très haute tion, même de paramètres, du système de protection s’apparente,
disponibilité, mais aussi un rendement optimal, une pérennité de dans la majeure partie des cas, à une modification de code ou de
l’installation, une diminution des coûts de maintenance et des matériel, et engendre l’effort de requalification adéquat.
temps d’arrêt.
De manière générale, un système programmé peut être décrit
Les systèmes programmés impliqués doivent être à la hauteur de comme l’association de matériel (unités centrales, cartes d’acquisi-
cet enjeu économique. tion, réseaux, écrans, etc.), de logiciel (logiciel de base, logiciel
applicatif générique) et de données ou paramètres (description des
entrées/sorties, automatismes, séquences, description des alarmes,
1.2 Nature des systèmes programmés images, etc.).
La souplesse des systèmes programmés impose en contrepartie
Les systèmes programmés prennent une part croissante dans les une extrême rigueur dans la gestion de configuration du matériel,
moyens d’instrumentation et de contrôle. Il ne leur est pas demandé du logiciel et des données.
BN 3 425 − 2 © Techniques de l’Ingénieur, traité Génie nucléaire
__________________________________________________________________________ QUALIFICATION DES SYSTÈMES PROGRAMMÉS DANS LES CENTRALES
Figure 1 – Salle de commande numérique de la centrale nucléaire de Chooz
1.2.3 Types de systèmes — le caractère qualifiable : selon la contribution du système à la

sûreté, il sera exigé pour sa qualification un certain nombre de
On se reportera à l’article [BN 3 411] pour une meilleure compré- « garanties » de tenue des objectifs précédemment cités. Cela peut
hension de l’architecture des systèmes de contrôle-commande. conduire à se restreindre à des techniques ou pratiques dont on
peut « prouver » l’efficacité.
À des fins économiques, d’autres objectifs sont fixés, tels :
1.3 Objectifs de qualité des systèmes — la fiabilité des systèmes non essentiels pour la sûreté de la
programmés tranche mais influant sur sa disponibilité ;
— au-delà de l’état initial des systèmes programmés, leur main-
Nous ne reviendrons pas ici sur les missions assignées aux systè- tien en condition opérationnelle et leur potentiel à évoluer pendant
mes programmés, bien que ces missions constituent une avancée 15 à 25 ans.
technologique par leur richesse fonctionnelle, leur étendue et leurs
performances (se reporter aux articles [BN 3 411] et [BN 3 421].
Nous nous intéresserons maintenant à l’objet principal de cet article
qui est la qualité de ces systèmes et, plus particulièrement, de leur
logiciel. 2. Documents normatifs
Les exigences portées sur les systèmes programmés proviennent
d’impératifs de sûreté ou d’exploitation, éventuellement des deux Un moyen formel de caractériser la qualité d’un système pro-
(cf. § 1.1). Les objectifs concernant essentiellement la sûreté sont : grammé est d’en évaluer la conformité par rapport à un ensemble
— la conformité au besoin : la mission de sûreté du système doit de normes bien choisi. Cette évaluation est un critère d’appréciation
être définie de manière claire et le système doit remplir cette mis- essentiel pour l’autorité de sûreté, surtout en ce qui concerne la
sion avec exactitude ; catégorie la plus sévère (1E pour les paliers français).
— la fiabilité : il faut pouvoir caractériser qualitativement ou
mieux quantitativement la confiance que l’on place dans le système
à l’instant t, c’est-à-dire le maintien de son fonctionnement
conforme aux spécifications au fil du temps et dans toutes les 2.1 Paliers français et RCC-E
conditions d’ambiance spécifiées ;
— la disponibilité : un objectif de disponibilité doit être spécifié Après une réflexion entreprise en 1976 par les représentants du
pour chaque mission et tenu ; ministère de l’Industrie, du CEA, d’EDF et de Framatome, il fut
décidé d’élaborer une codification, fondée non pas sur des considé-
rations générales et abstraites mais sur la réalisation concrète des Tableau 1 – Normes AIEA
tranches nucléaires avec ses acteurs techniques (organismes de
sûreté, exploitants, constructeurs, fournisseurs et sous-traitants). Norme Référence
C’est ainsi, que fut créée l’AFCEN (association française pour les
Code on the safety of nuclear power 50-C-QA
règles de conception et de construction des matériels des chau- plants : quality assurance
dières électronucléaires) en 1980. Cette association regroupe EDF,
Framatome et Novatome. Code on the safety of nuclear power 50-C-D
On se reportera à l’article [B 3 220] pour une information plants : design
complète sur les codes applicables en France.
Safety functions and component classi- 50-SG-D1
fication for BWR, PWR and PTR
2.1.1 Code RCC-E Protection system and related features 50-SG-D3
in nuclear power plants
Le RCC-E [3] constitue un ensemble de règles techniques qu’un
fabricant applique pour la conception et la construction des maté- Safety-related instrumentation and con- 50-SG-D8
riels électriques des îlots nucléaires et en premier lieu pour les trol systems for nuclear power plants
matériels liés à la sûreté des installations.
Le RCC-E se caractérise par l’importance donnée à la qualification General design safety principles for 50-SG-D11
nuclear power plants
aux conditions accidentelles des matériels, qui relève d’exigences
strictes d’assurance de la qualité. Manual on Quality Assurance for Com- TECHNICAL REPORT 282
L’édition* la plus récente du RCC-E date de 1984. Elle traite de puter Software Related to the Safety of
l’ensemble du cycle de vie des matériels électriques avec complé- Nuclear Power Plants
tude, moyennant parfois des renvois à d’autres documents norma-
tifs. Ce document traite d’appareillages électriques conventionnels, Software Important to Safety in Nuclear TECHNICAL REPORT 367
et il faut le décliner avec intelligence pour l’appliquer à des systè- Power Plants
mes programmés.
Nota : * Édition est ici employé au sens réédition complète. Des modifications ou ajouts
ont été édités depuis.
Le comité CEI 45 « Instrumentation nucléaire » est divisé en deux
sous-comités :
2.1.2 Modificatif C 5000 du RCC-E — le sous-comité 45 A : instrumentation des réacteurs ;
— le sous-comité 45 B : instrumentation pour la radioprotection.
Le modificatif* C 5000 [Systèmes programmés (aspects logiciel)
d’octobre 1987] s’applique aux « systèmes programmés dont la Le sous-comité 45 A a la charge d’émettre des normes à partir des
défaillance peut avoir des conséquences sur la sécurité des person- recommandations de l’AIEA. Ces normes sont nombreuses car elles
nes ou des incidences notables sur la disponibilité de la centrale ». couvrent l’ensemble de l’instrumentation depuis les capteurs
jusqu’aux salles de commande.
Nota : * Modificatif est le terme consacré par l’AFCEN. Il s’agit en fait d’un supplément
(traitant d’un sujet non encore abordé).
Le modificatif C 5000 ne reconnaît que deux catégories de
logiciel : les logiciels classés de sûreté et les autres. Il est très
2.3.1 Norme CEI 1226
contraignant pour les premiers grâce à de nombreux reports à la
norme CEI 880. Il ne traite pas en détail les autres catégories de La norme CEI 1226 (Centrales nucléaires - Systèmes d’instrumen-
logiciel. tation et de contrôle-commande importants pour la sûreté - Classifi-
cation) établit une méthode de classification des fonctions
d’information et de commande des centrales nucléaires, des sys-
tèmes et du matériel d’instrumentation et contrôle qui assurent
2.2 Normes AIEA ces fonctions, en catégories indiquant leur importance pour la
sûreté [1].
Le rôle de l’AIEA (Agence internationale de l’énergie atomique) La classification qui en résulte permet alors l’établissement de cri-
est de définir des objectifs, et une politique d’instrumentation et de tères de conception appropriés. Les critères de conception sont les
contrôle-commande. Les documents produits sont des codes, mesures de la qualité garantissant qu’il y a adéquation de chaque
guides ou documents techniques (tous ces documents étant abu- système relativement à son importance pour la sûreté. Les prescrip-
sivement appelés « normes »). tions sont souvent exprimées en termes de reports à d’autres nor-
La liste des documents de l’AIEA applicables aux systèmes pro- mes (CEI 780, 880, 980 notamment).
grammés est présentée dans le tableau 1.
En général, ces documents n’ont pas pour vocation d’être appli-
qués tels quels. Le rôle de la CEI est de transcrire ces documents en
2.3.2 Norme CEI 880
normes applicables.
Ce document [2] datant de 1986 est applicable aux systèmes de
protection et de sauvegarde des réacteurs. Il fait autorité en la
matière car il a été appliqué pour la conception et la qualification de
2.3 Normes CEI systèmes numériques de protection réacteur dans plusieurs pays
(dont la France, la Grande-Bretagne).
La CEI (Commission électrotechnique internationale) est une Il fournit un ensemble de prescriptions imposant une méthodolo-
organisation mondiale qui a pour objet de favoriser la coopération gie de développement rigoureuse basée sur le « cycle en V », et pré-
internationale pour toutes les questions de normalisation dans les conisant des techniques permettant d’obtenir du logiciel fiable. Ces
domaines de l’électricité et de l’électronique. techniques permettent essentiellement de maîtriser la complexité
(découpe en modules simples, langage de programmation évolué et

