securite2010
Post on 14-Jul-2015
113 Views
Preview:
TRANSCRIPT
Scurit des machines, procds et infrastructuresDmarche et solutions de mise en uvre
Sommaire04 06 08Les directives europennes et les normes La scurit fonctionnelle Les machines et les normes de scuritExemple dune machine dtalonnage Exemple dune machine - analyse Exemple dune machine - conception Sistema, outil dvaluation du niveau de performance
22
Les procds industriels et les normes de scuritProcds industriels - la directive Seveso Procds industriels - la norme EN 61511 Exemple de rnovation dune unit de production chimique Exemple de rnovation - analyse Exemple de rnovation - conception Exemple de rnovation - synthse et recommandations
36 42
Les infrastructures et les normes de scuritExemple de la centralisation dun rseau dcluses Exemple dun systme de dtection des vents sur un rseau ferr
Les solutions Schneider ElectricFonctions de base dun systme de scurit Architectures machines Architectures procds Architectures infrastructures
52
Les services experts en scurit de Schneider Electric
2
En tant que fournisseur dquipements et partenaire dans le domaine de la scurit, nous souhaitons vous accompagner avec ce guide sur les dernires volutions des directives scurit dans les domaines de la machine, des procds et des infrastructures ainsi que sur les normes qui les mettent en application. Nous avons particulirement veill mettre laccent sur la dmarche et les points essentiels afin de vous sensibiliser au respect dune mthodologie. Nous avons galement illustr lensemble de nos propos par des exemples pour montrer concrtement comment nous pouvons vous assister tout au long de vos projets et vous faire partager notre savoir-faire.
machines
industrie
infrastructures
3
Les directives europennes et les normes
4
Une directive est un acte juridique communautaire tabli par le Conseil de lUnion europenne. Les tats membres doivent transposer la directive dans leur droit national. Les directives sont publies au Journal Ofciel des Communauts Europennes. La surveillance des entreprises est assure par les services dinspection du travail ou de la DREAL. Lorsquune machine ou un procd nest pas conforme aux exigences essentielles de la directive, trois types de sanctions sont susceptibles dtre mises en uvre : - une sanction administrative consistant procder au retrait du produit du march europen, - une sanction judiciaire avec mise hors service de la machine ou du procd non conforme, - des sanctions pnales lencontre du fabricant et de lutilisateur. Les directives sont spciques au secteur dactivit, elles dcoulent des diffrents traits qui ont rig des droits fondamentaux. Le tableau (Fig.1) rsume les directives et les normes applicables aux fonctions de scurit.
Si la conformit dune machine neuve est de la responsabilit du constructeur, la mise en exploitation et les modications sont du ressort des utilisateurs. Ils doivent, chaque fois quune volution est engage, dmontrer que les directives sociales, voire environnementales sont respectes et que le niveau de scurit est conserv. Une norme est une spcication technique approuve par un organisme reconnu. Son application nest pas obligatoire. Une norme harmonise est une norme labore par un organisme europen de normalisation sur la base dun mandat dlivr par la Commission Europenne. Elle est publie au Journal Ofciel de lUnion Europenne et respecte la directive par rapport laquelle elle est rdige. Pour le produit ou le systme qui est construit conformment cette norme, elle lui confre prsomption de conformit aux exigences essentielles de scurit concernes. Parmi les normes cites ci-dessous, seules les EN/ISO 13849 et EN 62061 sont harmonises, les autres normes telles quIEC sont reconnues comme de bonnes pratiques. La norme scurit fonctionnelle EN 61508 est gnrique, elle sert de rfrence aux normes sectorielles qui sont plus faciles apprhender.
Droits fondamentaux de lUnion Europenne
Libre circulation
Protection des travailleurs
Protection de lenvironnement , des personnes et des biens Directives Seveso II 2008/99/CE 96/82/CE
Directives de lUnion Europenne
Directives machines 2006/42/CE
Directives sociales 89/391/CE
Secteur dactivit
Constructeur de machines
Utilisateur intgrateur
Utilisateur intgrateur
Fig.1 Rsum des directives et normes applicables aux fonctions de scurit
Normes fonctions de scurit Norme gnrique EN 61508 Normes harmonises EN/ISO 13849 EN 62061 EN/ISO 13849 EN 62061 EN 61508 EN 61511
5
La scurit fonctionnelleRduire le risque demande la mise en uvre dun ensemble de moyens et de prescriptions qui concourent obtenir un niveau de scurit acceptable. Si les protections passives (murs denceinte, capots de protections...) ne sont pas sufsantes, des systmes automatiss doivent tre ajouts. Ils scurisent laccs et le fonctionnement des machines ou des procds pour que loprateur puisse travailler en scurit.
6
La norme EN 61508 et les systmes de scurit fonctionnelleLes systmes de scurit sont des sous-ensembles qui viendront en parallle des automatismes de contrle/commande. Ils complteront les autres protections pour assurer le niveau de scurit requis. La norme EN 61508 prcise sous le terme de scurit fonctionnelle des rgles pour raliser ces sous-ensembles et les exigences quant leur fonctionnement. Ces sous-ensembles assurent une fonction dnie. Ils sont constitus dune chane complte tels que les capteurs, les circuits lectriques et lectroniques, les interverrouillages et les moteurs (voir Fig.2). Scurit fonctionnelle ensemble des moyens concourant la scurit
Analyse et prescriptions > concept > dnition de lapplication > analyse de danger et de risques > prescriptions globales de scurit
Ralisation > spcication des fonctions de scurit > conception et dveloppement > intgration > procdures dexploitation et de maintenance > validation Mise en service > installation > tests de validation
Exploitation > maintenance > modication et volution > dmantlement Fig.3 Phases du cycle de vie
autres technologies
systme instrument de scurit (SIS)
externes
Fig.2 Illustration de la scurit fonctionnelle
Scurit fonctionnelle instrumente
Le l conducteur de la scurit fonctionnelleLes grandes lignes qui ont conduit llaboration des directives sont : - une approche base sur le risque pour dterminer les exigences dintgrit de la scurit des systmes. - la prise en compte de toutes les phases du cycle de vie du systme. Celles-ci comprennent (Fig.3) : la conception initiale, en passant par lanalyse et lvaluation des risques, le dveloppement des exigences de scurit, la spcication, la conception des systmes, limplmentation, la mise en service, lexploitation et la maintenance, la modication, le dmantlement nal et la mise au rebut. - le concept de scurit fonctionnelle qui prend en compte un ensemble complet assurant une fonction de scurit. Ces fonctions sont composes de sous-ensembles qui sintgrent dans le systme de scurit. - des exigences pour se prmunir des pannes et pour garantir la scurit en prsence de pannes. - la formalisation des processus de dcision touchant la scurit, des mthodes employes et de la mise jour des documents.
verrouillage mcanique
fonctions instrumentes F1 F2 Fn
mur capot
fonction
capteur traitement
actionneur
Mise en uvre de la scurit fonctionnellePour faciliter la comprhension de la dmarche, nous allons prsenter la mise en uvre de la scurit fonctionnelle travers deux exemples : une machine et un procd industriel. Le propos nest pas de dtailler les calculs, mais de prsenter les difcults et les points essentiels qui permettent au lecteur dorienter ses choix darchitecture de systme et ventuellement de solliciter des conseils.
7
Les machines et les normes de scurit
8
Le contexteSelon quil sagit dune machine neuve ou de la modication dune machine existante, les responsabilits sont endosses par des personnes diffrentes.
Construction dune nouvelle machineLapplication des directives machines 2006/42/CE est obligatoire. En se conformant aux normes harmonises de scurit, le constructeur obtient une prsomption de conformit pour sa machine. Il peut donc apposer le marquage e et vendre dans la CEE. Le tableau ci-dessous (Fig.4) prsente deux normes de type B applicables la scurit des machines et de leurs automatismes. Elles sont compltes des normes type C, spciques certaines machines (presses, robots...). La mise en uvre de ces normes est dtaille partir dun exemple concret au chapitre suivant. Si ces normes sont exigeantes, elles offrent une mthode utile pour dvelopper la scurit. En intgrant leurs contraintes en amont de la conception, le constructeur optimisera la part relative la scurit. En effet, une protection mcanique simple, telle quun verrouillage de laccs une partie dangereuse associ des constituants de scurit standards, peut tre facilement mis en uvre sans ncessairement faire appel des systmes dautomatisme complexes.
Modication dune machine existanteCelui qui ralise une modication prend la responsabilit du constructeur (OEM) et doit garantir la conformit du rsultat.
Directive machines europenne 2006/42/CE
Type A normes sur les notions fondamentales EN 14121, EN 12100, EN 1050
Type B normes gnriques sur les machines EN/ISO 13849-1 ou EN 62061
Type C normes spciques
Certication et marquage e selon la directive machines
Fig.4 Normes appliquer pour la conception de la scurit des machines et de leurs automatismes.
9
Les machines et les normes de scurit
exemple
Exemple dune machine dtalonnage de produits lectriquesDescription de lapplicationCette machine spciale dtalonnage de produits lectriques comporte un convoyeur dentre, un poste de rglage, un poste de contrle et un convoyeur de sortie.
Prestation de Schneider ElectricLe constructeur souhaite mettre sa machine en conformit avec la directive machine. La conception est en cours, lexpert scurit de Schneider Electric participe en amont ds lanalyse des risques. Nous allons dcrire la dmarche qui comporte deux phases : > Lanalyse Elle comporte cinq grandes tapes (gure 5) dcrites dans les normes EN 14121 et EN 12100. Litration de ces tapes est ncessaire pour matriser les phnomnes dangereux. > La conception du systme Selon les technologies mises en uvre le concepteur choisira la norme EN/ISO 13849-1 ou EN 62061.
