Vous êtes sur la page 1sur 37

Prsentation de la norme EN 61508

Scurit fonctionnelle des systmes lectrique/lectroniques/lectroniques Programmable relatifs la scurit


(extrait de la formation INERIS rf : RA 19-2004)

Dominique Charpentier tl : 03 44 55 68 82 contact.sdf@ineris.fr

Ahmed ADJADJ tl : 03 44 55 68 53 contact.sdf@ineris.fr

La norme EN NF 61508
Introduit la notion de Scurit Fonctionnelle Dfinit une classification du niveau de scurit dun dispositif, SIL: Safety Integrity Level Approche probabiliste et calcul du taux de dfaillances dangereuses du dispositif
(sous-ensemble de la scurit globale se rapportant des systmes de commande)

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 2

Introduction
Norme publie en 2002, qui dfinit une mthodologie d analyse de sret de fonctionnement Champ d applications : systme lectriques, lectroniques, lectroniques programmables de scurit (EEPS) Dispositifs associant des technologies complexes hardware et software. Public concern : Fabricants, Intgrateurs, Exploitants D application volontaire, devient un standard pour l valuation des fonctions de scurit

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 3

Prsentation
Cette norme comporte 7 parties qui sont :

Partie 1 : Exigences gnrales de conception (cycle de vie). Partie 2 : Exigences concernant les systmes lectriques. Partie 3 : Exigences concernant les logiciels. Partie 4 : Dfinitions, terminologie. Partie 5 : Guide pour la mise en uvre de la partie 1 (Annexes informatives). Partie 6 : Guide pour la mise en uvre des parties 2 et 3 (Annexes informatives). Partie 7 : Bibliographie des techniques (Annexes informatives).
Page 4

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Les points forts de la norme


Introduction du cycle de vie de scurit global Rfrentiel de conception d un matriel sr Outils et mthodes de dveloppement Introduction de l approche probabiliste des dfaillances chelle SIL ( Safety Integrity Level) de 1 4

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 5

2 familles de systmes relatifs la scurit


Les systmes de commande relatifs la scurit, systmes assurant un contrle de lorgane surveill (moteur ou sortie relais par exemple) et qui ont la possibilit dentrer dans un tat dinscurit si le systme de commande vient dfaillir. Les systmes de protection relatifs la scurit, systmes destins ragir certaines conditions de llment sous contrle susceptibles dtre dangereuses, et fonctionnant de manire rduire le risque ou prvenir les vnements dangereux.
Ce document ne peut tre utilis par des tiers sans autorisation crite. Page 6

Pourquoi valuer un matriel selon la EN 61508?


Pour l'exploitant cela permet : le choix des quipements, en fonction de critres de scurit le choix de la solution optimale de raliser des solutions globales d'apprcier la solution qui lui est propose Pour le fabricant positionner les performances de ses produits par rapport la concurrence
Ce document ne peut tre utilis par des tiers sans autorisation crite. Page 7

Les exigences
Des exigences de la Scurit fonctionnelle Qualit de dveloppement Gestion documentaire et de configuration Validation du matriel (fonctionnel et comportement sur dfaillances) Des exigences tout au long du cycle de vie, de la conception la fin de vie, impliquant des validations pour les diffrentes phases Des exigences d architecture du matriel ou du systme
Ce document ne peut tre utilis par des tiers sans autorisation crite. Page 8

(Exigences sur la faon de concevoir et de fabriquer le produit)