orienté sûreté, non-utilisation des interruptions lors de la program- 3. Qualification des systèmes
mation, etc.). programmés. Pratiques
2.3.3 Autres normes CEI
3.1 Généralités
Le tableau 2 liste les normes CEI les plus directement applicables
aux systèmes programmés.
L’installation de systèmes programmés dans les centrales
nucléaires a soulevé un certain nombre de problèmes nouveaux.
Outre la création des systèmes eux-mêmes, il a fallu créer des
méthodes de qualification de ces systèmes.
Tableau 2 – Autres normes CEI
Norme Référence
3.1.1 Qualification du matériel
Centrales nucléaires - Systèmes d’instrumenta- CEI 1226 : 1993
tion et de contrôle-commande importants pour Dans une certaine mesure, les règles de conception et de
la sûreté - Classification construction du matériel programmable peuvent s’apparenter à une
extension d’une pratique déjà courante pour le matériel électrique
Logiciel pour les calculateurs utilisés dans les CEI 880 : 1986 (cycle de développement, sélection de composants, tests sous
systèmes de sûreté des centrales nucléaires forme d’épreuve, etc.). Une bonne partie des exigences est factuelle
Calculateurs programmés importants pour la CEI 9897 : 1989 et donc facile à vérifier (exemple : redondance, isolation géogra-
sûreté dans les centrales nucléaires phique) une autre partie est démontrable par tests (exemple : résis-
tance aux conditions sismiques, aux conditions d’ambiance,
Critères fonctionnels de conception pour un CEI 960 : 1988
système de visualisation des paramètres de isolation électrique). L’assurance qualité du procédé de fabrication,
sûreté pour les centrales nucléaires quoique plus complexe, peut aussi s’apparenter à des pratiques
existantes pour les produits électroniques.
Pratiques recommandées pour la qualification CEI 980 : 1989
sismique du matériel électrique du système de Concernant les unités centrales, nous éludons le débat de la limite
sûreté dans les centrales nucléaires entre le matériel et le logiciel, trop détaillé par rapport à l’exposé (le
microcode d’un processeur est-il considéré comme du matériel ou
Qualification des constituants électriques du CEI 780 : 1984 du logiciel ?).
système de sûreté des centrales nucléaires
Le comportement du matériel se caractérise en général par un
profil d’exécution (séquencement des sollicitations au fil du temps)
relativement constant ou répétitif. Les éléments d’une unité centrale
D’importants travaux sont en cours, principalement pour couvrir sont sollicités selon une combinatoire maîtrisée.
des sujets non traités à l’heure actuelle (nouvelles technologies, réu- On peut donc considérer que tous les cas de figure d’exécution
tilisation de composants existants, systèmes de classe de sûreté ont été testés et qu’il ne reste quasiment pas d’erreurs de concep-
autre que la plus sévère, etc.). tion. Nous savons que cette hypothèse est simplificatrice mais elle
est assez exacte pour les cartes constituant le système de protection
ou les automates de sûreté.
2.4 Autres normes, travaux en cours Par conséquent, fiabilité et disponibilité d’un équipement matériel
vont reposer essentiellement sur la fiabilité et la disponibilité des
D’autres référentiels normatifs peuvent être utilisés pour caracté- composants individuels. Les mesures effectives sur un nombre suf-
riser la qualité des systèmes programmés des centrales nucléaires, fisant de matériels et composants confirment d’ailleurs cette hypo-
tels : thèse, et il est admis que fiabilité et disponibilité du matériel sont
— la norme CEI 1508 traitant des systèmes critiques dans l’indus- des grandeurs mesurables.
trie en général ;
— les documents rédigés par la NRC (Nuclear Regulatory
Commission ). Cette institution rédige et impose les règles applica- 3.1.2 Qualification du logiciel
bles aux États-Unis ;
— la norme japonaise JEAG 4609 traitant des systèmes program- Dès qu’un logiciel dépasse quelques centaines de lignes, le nom-
més importants pour la sûreté dans les centrales nucléaires. bre de profils d’exécution possibles devient énorme. Le problème
est bien sûr accru si on utilise des interruptions et l’ordonnancement
Parmi les travaux en cours, on remarque : de tâches parallèles. Si on ne limite pas la complexité à la concep-
— l’ETC-I (European Technical Code for I & C ) qui est le document tion, il est illusoire de prétendre tester tous les profils d’exécution
homologue de l’actuel RCC-E pour le futur palier européen EPR ; possibles. Fiabilité et disponibilité du logiciel sont uniquement
— les normes CEI en cours de rédaction (cf. § 2.3). dépendants des erreurs résiduelles issues de fautes de conception,
La France, comme d’autres pays, tente d’évoluer de standards qui ne se transformeront en défaillance que le jour où l’exécution
nationaux (RCC-P, RCC-E) vers des standards internationaux (ETC-I passera par un profil qui révélera ces erreurs.
et normes CEI). Cela suppose de reconnaître dans ces standards Sans pour autant minimiser l’importance pour la sûreté ou l’effort
internationaux des pratiques et une rigueur équivalentes à ce qui est nécessaire à la qualification du matériel, nous allons nous intéresser
fait en France. par la suite essentiellement à la qualification du logiciel, problème
L’élaboration de standards internationaux pose cependant des plus nouveau et plus complexe de par la nature même du logiciel.
problèmes d’harmonisation. Les pratiques ne sont pas identiques
dans tous les pays même si elles conduisent à la même qualité du
produit final. La tendance est donc à obtenir un consensus en prio- 3.1.3 Importance du contexte
rité sur les qualités d’un système programmé (fiabilité, disponibilité,
maintenabilité, déterminisme, etc.) plutôt que sur les moyens d’y Il faut se garder de toute comparaison hâtive de pratiques entre
parvenir (techniques de réalisation). deux pays, même sur deux systèmes de nature a priori similaire.
Différence de pratique ne signifie pas incohérence. La cohérence se sur la sûreté et sont, de ce point de vue, beaucoup plus contrai-
juge en fait au sein d’une même réalisation, par l’homogénéité gnants que des audits de types certification ISO 9001.
d’application de la doctrine de sûreté. Ainsi une exigence qui paraît Les activités de tests unitaires, vérification et validation ont été
moins forte sur un système donné peut être compensée par diver- effectuées par des personnes indépendantes de celles qui ont effec-
ses techniques : diversification, défense en profondeur, tests en tué le développement. Ces activités ont comporté un cycle systéma-
exploitation, etc. tique de relecture de documents et des programmes. Un contrôle de
En outre, des pratiques différentes peuvent tout à fait amener à un configuration rigoureux assure la cohérence de chaque module logi-
niveau de sûreté équivalent. Concernant le logiciel, domaine relati- ciel avec sa documentation, l’environnement et la trace des tests
vement nouveau, clients et industriels fournisseurs ont été amenés associés.
à sélectionner des techniques qui leur paraissaient appropriées,
fonction des règles de sûreté, de la nature du système à réaliser et 3.2.1.2 Preuve et déterminisme
de leur savoir-faire.
Les systèmes numériques de protection réacteur réalisés en
La présentation qui suit se base sur des exemples de réalisation
France dès le palier 1 300 MW constituaient une première mondiale.
rapportés à leur contexte.
L’autorité de sûreté a donc logiquement porté une attention parti-
culière à la qualification du logiciel.
3.2 Systèmes de protection Une idée force, qui a sans doute dicté beaucoup de choix, était
qu’il fallait obtenir la preuve de bon fonctionnement du logiciel, au
même titre que l’on obtenait cette preuve grâce à une combinatoire
Toutes les centrales nucléaires de puissance sont équipées d’un
de tests limitée pour les systèmes de protection à relayage conven-
système de protection, même si le contour et les missions qui lui
tionnel. Sur un logiciel de grande taille, nous avons déjà exprimé
sont assignées connaissent quelques différences. Se reporter à
qu’il est impossible d’apporter la preuve de bon fonctionnement par
l’article [B 3 470].
une combinatoire exhaustive de tests. Il a donc été nécessaire de
Ce sont des systèmes essentiellement à logique booléenne et de fixer des règles de conception conduisant à un logiciel simple et
type réactif (passifs en conditions normales, mais qui déclenchent entièrement maîtrisé.
des actions sur détection de conditions anormales). Les systèmes
La norme CEI 880 a été conçue pour conduire à la maîtrise de la
numériques de protection succèdent à une génération de systèmes
complexité et comporte, surtout dans les annexes, des règles de
à relayage conventionnel, le noyau de leur mission est donc de
réalisation contraignantes. Ces exigences ont été respectées même
reproduire les fonctions de protection déjà connues, le tout avec
si elles ne présentaient pas un caractère strictement obligatoire.
une fiabilité et une disponibilité supérieures. Dispositif essentiel
Principalement :
d’application de la doctrine de sûreté, il est toujours classé au
niveau le plus sévère (1E en France). — aucun logiciel préexistant n’a été utilisé ;
— deux types de logiciel sont définis : le logiciel système et le
Ce paragraphe décrit la réalisation du système numérique de pro- logiciel d’application, tous deux entièrement conçus selon la
tection du réacteur (SNPR) N4. D’autres réalisations similaires sont CEI 880 ;
ensuite évoquées, en ne présentant que les pratiques différentes ou — le logiciel est découpé en modules pouvant être testés
complémentaires. exhaustivement ;
— les programmes n’utilisent pas de tâches ni d’interruption.
L’exécution d’un programme (logiciel système incluant la gestion
3.2.1 Système numérique de protection réacteur des entrées/sorties et logiciel d’application) est réalisée en une seule
N4 (France) boucle cyclique ;
— l’allocation dynamique de mémoire, technique jugée
Ce système est connu sous le nom de SPIN (système de protec-
complexe et imparfaite, est interdite ;
tion intégré numérique, technologie de Schneider Electric). Pour ce
système, la technologie numérique a permis la prise en compte — les programmes ne contiennent pas de code « mort » (inuti-
d’exigences de conception supplémentaires par rapport à un sys- lisé) ;
tème conventionnel visant à accroître sûreté et disponibilité de la — le code a été systématiquement inspecté par un outil d’analyse
tranche. Particulièrement : statique ;
— des autotests sont effectués au lancement du logiciel et au
— une plus grande diversification des conditions d’arrêt cours de son exécution.
d’urgence ;
— le respect du critère de défaillance unique y compris lors du
test en exploitation d’une chaîne du système ; 3.2.1.3 Éviter les erreurs dès la conception
— éviter tout déclenchement intempestif de l’arrêt d’urgence sur La norme CEI 880, bien que très directive, donne lieu à des inter-
défaillance unique d’un composant du système. prétations différentes sur le caractère obligatoire ou sur la portée de
Ces exigences supplémentaires ont induit une architecture plus certaines exigences, donc des moyens à mettre en œuvre. Il suffit de
complexe basée sur une redondance 4 qu’il a fallu, en contrepartie, regarder les différences de pratique d’un projet à l’autre pour s’en
maîtriser. convaincre.
Il est certain que les règles déjà énoncées diminuent la probléma-
3.2.1.1 Application de la CEI 880 tique dans des proportions appréciables. L’état de l’art sur le logiciel
critique incite à éviter ou éliminer les erreurs aussi tôt que possible
La conception du logiciel en vue de la qualification du système a dans le processus de conception. À cette fin, l’industriel fournisseur
largement reposé sur le respect strict de la norme CEI 880, et ce dans a jugé utile de faire le choix d’une technique de conception particu-
son interprétation la plus contraignante. lière.
Un système qualité a été mis en place, respectant le cycle dit
« en V » et les activités de vérification requises par la norme. Le ■ Langage Lustre
cycle en V est d’une manière générale très répandu, à tel point que Ce langage structuré permet l’écriture d’un programme sous
cette pratique n’est pas nécessairement typique d’une application forme d’un ensemble d’équations définissant des variables fonction
de sûreté. Il est donc important de signaler que les règles associées du temps. Le temps en langage Lustre est discret, et on peut l’assi-
d’assurance qualité et de contrôle qualité sont spécifiques aux sys- miler à la séquence des entiers positifs. L’équation « x = y + z »
tèmes de sûreté. Les audits de conformité sont eux aussi orientés signifie qu’à chaque instant t, on a « x (t ) = y (t ) + z (t ) ». Une varia-
ble étant définie par une équation et une seule, nombre d’erreurs de — élaboration d’un automate d’états en fonction des assertions,
programmation classiques étaient ici impossibles. du programme à vérifier et des propriétés ;
Le formalisme du langage Lustre est proche des habitudes des — génération par l’atelier de tous les états possibles de cet auto-
automaticiens. Il a permis un parallélisme de conception maximal mate et pour chacun d’eux, vérification de l’ensemble des propriétés
tout en assurant une bonne communication entre les intervenants (technique connue sous le nom de model checking ).
du projet (concepteurs, programmeurs, valideurs...). Cette technique a été utilisée en complément (et non en remplace-
ment) des autres méthodes de vérification. Elle n’a pas été appli-
■ Hypothèse de synchronisme quée à l’ensemble du logiciel, mais à une unité seulement. De plus,
Elle repose sur l’existence d’une horloge de base discrète. Le elle n’a pas eu pour but d’être le moyen unique ou principal de véri-
concepteur suppose ensuite que les moyens de traitement disponi- fication d’un logiciel. Le test « conventionnel » de chaque module
bles permettent d’effectuer le calcul des sorties avant l’occurrence logiciel reste l’étape clé de la vérification de celui-ci.
d’arrivée de nouvelles entrées. Le bien-fondé de cette hypothèse est
vérifié a posteriori : le temps de traitement doit être inférieur au 3.2.1.4 Qualification
temps de cycle spécifié pour l’application.
Cette vision simplifie le comportement dynamique du pro- Le SNPR doit satisfaire aux exigences applicables aux systèmes
gramme, ainsi rendu déterministe. Le problème de prise en compte 1E, exigences concernant :
d’événements en cours de traitement ne se pose plus. — la redondance ;
— l’indépendance (séparation physique et électrique) ;
■ Atelier graphique de conception — les alimentations électriques de secours ;
Créé pour l’occasion, cet atelier reprend certains aspects de la — la qualification des matériels aux conditions d’ambiance nor-
méthode SADT (Structured Analysis and Design Technique ) : male et accidentelle ;
démarche de conception descendante, circulation de données — l’aptitude aux essais périodiques.
(représentée par des flèches) reliant les fonctions (représentées par
Présentées ainsi, les exigences ne traitent pas du logiciel. Le
des boîtes), notion de condition d’activation de ces fonctions.
RCC-E, code applicable à tout système électrique, comble cette
L’interface graphique guide et contraint l’utilisateur dans sa démar-
lacune en imposant, pour les systèmes programmés 1E, le respect
che progressive d’affinement des fonctions et des données. L’outil
de la norme CEI 880.
assure en outre des vérifications statiques (de syntaxe, de cohé-
rence, de type). Pour le système numérique de protection réacteur N4, l’exploitant
a défendu avec succès vis-à-vis de l’autorité de sûreté :
L’atelier reprend les principaux opérateurs du langage Lustre, per-
met d’appeler des fonctions en C, intègre un générateur de code — que le respect de la norme CEI 880 était une base adéquate
pour chacun de ces langages, et un générateur de documentation. pour le processus de qualification du logiciel ;
— que cette norme était effectivement appliquée pour le dévelop-
L’utilisation de l’atelier a permis de porter un effort de développe-
pement du système.
ment particulier sur la phase de conception. Les contrôles stricts de
cohérence ont permis de réduire les temps d’intégration et de mise Pour un « matériau » aussi complexe que le logiciel, seul un juge-
au point du code. Des mesures d’erreurs résiduelles ont permis ment d’expert permet l’appréciation de conformité à une norme. La
d’affirmer que la technique a été très efficace pour maîtriser les rigueur du fournisseur, les audits constants du client et de l’autorité
200 000 lignes de code C (générées à près de 90 % par l’atelier) du de sûreté ont effectivement conduit à la réalisation d’un logiciel
SNPR. aussi exempt d’erreurs que possible.
■ Technique de diversification Sans que l’on ne soit pour autant arrivé à chiffrer la fiabilité du
logiciel, on constate par retour d’expérience que le logiciel du sys-
Cette technique consiste en la conception et la réalisation d’une tème numérique de protection réacteur N4 est suffisamment
même fonctionnalité selon des moyens (matériel, méthodes, outils, exempt d’erreurs pour que fiabilité et disponibilité du système
langages, etc.) différents. L’intérêt est de ne pas reproduire, sur des soient uniquement fonction du matériel et donc « mesurables »
unités parallèles, les mêmes erreurs d’exécution dues aux mêmes (hypothèse du comportement « parfait » du logiciel).
fautes de conception, contrairement à une simple redondance utili-
sant mêmes matériels et logiciels.
Même si la diversification n’a pas été appliquée directement aux 3.2.2 Système numérique de protection réacteur
unités redondantes du système numérique de protection réacteur Sizewell (Grande-Bretagne)
N4 (deux unités redondantes exécutent en fait le même logiciel), le
concept de diversification a été exploité sous deux formes : Le PPS (Primary Protection System) numérique pour le site de
— les conditions d’arrêt d’urgence sont fonctionnellement diver- Sizewell B a lui aussi apporté son lot d’avantages par rapport à un
sifiées au sein du système. En cas de défaillance d’une sollicitation système conventionnel, parmi lesquels on compte :
de l’arrêt d’urgence, d’autres sollicitations seront effectuées selon — une meilleure information de l’opérateur ;
d’autres critères ; — une automatisation des tests périodiques en exploitation ;
— la protection réacteur de type « ATWS (Anticipated Transient — une plus grande couverture des conditions de déclenchement
Without Scram) » est en outre réalisée dans un automate de sûreté des actions de protection.
classé 2E. La diversification est ici totale, puisque cet automate de
sûreté est conçu par une société différente, sur un matériel différent 3.2.2.1 Diversification par un système conventionnel
et avec un logiciel différent (indépendant).
En France, des règles et codes ont reçu l’aval de l’autorité
■ Expérience de vérification formelle de propriétés de sûreté, tels les règles fondamentales de sûreté (RFS) [6], les
Cette expérience a été menée sur une partie de l’application. codes RCC-P, RCC-E, etc. En Grande-Bretagne, la démarche est diffé-
La méthode, applicable aux langages synchrones, est basée sur les rente. L’exploitant expose à l’autorité de sûreté le « safety case »,
étapes suivantes : c’est-à-dire défend « dans l’absolu » un dossier de sûreté qui se doit
— déclaration d’assertions en langage Lustre permettant de ca- d’être convaincant.
ractériser la combinatoire des entrées cohérentes du programme ; Les pratiques sont ensuite assez proches car fournisseurs et
— déclaration de propriétés en langage Lustre que les sorties du exploitants ont effectivement une démarche structurée qui consiste
programme doivent systématiquement vérifier si les entrées corres- à se fixer des règles et à s’y tenir. Mais la différence essentielle est
pondantes vérifient les assertions ; sans doute venue de la difficulté (l’impossibilité à l’heure actuelle)
de mesurer la fiabilité du logiciel. Or l’approche probabiliste revêt en — 40 homme-an de vérification de l’ingénierie ;