10
EN 14121
Dbut
tape 1
Dtermination des limites de la machine
tape 2
Identication des phnomnes dangereux
Phase danalyse
tape 3
Estimation du risque
tape 4
Evaluation du risque
oui La machine est-elle sre ?
n
nontape 5
EN 12100 Rduction des risques > mesures de conception > fonctions complmentaires > information du personnel
Phase de conception
EN/ISO 13849-1 ou EN 62061 Conception du systme de contrle/commande relatif la scurit
Fig.5 Les tapes dapprciation du risque
11
Les machines et les normes de scuritexemple
tape 1
Dtermination des limites de la machineLes limites de la machine ont t identies en prenant en compte sur lensemble du cycle de vie : - lusage normal (substances utilises, cadences... ), - le mauvais usage possible (utilisation hors spcication... ), - les limites despace (environnement, accs... ), - les limites de temps (dure de vie, priodes dentretien... ).
tape 2
Identication des phnomnes dangereuxCette phase commence par lanalyse des zones de travail et des tches ralises par loprateur de production, le rgleur et les personnes de maintenance : - chargement/dchargement des produits (dmarrage, arrt, arrt durgence, redmarrage), - changement de srie (modication des paramtres de tests), - nettoyage, maintenance prventive, - maintenance corrective, rglage. > identication des oprations dangereuses Elle est ralise ensuite partir dune check-list de phnomnes dangereux fournie par les normes EN 12100 et EN 14121. La gure 6 en illustre quelques-uns. Dans notre cas elles seront essentiellement dordre mcanique et lectrique avec une attention particulire pour un laser de marquage. > Les scnarios daccidents Lors de lanalyse, nous avons identi 22 scnarios daccidents. Nous allons dcrire seulement ceux qui concernent le poste de transfert. Il est plus parlant de prsenter un scnario extrait de cette analyse qui conduit estimer les risques (voir Fig.7).
Fig.6 Les principaux phnomnes dangereux et leurs risques
12
tape 3
Estimation du risqueLa norme EN 14121-1 dnit le risque comme tant le produit de la gravit du dommage possible par la probabilit doccurrence. Celle-ci tant la combinaison de trois critres : - exposition de la ou des personnes au phnomne dangereux, - risque dapparition dun phnomne dangereux, - possibilit dviter ou de limiter le dommage. Risque Gravit du dommage possible Probabilit doccurrence
Les risques correspondant chaque phnomne dangereux doivent tre estims pour chaque tche de la phase de vie. Lors de cette analyse, nous avons identi 22 risques, par simplication nous allons en dcrire un seul. Fig.7 Identification des risques sur le poste de transfert.(1)
Ces numros correspondent aux tapes mentionnes dans la figure 5.
Etape 2 : Zone dangereuse identication Tche/opration des phnomnes Phnomne dangereux dangereux(1) Situation dangereuse vnement dangereux
Transfert Opration/cycle normal Ecrasement Accs dune personne dans la zone de transfert, proximit des actionneurs aliments Accs ou contact avec des pices en mouvement en raison de labsence de protecteur Srieux Probable
Etape 3(1)
Dommages malgr la prsence de protections Probabilit doccurrence du dommage
tape 4
Evaluation du risqueMalgr la prsence de protections mcaniques, un risque rsiduel lev persiste. Il se dduit des deux lignes du tableau 7 en utilisant la matrice de risque propose par la norme EN 14121-2. Fig.8 Matrice de risque utilise dans le projet Probabilit doccurrence du dommage trs probable probable improbable rare Gravit du dommage catastrophique leve leve moyenne faible srieuse leve leve moyenne faible modre leve moyenne faible ngligeable mineure moyenne faible ngligeable ngligeable
Une phase prliminaire ayant x le niveau de risque tolrable, cette analyse dmontre la ncessit dutiliser des moyens supplmentaires pour rduire le risque. Il est dcid dajouter une fonction de scurit.
13
Les machines et les normes de scuritexemple
tape 5
Rduction des risquesLa norme EN 12100 mentionne la notion de risque tolrable comme tant la valeur accepte par lensemble des parties prenantes (Fig.9). Les moyens mettre en uvre pour rduire les risques sont de trois ordres : - les mesures prises lors de la conception de la machine pour supprimer les risques tels que les protections par carters, - des fonctions de scurit complmentaires au cas o les autres mesures ne seraient pas sufsantes, - les informations de scurit aux utilisateurs (afchage de consignes et formation des oprateurs). Dans notre cas le risque rsiduel est trop lev. Il est dcid de mettre en uvre une fonction de scurit complmentaire.systme sans rduction de risque
svrit
risque initial inhrent lactivit
risque rsiduel
nive
au d e risqu e tolrable
obtenu par des mesures de rduction des risques frquence
Fig.9 Rduire le risque un niveau tolrable
EN/ISO 13849-1
A ce stade, il faut slectionner une mthode provenant de lune des deux normes applicables aux machines (EN/ISO 13849-1 / EN 62061). Comme ces deux normes se chevauchent, le choix est assez exible et dpendra souvent du contexte dutilisation. Elles ont cependant un positionnement diffrent selon les technologies dautomatisme de scurit utilises : > Technologie pneumatique, hydraulique, lectrique La norme EN/ISO 13849-1 sapplique, elle remplace la EN 954-1 en lui apportant plusieurs amliorations et surtout une cohrence avec lensemble des normes de scurit (Fig.10) : - elle classie les niveaux de risque en PL (Performance Level ou niveau de performance), - elle couvre les automatismes relais, les automates et contrleurs de scurit, les logiques pneumatiques, - elle sapplique gnralement aux machines autonomes et aux machines intgres aux procds manufacturiers.
Identier les fonctions de scurit
B C D E
Spcier les caractristiques
Dterminer le niveau de performance requis (PLr)
Concevoir la fonction de scurit
Dterminer le PL de la fonction
vrication PL u PLrnon
oui
n
Fig.10 Phases de la norme EN/ISO 13849-1
14
> Technologie lectrique, lectronique et lectronique programmable (E/E/EP) Dans ce cas la norme EN 62061 sapplique. Elle intgre entre autres la notion de scurit fonctionnelle. Elle dnit des SIL : Safety Integrity Level (Niveau dIntgrit de Scurit). Elle couvre les automatismes relais, les automates et contrleurs de scurit. > Choix de la norme appliquer pour notre tude Les fonctions tant peu complexes, le choix sest port sur la EN/ISO 13849-1. Cette norme prescrit un processus bas sur le mme concept que la norme EN 14121. Il est schmatis ci-contre (Fig.11). Les travaux danalyse raliss aux tapes 1 4 nous permettent de passer directement la phase C de lEN/ISO 13849-1 qui donne les rgles de calcul du PL requis. > Dtermination du niveau PL requis La norme sappuie sur le graphique de risque pour obtenir le niveau de performance PL (Performance Level) requis. Les paramtres prendre en compte sont : S gravit de la blessure - S1 blessure lgre (normalement rversible) - S2 blessure grave (normalement irrversible, y compris le dcs) F frquence et/ou dure dexposition au phnomne dangereux - F1 rare assez frquente et/ou courte dure dexposition - F2 frquente continue et/ou longue dure dexposition P possibilit dviter le phnomne dangereux ou de limiter le dommage - P1 possible sous certaines conditions - P2 rarement possiblelev
PLr
F1 S1 F2
P1 P2
a b
faible
P1 P2
1 P1 P2
cS2 F1 F2
d e
P1 P2
Le tableau ci-dessous (Fig.12) rsume lvaluation de notre fonction. Poste de transfert : risque mcanique, contact avec un actionneur en mouvement Paramtre retenu Gravit de la blessure Frquence S2 F1 Justication Sectionnement du doigt Intervention machine ponctuelle (machine automatique) environ 1/jour Mouvement vitesse rapide
Fig.11 Dtermination du PL requis. Le chemin en rouge reprsente les paramtres retenus dans le cas du poste de transfert
Possibilit dvitement Niveau de performance requis
P2 PLd
Fig.12 Evaluation de la fonction de scurit
15
Les machines et les normes de scurit
exemple
Exemple dune machine > conceptioncanal 1 S1 Fin de course porte 1 S3 Fin de course porte 2 Traitement contrleur de scurit K1 Contacteur KM1 Coupure air mise lchappement
S2 Fin de course porte 1
S4 Fin de course porte 2 canal 2
K2 Contacteur KM1
Coupure air mise lchappement
Fig.13 Reprsentation par blocs
ouvertS1
porte 1S2
K1
ferm
ouvertS3
K2A1
porte 2S4
Air MA1 A2
EV1 EV2
ferm
Fig.14 Composants de la fonction de scurit
Conception dune fonction de scuritLe niveau PLd de notre fonction est maintenant dtermin, nous allons la dcrire. Elle doit assurer lors dune ouverture de porte : - la coupure de lalimentation des pices nues sous tension, - la mise hors nergie des lments mobiles (coupure alimentation et mise lchappement air). Larchitecture est dabord reprsente sous forme de blocs diagramme de abilit (Fig.13). partir de cette reprsentation conceptuelle, le choix des composants est effectu et le schma est ralis (Fig.14) : - deux ns de course de scurit XC (S1 et S2), - un contrleur de scurit XPS-MP, - deux contacteurs standards LC1K dont le circuit de contrle est aliment en 24V (K1 et K2), - des lectrovannes (EV1 et EV2), commandes par les contacts auxiliaires des deux contacteurs en srie.
