Norme 61508

Prsentation de la norme EN 61508
Scurit fonctionnelle des systmes lectrique/lectroniques/lectroniques Programmable relatifs la scurit

(extrait de la formation INERIS rf : RA 19-2004)
Dominique Charpentier tl : 03 44 55 68 82 contact.sdf@ineris.fr
Ahmed ADJADJ tl : 03 44 55 68 53 contact.sdf@ineris.fr
La norme EN NF 61508
Introduit la notion de Scurit Fonctionnelle Dfinit une classification du niveau de scurit dun dispositif, SIL: Safety Integrity Level Approche probabiliste et calcul du taux de dfaillances dangereuses du dispositif
(sous-ensemble de la scurit globale se rapportant des systmes de commande)
Ce document ne peut tre utilis par des tiers sans autorisation crite.
Page 2
Introduction
Norme publie en 2002, qui dfinit une mthodologie d analyse de sret de fonctionnement Champ d applications : systme lectriques, lectroniques, lectroniques programmables de scurit (EEPS) Dispositifs associant des technologies complexes hardware et software. Public concern : Fabricants, Intgrateurs, Exploitants D application volontaire, devient un standard pour l valuation des fonctions de scurit
Page 3
Prsentation
Cette norme comporte 7 parties qui sont :

Partie 1 : Exigences gnrales de conception (cycle de vie). Partie 2 : Exigences concernant les systmes lectriques. Partie 3 : Exigences concernant les logiciels. Partie 4 : Dfinitions, terminologie. Partie 5 : Guide pour la mise en uvre de la partie 1 (Annexes informatives). Partie 6 : Guide pour la mise en uvre des parties 2 et 3 (Annexes informatives). Partie 7 : Bibliographie des techniques (Annexes informatives).
Page 4
Les points forts de la norme

Introduction du cycle de vie de scurit global Rfrentiel de conception d un matriel sr Outils et mthodes de dveloppement Introduction de l approche probabiliste des dfaillances chelle SIL ( Safety Integrity Level) de 1 4
Page 5
2 familles de systmes relatifs la scurit

Les systmes de commande relatifs la scurit, systmes assurant un contrle de lorgane surveill (moteur ou sortie relais par exemple) et qui ont la possibilit dentrer dans un tat dinscurit si le systme de commande vient dfaillir. Les systmes de protection relatifs la scurit, systmes destins ragir certaines conditions de llment sous contrle susceptibles dtre dangereuses, et fonctionnant de manire rduire le risque ou prvenir les vnements dangereux.
Ce document ne peut tre utilis par des tiers sans autorisation crite. Page 6
Pourquoi valuer un matriel selon la EN 61508?

Pour l'exploitant cela permet : le choix des quipements, en fonction de critres de scurit le choix de la solution optimale de raliser des solutions globales d'apprcier la solution qui lui est propose Pour le fabricant positionner les performances de ses produits par rapport la concurrence
Les exigences
Des exigences de la Scurit fonctionnelle Qualit de dveloppement Gestion documentaire et de configuration Validation du matriel (fonctionnel et comportement sur dfaillances) Des exigences tout au long du cycle de vie, de la conception la fin de vie, impliquant des validations pour les diffrentes phases Des exigences d architecture du matriel ou du systme
(Exigences sur la faon de concevoir et de fabriquer le produit)
Le cycle de vie de scurit
Page 9
Les documents de sorties du cycle de vie

Phase du cycle de Scurit global Information Concept Dfinition globale du domaine de lapplication Analyse de danger et de risque Prescriptions globales de scurit Allocation des prescriptions de scurit Planification globale de lexploitation et de la maintenance Planification globale de la validation de la scurit Planification globale de linstallation et de la mise en service Ralisation Installation et mise en service globales Validation globale de la scurit Exploitation et maintenances globales Modification et remise niveau globales Description Description Description Spcifications Description Plan ( exploitation et maintenance globales) Plan (validation globale de la scurit) Plan (installation et mise en service globale) Ensemble des documents de conception Rapport ( installation et mise en service globale) Rapport (validation globale de la scurit) Journal (Exploitation et maintenances globales) Demande ( modification globale) Rapport ( analyse impact des modifications et remise niveau globales) Journal (modification et remise niveau globales) Rapport ( analyse impact) Plan ( mise hors service ou rebut) Journal (mise hors service ou au rebut) Plan scurit Plan Vrification Rapport vrification Plan valuation scurit fonctionnelle Rapport valuation scurit fonctionnelle
Mise hors service ou au rebut Toutes les phases
Page 10
Rduction des risques
Coupe feu, digue, ... Arrte flammes, disques de rupture, EIPS, Ce document ne peut tre utilis par des tiers sans autorisation crite. Page 11
Allocation des prescriptions de scurit
Page 12
Allocation des prescriptions de scurit