Grande Bretagne une importance de premier plan. — 40 homme-an de vérification de la conception par une équipe
Devant l’insuffisance de preuve de défaillance inférieure à 1 pour du client indépendante de l’équipe projet ;
10 000 sollicitations pour une chaîne de protection (1 pour — 80 homme-an d’« analyse de confirmation » à l’aide de l’outil
10 000 000 pour l’ensemble du PPS), l’autorité de sûreté a exigé que MALPAS ;
le PPS numérique soit doublé d’un système de protection conven- — 20 homme-an de vérifications diverses par des tiers ;
tionnel (et non numérique comme pour l’ATWS en France), et ce — 15 homme-an de test dynamique ;
pour tous les cas de déclenchement de probabilité supérieure — 15 homme-an d’activités de sûreté connexes de la part du
à 1 occurrence tous les 1 000 ans. client.
3.2.2.2 CEI 880 et vérification En plus du poids des chiffres, il est intéressant de noter l’impor-
tance apportée aux techniques d’« analyse de confirmation » et de
Dans la pratique, la réalisation a été contrainte par le respect de la comparaison entre le programme source et les instructions effecti-
CEI 880. On peut se reporter à ce propos au document [5]. vement exécutées.
Le processus anglais se caractérise par un gigantisme des activi-
tés de vérification et validation dont on a pu lire dans la presse ■ Objectif de l’analyse de confirmation
qu’elles ont demandé 300 homme-an (50 pour le fournisseur en acti- Il est relativement comparable à l’essai de vérification de proprié-
vité de vérification et validation pure, 250 pour le client et des socié- tés effectué sur une unité du système de protection français. La dif-
tés consultantes mandatées par le client) (figure 2). Les 250 homme- férence essentielle est que les Anglais ont appliqué l’analyse de
an de validation hors fournisseur ont consisté en [4] : confirmation sur l’ensemble du logiciel de protection réacteur (aux
— 40 homme-an de vérification de la conception par l’équipe pro- difficultés de mise en œuvre près) et en ont fait un argument de pre-
jet du client ; mier plan de validation de sûreté du PPS.
Spécifications Spécifications Conception Code Code Code

