Evaluation de l'intégrité de sécurité matérielle - Capabilité SIL

La conformité « SIL » exige que la conception de la fonction de sécurité réponde à deux critères spécifiques tels que décrits dans la norme : la capabilité aléatoire associé au matériel (HW) et la capabilité systématique (HW + SW).

Cette application permet d’évaluer le niveau d’intégrité de sécurité aléatoire (SIL Random Capability) pouvant être atteint par un composant du SIS, d’un système ou sous-système (capteur, partie traitement, actionneurs, …) utilisé pour accomplir une fonction de sécurité (SIF) conformément à la norme IEC 61511 V2.

Evaluation du SIL atteint par une partie matérielle (SIS) de la SIF

Mode de fonctionnement de la SIF :

Composant (système ou sous-système) :

Tolérance aux défaillances dangereuses

PFH h^-1

PFD_avg Probabilité moyenne

Proportion de défaillances en sécurité : SFF Safe Failure Fraction

Langage de Programmation Programme applicatif

DC Taux de couverture des auto-tests

Niveau d'intégrité de Sécurité Capable (HW Random Capability) :

La conformité « SIL » exige que la conception de la fonction de sécurité réponde à deux critères spécifiques tels que décrits dans la norme : la capabilité aléatoire associé au matériel (HW) et la capabilité systématique (HW + SW).

Cette application permet d’évaluer le niveau d’intégrité de sécurité aléatoire (SIL Random Capability) pouvant être atteint par un système (SIS) ou sous-système (capteur, partie traitement, actionneurs, …) utilisé pour accomplir une fonction de sécurité (SIF).

L’évaluation est réalisée selon les exigences normatives (IEC 61511, IEC 61508) relatives aux fonctions de sécurité instrumentées (SIF) mises en œuvre dans le secteur des procédés industriels. Elle permet d’identifier le niveau SIL pouvant être revendiqué en terme de capabilité aléatoire (random integrity) de la SIF en tenant compte du mode de fonctionnement de la SIF, des types de composants, des proportions de défaillance en sécurité, des langages de programmation utilisés, des taux de couverture de diagnostic, des probabilités de défaillances et des contraintes architecturales.

Vous pouvez faire part de vos remarques ou améliorations à apporter via le formulaire de contact.

Le tableau 1 indique les exigences architecturales (HFT) selon la norme CEI 61 508 pour les constructeurs de matériel selon le parcours 1H basé sur les concepts de tolérance aux anomalies du matériel et de proportion de défaillances en sécurité.

Le tableau 1 ci-contre indique les exigences architecturales (HFT) selon la norme CEI 61511 pour du matériel éprouvé par l’usage (parcours 2H). Selon le niveau SIL souhaité et le mode de fonctionnement de la SIF, un HFT minimum est exigé.

Guide d'utilisation

Introduction

Chaque niveau d’intégrité d’une SIF (SIL 1, 2, 3 ou 4), est associé à un niveau de réduction de risque croissant. Une SIF peut être compromise par des pannes systématiques et/ou des pannes matérielles aléatoires. A noter que les attaques volontaires et notamment les cyber attaques sont également traitées dans le cadre de la sécurité fonctionnelle. Elles font l’objet d’une évaluation du niveau de cybersécurité (SL) conformément à la CEI 62443.

Les pannes aléatoires peuvent généralement être quantifiées alors que les défaillances systématiques sont évaluées selon des critères qualitatifs (système de gestion de la sécurité fonctionnelle, compétence du personnel, indépendance, outils et méthodes, qualité logicielle, cycle en V, V&V, …). Cet applicatif permet d’évaluer le niveau « SIL » pouvant être revendiqué en terme de capabilité aléatoire du matériel.

La norme 61508 de la commission électrotechnique internationale (CEI/IEC) est une norme traitant de la « Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables relatifs à la sécurité ». C’est la norme « mère » de la sécurité fonctionnelle, qui constitue la base de nombreuses normes dérivées spécifiques à des secteurs (procédé, machine, nucléaire, automobile, médical, …). Cette norme s’adresse aux constructeurs de systèmes utilisées pour remplir des fonctions de sécurité.

La norme CEI 61511, issue de la CEI 61508 s’adresse aux intégrateurs et utilisateurs de fonctions de sécurité pour l’industrie des procédés. La norme CEI 62061 s’adresse aux industries manufacturières (secteur des machines).