La rduction du risque est accomplie par la combinaison de dispositifs relatifs la scurit : les systmes E/E/PE*, les systmes bass sur d autres technologies, les dispositifs externes de rduction de risque. L analyse de risque permet d allouer, chaque dispositif de scurit, le niveau d intgrit pour atteindre le risque tolrable spcifi.
* E/E/PE : lectriques/lectroniques/lectroniques Programmables
L analyse des risques (Exemple: Graphe de risque)

La mthode utilise pour l'analyse des risques intgre 4 paramtres : La consquence du risque sur les utilisateurs (C). La frquence dexposition au risque (F). La possibilit dviter le danger (P). La probabilit doccurrence de la cause conduisant lvnement redout (W).
Page 14
L analyse des risques (Exemple: Graphe de risque)

Risque Consquence Hirarchisation C1 C2 Classification Incident mineur Blessures graves conduisant des invalidits; mort dune personne Mort de plusieurs personnes (2 personnes) Mort de plusieurs personnes (Plus quen C3) Exposition rare au risque Exposition permanente au risque Possible dans certaines conditions Impossible Faible probabilit Probabilit moyenne Probabilit leve
C3 C4 Frquence dexposition au risque F1 F2 Possibilit dviter le danger P1 P2 Probabilit de la cause conduisant la ralisation du risque W1 W2 W3
Page 15
Graphe des risques - Dfinition des exigences

W3 C1 a W2 W1
1 P1 C2 F1 F2 C3 F1 F2 C4 F1 F2 P2 P1 P2 P1 P2 P1 P2 b 4 2
Slection des scurits actives - CEI 61508

Les prescriptions de scurit pour les systmes E/E/PE

Diversification des systmes Indpendance vis vis des systmes de commande de type non scurit Prise en compte des dfaillances dorigine commune Alimentation, Sparation physique
Page 17
Les exigences sur le produit Prescriptions techniques de conception

Des exigences sur le produit classification selon l'utilisation technologie exigences qualitatives de comportement sur dfaut exigences quantitatives de comportement sur dfaut exigences sur la faon de concevoir et de fabriquer le produit exigences sur le logiciel, ... Exigences sur l'utilisation et l'exploitation des systmes (maintenance, ...)
Les exigences sur le produit

Exigences qualitatives de comportement sur dfaut du produit Systme de scurit ou systme de protection, Technologie Architecture redondante, Systme auto-testable, Exigences qualitatives de comportement sur dfaut du systme Dissocier les fonctions de scurit des fonctions de conduite de processus Prfrer un fonctionnement dynamique de l'application ...
Les exigences qualitatives - Deux types de composants Les composants de type A (Il sagit notamment de la technologie relayage et llectronique discrte cble)

pour lesquels les modes de dfaillance sont dfinis, la testabilit est de 100 %, un retour dexprience existe.
Les composants de type B

pour lesquels les modes de dfaillance ne sont pas tous dfinis, la testabilit nest pas de 100 % (ASIC, microprocesseur, ...), la pertinence de la valeur des donnes relatives au retour dexprience est faible.
Page 20
Notion de SFF (Safe Failure Fraction)

Distinction des fautes suivant l tat atteint: Dfaillances Sres Dfaillances Dangereuses Dtection ou non dtection des dfaillances
DD : Dfaillances Dangerous Detected DU : Dfaillances Dangerous Undetected S : Dfaillances Safe T : Dfaillances Total
T Dfaillances Dtectes Dfaillances Non Dtectes
DD
DU
SFF =
T DU T
Page 21
Les exigences qualitatives (Contraintes d architectures)

S a fe F ailu re F rac tio n < 60% 90% > 60% < 90% < 99% 99% T o lranc e au x erre u rs m atrielles 0 1 2 S IL1 S IL2 S IL3 S IL2 S IL3 S IL4 S IL3 S IL4 S IL4 S IL3 S IL4 S IL4
C o n train tes d'arc h itec tu re po u r les s y s tm es de s c u rit de ty pe A S a fe F ailu re F rac tio n < 60% 90% > 60% < 90% < 99% 99% T o lranc e au x erre u rs m atrielles 0 1 2 non- autor is S IL1 S IL2 S IL1 S IL2 S IL3 S IL2 S IL3 S IL4 S IL3 S IL4 S IL4
C o n train tes d'arc h itec tu re po u r les s y s tm es de s c u rit de ty pe B
Page 22
Matrise des dfaillances en exploitation Prescriptions pour la Couverture de diagnostic