du système du logiciel du logiciel source objet exécutable
Revue de conformité
au besoin
Vérification indépendante des spécifications
Vérification de conformité au besoin
Analyse à l'aide de MALPAS

confirmation
Analyse de
Comparaison code source / code exécutable

Vérification et validation
par le fournisseur
Vérification indépendante par le fournisseur
Validation indépendante par le fournisseur
Figure 2 – Validation du PPS de Sizewell [4]
Après une phase de traduction du logiciel source en un langage — en conduite normale où ils contribuent à maintenir la centrale
« intermédiaire » interprétable par l’outil MALPAS, l’outil effectue dans un domaine de fonctionnement sûr (première ligne de
en séquence : défense) ;
— une analyse syntaxique (vérification de structure du logiciel et — en conduite postaccidentelle où ils permettent de tempérer les
des données) ; conséquences de l’accident dans les meilleures conditions possi-
— une analyse sémantique (description de la fonctionnalité du bles (autres lignes de défense).
code par la description mathématique des sorties en fonction des Par rapport à la génération précédente d’équipements à relayage
entrées) ; et à régulation analogique, les automates numériques ont beaucoup
— une analyse de conformité. Cette étape (la plus innovante par d’avantages. Le câblage est réduit. Les fonctions logiques et de
rapport aux outils d’analyse statique conventionnels) consiste en régulation sont plus fines et surtout programmables ou paramétra-
une vérification du code par rapport à une représentation mathéma- bles à l’aide d’un outil de CAO.
tique de ses spécifications. On se reportera à l’article [BN 3 411] pour la description des mis-
sions assignées aux différents systèmes et leur positionnement
■ Comparaison du code source par rapport au code effectivement dans l’architecture générale.
exécuté
Il permet de se prémunir contre les erreurs de compilation. Afin
d’adopter une démarche différente de la compilation, le chemine-
3.3.1 Automates classés 1E du palier N4
ment inverse a été employé :
— reconstitution du code objet à partir des PROM de pro- Hors système de protection, deux automates sont classés 1E sur
gramme ; le palier N4 [BN 3 411] :
— désassemblage du code objet en un langage type assembleur ; — le contrôle des systèmes supports de sauvegarde (CS3) ;
— décompilation du langage assembleur en un code source, puis — le système de contournement à l’atmosphère utilisé en protec-
comparaison du code source obtenu au code source réel. tion (SCAP).
Ces deux automates sont basés sur un matériel de même nature
que le système de protection, et ont été réalisés selon des techni-
3.2.3 Système numérique de protection réacteur ques comparables. Qualité de réalisation et processus de qualifica-
de Darlington (Canada) tion ont aussi été similaires.
Le SPIN du palier N4 et le PPS ont un logiciel de volume similaire Ces systèmes sont apparus chronologiquement après le système
de l’ordre de 200 000 lignes de code source. Le SNPR de Darlington de protection. Il y a donc eu, dans certains cas, réutilisation de
(appelé SRS : Shutdown Reactor System) ne comprend que composants matériels et logiciels existants. Ce qui peut paraître par
5 000 lignes de langage Pascal. La différence s’explique par : certains côtés rassurant (les composants réutilisés ont déjà été
éprouvés par une vérification), peut aussi être vu comme une fai-
— l’architecture très distribuée des systèmes français et anglais, blesse. Le cycle en V présenté initialement ne traitait pas de la réuti-
qui ont nécessité une part importante de logiciel système et de lisation de composants existants. Il y a en outre un danger à « faire
communication ; confiance » à un module déjà testé lorsqu’on le réutilise dans des
— la différence de fonctionnalité. Le SRS n’embarque que la fonc- conditions différentes. L’échec du premier lancement d’Ariane V en
tion d’arrêt d’urgence du réacteur, une fonction parmi d’autres sur est une regrettable démonstration.
les autres systèmes ;
Cette situation a été gérée en ne considérant pas les tests déjà
— la compacité du logiciel du SRS, compacité proscrite sur les effectués pour le système de protection comme acquis, mais en
autres systèmes. définissant et appliquant une stratégie de vérification et de valida-
Le processus de qualification du logiciel canadien a laissé une tion complète pour ces nouveaux systèmes.
impression de tâtonnement pour la recherche, la rédaction et la
mise en application de normes adéquates. Cette impression est en
partie due à la grande transparence dans laquelle s’est déroulée ce 3.3.2 Automates classés 2E du palier N4
processus. En pratique, on peut remarquer qu’aucune transgression
n’a été tolérée, et qu’il a fallu un processus de qualification complet
Le système de contrôle des auxiliaires de tranches (SCAT) réalise
et cohérent, même au prix d’un retard pénalisant, pour obtenir l’aval
tous les automatismes non déjà cités sauf la régulation des grappes
de l’autorité de sûreté.
longues et la régulation de la turbine. Ce système est déclinable en
Une bonne partie du logiciel était déjà écrite au moment où les deux sous-systèmes : le SCAT 2E embarquant les automatismes
normes applicables sont entrées en vigueur. Une forte activité de classés de sûreté, et le SCAT non classé embarquant le reste des
rétroconception (« reverse engineering ») a donc été nécessaire. automatismes, non classés de sûreté.
L’équipe d’experts techniques délégués par l’autorité de sûreté
Le SCAT 2E présente des caractéristiques particulières :
canadienne a exigé un effort particulier de reformulation des spéci-
fications de besoins. Un éminent spécialiste (L.D. Parnas) a en effet — il représente le seul type de système programmé classé 2E sur
jugé que la difficulté de caractériser l’environnement « réel », le palier N4 ;
auquel était soumis le SRS, à l’aide du langage naturel constituait — il a été réalisé à l’aide d’un produit automate préexistant, le
un risque d’ambiguïté inacceptable. procédé de qualification de la composante produit est donc basé sur
l’analyse de l’existant, la rétroconception des parties sensibles et la
vérification et validation a posteriori :
• il est très hautement configurable. Tous les automatismes sont
3.3 Automates de sûreté décrits à l’aide d’un outil de CAO qui produit des fichiers téléchar-
gés dans les automates. Ces fichiers sont partie intégrante de la
Les projets des années 1980 ont introduit les automates program- fonction 2E, au même titre que le logiciel,
mables dans la conduite des centrales nucléaires. À l’inverse des • il représente une catégorie de complexité intermédiaire de
systèmes de protection, ce sont des systèmes critiques de type système programmé, plus tout à fait déterministe mais de
« actif », c’est-à-dire devant fournir un service continu et fiable. Ils comportement « prédictible », proche des règles imposées par la
peuvent contribuer à la sûreté à deux titres : CEI 880, mais pas au niveau d’application le plus sévère.
Toutes ces particularités font du SCAT 2E un cas de démarche de ■ Tests constructeur et recette usine
qualification pragmatique d’un système relativement complexe,
Des études ont permis de recenser les tests effectués par le
intégrant des données de configuration, et basé sur un produit
constructeur, de lui imposer des tests complémentaires lors de la
préexistant.
réception du produit et de consigner dans un rapport la couverture
ainsi obtenue.
3.3.2.1 Caractéristiques de la classe 2E
■ Retour d’expérience
La classe 2E est caractérisée par le respect des exigences
suivantes : L’appréciation portée grâce au retour d’expérience incite à une
certaine prudence. Le bon fonctionnement d’un produit sur des ins-
— redondance avec alimentations électriques indépendantes ;
tallations existantes (centrales thermiques en l’occurrence) n’est un
— qualification des matériels aux conditions d’ambiance et aux gage de bon fonctionnement sur une nouvelle installation que si
conditions sismiques ; l’utilisation du produit est en tous points comparable : version du
— aptitude aux essais périodiques ; produit, architecture, fonctionnalité, sollicitation de la part du pro-
— conception et construction selon le RCC-E. cédé. En pratique, ces conditions ne sont jamais complètement rem-
Concernant le logiciel système qui est préexistant dans ce cas, la plies. Il est toutefois admis qu’un retour d’expérience positif
conformité à la CEI 880 est requise, avec justification au cas par cas renforce sensiblement la confiance que l’on peut avoir dans un pro-
si certaines exigences ne sont pas respectées. Si l’analyse montre duit.
que le respect de la CEI 880 est incomplet ou incertain, il est exigé Dans le cas qui nous intéresse, le retour d’expérience est utilisé
d’analyser les conséquences potentielles et le retour d’expérience comme élément d’appréciation complémentaire aux analyses déjà
sur d’autres installations. décrites. L’automate a été installé pour contrôler des procédés de
nature différente, mais le fonctionnement du logiciel est relative-
ment comparable du fait de l’aspect modulaire de l’architecture et
3.3.2.2 Évaluation de la qualité du produit
du caractère contraint de l’application d’automatisme, qui est un
Le SCAT 2E a été réalisé à l’aide d’un produit automate existant, assemblage de modules de programmation effectué à l’aide d’un
sélectionné à la suite d’une étude comparative. Cette sélection a été outil de CAO.
une étape importante car ce sont en partie les qualités initiales du Après définition d’un certain nombre de missions-type (condition-
produit qui ont rendu le processus de qualification envisageable, à nement de signaux, boucle de régulation, etc.), le retour d’expé-
savoir : rience a permis de conclure à l’exécution satisfaisante de ces
— qualité de réalisation (cycle de vie selon un plan d’assurance missions par le produit et de caractériser la disponibilité offerte pour
qualité rigoureux) ; ces missions.
— structure modulaire ;
■ Analyse fonctionnelle
— structure redondante ;
— bus à fibre optique permettant l’isolation entre voies électri- Une analyse fonctionnelle a été menée pour s’assurer que le
ques et entre SCAT 2E et SCAT non classé ; produit permettait de réaliser le SCAT tel qu’il était spécifié tant
— fonctionnalité permettant la configuration par CAO des fonc- d’un point de vue système (redondances, bus, isolation électrique
tions du SCAT 2E (conditionnement de signaux, traitements, régula- par fibre optique, architecture modulaire, etc.) que d’un point de
tions, séquences). vue fonctionnel (conditionnement de signaux d’entrée/sortie,
commande et verrouillage des actionneurs, automatismes logiques
La réalisation du SCAT 2E à partir du produit sélectionné n’a pas et analogiques).
demandé de modification de fond de celui-ci.
■ Conformité à la CEI 880 3.3.2.3 Conception des données

