cyrille folleau (satodev) bordeaux 26/11/2010 - imdr gtr 22 recherche méthodologique
Post on 03-Apr-2015
113 Views
Preview:
TRANSCRIPT
Cyrille Folleau (SATODEV)Bordeaux 26/11/2010 - IMdR GTR 22 Recherche Méthodologique
Norme IEC61508Indicateurs et objectifsCalculs : Route 1H VS Route 2H
Module SILSaisie d’architectures simplifiéeCalculs précis et automatisés PFD/PFH …
Module TreeFonctionnalité classique d’un logiciel d’AdDCalcul PFD/PFH : temps passé dans les zonesGestion des incertitudes
Bordeaux 26/11/2010 2IMdR GTR 22 Recherche Méthodologique
Nouvelles exigences sur les systèmes de sécurité (ici des systèmes E/E/PE)Distinction entre différents type de demande :
Mode sollicitation faible : la fonction de sécurité n’est réalisée que sur sollicitation, afin de faire passer système protégé dans un état de sécurité spécifié, et la fréquence des sollicitations n’est pas supérieure à une par an.Mode sollicitation élevée / ou continue : idem plus d’un fois par an ou de manière continue
Bordeaux 26/11/2010 3IMdR GTR 22 Recherche Méthodologique
« Nouveaux » indicateursMode faible sollicitation : PFDAvg = Probabilité moyenne de défaillance dangereuse.
Mode sollicitation élevée/continue : PFH = Fréquence moyenne de défaillance dangereuse (h-1) .
Des objectifs à atteindre en fonction du système à « sécuriser »
Bordeaux 26/11/2010 4IMdR GTR 22 Recherche Méthodologique
Bordeaux 26/11/2010
5
IMdR GTR 22 Recherche Méthodologique
Obtain or produce safety allocation description
Develop E/E/PE system design requirements
Start planning safety E/E/PEsafety-related system safety validation
Establish the E/E/PE safety-related systemparameters
Develop a model for the hardware architecture
Determine the safety parameters forRoute 1
H or Route 2
H
For each safety function, determine the relevant targetfailure measure achieved by the E/E/PE
safety-related system
Create a reliability model for each safetyfunction
Does estimated probability offailure of safety function meet
the required target failuremeasure?
Implement the design, select measures/techniquesto avoid/control systematic failures
Determine critical parameters andselect and implement improvements
See 7.6 of IEC 61508-1
See 7.3
See 7.4.4.2 for Route 1H &
7.4.4.3 for Routes R 2H
See 7.4.5 for the requirements forquantifying the effects of random
hardware failures
See:7.4.6- Requirements for the avoidance ofsystematic faults7.4.7-Requirements for the control ofsystematic faults7.4.8 Requirements for system behaviouron detection of a fault7.4.9 Requirements for E/E/ PE systemimplementation7.4.10 Requirements for proven in useelements
Input from "B" in figure A.2
NOTE: For PE safety-related systems,activities for software occur in parallel
(see figure A.3).
To "A" in figure A.2
NO
YES
Does Probability of failure of safety
fonction meets target ?
Critiques :SIL obtenus par des calculs approchés et ne fournissant que des moyennesAssemblage de moyennes (comme des LEGO)SFF : Safe Failure Fraction qui incite à introduire des pannes sûres sans forcement diminuer les pannes dangereuses.
Bordeaux 26/11/2010 6IMdR GTR 22 Recherche Méthodologique
2
T
2
TMDT 2
T
21
T
1E
MTTRMRT2
Tt
D
DD1
D
DUCE
MTTRMRT3
Tt
D
DD1
D
DUGE
MRT2
TMTTRtt112PFD 1
DUDDDGECE2
DUDDDG
SDDDDU
SDDD1
DU
CE
MTTRMRT2
T
't
Utilisation de calculs éprouvés dans la sureté de fonctionnement :
PFD => IndisponibilitéPFH => Intensité inconditionnelle de défaillanceValeurs en fonction du tempsPossibilité de prendre en compte les incertitudes
Bordeaux 26/11/2010 7IMdR GTR 22 Recherche Méthodologique
Différence Calcul Simpliste et Calcul BDD sur un 1oo2
Bordeaux 26/11/2010 8IMdR GTR 22 Recherche Méthodologique
Test 10000 h et Lambda 2.10-5
LEGO
LEGO
PFDAvg Composant : 9.17 10-2 = SIL 1
GRIFGRIF
PFDAvg system : 1.11 10-2 = SIL 1
PFDAvg system : 8.41 10-3 = SIL 2
Différence sur un système plus complexe 1oo2D (Source Thèse Farès Innal)
Bordeaux 26/11/2010 9IMdR GTR 22 Recherche Méthodologique
Lambda 5.10-5
SFF de 60%Beta de 2%Sur 1 an
Route 2H (Markov): 3.19 10-3 = SIL 1Route 1H: 1.5 10-3
TOTAL R&M a décidé de ne plus utiliser les logiciels utilisant les formules de la route 1HCréation d’un module SIL s’appuyant sur GRIF et le moteur BDD ALBIZIA
1KO (DD) 1KO (DU)
μ'DU
2(1-ß)λ DU
4(1- ßD)λDD
λDU
λDU
2 λDD
μDD
4