Le cycle de vie de scurit

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 9

Les documents de sorties du cycle de vie


Phase du cycle de Scurit global Information Concept Dfinition globale du domaine de lapplication Analyse de danger et de risque Prescriptions globales de scurit Allocation des prescriptions de scurit Planification globale de lexploitation et de la maintenance Planification globale de la validation de la scurit Planification globale de linstallation et de la mise en service Ralisation Installation et mise en service globales Validation globale de la scurit Exploitation et maintenances globales Modification et remise niveau globales Description Description Description Spcifications Description Plan ( exploitation et maintenance globales) Plan (validation globale de la scurit) Plan (installation et mise en service globale) Ensemble des documents de conception Rapport ( installation et mise en service globale) Rapport (validation globale de la scurit) Journal (Exploitation et maintenances globales) Demande ( modification globale) Rapport ( analyse impact des modifications et remise niveau globales) Journal (modification et remise niveau globales) Rapport ( analyse impact) Plan ( mise hors service ou rebut) Journal (mise hors service ou au rebut) Plan scurit Plan Vrification Rapport vrification Plan valuation scurit fonctionnelle Rapport valuation scurit fonctionnelle

Mise hors service ou au rebut Toutes les phases

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 10

Rduction des risques

Coupe feu, digue, ... Arrte flammes, disques de rupture, EIPS, Ce document ne peut tre utilis par des tiers sans autorisation crite. Page 11

Allocation des prescriptions de scurit

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 12

Allocation des prescriptions de scurit


La rduction du risque est accomplie par la combinaison de dispositifs relatifs la scurit : les systmes E/E/PE*, les systmes bass sur d autres technologies, les dispositifs externes de rduction de risque. L analyse de risque permet d allouer, chaque dispositif de scurit, le niveau d intgrit pour atteindre le risque tolrable spcifi.
* E/E/PE : lectriques/lectroniques/lectroniques Programmables
Ce document ne peut tre utilis par des tiers sans autorisation crite. Page 13

L analyse des risques (Exemple: Graphe de risque)


La mthode utilise pour l'analyse des risques intgre 4 paramtres : La consquence du risque sur les utilisateurs (C). La frquence dexposition au risque (F). La possibilit dviter le danger (P). La probabilit doccurrence de la cause conduisant lvnement redout (W).

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 14

L analyse des risques (Exemple: Graphe de risque)


Risque Consquence Hirarchisation C1 C2 Classification Incident mineur Blessures graves conduisant des invalidits; mort dune personne Mort de plusieurs personnes (2 personnes) Mort de plusieurs personnes (Plus quen C3) Exposition rare au risque Exposition permanente au risque Possible dans certaines conditions Impossible Faible probabilit Probabilit moyenne Probabilit leve

C3 C4 Frquence dexposition au risque F1 F2 Possibilit dviter le danger P1 P2 Probabilit de la cause conduisant la ralisation du risque W1 W2 W3

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 15

Graphe des risques - Dfinition des exigences


W3 C1 a W2 W1

1 P1 C2 F1 F2 C3 F1 F2 C4 F1 F2 P2 P1 P2 P1 P2 P1 P2 b 4 2

Slection des scurits actives - CEI 61508


Ce document ne peut tre utilis par des tiers sans autorisation crite. Page 16

Les prescriptions de scurit pour les systmes E/E/PE


Diversification des systmes Indpendance vis vis des systmes de commande de type non scurit Prise en compte des dfaillances dorigine commune Alimentation, Sparation physique

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 17

Les exigences sur le produit Prescriptions techniques de conception


Des exigences sur le produit classification selon l'utilisation technologie exigences qualitatives de comportement sur dfaut exigences quantitatives de comportement sur dfaut exigences sur la faon de concevoir et de fabriquer le produit exigences sur le logiciel, ... Exigences sur l'utilisation et l'exploitation des systmes (maintenance, ...)
Ce document ne peut tre utilis par des tiers sans autorisation crite. Page 18

Les exigences sur le produit


Exigences qualitatives de comportement sur dfaut du produit Systme de scurit ou systme de protection, Technologie Architecture redondante, Systme auto-testable, Exigences qualitatives de comportement sur dfaut du systme Dissocier les fonctions de scurit des fonctions de conduite de processus Prfrer un fonctionnement dynamique de l'application ...
Ce document ne peut tre utilis par des tiers sans autorisation crite. Page 19

Les exigences qualitatives - Deux types de composants Les composants de type A (Il sagit notamment de la technologie relayage et llectronique discrte cble)

pour lesquels les modes de dfaillance sont dfinis, la testabilit est de 100 %, un retour dexprience existe.