16
A2
Dterminer le PL de la fonction ce point il est ncessaire de prsenter la mthode de calcul du PL. Le PL se dnit en terme darchitecture et de probabilit de dfaillance dangereuse par heure. Il est bas sur les paramtres suivants : - la catgorie de larchitecture, - la abilit des composants (MTTFd : temps moyen avant dfaillance dangereuse), - la couverture de diagnostic DC, - lestimation des dfaillances de cause commune (CCF). Le PL comporte 5 niveaux, pour notre exemple le niveau PLd est requis (Fig.15).
PL a b c d e
Probabilit de dfaillance dangereuse par heureu 10-5 < 10-4 u 3 x10-6 < 10-5 u 10-6 < 3 x 10-6 u 10-7 < 10-6 u10-8 < 10-7
Fig.15 Niveaux de performances PL (extrait de la norme EN 13949-1)
> La catgorie de larchitecture utilise Cinq catgories dnissent le comportement en cas de dfaillance, cest ce niveau que la redondance des composants est prise en compte (Fig.16). De par le choix de larchitecture (Fig.14) qui comporte des composants redondants, la catgorie 3 sapplique.
cat. B 1 2 3 4
Comportement du systmeUne faute peut conduire une perte de la fonction de scurit Idem B, mais exigence dune meilleure abilit de la fonction scurit. Une faute peut conduire une perte de la fonction de scurit et la perte de la fonction de scurit est dtecte par le contrle. Si la faute est unique, la fonction de scurit est toujours assure. Laccumulation de dfauts non dtects peut conduire la perte de la fonction scurit. Quand des fautes surviennent, la fonction de scurit est toujours assure. Les fautes seront dtectes temps an de ne pas perdre la fonction de scurit.
Principe pour obtenir la scuritChoix du composant appropri Choix du composant appropri Auto contrle
Redondance
Redondance + auto contrle
Fig.16 Les catgories darchitectures utilises
17
Les machines et les normes de scuritexemple
> La abilit des composants MTTFd La abilit se mesure par le temps moyen avant dfaillance dangereuse du composant (Mean Time To dangerous Failure). Les composants sont combins en canaux, la norme EN/ISO 13849-1 propose une mthode de calcul du MTTFd dun canal partir du MTTFd de chacun de ses composants. Le MTTFd est compris entre 3 et 100 ans (Fig.17). Dans notre cas le calcul donne une valeur de 87 ans correspondant un indice lev. Les fabricants de composants doivent fournir ces donnes pour chacun de leurs produits. Indice Faible Moyen lev
Gamme3 ans y MTTFd < 10 ans 10 ans y MTTFd < 30 ans 30 ans y MTTFd < 100 ans
Fig.17 Indice de fiabilit dun canal > La couverture de diagnostic DC Ce terme sexprime en pourcentage et dnit la capacit de diagnostiquer une dfaillance dangereuse. Par exemple, lors dun ventuel collage de contact NC dun relais, ltat du contact NO donnera une information errone louverture du circuit. Si le produit a des contacts NO et NC lis, le dfaut sera dtect. Lestimation se fait par analyse des modes de dfaillances et leurs effets. La norme reconnat quatre niveaux. Malgrs lutilisation dun contrleur de scurit disposant dune trs bonne couverture de diagnostic, la couverture de diagnostic de lensemble de la fonction de scurit est limite un niveau moyen par la mise en cascade des capteurs et la surveillance de la coupure dair (Fig.18). Couverture de diagnostic Nul Faible Moyen lev
GammeDC < 60 % 60 % y DC < 90 % 90 % y DC < 99 % 99 % y DC
Fig.18 Gamme de couverture de diagnostic
18
> Les dfaillances de cause commune CCF Il sagit ici des dfaillances pouvant impacter lensemble des fonctions comme une coupure de tension. Il faudra mettre en uvre des mesures pour maintenir le niveau de scurit lorsquelles se produiront. Le tableau ci-dessous numre les mesures et contient des valeurs associes, fondes sur une valuation dexpert. Pour chaque mesure liste, seuls les rsultats tout ou rien peuvent tre dclars. Si une disposition est partiellement ralise, le score rsultant est nul. La norme EN/ISO 13849 donne une mthode de notation dtaille dont nous donnons un extrait ci-dessous (Fig.19). Elle impose un score total qui doit tre au minimum de 65. Dans lexemple trait le score atteint 70.
Mesure contre les CCFSparation/Isolement Sparation physique entre les voies de signaux Diversit diffrents principes de conception/technologies ou principes physiques sont utiliss (ex : composants de diverses technologies, premier canal lectronique programmable et second canal cbl) Conception/application/exprience (protection surtensions, courant, etc., composants prouvs) Apprciation/analyse (ex. : analyse des modes de dfaillance) Comptence/formation Environnement : CEM, ltration des uides Environnement : tempratures, chocs, vibrations, humidit
Score maxi15
Score ralis15
20
0
20 5 5 25 10
20 5 5 25 0
TotalFig.19 Groupes de mesures contre les CCF
100
70
Schneider Electric propose une large gamme de composants de scurit et de composants standards en capteurs, contrleurs et actionneurs. Un panorama de loffre de scurit est propos la n de ce document. Lensemble de loffre est prsent sur le site de lentreprise : www.schneider-electric.fr
19
Les machines et les normes de scuritexemple
> Vrication du PL de la fonction Larchitecture de la fonction et les composants tant choisis, il reste maintenant dterminer le PL. La gure 20 rsume les diffrents lments du PL prsents dans les paragraphes prcdents.
Paramtre Catgorie darchitecture DC MTTFd CCF
Rsultat pour la fonction3 96 % - lev (suprieur moyen pour Fig.21) 87 ans - lev 70
Fig.20 Composants du PL
Pour aider le concepteur orienter sa dcision, la norme propose un graphe de choix (Fig.21). Nous y avons entour les donnes de notre fonction, ce qui conduit un niveau suprieur ou gal PLd. Cette valeur correspond bien au niveau requis.
Niveau de performance PL
Depuis quelques annes, des bases de donnes communes se sont standardises. Elles intgrent les rgles prsentes au paragraphe prcdent et il devient plus simple de dterminer le PL dune fonction.
a bcatgorie
Fig.21 Graphe de choix du PL
c d eMTTFd faible moyen lev
Catgorie darchitecture Couverture DC
Bnulle
1nulle
2faible
2moyenne
3faible
3moyenne
4leve
20
Sistema, outil dvaluation du niveau de performance
Fig.22 Capture dcran du logiciel Sistema
Les logiciels spcialiss de dtermination du PLPlusieurs solutions logicielles sont apparues sur le march : - les solutions propritaires sous forme de feuilles de calcul ou de logiciels, - les solutions ouvertes telles que Sistema du BGIA. Sistema est un logiciel gratuit qui permet dvaluer le niveau de performance PL partir dune architecture dtermine par lutilisateur. Ce logiciel prend en charge des bases de donnes standardises fournies par diffrents fabricants. Schneider Electric met disposition une base de donnes pour ses produits de scurit directement exploitable dans Sistema. Lutilisation de Sistema dans notre exemple conrme le PL que nous avions calcul. Ce logiciel est disponible sur le site de Schneider Electric ladresse : http://xsl.schneider-electric.commenus > utilitaires > bibliothques > bibliothques SISTEMA
Si le logiciel est dune aide importante, il reste essentiel de conduire en amont du projet lanalyse du risque. Cest une tape cl pour obtenir une machine sre et optimiser les fonctions de scurit ncessaires.
21
Les procds industriels et les normes de scurit
22
La directive 96/82/CE, appele aussi directive Seveso II, concerne la matrise des accidents majeurs pouvant survenir dans les procds potentiellement dangereux. Elle xe comme priorit la prvention et la rduction des risques la source.
Les accidents majeursUn accident majeur est un vnement tel que : - une mission de polluant, - un incendie, - une explosion, rsultant dune anomalie survenue au cours de lexploitation, entranant un danger grave, immdiat ou diffr pour : - la sant humaine, - lenvironnement, - lintrieur ou lextrieur de ltablissement.
La norme de scurit fonctionnelle EN 61511Cette norme, applicable aux procds industriels, concerne les Systmes Instruments de Scurit (SIS) construits partir de technologies lectriques, lectroniques et lectroniques programmables. Elle est base sur deux concepts fondamentaux : - le cycle de vie complet du procd, - le niveau dintgrit de scurit (SIL : Safety Integrity Level) qui sera prsent dans lexemple sur la rnovation dune unit de production chimique (voir page 28).
Limportance de lorganisation comme cause daccidentsSur la priode 1992-2006, les dfaillances dordre humain ou organisationnel sont lorigine de prs de la moiti des accidents [...]. (Fig.23) Source : bureau du ministre charg de lEnvironnement (Bureau dAnalyse des Risques et Pollutions Industrielles). Il est noter que les dfaillances proviennent en majorit de mauvaises spcications et des modications aprs mises en service. Il en dcoule la ncessit de travailler la scurit le plus en amont possible et de traiter non seulement lensemble du cycle de vie du procd, mais aussi lorganisation (processus de dcision, mthodes, gestion des documents) et les comptences du personnel.