La CEI 880 impose des pratiques dès le début du cycle de vie du
logiciel. La conformité a posteriori est donc hypothétique. De plus, Les données (définitions d’entrée/sortie, traitements et automa-
un automate haut de gamme avec des fonctions d’application riches tisme), définies et téléchargées dans les automates à l’aide de l’outil
et des fonctions système étendues (réseaux, redondance, configura- de CAO, sont une caractéristique essentielle de la conception du
tion par CAO) est d’un degré de complexité tel que l’application la SCAT. Cette configuration des automates ne s’apparente pas à un
plus stricte de la CEI 880 n’est pas toujours possible. simple paramétrage, mais à de la programmation avec tous les pro-
blèmes que cela comporte : maîtrise de la complexité, fonction-
L’objectif de l’analyse n’est pas de rejeter le produit pour cause de nement prédictible, conception descendante, tests, vérification et
non-conformité. Une fois identifiées, les non-conformités doivent validation.
être compensées de manière adéquate (rétroconception, validation
renforcée, analyse du retour d’expérience). L’état de l’art et le savoir-faire des ingénieurs automaticiens n’ont
pas conduit au respect d’une norme de type CEI 880, mais à la mise
L’analyse a montré que le cycle en V et le programme d’assurance en place d’une démarche structurée à la hauteur de la quantité et de
qualité employés par le fournisseur respectaient les exigences de la la diversité des programmes à maîtriser.
CEI 880. Lorsque des non-conformités mineures ont été détectées,
elles ont été corrigées. ■ Définition de traitements-type
Les exigences restreignant les techniques de programmation afin La description de tous les organes du procédé (capteurs et action-
de garantir la simplicité et le déterminisme ne sont qu’en partie res- neurs) a été caractérisée en une soixantaine de traitements-type.
pectées. Les contre-mesures employées ont été : Pour un actionneur d’une classe donnée par exemple, le traitement-
— des vérifications et tests complémentaires sur le comporte- type associé gère la modélisation de l’actionneur, les entrées/sor-
ment des bus et du système d’exploitation des cartes automates ; ties, les conditions de verrouillage associées, le protocole de
— une analyse de comportement grâce au retour d’expérience ; commande, etc.
— une analyse des autotests en exploitation du système (détec- Cette répartition en classes permet de modéliser plusieurs dizai-
tion et signalisation d’erreurs, position de repli en cas d’erreur nes de milliers de capteurs et actionneurs à l’aide d’instanciation
détectée) ; d’une soixantaine de traitements-type seulement. L’effort de tests et
— des tests de comportement prédictible et de vérification des validation est donc factorisé d’autant et concentré sur ces traite-
temps de réponse. ments-type.
■ Outil de CAO et approche descendante 3.4 Système de conduite du palier N4