Les composants de type B


pour lesquels les modes de dfaillance ne sont pas tous dfinis, la testabilit nest pas de 100 % (ASIC, microprocesseur, ...), la pertinence de la valeur des donnes relatives au retour dexprience est faible.
Page 20

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Notion de SFF (Safe Failure Fraction)


Distinction des fautes suivant l tat atteint: Dfaillances Sres Dfaillances Dangereuses Dtection ou non dtection des dfaillances
DD : Dfaillances Dangerous Detected DU : Dfaillances Dangerous Undetected S : Dfaillances Safe T : Dfaillances Total
T Dfaillances Dtectes Dfaillances Non Dtectes

DD

DU

SFF =

T DU T

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 21

Les exigences qualitatives (Contraintes d architectures)


S a fe F ailu re F rac tio n < 60% 90% > 60% < 90% < 99% 99% T o lranc e au x erre u rs m atrielles 0 1 2 S IL1 S IL2 S IL3 S IL2 S IL3 S IL4 S IL3 S IL4 S IL4 S IL3 S IL4 S IL4

C o n train tes d'arc h itec tu re po u r les s y s tm es de s c u rit de ty pe A S a fe F ailu re F rac tio n < 60% 90% > 60% < 90% < 99% 99% T o lranc e au x erre u rs m atrielles 0 1 2 non- autor is S IL1 S IL2 S IL1 S IL2 S IL3 S IL2 S IL3 S IL4 S IL3 S IL4 S IL4

C o n train tes d'arc h itec tu re po u r les s y s tm es de s c u rit de ty pe B

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 22

Matrise des dfaillances en exploitation Prescriptions pour la Couverture de diagnostic


Cette norme recommande des techniques et des mesures de test de diagnostic pour viter ou matriser les dfaillances en exploitation. Ces techniques et mesures dfinissent une Couverture de Diagnostic admissible.

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 23

Exigences sur le logiciel Cycle de dveloppement en V


Spcification des exigences de scurit du SIS Validation de la scurit du SIS 14.3

SIS valid

Architecture en sous-systmes

Spcification des exigences de scurit du logiciel dapplication 12.2

SIS : Systme Instrument de Scurit

Tests dintgration du logiciel dapplication avec le SEP 12.5 12.5

Conception de larchitecture du logiciel dapplication 12.4, 12.4 12.4.3, 12.4.4 Ralisation du logiciel dapplication 12.4.5 12.4 Ralisation des modules dapplication 12.4.5 12.4.5 Test du logiciel dapplication 12.4 12.4.7 Tests modulaires du logiciel dapplication 12.4.6 12.4

Rsultat Vrification

Codage et test en FVL voir CEI 61508-3 12.4

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 24

Conception et Dveloppement logiciel


Cette norme dfinie des techniques et des mesures de conception et de dveloppement du logiciel. En fonction du niveau d intgrit de scurit recherch pour le logiciel, ces techniques/mesures de conception et de dveloppement sont assortie d une recommandation: HR : Hautement Recommande R : Recommande --- : ni recommande ni dconseille NR : Non Recommande

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 25

Modes de fonctionnement Les exigences sur le produit


On distingue 2 modes de fonctionnement : la demande, par exemple un arrt d urgence introduit la notion de PFD (Probability of Failure on Demand) exprim en taux de dfaillance par an en continue, par exemple une boucle de scurit (capteurautomate - actionneur) introduit la notion de taux de dfaillance dangereuse () exprim en 10 -x /heure Ces probabilits permettent de dfinir les intervalles de maintenance prventive pour garder le mme niveau de scurit.
Ce document ne peut tre utilis par des tiers sans autorisation crite. Page 26