20,6 %
44 % 14,7 %
5,9 % 14,7 %
44 % 14,7 % 5,9 % 14,7 % 20,6 %
Spcification Conception & implmentation Installation & mise en service Exploitation & maintenance Modifications aprs mise en service
Fig.23 Rpartition des causes de dfaillances. (Source ministre de lEnvironnement)
23
Les procds industriels et les normes de scurit
Procds industriels > la norme EN 61511
Le cycle de vie En reprenant les concepts de cycle de vie de la norme EN 61508, lEN 61511 prcise une mthodologie comportant 8 phases.phase 1 phase 6
Analyse des dangers et des risques- identier les risques associs aux vnements dangereux - dnir le niveau de risque acceptable et la rduction de risque ncessaire phase 2
Exploitation et maintenance- sassurer que le niveau de scurit du SIS est conserv pendant lexploitation et la maintenance phase 7
Modications- faire des corrections, des amliorations ou des adaptations au SIS - sassurer que le niveau de scurit nest pas dgrad et quil ny a pas de nouveau risque gnr phase 8
Allocation des fonctions de scurit aux couches de protection- identier les couches de protection et leurs fonctions - allouer le niveau de scurit associ phase 3
Dclassement- lors du dmantlement sassurer que le SIS reste appropri
Prescription de scurit, spcication du Systme Instrument de Scurit (SIS)- spcier les exigences pour chaque SIS - allouer le niveau de scurit associ phase 4
La gestion de la scurit fonctionnellePour garantir la qualit du travail de lensemble de ces phases il est ncessaire de mettre en uvre un management qui consiste : - tablir un planning global - dnir des tapes de vrication entre chaque phase - planier des audits
Conception et ingnierie du SIS- concevoir les SIS - planication des essais phase 5
Installation, mise en service et validation- intgrer et essayer les SIS - valider que les SIS satisfassent aux exigences de scurit
Les phases 1 et 2 sont dtailles page 26. Les phases 3 et 4 sont illustres par un exemple concret de ralisation dune fonction instrumente de scurit (FIS) page 28.
24
phase 1
Analyse des dangers et des risques
Allocation des fonctions de scurit aux couches de protection
Gestion de la scurit fonctionnelle Planication Vrication
phase 3
Prescription de scurit spcication du SIS
phase 2
phase 4
Conception et ingnierie du SIS
Conception et dveloppement des autres moyens de rduction de risque
phase 5 phase 6 phase 7 phase 8
Installation, mise en service et validation
Exploitation et maintenance
Modications
Dclassement
Fig.24 Le cycle de vie selon lEN 61511
25
Les procds industriels et les normes de scurit
phase 1
Analyse des dangers et des risquesDnition du risque Le risque se dnit comme le produit de la frquence dapparition du phnomne dangereux par la svrit des dommages occasionns aux personnes et lenvironnement.Risque Svrit des dommages Frquence dapparition
Lanalyse du risque comporte deux dimensions : - la probabilit doccurrence et les consquences du phnomne dangereux, - le comportement des personnes face au risque, leur comptence et leur capacit anticiper ou ragir en cas daccident. Des arrts nationaux, bass sur les directives europennes, dnissent des exigences pour les installations classes risque. Comme le risque zro nexiste pas, un niveau de risque acceptable doit tre dni. Le travail danalyse et dvaluation est gnralement ralis par une quipe multidisciplinaire sous lautorit de lingnieur responsable de la scurit de lentreprise.
Le risque tant valu, il convient ensuite didentier les moyens qui participent sa rduction. Ils sont aussi bien dordre organisationnel que matriel. En voici quelques exemples : - description du processus - plan de formation du personnel - plan dvacuation - enceinte de protection - systmes instruments de scurit (SIS) Ces moyens organiss en couches complmentaires contribuent obtenir le niveau de scurit requis (Fig.25).
Lexpertise de Schneider Electric intervient ds lanalyse de risque pour contribuer dnir les fonctions instrumentes de scurit (SIS).
Systme de contrle/commande SIS Plan dvacuation Enceintes de protection Plan de formation Description du processus
Niveau de scurit requis
Phnomne dangereux
Fig.25 Les moyens organiss en couches complmentaires
26
phase 2
Allocation des fonctions de scurit aux couches de protectionChaque couche participe la prvention du risque (ex. abilit du systme, formation du personnel) ou la rduction de ses consquences (ex. enceinte de connement, soupape de scurit, plan dvacuation). Les SIS participent lune ou lautre. De la qualit du travail ralis dans cette phase dpendra la qualit du systme de scurit. Cette phase est de la responsabilit du client et fait appel de nombreuses comptences complmentaires capables dapporter leur expertise sur chacune des couches qui contribuent la scurit. Sparation des couches Pour prvenir les dfaillances de cause commune (surtensions, CEM, perte dnergie...), la conception doit assurer que lindpendance entre les couches de protection et le systme de contrle/commande est sufsante. Lvaluation peut tre qualitative ou quantitative et doit prendre en compte : - lindpendance entre les couches de protection, - la diversit entre les couches de protection, - la sparation physique entre les diffrentes couches de protection, - les dfaillances de cause commune entre les couches de protection.Risque rsiduel Risque tolrable Risque initial
Les systmes de scurit (SIS) Ils sont dnis aprs la mise en uvre des autres couches devant assurer la rduction du risque et contribuent atteindre les objectifs de scurit de lensemble (Fig.26). - Le niveau de scurit des SIS permet de donner une rponse adapte au niveau de SIL recherch. - Les SIS sont indpendants du systme de gestion du procd. Lexemple ci-dessous (Fig.27) montre la complmentarit dun SIS mettant le systme en scurit lors dune dfaillance du contrle/ commande.Systme Instrument de Scurit (SIS) Action du SIS Seuil de scurit Seuil dalarme Systme de contrle/commande
Action du contrle/commande
Dans un automatisme, la partie spcique lie la scurit peut reprsenter 20 % du cot total, le reste tant assur par des produits standards. En prenant ces contraintes en amont ds la conception, il sera possible de rduire les cots lis la scurit, et de limiter ceux engendrs par la remise en conformit dune installation.
Fig.27 Exemple dintervention du SIS lors de la dfaillance du contrle/commande
niveau de risqueRduction minimum requise Rduction effective du risque
Stratgie pour atteindre le niveau dintgrit requis (SIL) Un systme est confront deux principaux types de dfaillance : - les dfaillances matrielles alatoires. Malgr leur qualit les composants ne sont pas parfaits. Ils se caractrisent par leur taux de dfaillance ; - les dfaillances systmatiques. Elles sont plus difciles mesurer. Un dfaut logiciel par exemple se reproduira toujours dans les mmes conditions. La norme dnit des exigences pour tout le cycle de vie de la fonction de scurit. Les contraintes darchitecture et le calcul de la probabilit de dfaillance dangereuse sont deux exigences parmi dautres qui sont dveloppes dans les phases 3 et 4.
rduction et prvention des risques par lensemble des couches rduction Soupape de scurit prvention Systme Instrument de Scurit (SIS) prvention Systme de contrle commande
Scurit fonctionnelle
Fig.26 Exemple de participation des SIS la rduction du risque.
27
Les procds industriels et les normes de scurit
exemple
Exemple de rnovation dune unit de production chimique
ContexteIl sagit, pour cette unit, de rnover lensemble des systmes de contrle/commande et de scurit et de se mettre en conformit avec les directives europennes sachant que ltablissement est class Seveso. Lexploitant souhaite proter de sa mise en conformit pour rengocier son contrat dassurance. Le procd tant existant, il est essentiel de minimiser limpact sur lensemble, la mise en conformit devant tre assure par la seule refonte du SIS. Ltude de danger est faite et le niveau de risque acceptable identi (phase 1 du cycle de vie). Lallocation des fonctions de scurit aux couches de protection est ralise (phase 2). Le client souhaite conserver intacte la partie procd et les scurits existantes telles que les vannes et autres protections (phase 2). Le niveau de scurit sera atteint laide du nouveau systme instrument de scurit (SIS) (phase 2). Sous lautorit du responsable HSE (hygine, scurit et environnement) Schneider Electric a t sollicit pour dnir et raliser un SIS et en particulier : - laider spcier les fonctions de scurit (phase 3 du cycle de vie) - les concevoir (phase 4) et dmontrer latteinte du niveau dintgrit requis.
Prestation de Schneider ElectricSchneider Electric a propos une prestation sur les phases 2 4. La mthode sappuie sur la norme EN 61511, bien adapte ce type dindustrie. partir dune des fonctions de scurit choisie comme exemple concret, nous allons dcrire la dmarche qui a conduit spcier (phase 3) puis concevoir son architecture et choisir ses composants (phase 4).
28
phase 3
Spcication du SIS Dnition de la fonction de scuritLa fonction analyse surveille la temprature dun racteur chimique. Elle a pour but danticiper le risque demballement de la raction qui entranerait le dconnement de gaz, dangereux pour les personnes. La fonction doit en cas de dpassement du seuil dangereux assurer les oprations suivantes : - couper llectrovanne de distribution dair, - arrter les pompes dalimentation des produits primaires, - ouvrir le refroidissement. Cette opration permet de redmarrer plus rapidement. Ltude amont (phase 1) ralise par le client a abouti - pour cette fonction de scurit une exigence dintgrit de scurit SIL2. Fig.28 Extrait des exigences pour la fonction de scurit surveillant la temprature du racteur
Prcision sur les exigences de scurit de la fonctionLa norme EN 61511 requiert entre autres les points suivants : - la description de toutes les fonctions instrumentes, - lidentication et prise en compte des dfaillances de cause commune, - la dnition de tous les tats du procd, - les sources et le taux de sollicitation de la fonction, - les exigences pour les intervalles de tests priodiques, - les exigences de temps de rponse. Un extrait des exigences pour notre fonction est donn dans la gure 28.