Cette norme recommande des techniques et des mesures de test de diagnostic pour viter ou matriser les dfaillances en exploitation. Ces techniques et mesures dfinissent une Couverture de Diagnostic admissible.
Page 23
Exigences sur le logiciel Cycle de dveloppement en V

Spcification des exigences de scurit du SIS Validation de la scurit du SIS 14.3
SIS valid
Architecture en sous-systmes
Spcification des exigences de scurit du logiciel dapplication 12.2
SIS : Systme Instrument de Scurit
Tests dintgration du logiciel dapplication avec le SEP 12.5 12.5
Conception de larchitecture du logiciel dapplication 12.4, 12.4 12.4.3, 12.4.4 Ralisation du logiciel dapplication 12.4.5 12.4 Ralisation des modules dapplication 12.4.5 12.4.5 Test du logiciel dapplication 12.4 12.4.7 Tests modulaires du logiciel dapplication 12.4.6 12.4
Rsultat Vrification
Codage et test en FVL voir CEI 61508-3 12.4
Page 24
Conception et Dveloppement logiciel

Cette norme dfinie des techniques et des mesures de conception et de dveloppement du logiciel. En fonction du niveau d intgrit de scurit recherch pour le logiciel, ces techniques/mesures de conception et de dveloppement sont assortie d une recommandation: HR : Hautement Recommande R : Recommande --- : ni recommande ni dconseille NR : Non Recommande
Page 25
Modes de fonctionnement Les exigences sur le produit

On distingue 2 modes de fonctionnement : la demande, par exemple un arrt d urgence introduit la notion de PFD (Probability of Failure on Demand) exprim en taux de dfaillance par an en continue, par exemple une boucle de scurit (capteurautomate - actionneur) introduit la notion de taux de dfaillance dangereuse () exprim en 10 -x /heure Ces probabilits permettent de dfinir les intervalles de maintenance prventive pour garder le mme niveau de scurit.
Classification produits/systmes PFD exigences quantitatives

Niveaux de Scurit Probabilit annuelle de dfaillance de la fonction Fonctionnement en continu Taux de dfaillance horaire SIL 4 SIL 3 SIL 2 SIL 1 10-8 < < 10-9 10-7 < < 10-8 10-6 < < 10-7 10-5 < < 10-6 Fonctionnement la demande Probabilit de dfaillance la sollicitation 10-4 < PFDavg < 10-5 10-3 < PFDavg < 10-4 10-2 < PFDavg < 10-3 10-1 < PFDavg < 10-2
Niveau dintgrit de scurit
Page 27
Association de composants de SIL diffrents Exemple 1

Capteur type A SIL 1 Unit logique type B SIL 2 Actionneur type B SIL 1
SYSTEME SIL 1 Le niveau de SIL du composant le plus faible d une chane dtermine le niveau de SIL de la Chane.
Page 28
Association de composants de SIL diffrents Exemple 2

1 Composant SIL 1 3 Composant SIL 2 2 Composant SIL 2 4 Composant SIL 1 5 Composant SIL 2
1 et 2 --> SIL 1 3 et 4 --> SIL 1
1,2, 3 et 4 --> SIL 2 1,2, 3 et 4 et 5--> SIL 2
Page 29
Cas n1 - SFF < 60% - Capteur TOR
Capteur
SFF = 50% Techno. A
Bloc logique
SFF = 50% Techno. A
Relais
SFF = 75% Techno. A
niveau SIL 1
Page 30

Capteur
SFF = 50% Techno. A
API
SFF = 50% Techno. B
Relais
SFF = 75% Techno. A
API en Techno. B et SFF < 60% Architecture simple
Non Autoris pour la scurit
Page 31

Capteur
SFF = 50% Techno. A
API
SFF = 50% Techno. B
Relais
SFF = 75% Techno. A
Capteur
SFF = 50% Techno. A
API
SFF = 50% Techno. B
Relais
SFF = 75% Techno. A
API en Techno. B et SFF < 60% Architecture redondante
niveau SIL 1
Page 32
volution de la probabilit de dfaillance dangereuse (PFDavg)