Classification produits/systmes PFD exigences quantitatives


Niveaux de Scurit Probabilit annuelle de dfaillance de la fonction Fonctionnement en continu Taux de dfaillance horaire SIL 4 SIL 3 SIL 2 SIL 1 10-8 < < 10-9 10-7 < < 10-8 10-6 < < 10-7 10-5 < < 10-6 Fonctionnement la demande Probabilit de dfaillance la sollicitation 10-4 < PFDavg < 10-5 10-3 < PFDavg < 10-4 10-2 < PFDavg < 10-3 10-1 < PFDavg < 10-2

Niveau dintgrit de scurit

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 27

Association de composants de SIL diffrents Exemple 1


Capteur type A SIL 1 Unit logique type B SIL 2 Actionneur type B SIL 1

SYSTEME SIL 1 Le niveau de SIL du composant le plus faible d une chane dtermine le niveau de SIL de la Chane.

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 28

Association de composants de SIL diffrents Exemple 2


1 Composant SIL 1 3 Composant SIL 2 2 Composant SIL 2 4 Composant SIL 1 5 Composant SIL 2

1 et 2 --> SIL 1 3 et 4 --> SIL 1

1,2, 3 et 4 --> SIL 2 1,2, 3 et 4 et 5--> SIL 2

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 29

Cas n1 - SFF < 60% - Capteur TOR

Capteur
SFF = 50% Techno. A

Bloc logique
SFF = 50% Techno. A

Relais
SFF = 75% Techno. A

niveau SIL 1

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 30

Cas n2 - SFF < 60% - Capteur TOR


Capteur
SFF = 50% Techno. A

API
SFF = 50% Techno. B

Relais
SFF = 75% Techno. A

API en Techno. B et SFF < 60% Architecture simple

Non Autoris pour la scurit

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 31

Cas n3 - SFF < 60% - Capteur TOR


Capteur
SFF = 50% Techno. A

API
SFF = 50% Techno. B

Relais
SFF = 75% Techno. A

Capteur
SFF = 50% Techno. A

API
SFF = 50% Techno. B

Relais
SFF = 75% Techno. A

API en Techno. B et SFF < 60% Architecture redondante

niveau SIL 1

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 32

volution de la probabilit de dfaillance dangereuse (PFDavg)


PFDavg(t)

SIL 4 SIL 3 SIL 2 SIL 1


Proof test interval t Page 33

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Influence des tests et de la maintenance sur la scurit


Le niveau d intgrit de scurit dcrot avec le temps.

Ncessit de dterminer un intervalle de test et de maintenance priodique afin que le niveau d intgrit soit conforme avec les exigences de scurit.

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 34

PFD : Formules approches (Dfinition)


Cette norme propose une technique de calcul des probabilit de dfaillances d un dispositif de scurit. Ces techniques de calcul repose sur les Diagrammes de Fiabilit. En fonction de l architecture dfini par le diagramme de fiabilit du dispositif de scurit, des quations permettent de calculer : Temps moyen d indisponibilit (TCE ou TGE) Probabilit moyenne de dfaillance (PFD)
Ce document ne peut tre utilis par des tiers sans autorisation crite. Page 35

Calcul de la probabilit de dfaillance dangereuse non dtecte


Paramtres : T1 : intervalle du test priodique DU : Taux de dfaillances dangereuses non dtectes DD : Taux de dfaillances dangereuses dtectes SD : Taux de dfaillances sres dtectes MTTR : Dure moyenne de rtablissement DC : Couverture du diagnostic des fautes dangereuses

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 36

Architecture mono canal

TCE =

DU T1 . + MT TR + DD .MT TR D 2 D

PFDG = (du + dd ).TCE

Ce document ne peut tre utilis par des tiers sans autorisation crite.

Page 37