Paramtre de la fonctionDescription de la fonction de scurit
CaractristiquesSurveillance de la temprature dune raction chimique pour prvenir un emballement de la raction pouvant conduire des dommages. Si la T > 120 C dans le racteur il faut fermer les vannes et arrter les pompes dintroduction. Rare Contrle annuel, sauf pour les vannes qui peuvent tre testes mensuellement. De lordre de plusieurs secondes SIL2 mode faible sollicitation Mesures temprature par sonde de temprature PT100 + interface 4-20 mA Fermeture des vannes par coupure de llectrovanne de distribution air Coupure des pompes dintroduction par un contacteur Autorisation de marche si T < 120 C dans le racteur Acquittement manuel sur la scurit (tat sr) si T+ hystrsis < 120 C Arrt du procd, pas de nouveau risque gnr. Interface avec automate du contrle/commande et de la supervision.
Frquence de sollicitation de la fonction de scurit Intervalle de test priodique Temps de rponse du systme de scurit Niveau dintgrit de scurit souhait Acquisition des mesures Action des sorties Relation fonctionnelle entre les entres et les sorties de la fonction Retour en mode normal Consquences dune activation intempestive de la fonction de scurit Interface avec les autres systmes
Reprsentation structurelle de la fonction ce stade la structure de la fonction est dnie et reprsente gure 29. Bien que louverture du refroidissement soit commande par lautomate de scurit, elle nentre pas dans la chane de scurit.
Capteur Automate Programmable de Scurit (APS)
Coupure arrive dair Coupure pompes Ouverture refroidissement
Fig.29 Fonction de surveillance de temprature du racteur chimique
29
Les procds industriels et les normes de scuritexemple phase 4
Conception et ingnierie du SIS Dtermination du niveau SIL de la fonction de scuritLa structure de notre fonction de scurit tant dnie (Fig.29), nous allons passer en revue les paramtres ncessaires au calcul du niveau dintgrit SIL. Nous donnerons en n de chapitre le rsultat de ces calculs sans en prsenter les dtails, leur dveloppement sortirait du cadre de cet ouvrage. La mthode sappuie sur deux notions : La tolrance aux anomalies du matriel (HFT) Elle concerne larchitecture. Par exemple, deux capteurs monts en srie auront une meilleure tolrance aux pannes quavec un seul. Si un contact reste coll, le deuxime assurera louverture. (Fig.30) capteur 1 Fig.30 Exemple de tolrance aux pannes de deux contacts en srie
Tolrance aux anomalies du matriel (HFT)Les dfaillances se rpartissent en deux catgories : - les dfaillances systmatiques Comme nous lavons vu en phase 1, elles proviennent derreur de conception ou dexploitation. Leur rduction passe par la rigueur des mthodes employes et la formation du personnel, - les dfaillances alatoires de la fonction Leur prise en compte dbouchera sur le choix darchitecture. Le calcul se base sur les quatre lments suivants :> La proportion de dfaillance en scurit SFF
capteur 2
La premire tape consiste valuer les consquences dune dfaillance (Fig.31). - la dfaillance est sre si elle ne met pas le systme dans un tat dangereux lors dun dfaut, - la dfaillance est dangereuse si elle conduit le systme est dans un tat potentiellement dangereux ou si elle rend la fonction de scurit inoprante.
La probabilit de dfaillance des fonctions aux sollicitations (PFH ou PFD). Cette exigence quantitative est base sur des calculs probabilistes retant le comportement du SIS en cas de dfaillance de ses composants.
D= DD+ DU
DD
DU
Fig.31 Proportion de dfaillance en scurit SFF
SD Taux de dfaillances dangereuses par heure S Taux de dfaillances sres par heure DD Taux de dfaillances dangereuses dtectes DU Taux de dfaillances dangereuses non dtectes
30
Ensuite, il faudra vrier si les dfaillances peuvent tre dtectes ou non. Nous arrivons ainsi au calcul du SFF (Safe Failure Fraction) qui se dnit comme le rapport du taux de dfaillances sres ou dtectes sur le taux global. SFF = (s + DD) / (s + D) Ce taux sexprime en % et traduit la capacit du systme passer en position sre en cas de dfaut, soit intrinsquement, soit par action spcique sur dtection de defaillance.> La couverture du diagnostic (DC)
les sous-systmes de type B (Fig.33). Ces quipements plus complexes (ex : lectronique fortement intgre, lectronique programme) ne bncient pas dun retour dexprience permettant de matriser tous leurs modes de dfaillance.
Proportion de dfaillances en scurit (SFF)< 60 % 60 % - 90 % 90 % - 99 % > 99 %
Tolrance aux anomalies matrielles (HFT) 0non autoris SIL 1 SIL 2 SIL 3
1SIL 1 SIL 2 SIL 3 SIL 4
2SIL 2 SIL 3 SIL 4 SIL 4
Cest le taux des dfaillances dtectes divis par le taux total de dfaillance de la fonction, il sexprime en %. DC=dd / d Par exemple, la surveillance dun contact auxiliaire plac sur une vanne permet de contrler ltat de la vanne, et de dtecter son coincement.> La redondance
Fig.33 Sous-systme type B. Pour atteindre le niveau SIL2 avec un SFF < 90 %, il faut un systme redondant. Dans notre exemple o la valeur SIL2 est requise il sera possible de latteindre avec des produits lectromcaniques. Il est noter que les fonctions lectroniques redondantes intgrent souvent des logiques de dtection qui amliorent le SFF.
La norme classie la tolrance aux anomalies matrielles HFT en trois niveaux : 0-une seule dfaillance conduit la perte de la fonction de scurit. 1-le systme tolre 1 dfaillance sans perdre la fonction de scurit. 2-le systme tolre deux dfaillances sans perdre la fonction de scurit.> Le type dquipement ou sous-systme
Nous utiliserons ici les critres de la EN 61508 qui reconnat deux types dquipements : les sous-systmes de type A (Fig.32). Ce sont des quipements simples dont le comportement et les modes de dfaillance sont connus, et sur lesquels il y a un retour dexprience. Un contacteur, un bouton poussoir entrent dans cette catgorie.
Proportion de dfaillances en scurit (SFF)< 60 % 60 % - 90 % 90 % - 99 % > 99 %
Tolrance aux anomalies matrielles (HFT) 0SIL 1 SIL 2 SIL 3 SIL 3
1SIL 2 SIL 3 SIL 4 SIL 4
2SIL 3 SIL 4 SIL 4 SIL 4
Fig.32 Sous-systme type A (selon EN 61508). Le niveau SIL2 avec un SFF > 60 % est atteint sans redondance. noter que pour les procds la valeur se limite SIL3.
31
Les procds industriels et les normes de scuritexemple phase 4
Conception et ingnierie du SIS (suite)
La probabilit de dfaillance de la fonction en cas de sollicitation (PFH, PFD)En cas de dtection dun dfaut le systme ragira-t-il ? Pour rpondre cette question, la norme reconnat deux situations : - le systme est rarement sollicit, la probabilit se mesurera par sollicitation (PFD). Cest le cas de notre exemple ou une mesure de temprature anormale sera rare. La norme EN 61511 considre ce mode comme une sollicitation qui intervient moins dune fois par an, ce qui est bien le cas de la fonction que nous tudions. - le systme est sollicit en continu, la probabilit se mesurera par heure (PFH). Cest le cas dune ouverture de grille de scurit sur une machine. Le tableau (Fig.35) donne la valeur du PFD en fonction de lexigence SIL. Par exemple, il est accept dans le cas de SIL1, que le systme ne fonctionne pas une fois sur 10 et SIL 3 1 fois sur 1000.
SIL Facteur de rduction du risque4 3 2 1 100 000 10 000 10 000 1 000 1 000 100 100 10
Probabilit de dfaillance la sollicitation PFD10-5 y PFD < 10-4 10 y PFD < 10-4 -3
Probabilit de dfaillance dangereuse par heure PFH10-9 y PFH < 10-8 10-8 y PFH < 10-7 10-7 y PFH < 10-6 10-6 y PFH < 10-5
10-3 y PFD < 10-2 10-2 y PFD < 10-1
Fig.35 Slection du PFD pour un niveau SIL2
Analyse fonctionnelle partir de la spcication de la fonction (voir phase 3), le systme est dcompos en sous-systmes selon la gure 36 : - le sous-systme capteur assure la fonction mesure, - le sous-systme logique assure la fonction traitement, > - le sous-systme lment nal assure la fonction mise en scurit. Dtection Traitement logique Actionneurs
Capteur Automate Programmable de Scurit (APS)
Coupure arrive dair Coupure pompes Ouverture refroidissement
Fig.36 Dcomposition de la fonction en sous-systmes
32
La description dtaille de ces sous-systmes aboutit au choix des composants illustrs par la gure 37, dont les produits Schneider Electric suivants : - un automate de scurit Quantum Safety niveau SIL3, pour la gestion de lensemble des fonctions de scurit, - des contacteurs Tesys D. La partie logicielle de lautomate est galement aborde dans cette tape (spcication logicielle et analyse organique). Automate (APS) Coupure arrive dair Fig.37 Ralisation de la fonction de scurit Capteur Coupure pompes
Ouverture refroidissement
> Diagrammes de abilit
Cest un diagramme logique qui permet de dterminer le dysfonctionnement du systme partir des dysfonctionnements possibles des composants. Pour notre exemple, le bloc-diagramme de abilit est reprsent ci-dessous. (Fig.38) Coupure arrive dair Coupure pompes
Capteur
APS
Fig.38 Diagramme de fiabilit de la fonction de scurit> Donnes de abilit
Les donnes de abilit qui seront utilises par la suite proviennent des fournisseurs, des avis dexperts, ou des recueils de donnes de abilit.