EDF a adopté une chaîne de CAO permettant de gérer deux
niveaux de modélisation des traitements. Les diagrammes fonction- Le système informatique de conduite constitue le « niveau 2 »
nels (logiques ou analogiques) décrivent les principes généraux des de l’architecture du contrôle-commande sur le palier N4 [BN 3 411].
traitements. Les schémas logiques de programmation (SLP) pour Il assure l’interface homme-machine en salle de commande
les traitements booléens et les schémas numériques de program- (figure 1).
mation (SNP) pour les traitements analogiques sont un raffinement
des diagrammes fonctionnels. À partir des SLP et SNP, l’outil de Dans toutes les situations et particulièrement en situation acci-
CAO génère automatiquement les fichiers de description des traite- dentelle, le système informatique de conduite (KIC) permet la
ments qui sont ensuite téléchargés dans les automates. conduite à l’aide de postes opérateur informatisés, proposant une
aide à l’opérateur du plus haut niveau (cf. articles [BN 3 411] et
■ Tests unitaires et tests par lots [BN 3 421]. C’est à la suite de l’accident de Three Miles Island en
1979 qu’EDF a lancé des programmes de développement de systè-
Les programmes d’automatisme ont subi des tests unitaires soit mes informatiques d’aide à l’opérateur.
sur matériel cible, soit par simulation. Ensuite il a fallu les tester
Le KIC est réalisé sur une architecture distribuée de quinze unités
dans un environnement aussi proche que possible de l’environne-
centrales (pour la partie temps réel), et comporte plus d’un million et
ment cible. Or le SCAT complet (SCAT 2E + SCAT non classé) repré-
demi de lignes de code développées spécifiquement. Il est très hau-
sente un ensemble de plus de 130 armoires d’automates dont la
tement configurable. À l’aide d’un outil de CAO, il est possible de
fabrication et la mise en service sont étalés dans le temps. Le SCAT
charger de nouvelles données dans le système sans interrompre la
a donc été découpé en « lots », un lot constituant un sous-ensemble
mission de celui-ci. Ces données peuvent être la définition d’orga-
de l’architecture cohérent et dans la mesure du possible indépen-
nes, d’alarmes, d’images synoptiques représentant des vues dyna-
dant des autres lots.
miques du procédé, etc. C’est un système « actif », devant fournir
Chaque lot a subi une série complète de tests visant à prouver le une mission continue et sûre.
bon fonctionnement des programmes, le bon fonctionnement du
matériel, la cohérence entre l’architecture matérielle et les pro- La réalisation du KIC est un projet de développement logiciel volu-
grammes (définition des entrées/sorties, charge des bus et des auto- mineux et complexe donc difficile à qualifier. Cependant, refuser
mates). l’utilisation d’un tel système eût été refuser l’aide extrêmement pré-
cieuse qu’il peut fournir à un opérateur stressé en situation acciden-
telle. La stratégie suivante a donc été retenue :
3.3.2.4 Qualification du SCAT 2E
— le KIC est le moyen principal de conduite de la tranche en toute
Les activités principales de qualification ont consisté en : situation, y compris en situation accidentelle. Il doit à ce titre être
— analyses et audits du développement du système par l’autorité qualifié à un niveau appelé IPS-NC (important pour la sûreté - non
de sûreté ; classé) et devra respecter les règles définies pour ce type de
— fourniture d’une documentation spécifique de présentation du classement ;
système par le fournisseur : cette documentation a fourni la — un panneau auxiliaire de type conventionnel permet de
connaissance de base aux personnes impliquées dans la qualifica- ramener la tranche à l’arrêt sûr en cas d’indisponibilité du sys-
tion. La découpe de la fonctionnalité du SCAT 2E en « missions » a tème KIC. Le panneau auxiliaire est divisé en deux niveaux de
joué un rôle prépondérant car elle a permis par la suite une analyse classement (1E et 2E). Ce système, entièrement diversifié par
approfondie de chaque mission ; rapport au KIC et aux automates (les commandes individuelles
sont connectées au plus bas niveau de l’architecture), est un élé-
— qualification matérielle : de même nature que pour les équipe-
ment indispensable de la démonstration de sûreté du contrôle-
ments 1E, la qualification du matériel a requis, outre les preuves de
commande.
tests effectués par le constructeur, des tests spécifiques de résis-
tance aux conditions d’ambiance, aux perturbations électromagné-
tiques et aux conditions sismiques ;
— études de sûreté : au fur et à mesure de ses travaux d’exper- 3.4.1 Exigences applicables à la classe IPS-NC
tise, l’autorité de sûreté a exigé l’analyse de points techniques parti-
culiers. Les études de sûreté ont consisté en la fourniture de Les règles initiales ne concernaient que le respect de contraintes
rapports d’analyse correspondants par le fournisseur, des organis- de qualité décrivant le cycle de développement du système. Elles
mes mandatés par le client ou le client lui-même. ont en fait été renforcées en vue du processus de qualification, et
pour garantir une très haute disponibilité du KIC (influant directe-
D’un point de vue formel, un dossier de sûreté élaboré par le
ment sur la disponibilité de la tranche) :
client a consigné l’ensemble des informations et études relatives à
la qualification du système. Ce dossier est structuré en trois volets — assurance qualité selon le RCC-E (assurance qualité garantis-
complémentaires : sant le respect du cycle en V, mise en place et contrôlée par des per-
sonnes indépendantes de l’équipe de développement) ;
— cadre méthodologique : assurance, contrôle de la qualité,
moyens associés ; — respect du critère de défaillance unique pour le matériel assu-
rant les fonctions de conduite (redondance) ;
— démarche déterministe : présentation de système, choix de
conception, fonctionnalité, contrôles associés ; — séparation géographique et électrique entre unités redon-
dantes ;
— démarche probabiliste : études complémentaires concernant
les comportements du système qui ne peuvent être caractérisés que — qualification aux conditions d’environnement, armoires résis-
de manière probabiliste (disponibilité de certaines « missions » du tantes aux conditions sismiques afin de garantir un délai de répara-
système, étude de défaillances particulières). tion court après séisme.
Les procédés de conception et de qualification ont conduit à la Il était en outre important de maîtriser le projet et de s’engager sur
mise en service d’un système remplissant de manière satisfaisante des solutions pérennes. Client et fournisseur se sont donc mis
la mission qui lui est assignée. La catégorie 2E est, par définition, d’accord sur :
moins contraignante que le catégorie 1E. Une relaxation de la — l’utilisation de composants logiciel « standard » (systèmes
vérification analytique a été tolérée (pas de méthode ou langages d’exploitation, outils logiciel graphiques, logiciel de communica-
formels) au profit de techniques de validation « globales » complé- tion) ;
mentaires (analyse par « missions », retour d’expérience, études de — l’utilisation de langages et de règles de programmation per-
sûreté), plus adéquates pour ce système. mettant une bonne portabilité.
3.4.2 Pratiques de réalisation du KIC langage préconisés par la CEI 880. Il a permis un portage aisé du
logiciel sur des matériels nouveaux au cours du projet.
Les techniques de réalisation sont essentiellement des techniques La nature même du langage permet d’ordonnancer simplement
de développement logiciel permettant de maîtriser un développe- des tâches, de contrôler systématiquement l’affectation des varia-
ment de grande ampleur. L’état de l’art n’offre d’ailleurs pas de bles, de traiter par mécanisme d’« exception » les erreurs détectées
meilleure solution pour produire un logiciel de plus d’un million et lors de l’exécution.
demi de lignes de code avec un niveau de sûreté acceptable, si ce
n’est : 3.4.2.4 Composants critiques
— d’appliquer des méthodes de génie logiciel avec toute la
Deux composants logiciel revêtent une importance particulière :
rigueur qui s’impose ;
— d’utiliser des techniques plus « dures » pour certaines portions — l’un constitue la couche système (ordonnancement, communi-
du logiciel jouant un rôle central dans la sûreté du système ; cation entre machines et fonctionnement en redondance active des
— d’effectuer des analyses de sûreté transverses sur des points calculateurs centraux) ;
jugés « sensibles ». — l’autre est une base de données et de traitements temps réel
et orientée objet. Cette base de données peut être configurée (peu-
La réalisation a reposé sur un plan qualité et un ensemble de plée) à l’aide d’un outil de CAO et fonctionne de manière cohérente
procédures décrivant le cycle en V utilisé, les activités transverses en mode distribué sur plusieurs machines.
associées (assurance qualité, vérification), les méthodes et outils
employés. Ces deux composants résolvent les difficultés techniques essen-
tielles (gestion des tâches et allocation mémoire). Ils sont garants
Les techniques et règles employées ne sont pas en tout point de la disponibilité et du fonctionnement en redondance « active »
comparables à celles préconisées par la CEI 880, mais un parallé- des calculateurs centraux, eux-mêmes garants de la disponibilité
lisme se dégage. Certaines pratiques sont de même nature avec du KIC. Les autres composants logiciel s’appuient sur les services
quelques dérogations : cycle en V, vérification et validation par des fournis par ces deux composants.
équipes indépendantes (partiellement). D’autres pratiques visent à
remplir les mêmes objectifs (exemple : maîtrise de la complexité) À ce titre, ils ont bénéficié de mesures de réalisation particulières.
avec des moyens différents (exemple : approche orientée objet). Ils ont été vérifiés par une équipe indépendante de l’équipe de déve-
loppement. Ils ont ensuite été gérés comme un produit logiciel,
maintenu par une équipe aux compétences spécifiques. Leur utilisa-
3.4.2.1 Base technologique existante tion sur d’autres affaires a permis de renforcer la validation et la
gestion des anomalies pour tendre vers le « zéro défaut ».
Le cahier des charges présentait en détails une interface homme-
machine (IHM) établie suite à des études d’ergonomie allant jusqu’à
un prototypage de la salle de commande. Il n’était pas question de 3.4.2.5 Test du logiciel
s’écarter de la définition de cette IHM, par contre il était tout à fait Le logiciel a fait l’objet de tests unitaires aussi formels que possi-
concevable de réaliser le KIC à l’aide de certains composants exis- ble. Pour les modules logiciel constitués de procédures simples, des
tants s’ils permettaient de répondre au cahier des charges. outils de génération automatique de test ont été utilisés (exécution
Une étude de faisabilité a permis de faire le choix d’un certain des procédures avec des jeux de paramètres d’entrée, trace des
nombre de composants matériel et logiciel existants pour réaliser le résultats dans un fichier de sortie). Pour les modules logiciel dont le
système KIC : serveurs et stations de travail, éléments de réseaux, contexte d’activation était plus délicat, des environnements de test
systèmes d’exploitation, logiciel système, logiciel réseaux, logiciels spécifiques ont été écrits. Plus de 500 000 lignes de logiciel de test
graphiques. Cette étude de faisabilité a aussi permis de sélectionner (ne faisant pas partie de l’application) ont été écrites.
ces composants par analyse du sérieux des fournisseurs et de la
conformité au besoin. 3.4.2.6 Intégration et validation indépendantes
Pendant la réalisation proprement dite, les fournisseurs ont fait Il est préconisé dans la CEI 880 que les activités d’intégration et de
l’objet de contrôles qualité (collecte d’informations sur leur certifica- validation soient effectuées par des équipes indépendantes de cel-
tion ISO 9000, 9001 ou 9002, audits qualité). Les produits utilisés ont les qui ont effectué le développement. Cette mesure a été respectée,
été observés tout au long du projet (détection et correction d’ano- en outre parce qu’elle permettait d’avoir une équipe ayant la compé-
malies) au même titre que les produits développés spécifiquement. tence particulière et les moyens associés à cette mission (plates-for-
mes de test).
3.4.2.2 Méthodologie de conception Les nombreuses étapes d’intégration ont permis de contrôler pro-
gressivement le bon fonctionnement coordonné des différentes
Une phase de spécifications fonctionnelles a permis au fournis-
machines (aspects système, interface, fonctionnement applicatif).
seur de reformuler entièrement les exigences du cahier des charges.
Des outils de test spécifiques ont été développés, capables de simu-
Ces spécifications fonctionnelles ont été entièrement analysées puis
ler la présence des machines non encore présentes pour l’étape cou-
approuvées par le client. Elles ont ensuite servi de base unique à la
rante d’intégration, ou de simuler les échanges avec les automates.
réalisation des étapes suivantes de conception.
La validation du système intégré a fait l’objet d’une recette for-
Comme pour la programmation des automates, un nombre limité
melle en présence du client. Cette validation a été rejouée entière-
de traitements-type a permis de modéliser les organes du procédé
ment ou au cas par cas à chaque livraison d’une nouvelle version du
et leurs différentes représentations graphiques. Cette notion de trai-
système.
tement-type a été étendue à l’élaboration de variables de synthèse
effectuée par le KIC : élaboration d’alarmes, intégrale ou dérivée de
valeurs, etc. Elle a permis de concentrer les efforts de spécification, 3.4.2.7 Gestion des anomalies et critères de convergence
conception, codage, test générique et tests d’intégration avec les Deux mesures complémentaires permettent d’aboutir à des métri-
automates. ques de qualité du code.
■ Signalement, confinement et traitement des erreurs
3.4.2.3 Langage Ada
Les outils tels que débogueur symbolique ont été utilisés par les
Le langage Ada a été retenu pour réaliser le logiciel spécifique. programmeurs dans des phases de test bien particulières. Pour
Spécialement étudié pour le développement d’applications prendre le relais et permettre l’investigation d’erreurs en toutes cir-
complexes et critiques, il remplit au mieux les critères de choix de constances (intégration, validation, mise en service site, fonctionne-
ment opérationnel), une opération d’« instrumentation de code » a