2KO (DU) 4
5
1
2
3
1KO (DD) 1OK
2
2
1KO (DU) 1OK
2OK
μDD
μDU
μDU
Modélisation de boucle instrumentée de sécuritéSaisie intuitive de l’architecture
Bordeaux 26/11/2010 10IMdR GTR 22 Recherche Méthodologique
Gestion des différents mode de défaillance
Nombreux paramètres pour éviter les approximations
Bordeaux 26/11/2010 11IMdR GTR 22 Recherche Méthodologique
Pannes non détectées Pannes détectés
Pannes dangereuses λdu λdd
Pannes sûres λsu λsd
Lois tests périodiques Lois GLM
Calculs : génération de formules booléennes et traitement avec le moteur BDD Albizia comme le module arbre de défaillance
Bordeaux 26/11/2010 12IMdR GTR 22 Recherche Méthodologique
Calculs exactsCalculs à chaque instantCalculs de moyenneCalculs de temps passé dans les zones
Possibilité d’introduire des décalages entre tests
Bordeaux 26/11/2010 13IMdR GTR 22 Recherche Méthodologique
Prise en compte des contraintes architecturales : le SIL atteint est calculé à partir la PFD/PFH et du SIL maximum atteignable par l’architecturePrise en compte du caractère déterminé des composants (IEC 61508 et/ou 61511), NS/F/S
Bordeaux 26/11/2010 14IMdR GTR 22 Recherche Méthodologique
Composant1 Composant2 Composant3 SIL max atteignableNS - - 0S - - 1F - - 2
NS NS - 1NS S - 2NS F - 3S S - 2S F - 3F F - 3
NS NS NS 2NS NS S 3NS S S 3… … … …
Synthèse
Bordeaux 26/11/2010 15IMdR GTR 22 Recherche Méthodologique
Les dernière moutures de l’IEC 61508 ont permis de rectifier le tir en proposant l’utilisation de méthodes de calculs éprouvées pas les fiabilistes.GRIF module SIL a été conçu pour répondre aux besoins de calculs sur des boucles instrumentées de sécuritéCe module permet à des « non fiabilistes » d’obtenir des valeurs plus juste que la simple application de formules.Démonstration en pratiqueCe module permet d’exporter au format .dag pour traiter des cas plus complexe avec le module Tree (Arbre de défaillance)
Bordeaux 26/11/2010 16IMdR GTR 22 Recherche Méthodologique
Lorsque les systèmes de sécurité deviennent plus complexes, il incombe aux fiabilistes de réaliser un arbre de défaillance et d’en tirer les informations souhaitéesProblèmes :
Disposer d’outil pour faire les calculs de PFD/PFH et calculer les temps passés dans chaque SILComme indiqué dans la norme, il faut prendre en compte les incertitudes des paramètres d’entrée.
Solution améliorer un outils d’arbre de défaillance existant : GRIF module Tree
Bordeaux 26/11/2010 17IMdR GTR 22 Recherche Méthodologique
Bordeaux 26/11/2010 18IMdR GTR 22 Recherche Méthodologique
Outils Outils de saisiede saisie
Arborescence Arborescence pour pour
organiser son organiser son arbrearbre
Courbes Courbes configurablesconfigurables
Tableau de Tableau de paramètres paramètres
pouvant pouvant être être
connectés à connectés à une base de une base de
donnéesdonnées
Nombreuses possibilités de calculs
Bordeaux 26/11/2010 19IMdR GTR 22 Recherche Méthodologique
Récupération des résultats
Bordeaux 26/11/2010 20IMdR GTR 22 Recherche Méthodologique
Affichage des résultatsVisible sur l’arbre directementPrésentation sous forme de courbeDirectement dans les tableaux de données à droite
Bordeaux 26/11/2010 21IMdR GTR 22 Recherche Méthodologique
Calcul des temps passés dans les zones
Bordeaux 26/11/2010 22IMdR GTR 22 Recherche Méthodologique
Lors des calculs, Albizia vérifie dans quelle zone se situe le point pour fournir le temps passé dans chaque SIL. Les zones spécifiés sont reprises pour l’affichage des courbes.
IncertitudesPour chaque paramètre, possibilité d’utiliser une incertitude suivant les lois :• Uniforme• Normale• LogNormale
– Un calcul de Quantiles est effectué et il est possible de choisir le quantile représentant la borne inférieure et supérieure de l’intervalle de confiance
Bordeaux 26/11/2010 23IMdR GTR 22 Recherche Méthodologique
• Incertitudes
Bordeaux 26/11/2010 24IMdR GTR 22 Recherche Méthodologique
• Contraintes architecturales– En plus des PFD/PFH l’IEC 61508/61511 impose une
tolérance à un certain nombre de défaillance matériel pour chaque SIL => Calcul de coupe
• Contraintes architecturales 61511 prenant en compte le type de composant– Pas traité pour l’instant, peut-être faut-il ajouter la
possibilité de faire coupes pondérées.
Bordeaux 26/11/2010 25IMdR GTR 22 Recherche Méthodologique
top related