33
Les procds industriels et les normes de scuritexemple phase 4
Conception et ingnierie du SIS (suite)
Calcul du niveau dintgrit de scurit (SIL)Tous les lments sont runis pour aboutir au calcul du niveau SIL de la fonction : - larchitecture et les composants sont dnis - les donnes de abilit sont disponibles - la mthodologie est dcrite. Les calculs qui ne sont pas dtaills aboutissent aux deux tableaux de rsultats suivants :> La tolrance aux anomalies du matriel (HFT)
Le niveau dintgrit de scurit de la fonction est dtermin par le soussystme qui satisfait le niveau le plus bas, comme la vanne et le contacteur de pompe permettent un niveau SIL1, le niveau de la fonction sera limit SIL1 (Fig.39).
Sous-systmeCapteurs temprature APS Actionneurs Actionneurs Le rsultat nest pas conforme au cahier des charges qui exige un niveau SIL2 pour notre fonction de surveillance de la temprature du racteur chimique.
lmentPT100, transmetteur Quantum Safety Vanne Contacteur Pompe
SFF64 %
HFT0
Intgrit de scuritSIL2 SIL3
15 % 27 %
0 0
SIL1 SIL1
Fig.39 Rsultats des calculs SFF et HFT> La probabilit de dfaillances dangereuses de la fonction (PFD)
Aprs calcul, le PFD de la boucle est de 1.59E-02 ce qui correspond un niveau dintgrit SIL1 (Fig.40).
ComposantCapteurs temprature APS Actionneurs Actionneurs
TypePT100, transmetteur Quantum Safety Vanne Contacteur Pompe
PFD moy1.15E-02 1.50E-04 3.94E 3.20E-03 -04
Contribution72 % 1% 24 % 2% 100 %
Somme de la boucle complte Fig.40 Rsultats des calculs PFD
1.59E-02
34
Synthse et recommandationsLe niveau SIL1 atteint ntant pas sufsant il faudra donc faire des modications plus substantielles. Lexpert de Schneider Electric a propos plusieurs pistes pour atteindre le niveau SIL2 :> Le capteur de temprature
- augmenter la frquence des tests priodiques, - ajouter un deuxime capteur en redondance, - utiliser le capteur du contrle/commande pour vrier la cohrence avec la mesure du capteur de scurit. Cette solution, qui maintient lindpendance des couches de protection, permettrait datteindre un PFD de 5.5E03.> Les actionneurs
- mettre en redondance les contacteurs de pompe pour amliorer la tolrance aux dfaillances (HFT) et atteindre le niveau SIL2, - instrumenter la vanne pour dtecter la position et la faire surveiller par lautomate de scurit, - mettre des vannes en redondance. La mise en uvre de ces volutions capteurs et actionneurs permet de respecter les contraintes SIL2, tant du point de vue de la tolrance aux fautes (HTF) que du point de vue probabiliste (PFD), et datteindre le niveau dintgrit de scurit requis.
35
Les infrastructures et les normes scurit
36
Les exigences de scurit dans les infrastructuresSelon les secteurs dactivit, les exigences de scurit sappuient sur les normes sectorielles. Si elles nexistent pas, la norme gnrique EN61508 simpose. Plusieurs secteurs comme le ferroviaire ont toujours t en pointe dans le domaine de la scurit. Ils disposent de comptences fortes appuyes sur un ensemble normatif trs prcis adapt leur mtier (Fig.41).
NormesEN 50126
ApplicationsSpcication et dmonstration de abilit, disponibilit, maintenabilit et scurit (FDMS). Systmes de signalisation, de tlcommunication et de traitement - Logiciel pour les systmes ferroviaires de commande et de protection. Systmes de signalisation, de tlcommunication et de traitement - Systmes lectroniques de scurit pour la signalisation.
EN 50128
EN 50129
Le contenu minimum du PSO (Annexe 2 extrait de la directive) est de : - recenser des points dinfrastructure importants, - conduire une analyse de risques, - identier, slectionner et dsigner des contre-mesures.
Fig.41 Normes ferroviaires pour les fonctions de scurit des systmes lectriques et lectroniques.
Besoins des infrastructuresSi les infrastructures couvrent des domaines trs divers rgis par des rgles propres, les mthodes de rduction des risques restent proches. La scurit fonctionnelle conserve les mmes dnitions. Les besoins prsentent des similitudes quant au choix des automatismes : - des installations tendues, - de fortes contraintes de continuit de service. Nous allons illustrer ltude de fonctions de scurit par deux exemples.
La directive sur les infrastructures critiques europennesDepuis 2008, la directive 2008/114/CE impose le recensement des Infrastructures Critiques Europennes (ICE) qui doit tre termin au plus tard le 12 janvier 2011. Cette directive : - donne des rgles de recensement, - dnit un plan de scurit doprateurs (PSO), - impose un correspondant par ICE. La liste initiale, limite aux secteurs du transport et de lnergie, stend ce jour des domaines tels que les technologies de linformation, leau, lalimentation, la sant, lindustrie chimique, lespace...
37
Les infrastructures et les normes de scurit
exemple
Exemple de centralisation dun rseau dcluses
ContexteLa scurit des cluses est gre localement en utilisant une technologie lectromcanique. Tout en conservant la gestion locale, le client souhaite un systme de surveillance et de contrle centralis de lensemble. La scurit des personnes et des biens doit tre respecte. Il doit particulirement tre pris en compte les risques daccidents et dincendie dans les cluses. Le systme de scurit doit respecter la norme de scurit IEC 61508 avec un niveau dintgrit de SIL3. Un haut niveau de disponibilit est requis.
PrestationUn expert de Schneider Electric certi TV accompagne le client de la phase danalyse jusqu la mise en service des premires cluses en assurant les prestations suivantes : - spcication des fonctions de scurit, - tude de lallocation du SIL adapt au juste ncessaire pour chaque fonction, - proposition darchitecture, - analyse des modes de dfaillance (AMDE), - valuation SIL : contraintes architecturales et probabilistes. En complment de ces tudes, Schneider Electric a ralis : - la programmation, - les tests en plateforme et de validation de la solution, - la mise en service, - la formation des oprateurs et du personnel de maintenance.
38
Solution mise en uvreVenant en complment des systmes de scurit locaux, les fonctions de scurit dveloppes concernent : - la gestion des arrts durgence distance - la gestion des vannes de dluge distance Le systme est ralis partir dune architecture dautomates programmables de scurit Schneider Electric communiquant travers une boucle optique. Cette architecture (voir le principe Fig.46) permet datteindre le niveau SIL3 requis et assure : - une haute disponibilit, - la abilit des communications entre les postes via le protocole safeEthernet - la gestion des modes de pilotage site ou distant, - la redondance des calculs et de toutes les acquisitions, - le diagnostic rapide par la mise disposition de lensemble des informations au niveau du poste de supervision via le protocole Modbus TCP/IP. Toutes les informations sont gres par le mme rseau Ethernet cbl en anneau. > Le cycle de vie du projet de scurit Ce cycle de vie est articul autour des phases ci-dessous : - dnition de larchitecture et rdaction du dossier de tests de validation, - conception des fonctions de scurit et rdaction du dossier de tests dintgration, - conception dtaille et rdaction du dossier de tests unitaires, - tests unitaires et compte-rendu associ, - tests dintgration en plateforme et compterendu associ, - tests de validation sur site et compte-rendu associ, - transfert de connaissances au client par formation sur une maquette, - mise en service avec le client.
Schneider Electric, par son exprience dans les automatismes de scurit et son exprience de la gestion du cycle de vie dun projet de scurit, a propos la spcication et la mise en uvre des fonctions de scurit : > en apportant la dmonstration du respect des normes, > en rdigeant les documents ncessaires la certication SIL3.
incendie
arrt durgence
arrt durgence arrt durgence arrt durgence
Rseau Ethernet cbl en anneau
incendie incendie incendie
(longueur de lanneau : 40km)
Poste de contrleFig.42 Principe de larchitecture retenue
Ecluse 1 Ecluse 2 Ecluse 12
39
Les infrastructures et les normes de scurit
exemple
Exemple dun systme de dtection des vents sur un rseau ferr
ContextePour assurer la scurit des voyageurs, il est ncessaire de ralentir les trains grande vitesse lorsque les vents latraux sont trop forts. Lexploitant veut mettre en oeuvre un systme de dtection rparti sur les lignes avec une supervision centralise.