Cadre de l'évaluation du SIL pouvant être revendiqué

L’évaluation est réalisée selon les exigences normatives (IEC 61511, IEC 61508) relatives aux fonctions de sécurité instrumentées (SIF) mises en œuvre dans le secteur des procédés industriels. Elle permet d’identifier le niveau SIL pouvant être revendiqué, en terme de capabilité aléatoire (random integrity), par la SIF. Cette évaluation est réalisée en tenant compte du mode de fonctionnement de la SIF, des types de composants, des proportions de défaillance en sécurité, des langages de programmation utilisés, des taux de couverture de diagnostic, des probabilités de défaillances et des contraintes architecturales.

La partie inférieure indique le niveau d’intégrité de sécurité atteint (SIL).

Sélectionner la manière dont fonctionne la fonction (SIF)

On différencie deux principaux modes de fonctionnement le mode à la sollicitation, qui peut être faible ou élevé et le mode continu.

Le mode Sollicitation (faible ou élevée) doit être choisi lorsque la fonction de sécurité n’est déclenchée que sur une sollicitation en dehors du mode de fonctionnement normal du procédé. Cela signifie que la fonction n’est pas si utilisée lorsque tout se passe bien. C’est l’exemple d’un airbag dans le cadre d’une utilisation normale d’une voiture (hors cascade). D’un point de vue industriel, cela pourrait être une détection de pression très haute. En fonctionnement normal la pression très haute ne doit pas être atteinte, c’est donc une fonction à la sollicitation.

Le mode continu correspond à un fonctionnement dans lequel la SIF maintient le processus dans un état de sécurité en fonctionnement normal. Ce sont par exemple les freins d’une voiture, ils remplissent une fonction de sécurité qui est utilisée en fonctionnement normal, on parlera alors de fonctionnement en « mode continu ».

Généralement la défaillance dangereuse (panne dormante) d’une fonction en mode sollicitation ne génère pas à elle seule un danger, alors que cette même défaillance sur une SIF en mode continu produira, sans autre défaillance, un événement dangereux.

Une fonction en mode Continu est, par exemple, une barrière immatérielle sur une presse détectant la présence de l’opérateur lorsqu’il insère ou retire une pièce ou encore une fonction de verrouillage de porte sur un ascenseur, une détection de flamme lors du démarrage d’une chaudière, … .

En mode sollicitation, le choix entre faible et élevée doit se faire en fonction de la fréquence de sollicitation, une fréquence supérieure à une fois par an sera dite forte ou élevée, et une fréquence inférieure sera classée en faible sollicitation.

Système - Matériel :

Sélection du référentiel selon le type de composant

La validation d’un composant matériel (système ou sous-système) peut-être réalisé suivant deux méthodes appelés « parcours » 1H et 2H (H pour Hardware).

Le parcours 1H repose sur l’utilisation de composants développés et validés conformément à l’IEC 61508 sur la base d’une AMDEC (FMECA).

Le parcours 2H repose sur l’utilisation de composants éprouvés par l’usage, via un retour d’expérience documenté permettant de validés les composants sur la base d’une utilisation antérieure dans des conditions similaires.

Dans les procédés continus, les systèmes éprouvés par l’usage (parcours 2H) seront à privilégier (CEI 61511). Si la mise en œuvre de systèmes éprouvés n’est pas possible ou pertinente, des systèmes certifiés par le constructeur ou un sous-traitant du constructeur (TUV, BV, Exida, …) suivant la norme « constructeur » (CEI 61508) pourront être utilisé.

Dans ce dernier cas, il faudra différentier deux types de composants.

Les composants dits « basiques » (Type A) dont tous les modes de défaillance et les comportements sur défaillance sont bien connus, identifiés et quantifiés. Il s’agit par exemple d’une vanne, d’un distributeur, d’un contacteur, ….

Les composants « complexes » (type B) dont les modes de défaillances ne sont pas tous maîtrisé. Il s’agit de composants électroniques et programmables à base de microprocesseurs, ASIC, … (transmetteur « smart », API, variateur, …) qui ne remplissent pas les conditions pour être de type A.

Pour aller plus loin :

L’autre application « PFD Tracer » permet de visualiser sous forme graphique l’évolution de la PFD/PFH suivant les différents paramètres de calcul (taux de défaillance, périodicité des tests complets et partiels, taux de couverture de diagnostic, …).