été mise en place. Le logiciel comporte des procédures rapportant 6
Nombre de fiches
de suivi ouvertes
les contextes anormaux rencontrés lors de l’exécution. Ces procé- Manipulation
dures peuvent être activées ou désactivées par paramétrage du sys- 5
Logiciel
tème. Elles peuvent ordonner l’arrêt de la machine ou de l’ensemble 4 Matériel
du système si l’erreur détectée ne peut pas être palliée ou confinée,
3
ou si le comportement ultérieur du système n’est plus sûr.
2
L’instrumentation de code a pris une importance croissante au fil
du projet. Au départ, cette instrumentation n’avait été systématique 1
que sur les modules logiciel de type système (gestion des tâches, 0
allocation de mémoire, communication). Au vu de l’apport de la 1 5 10 15 20 25 30 35 40 45 50
technique, une campagne de rétroconception a été effectuée, afin de Semaine
généraliser cette instrumentation.
Figure 3 – Fiches de suivi : répartition entre les différentes causes
■ Fiches de gestion des anomalies
Un recensement systématique des anomalies du système est
effectué dès qu’elles se produisent dans un environnement d’exécu-
tion fiable (plate-forme d’intégration ou de validation, mise en ser-
vice ou exploitation site).
20
Nombre d'anomalies
Tout comportement du KIC jugé anormal sur le site fait l’objet
d’une « fiche de suivi ». Une première analyse a pour objet d’établir
s’il s’agit : Modèle hyperexponentiel
15
— d’une erreur d’interprétation ou de manipulation ;
— d’une défaillance du matériel ;
— d’une défaillance due au logiciel. Dans ce dernier cas, le 10
contexte est apporté au fournisseur en vue d’une reproduction de
l’anomalie sur plate-forme de développement, puis de correction.
Une erreur du logiciel (rapportée par une fiche de suivi ou 5
constatée lors de la validation) est consignée dans une « fiche
d’anomalie », et fait l’objet d’une investigation pour décrire et repro-
duire le contexte d’exécution de l’erreur, puis proposer une modifi- 0
0 20 40 60 80 100
cation apportant la correction.
Semaine
Une fois la fiche d’anomalie renseignée, « une fiche de prise en
compte de modification » est ouverte. Cette fiche décrit la modifica-
tion retenue et les tests permettant de valider la correction. Elle pré- Figure 4 – Nombre d’anomalies par semaine et convergence
sente une étude d’impact éventuel de la correction, les tests de non- selon modèle hyperexponentiel
régression à effectuer pour contrôler cet impact et identifie la ver-
sion du logiciel qui corrigera cette anomalie. La fiche est close après
validation de la correction.
Les fiches de suivi font l’objet d’une analyse statistique (différen- — le mode de peuplement de la base de données : les 60 000
tes causes et variation au fil du temps : cf. figure 3). « objets » (organes du procédé ou variables calculées) sont décrits
par renseignement de paramètres de configuration d’un « traite-
■ Critères de convergence ment-type ». La saisie est donc contrainte. Les contrôles de cohé-
Au-delà de la gestion analytique rigoureuse de chaque anomalie rence effectués par l’outil de CAO et par le système lors du
qui vient d’être décrite, une analyse statistique permet de conclure à peuplement sont aussi exhaustifs que possible ;
la « convergence », c’est-à-dire à la stabilité et à la maîtrise du logi- — la vérification et la validation de toutes les données : des
ciel. plates-formes de test dédiées permettent de vérifier toutes les don-
nées. Des programmes particuliers de validation sont définis au cas
La fiabilité de l’analyse statistique repose sur la précision de l’ins- par cas. Les procédures de conduite (cf. article [BN 3 421]) sont un
trumentation du code et de la gestion des anomalies. exemple de données nécessitant un programme de validation parti-
Sur la base de données fiables, il existe des méthodes permettant culier. Une phase de validation des données décrivant les procédu-
d’évaluer les critères de convergence associés à l’apparition des res est réalisée par exécution de ces procédures sur un simulateur.
anomalies (figure 4).
Ces statistiques n’apportent pas une preuve de la qualité du logi-
ciel, mais une preuve de la maîtrise de celui-ci (correction d’anoma- 3.4.3 Études de sûreté et qualification du KIC
lies sans en introduire ou en révéler de nouvelles). Elles ont aussi
l’avantage de fournir des données quantitatives sur la qualité du L’autorité de sûreté a audité la réalisation du KIC (choix de concep-
logiciel et de conclure à la fin de la validation sur ce critère objectif. tion, système qualité et contrôle qualité) et a exigé la fourniture d’un
dossier de sûreté de structure analogue à celle décrite pour le
SCAT 2E (cadre méthodologique, démarche déterministe, démar-
3.4.2.8 Données de configuration
che probabiliste). La démarche probabiliste visait à caractériser tout
Le système KIC est constitué d’une architecture matérielle, de particulièrement la fiabilité et la disponibilité du système.
logiciel « de base » (base de données et de traitements à peupler, La disponibilité du KIC a été contrôlée par l’autorité de sûreté car
fonctions d’IHM) et de données de configurations (paramètres saisis bien qu’il existe un moyen de secours pour ramener la tranche à
à l’aide d’un outil de CAO permettant de peupler la base de données l’état sûr, le moyen normal de conduite en toutes circonstances est
et de définir les images du système). le système KIC. La disponibilité a été caractérisée soit par calcul à
Ces données de configuration sont volumineuses et complexes partir des chiffres de disponibilité du matériel (en ne tenant pas
(cf. articles [BN 3 411] et [BN 3 421]). Leur maîtrise est rendue possi- compte des pannes dues au logiciel), soit à partir des données accu-
ble par : mulées pendant la phase de mise en service.
Les études de fiabilité se sont concentrées sur un point précis qui