Solution mise en uvre5 stations de dtections sont implantes le long de la ligne dans les zones les plus ventes (viaducs, sortie de tunnels...). Chaque station est compose : - dun poste de mesure charg de lacquisition de la vitesse et de la direction du vent. Il est conu pour rsister aux conditions climatiques et assure la transmission des informations au poste de traitement ; - dun poste de traitement constitu par un automate de scurit Schneider Electric. partir des caractristiques du vent, un programme labor dans lautomate tablit les ordres de ralentissement des trains pour respecter les conditions sres dexploitation. Le poste de traitement envoie une consigne de vitesse aux trains, via le systme de signalisation. Le conducteur reoit linformation dans sa cabine de conduite. La supervision des stations de dtection est assure par un poste central de conduite. Il permet : - la surveillance en temps rel des vents, - le suivi du bon fonctionnement de la ligne grande vitesse, la gestion des alarmes et des dfauts, - le tlchargement des paramtres des postes de traitement.
PrestationSchneider Electric a ralis le projet de scurit dans sa globalit : - tudes, fourniture et installation de lensemble du systme de scurit, - pilotage global du projet, - mise en service et validation du systme de scurit, - fourniture du dossier de scurit complet selon les normes ferroviaires EN 50126, EN 50128, EN 50129.
40
Ralisation dun dossier de dmonstration du niveau de scurit - pour chaque fonction de scurit dnie et ncessaire, dmonstration du niveau SIL atteint par la fonction, - comparaison avec le niveau SIL requis lors de lanalyse prliminaire. Dnition dtaille des fonctions de scurit Larchitecture du projet est constitue dun ensemble de fonctions qui assurent la chane de traitement. Chaque fonction est dtaille. Un ensemble de tests est prvu pour chaque fonction, puis ralis en tests unitaires. Dans lexemple ci-dessous (Fig.43), un APS Schneider Electric acquiert les mesures de deux capteurs anmomtriques et ralise des calculs de prdiction du vent.
Les informations sont envoyes lunit de gestion qui centralise et dialogue en direct avec le systme de signalisation. Les alarmes associes sont afches dans la cabine de pilotage et au poste de supervision. Validation de larchitecture La phase dintgration en plateforme permet de valider les fonctions des units de mesure, de traitement, de gestion et leurs interactions. Dans cette tape sont vries les performances du systme. Les tests dintgration sont raliss et leur validation autorise la mise en service sur le site.
Lors des mises en service de chacun des lots, laccompagnement du client par un expert de Schneider Electric assure le transfert des connaissances.
zone de mesure 1
Elaboration des alarmes de vent et mission dordres de ralentissement vers les systmes de signalisation.
zone de mesure 2 Systme de signalisation
Unit de gestion
Boucle optiquezone de mesure 3
zone de mesure 4
zone de mesure 5
Acquisition des mesures
Unit dacquisition et de traitement
Poste central de conduite
Fig.43 Architecture du systme de scurit
41
Les solutions Schneider ElectricSchneider Electric fournit lensemble de loffre ncessaire la ralisation des automatismes et des fonctions de scurit. Cette offre est disponible dans tous les pays du globe et elle est conforme aux principales normes en vigueur (Europe, Amrique du Nord , Japon, Asie...).
42
Les fonctions de base dun systme de scuritLa base de larchitecture dun systme de scurit comporte cinq fonctions essentielles :Dialogue Alimentation protection Commande de puissance Actionneurs / charges M Fig.44 Les fonctions de base dun systme de scurit
Traitement
Dtection acquisition
Les liaisons de contrle pouvant tre ralises par du cblage l l ou par un bus de communication.
Le dialogueOn y retrouve des lments spciques la scurit (Fig.45) : - une trs large gamme darrts durgence, - des arrts durgence cble, - des commandes bimanuelles. Mais galement des lments standards tels que : - les colonnes lumineuses, - les voyants, - les pdales, - les gyrophares.
Fig.45 Les constituants de dialogue
Le traitementSelon la complexit de la machine, larchitecture des fonctions de scurit est ralise partir (Fig.46) : - dun module monofonction paramtrable qui gre une seule fonction, - dun contrleur multifonction qui peut grer simultanment deux fonctions parmi 15 fonctions prdnies, - dun contrleur multifonction qui utilise un logiciel pour congurer des fonctions prdnies, - dune gamme dautomates programmables de scurit pour raliser une solution complte et communicante. Les liaisons peuvent tre faites l l ou par un rseau de scurit tel que Asi Safe ou Ethernet Safe.
Fig.46 Les constituants de traitement
43
Les solutions Schneider Electric
La dtection et lacquisition base de technologies lectromagntiques, magntiques ou optiques, ces produits permettent de raliser des fonctions conformes aux niveaux SIL ou PR requis (Fig.47) : - surveillance de protecteurs le plus souvent en association avec des modules ou contrleurs de scurit, - n de course ou systme magntiques cods, - surveillance de primtres en association avec des contrleurs de scurit ou en autonomie, - protection avec toute une gamme de barrires immatrielles.
Fig.47 Les constituants de dtection et dacquisition
Lalimentation et les protections lectriquesCes fonctions sont ralises avec les produits standards de Schneider Electric qui rpondent aux normes requises et qui sont homologus partout dans le monde (Fig.48). Elles couvrent en basse tension : - les disjoncteurs jusqu 6300A, - les interrupteurs jusqu 6300A, - les relais de protection lectroniques multifonctions, - les onduleurs (UPS).
Fig.48 Les constituants dalimentation et de protection
La commande de puissanceSchneider Electric, leader mondial en commande de puissance, propose une large gamme de produits basse tension (Fig.49) : - des contacteurs jusqu 900kW, - des variateurs de vitesse jusqu 2400kW, - des dmarreurs progressifs jusqu 900kW, - des servovariateurs jusqu 42kW. De plus en plus de produits Schneider Electric intgrent des fonctions de scurit. Par exemple : - des contacteurs avec les contact lis - des variateurs avec les fonctions safe torque off
Fig.49 Les constituants de commande de puissance
44
Architectures de type machineLe besoinLa majorit des applications requiert des fonctions simples et rptitives telles que des arrts durgence, des ns de courses pour protecteurs amovibles, des tapis de sol, etc. Ces fonctions doivent rpondre aux exigences normatives internationales et satisfaire, selon le danger des machines, diffrents niveaux de scurit.
Les solutionsPour les machines simples et compactes, les liaisons sont gnralement assures par un cblage l l. Lutilisation dun module de scurit (Fig.50) simplie la ralisation de la fonction scurit. Il prsente lavantage dtre facile mettre en uvre. Pour des machines plus complexes, un contrleur paramtrable ou un automate apportera une solution efcace et volutive (Fig.51). Pour des machines tendues ou complexes, il est conomique de concevoir le systme de scurit autour dun bus scuris Asi-Safe (Fig.52). An de faciliter votre dmarche, nous mettons votre disposition des ches pratiques dtaillant des fonctions simples de scurit (ex : chane dAU, chane de protection carter, etc.). Pour les obtenir, merci de contacter Chorus au 0 825 012 999 (numro Indigo). Ces ches, approuves par un organisme de contrle, prsentent une architecture prcise et dtaillent tous les calculs relatifs la nouvelle directive 2006/42/CE.
Pour un constructeur de machines, la dmarche scurit est incontournable. Schneider Electric sest impos le challenge de proposer aux OEM des architectures types permettant de rpondre au plus juste aux besoins rcurrents mis en vidence lors de la phase analyse de risque. Grce une double comptence scurit et automatisme, Schneider Electric dnit des solutions conciliant scurit et productivit. De cette manire, la dmarche scurit devient un atout pour le constructeur de machines.
DialogueFig.50 Architecture dune machine simple base de module de scurit monofonction signal de scurit contrle commande puissance
Traitement
Actionneurs
45
Les solutions Schneider Electric
Dialogue
Traitement
Fig.51 Architecture dune machine compacte base dautomate programmable de scurit signal de scurit rseau de communication Ethernet contrle commande puissance bus ASI Safe
Actionneurs
Acquisition dtection
Dialogue
Traitement
Fig.52 Architecture dune machine tendue intgrant un bus ASi Safe
Actionneurs
Acquisition dtection
46
Architectures de type procdLe besoinLes procds sont caractriss par des installations complexes moyennement tendues (quelques centaines de mtres) et souvent spares en ateliers. Pour sadapter aux besoins de la production ou aux volutions du procd, le systme de scurit doit tre facilement modiable. La communication est devenue un lment cl pour synchroniser les actions, visualiser les vnements et les archiver. La productivit tant essentielle, certaines installations imposent une continuit de service.
Scurit et contrle procd : deux types de fonctions traiter dans des canaux sparsConformment la norme EN61511, la scurit est traite laide dorganes physiquement diffrencis du systme de contrle-commande du procd. La limitation des modes communs entre le systme de conduite du procd (BPCS) et le systme de scurit (SIS) assure lindpendance des canaux et rduit le risque de dfaillance simultane des systmes. Lautomate programmable de scurit Quantum Safety fait partie de la famille Unity. Certi pour traiter des fonctions de scurit jusquau niveau SIL3, Quantum Safety apporte une rponse optimale pour des architectures de taille moyenne grande, avec possibilit de dporter les Entres/Sorties sur de grandes distances.
Les solutionsDe la qualit du dveloppement dpend la performance et la scurit du procd. Schneider Electric propose un atelier logiciel unique de dveloppement pour lautomatisme et pour la scurit. Latelier logiciel Unity Latelier Logiciel Unity est commun toute la gamme des automates programmables industriels (API) du M340 au Quantum. Unity Pro XLS permet les modications en run du programme de la gamme Quantum Safety (APS). Certi par le TV, Unity PRO XLS fournit des fonctions de scurit et de calcul. Lergonomie, le dveloppement et la mise en oeuvre restent identiques aux automates de contrle. Les diffrents niveaux daccs au programme sont protgs par des mots de passe. Les donnes sont mmorises dans une zone mmoire spcique et protge.