PFDavg(t)
SIL 4 SIL 3 SIL 2 SIL 1

Proof test interval t Page 33
Influence des tests et de la maintenance sur la scurit

Le niveau d intgrit de scurit dcrot avec le temps.
Ncessit de dterminer un intervalle de test et de maintenance priodique afin que le niveau d intgrit soit conforme avec les exigences de scurit.
Page 34
PFD : Formules approches (Dfinition)

Cette norme propose une technique de calcul des probabilit de dfaillances d un dispositif de scurit. Ces techniques de calcul repose sur les Diagrammes de Fiabilit. En fonction de l architecture dfini par le diagramme de fiabilit du dispositif de scurit, des quations permettent de calculer : Temps moyen d indisponibilit (TCE ou TGE) Probabilit moyenne de dfaillance (PFD)
Calcul de la probabilit de dfaillance dangereuse non dtecte

Paramtres : T1 : intervalle du test priodique DU : Taux de dfaillances dangereuses non dtectes DD : Taux de dfaillances dangereuses dtectes SD : Taux de dfaillances sres dtectes MTTR : Dure moyenne de rtablissement DC : Couverture du diagnostic des fautes dangereuses
Page 36
Architecture mono canal
TCE =
DU T1 . + MT TR + DD .MT TR D 2 D
PFDG = (du + dd ).TCE
Page 37

Norme 61508

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Norme 61508

Transféré par

Droits d'auteur :

Formats disponibles

Prsentation de la norme EN 61508

Scurit fonctionnelle des systmes lectrique/lectroniques/lectroniques Programmable relatifs la scurit

Dominique Charpentier tl : 03 44 55 68 82 contact.sdf@ineris.fr

Ahmed ADJADJ tl : 03 44 55 68 53 contact.sdf@ineris.fr

Les points forts de la norme

2 familles de systmes relatifs la scurit

Pourquoi valuer un matriel selon la EN 61508?

(Exigences sur la faon de concevoir et de fabriquer le produit)

Le cycle de vie de scurit

Les documents de sorties du cycle de vie

Mise hors service ou au rebut Toutes les phases

Rduction des risques

Allocation des prescriptions de scurit

Allocation des prescriptions de scurit

L analyse des risques (Exemple: Graphe de risque)

L analyse des risques (Exemple: Graphe de risque)

Graphe des risques - Dfinition des exigences

Slection des scurits actives - CEI 61508

Les prescriptions de scurit pour les systmes E/E/PE

Les exigences sur le produit Prescriptions techniques de conception

Les exigences sur le produit

Les composants de type B

Notion de SFF (Safe Failure Fraction)

Les exigences qualitatives (Contraintes d architectures)

C o n train tes d'arc h itec tu re po u r les s y s tm es de s c u rit de ty pe B

Matrise des dfaillances en exploitation Prescriptions pour la Couverture de diagnostic

Exigences sur le logiciel Cycle de dveloppement en V

Spcification des exigences de scurit du logiciel dapplication 12.2

SIS : Systme Instrument de Scurit

Tests dintgration du logiciel dapplication avec le SEP 12.5 12.5

Codage et test en FVL voir CEI 61508-3 12.4

Conception et Dveloppement logiciel

Modes de fonctionnement Les exigences sur le produit

Classification produits/systmes PFD exigences quantitatives

Niveau dintgrit de scurit

Association de composants de SIL diffrents Exemple 1

Association de composants de SIL diffrents Exemple 2

1 et 2 --> SIL 1 3 et 4 --> SIL 1

1,2, 3 et 4 --> SIL 2 1,2, 3 et 4 et 5--> SIL 2

Cas n1 - SFF < 60% - Capteur TOR

Cas n2 - SFF < 60% - Capteur TOR

API en Techno. B et SFF < 60% Architecture simple

Non Autoris pour la scurit

Cas n3 - SFF < 60% - Capteur TOR

API en Techno. B et SFF < 60% Architecture redondante

volution de la probabilit de dfaillance dangereuse (PFDavg)

SIL 4 SIL 3 SIL 2 SIL 1

Influence des tests et de la maintenance sur la scurit

PFD : Formules approches (Dfinition)

Calcul de la probabilit de dfaillance dangereuse non dtecte

Architecture mono canal

PFDG = (du + dd ).TCE

Vous aimerez peut-être aussi