est la non-pollution de systèmes de classement plus sévère (1E et 4. Qualification des systèmes
2E) par le KIC (lui-même classé IPS-NC). Toutes les mesures prises
lors du cycle de développement renforcent la confiance dans le sys-
programmés. Tendances
tème, mais n’apportent pas de preuve de son bon fonctionnement,
preuve vers laquelle on tend plus directement pour les systèmes Il n’est pas prématuré de parler de retour d’expérience même
classés 1E. Les erreurs franches du système ont un effet sur sa dis- pour un palier jeune comme N4, tant la période de mise en service
ponibilité, mais une solution de secours existe (conduite au pan- est probatoire pour le contrôle-commande. Bien des tests de mise
neau auxiliaire). La seule pollution possible d’un système classé par en service sont en effet plus contraignants pour les systèmes pro-
le KIC consisterait en l’émission d’ordres « spontanés » ou grammés que l’exploitation en conditions réelles.
« erronés », regroupés sous le terme d’ordres aberrants. Les études
Tous les systèmes ont révélé des défauts de jeunesse, bien
sur les ordres aberrants ont permis de s’assurer qu’un fonctionne-
compréhensibles pour une telle première (nouveau procédé
ment erratique du système ne peut pas conduire à l’émission effec-
1 450 MW, premier contrôle-commande informatisé de centrale
tive d’une commande vers le procédé.
nucléaire au monde). La méthodologie de prise en compte des ano-
En conclusion, comme pour les autres types de systèmes, les pro- malies, révélées par la validation et la mise en service, a permis de
cédés de réalisation et de qualification du KIC ont conduit à la mise résorber ces défauts et de faire de cette première installation un suc-
en service d’un système remplissant la fonctionnalité demandée cès à tous égards. La faisabilité d’un contrôle-commande entière-
tout en respectant les exigences de conception et les objectifs de fia- ment informatisé est maintenant établie, et son intérêt pour la
bilité et de disponibilité. conduite prouvé.
De même, plusieurs réalisations de systèmes numériques de pro-
tection réacteur prouvent que, même pour le niveau de qualification
le plus sévère, des solutions viables existent. Le réalisme économi-
3.5 Site de Kashiwasaki, Japon que de certaines réalisations peut toutefois encore être mis en
doute, à cause du coût direct ou induit de la validation.
Jusqu’ici, l’exposé présente largement le palier français N4, et Dans le même temps et à l’inverse, les solutions conventionnelles
plusieurs réalisations de systèmes numériques de protection réac- (boutons de commande, afficheurs, relayage à seuil) sont en perte
teur dans le monde. Il est intéressant de citer en complément le cas de vitesse. Devenues obsolètes dans toute l’industrie, ces technolo-
des deux tranches les plus récentes du site de Kashiwasaki au gies sont rattrapées par les automates et systèmes programmables.
Japon. Ces deux tranches dont la mise en service a débuté en 1996 Le parc installé est vieillissant et il est difficile de maintenir les
sont équipées d’un contrôle-commande informatisé. stocks, les unités de fabrication et les compétences sur des équipe-
La norme JEAG 4609 rédigée pour la circonstance définit les ments anciens.
modes de redondance du système de protection (« deux sur
quatre ») et des automates de sûreté (« deux sur trois » ou « un sur
deux ») ainsi que les règles de conception pour ces systèmes (assu-
rance qualité, système d’exploitation non spécifique, fonctionne-
4.1 Constructions nouvelles
ment cyclique sans interruptions).
Les systèmes programmés sont donc reconnus aujourd’hui
Le système de protection respecte la norme JEAG 4609. Il est comme un choix compétitif pour tous les éléments de l’architecture
constitué d’automates spécifiques répartis sur une architecture en d’un contrôle-commande de centrales nucléaires. Les motivations
redondance 4. Le système d’exploitation des automates n’est pas que peut avoir un client en faveur des systèmes conventionnels sont
spécifique. Le logiciel d’application est cyclique, développé selon les de minimiser les risques et les coûts du projet en reconduisant une
règles de l’assurance qualité. La fonction « ATWS : Anticipated Tran- solution existante et déjà qualifiée.
sient Without Scram » est réalisée en technologie conventionnelle
et constitue donc une diversification partielle. Pour la construction de nouvelles unités, les études et marchés
récents ont montré que les deux choix restent d’actualité :
Les automates de sûreté sont des automates du commerce béné-
— un contrôle-commande entièrement informatisé : c’est le choix
ficiant de dix ans de retour d’expérience. L’architecture offre une
du client pour les deux nouvelles tranches de Lungmen (Taïwan), ou
redondance double ou triple selon les cas. Leur fonctionnement est
encore le choix d’avant-projet détaillé pour l’EPR, futur palier
cyclique.
nucléaire européen ;
Les moyens de visualisation et de commande associés sont — un contrôle-commande conventionnel : c’est le choix du client
constitués de systèmes à écran plasma (deux systèmes indépen- pour les deux nouvelles tranches chinoises de Ling Ao. Les systè-
dants, connectés respectivement au système de protection et aux mes de protection, relayage et automatismes sont réalisés en tech-
automates de sûreté). Ces systèmes à écran plasma sont des pro- nologie conventionnelle. La salle de commande comporte une
duits spécifiques développés selon la norme JEAG 4609 et qualifiés interface homme-machine à base d’écrans, présentant des fonctions
au séisme. Un nombre limité de commandes est aussi possible à de type « supervision » et « panneau de sûreté », élaborées par un
l’aide d’éléments conventionnels. système informatique. L’acquisition de valeurs pour ce système est
L’interface homme-machine en salle de commande est constituée basée sur un matériel de type automate programmable, même si
de plusieurs systèmes indépendants (synoptique mural et postes ceux-ci ne réalisent pas d’automatismes.
de conduite composés de plusieurs éléments de technologie diffé- Lorsque des systèmes programmés sont employés, les pratiques
rente, panneaux de commande et d’alarmes spécifiques à la situa- suivantes sont en général retenues :
tion de la tranche). Cela a permis d’adapter l’effort de qualification à — le système de protection est un produit spécifique, utilisant
la nature de chaque système (système effectuant ou non des éventuellement un système d’exploitation non spécifique. Qualifica-
commandes ; participant ou non aux actions de protection et de tion du matériel aux conditions sismiques et aux conditions
sauvegarde, etc.). d’ambiance sont de rigueur. Assurance qualité et contraintes de réa-
Du fait de la juxtaposition de ces moyens, la conduite informati- lisation du logiciel selon la CEI 880 ou équivalent sont préconisées ;
sée peut paraître moins intégrée que sur le palier N4 français. En — les automates de sûreté sont réalisés sur la base d’un très bon
fait, l’ergonomie a été conçue en conséquence, et un opérateur dis- produit du commerce. Le matériel doit être qualifié aux conditions
pose à son poste de travail de toutes les commandes, informations sismiques et d’ambiance. Fiabilité et disponibilité sont évaluées
et alarmes nécessaires à la conduite dans de très bonnes condi- concurremment par analyse de conformité a posteriori à une norme
tions. de type CEI 880 et par analyse du retour d’expérience ;
— il n’y a pas de tendance établie pour les écrans d’interface Exemple : rénovation des systèmes d’acquisition et supervision de
homme-machine classés aux niveaux les plus sévères. L’exemple la centrale de Rovno, Ukraine.
du Japon peut être retenu (système réservé à la commande à base
d’écrans plats, qualification matérielle, logicielle et système selon
les mêmes règles et normes que les automates du même niveau de 4.2.4 Remplacement d’automatismes
classement) ; conventionnels et de l’IHM associée
— systèmes informatiques de conduite ou de supervision réali- par des systèmes programmés
sés sur la base d’un très bon produit du commerce répondant aux
critères d’assurance qualité, fiabilité et disponibilité. Diversification L’installation d’automates modernes suggère en toute logique de
partielle à l’aide d’un système conventionnel permettant de rame- proposer le système informatique de conduite associé à base
ner la tranche à l’état sûr. d’écrans (rénovation dite « verticale »). Ce dernier point est le plus
délicat car il oblige à modifier sensiblement la salle de commande
d’une tranche en exploitation. Les nouveaux moyens doivent s’insé-
rer dans la logique d’ensemble de l’ergonomie de la salle de
4.2 Rénovations commande, et l’arrêt de tranche pour installation, validation et mise
en service doit être minimisé.
La durée de vie des tranches nucléaires est de l’ordre de 40 ans, il
L’exploitant des deux tranches PWR de la centrale de Ringhals
est difficile d’en dire autant des équipements de contrôle-
(Suède) a programmé ce remplacement d’un contrôle-commande
commande. La durée de vie de ces derniers peut être contrôlée par
conventionnel par un contrôle-commande informatisé. Planifiée sur
une politique forte de maintien de compétences et de stocks de
10 ans, l’opération commence par l’installation d’un contrôle-
rechange. Malgré cela, l’exploitant est fatalement amené à se poser
commande informatisé pour le circuit secondaire. La salle de
la question de la rénovation totale ou partielle de certains éléments
commande est alors « hybride » : conduite informatisée pour le
du contrôle-commande. Les questions induites sont : quelle techno-
secondaire et conventionnelle pour le primaire. Puis viendra la
logie choisir, quel classement, quelle qualification ?
numérisation du système de protection et de contrôle-commande
Le cas du remplacement de systèmes conventionnels par des sys- du circuit primaire.
tèmes numériques se pose de plus en plus. Nous présentons ici cer-
tains cas de figure introduisant des systèmes programmés recensés
actuellement. 4.2.5 Remplacement circonstancié
d’automatismes
4.2.1 Remplacement d’un système de protection Une solution de remplacement d’automatismes conventionnels à
conventionnel par un système numérique moindre coût est à l’étude dans certains pays. Elle consiste à
reproduire strictement à l’identique une armoire à relayage conven-
Le système numérique offre une couverture de cas plus grande tionnel par une technologie de type ASICs (Application Specific Inte-
avec une diminution des déclenchements intempestifs donc une grated Circuits) ou autre.
meilleure disponibilité d’exploitation. En outre, ce type de remplace-
ment n’oblige pas à de grands bouleversements dans le contrôle- L’intérêt est de ne pas modifier la fonctionnalité d’un automa-
commande car ce système est très isolé des autres et présente une tisme qualifié et dont le retour d’expérience est satisfaisant. Aucune
interface homme-machine très limitée (quelques commandes et nouvelle étude d’automatisme n’est nécessaire et le câblage exis-
indicateurs conventionnels). Plusieurs clients optent pour cette tant peut être maintenu, ce qui est certainement une économie
solution même si le processus de qualification lors d’une première d’investissement forte.
installation est coûteux. L’inconvénient est que ce type de remplacement ne permet pas de
bénéficier de la souplesse de programmation, de la richesse fonc-
Exemple : France (tranches 900 MW). tionnelle et du caractère évolutif des automates programmables
modernes.
4.2.2 Rénovation des systèmes de supervision L’effort de qualification se limite à la qualification de la nouvelle
technologie et du processus de transfert de l’automatisme d’une
Toutes les tranches ou presque ont déjà des systèmes informati- technologie à l’autre.
ques de type « supervision » ou « aide à la conduite » (présentation
d’images, courbes, éventuellement alarmes, mais sans aucune pos-
sibilité de commande). La rénovation permet de traiter l’obsoles-
cence du matériel informatique de la génération précédente mais
aussi d’améliorer la fiabilité, la disponibilité, les performances, de 5. Conclusion
proposer une fonctionnalité plus appropriée (fonctions d’aide à
l’opérateur en situation accidentelle), de rendre à nouveau évolutif
un système figé. Présentant des avantages évidents (modernité, fonctionnalité),
les systèmes programmés sont maintenant couramment utilisés
Exemple : projets de remplacement des systèmes de supervision dans les centrales nucléaires.
des centrales de type VVER ou RBMK (CEI, pays de l’Europe de l’Est).
Les techniques pour obtenir le niveau de qualité adéquat ayant
donné satisfaction, elles seront reconduites avec quelques évolu-
tions dans les années à venir.
4.2.3 Rénovation des armoires d’acquisition
de signaux Les systèmes programmés ont en tout cas remporté une bataille
significative qui n’était pas gagnée au départ, celle de leur possible
Souvent jumelée avec le remplacement du système de supervi- qualification. Les réticences initiales à qualifier des systèmes conte-
sion associé, cette rénovation fait l’objet de remplacement par des nant du logiciel, par nature complexe, ont été levées. Comme dans
systèmes de type automate, même si ceux-ci n’ont qu’une fonction d’autres secteurs (avionique, ferroviaire, médical), les systèmes pro-
d’acquisition pure. grammés ont fait montre de leur bonne contribution à la sûreté.

BN 3425

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

BN 3425

Transféré par

Droits d'auteur :

Formats disponibles

Qualification des systèmes

programmés dans les centrales

par Alain LEGRAS

1. Présentation .............................................................................................. BN 3 425 - 2

1. Présentation de remplacer simplement les moyens dits « conventionnels », mais

1.1 Particularité des centrales nucléaires

Figure 1 – Salle de commande numérique de la centrale nucléaire de Chooz

1.2.3 Types de systèmes — le caractère qualifiable : selon la contribution du système à la

(découpe en modules simples, langage de programmation évolué et

de mesurer la fiabilité du logiciel. Or l’approche probabiliste revêt en — 40 homme-an de vérification de l’ingénierie ;

Spécifications Spécifications Conception Code Code Code

Vérification indépendante des spécifications

Vérification de conformité au besoin

Analyse à l'aide de MALPAS

Comparaison code source / code exécutable

Vérification indépendante par le fournisseur

Validation indépendante par le fournisseur

Figure 2 – Validation du PPS de Sizewell [4]

■ Conformité à la CEI 880 3.3.2.3 Conception des données

■ Outil de CAO et approche descendante 3.4 Système de conduite du palier N4

ment opérationnel), une opération d’« instrumentation de code » a

Les études de fiabilité se sont concentrées sur un point précis qui

Vous aimerez peut-être aussi