Unity Pro XLS
Fig.53 Capture dcran du logiciel Unity Pro
47
Les solutions Schneider Electric
Les architectures simples Conformment la norme EN CEI 61511, le systme de scurit est physiquement dissoci du systme de contrle. La communication avec le niveau suprieur est assure par rseau Ethernet Modbus TCP, Modbus RS232/485, Modbus Plus. Larchitecture est base sur la structure Quantum habituelle.
Conduite supervision
Serveurs
Traitement
APS
AP
Fig.58 Exemple darchitecture simple base dautomate (API) Premium et dautomate de scurit (APS) Quantum signal de scurit rseau de communication Ethernet contrle commande
entres/sorties
Actionneurs Acquisition dtection
Atelier 1
Atelier 2
Un chssis contient une ou plusieurs alimentations redondantes, le coupleur de communication avec des E/S dportes et les coupleurs de communication Ethernet optionnels. Aux cartes dE/S de scurit peuvent tre ajoutes des cartes dE/S standard pour des fonctions de contrle standard. Les E/S sont locales ou dportes dans diffrents chssis jusqu plusieurs kilomtres.
48
Les architectures haute disponibilit Larchitecture redondante assure la haute disponibilit pour les procds dont larrt est critique, tout en conservant les caractristiques de scurit.
Conduite supervision
Serveurs
Traitement
AP
APS
AP
APS
Fig.59 Exemple darchitecture haute disponibilit tous les niveaux, base sur des automates programmables industriels (API) et des automates programmables de scurit (APS) Quantum
Entres /sorties
Actionneurs Acquisition dtection
Atelier 1
Atelier 2
UC 1
UC 2
p1
p2
p1
p2
1oo2
1oo2
Fig.60 Dans chacune des Units Centrales Quantum Safety, la redondance interne des microprocesseurs 1oo2 (1 parmi 2) garantit le niveau de scurit SIL3 et la redondance des Units Centrales 2oo2 (2 parmi 2) apporte la continuit de service (haute disponibilit)
49
Les solutions Schneider Electric
Architectures de type infrastructureLe besoinLes fonctions de scurit sont souvent rparties sur de grandes distances. Les liaisons sont donc critiques et participent majoritairement aux choix des architectures dautant que la continuit de service est fondamentale dans ce type dinstallations.
Les solutionsSchneider Electric propose des automates de scurit connects en rseau Ethernet de scurit. Le point fort de cette solution est de pouvoir connecter sur un mme rseau des fonctions de scurit et des fonctions standards telles que des camras de surveillance, sans incidence sur le temps de rponse des communications de scurit. La gamme dautomates de scurit XPSMF autorise une grande souplesse dans sa mise en uvre et sintgre facilement dans des architectures hautement rparties et sans contrainte de distance. Les capteurs et actionneurs sont connects des blocs E/S placs au plus prs et de faible granularit. La mise en redondance des UC et des E/S est ralise pour des applications haut niveau de disponibilit. Lalimentation peut se faire par deux sources diffrentes, un systme de vote interne assure la commutation. Une architecture rseau ouverte Le protocole de scurit SafeEthernet utilis pour la communication avec les blocs dE/S et dautres automates du mme type est vhicul via des organes rseau tels que switches, convertisseurs bre optique , non spciques. Il cohabite avec les autres protocoles. Chaque bloc dE/S de scurit ou automate de scurit est muni de ports Ethernet Safe switchs de telle faon que les topologies linaires ou en anneau sont ralises sans contraintes. Lautomate de scurit est ouvert aux protocoles standards de lindustrie. Un atelier logiciel tout-terrain Latelier logiciel conforme la norme CEI61131-3 est livr en standard avec une bibliothque de fonctions de scurit certie par le TV. Il est possible de coder des boucles de scurit type et de les encapsuler dans des blocs fonction de type DFB. Aprs la validation dune bibliothque de blocs fonctions types, linstanciation des blocs permet de rduire les cots de dveloppement, de tests et de validation du systme. Les variables et les Entres/Sorties peuvent tre forces en mode simulation hors ligne ou en mode test en ligne. Plusieurs niveaux daccs et de privilges scurisent les oprations de maintenance et de rglage des paramtres de scurit.
50
Conduite supervisionArrts durgence dports
Fig.60 Exemple darchitecture simple
Traitement
signal de scurit rseau de communication Ethernet contrle commande puissanceK1
Actionneurs
M
Acquisition dtectionCamera Arrt durgence local
Unit 1
Unit n
Conduite supervision
Traitement
Fig.61 Exemple darchitecture redondante permettant datteindre un niveau de disponibilit lev
Actionneurs
Acquisition dtection
Unit 1
Unit n
51
Les services experts en scurit de Schneider ElectricLa mise en application des nouvelles directives europennes sur la scurit gnre des interrogations chez les industriels (utilisateurs, intgrateurs systmes et constructeurs de machine). Depuis plusieurs annes, Schneider Electric accompagne ses clients dans cet environnement et ralise des prestations de service en scurit dans les automatismes industriels et la distribution lectrique. La prsence dans nos quipes dexperts habilits TV* dmontre notre volont dapporter le meilleur dans la ralisation des prestations tout au long du cycle de vie des projets.* Certication dhabilitation dlivre par lorganisme de contrle et de normalisation allemand.
52
Exemples de prestations de service en scuritAssistance technique la conduite du projet de scurit Formation scurit fonctionnelle cible de sur votre projetFormation sur les exigences de scurit fonctionnelle ncessaire la conduite de votre projet (introduction la scurit fonctionnelle, approfondissement des normes EN 62061 / ISO 3849-1/2 ou EN 61511 avec illustration et exercices sur projet client). Sensibilisation et formation de vos quipes la conduite dun projet de scurit (sret de fonctionnement, normes de scurit, comprhension et connaissance de nos automates de scurit, assistance au dmarrage de la programmation de lautomate).
Diagnostic scurit du systmeMise en application des normes de scurit fonctionnelle, analyse des risques, identication de chaque fonction de scurit, attribution du niveau SIL requis et leur spcication.
53
Les services experts en scurit de Schneider Electric
Un accompagnement aux tapes cls du projetDnition et validation des fonctions de scurit en phase avant projetSpcication des fonctions de scurit, dnition de leur architecture pour rpondre aux exigences normatives et valuation du niveau SIL atteint par le systme de scurit pour valider les choix darchitecture.
Accompagnement projet de scuritvaluation du niveau SIL atteint par le systme, assistance technique dans le dveloppement de votre application et assistance au dmarrage de lapplication.
Ralisation de projet scuritRalisation et pilotage du projet de scurit dans sa globalit : identication des risques et des dangers, dnition et mise en uvre des solutions garantes du respect des exigences normatives (IEC61508, IEC62061, IEC61511, EN/ISO13849).
54
Les services experts en scurit de Schneider ElectricLa scurit est laffaire de tous mais surtout des spcialistesLes tapes cls du cycle de vie dun projet de scurit sont dcrites dans les normes EN 61508, EN 61511. Cette dmarche est applicable tout projet de scurit quel que soit le domaine dapplication. Nous vous accompagnons au cours de votre projet pour mettre en uvre la dmarche scurit. Notre exprience nous permet de matriser lenvironnement global (scurit, automatismes, rseaux et armoires lectriques) depuis lanalyse de risques jusqu la conception et mise en uvre des fonctions de scurit.
1 2 3 4 5
Concept dapplication
Dnition globale du domaine dapplication
Analyse de danger et de risque
Prescriptions globales de scurit
Allocation des prescriptions de scurit
Planication globale
6
Planication globale de lexploitation et de la maintenance
7
Planication globale de la validation de la scurit
8
Planication globale de linstallation et de la mise en service
9
Systme de scurit : E/E/ PES
10
Systmes de scurit : autre technologie Ralisation
11
Dispositifs externes de rduction de risque Ralisation
Ralisation(voir le cycle de vie de scurit des E/E/PES)
12 13 14 16
Installation et mise en service globale
Validation globale de la scurit
15
Modication et remise niveau globale
Exploitation, maintenance et rparations globales
Retour vers la phase du cycle de vie de scurit global adquate
Mise hors service ou au rebut
55
Make the most of your energy*
ChorusToutes les rponses de 8h00 18h00, du lundi au vendredi, toute lanne.
Schneider Electric FranceDirection Communication et Promotion Centre PLM-F F- 38050 Grenoble cedex 9 Tl. 0 825 012 999 www.schneider-electric.fr En raison de lvolution des normes et du matriel, les caractristiques indiques par les textes et les images de ce document ne nous engagent quaprs conrmation par nos services. Rdaction : Juxeo Ralisation : pemacoPhotos : Adam Gault - Getty Images, Thierry Bonnet - Bonnet/Andia, Fotosearch, Christian Lagerek Shutterstock, Deirdre Motto - Jupiterimages, Rudi van der Walt - Fotolia, Alan Gordine Shutterstock, Monkey Business Images - Shutterstock, Monty Rakusen - Getty Images, John A. Rizzo Photodisc, Mark Yuill - Shutterstock, Jos Antonio Rojo - Rojofoto, Michael Saint Maur Sheil Photodisc, Schneider Electric
Edition : Altavia Connexion FRAED209950FR ART.960424 03/2010
* Tirez le meilleur parti de votre nergie
top related