evolutions des modules booléens de grif pour l'iec 61508

Cyrille Folleau (SATODEV)Bordeaux 26/11/2010 - IMdR GTR 22 Recherche Méthodologique

Norme IEC61508Indicateurs et objectifsCalculs : Route 1H VS Route 2H

Module SILSaisie d’architectures simplifiéeCalculs précis et automatisés PFD/PFH …

Module TreeFonctionnalité classique d’un logiciel d’AdDCalcul PFD/PFH : temps passé dans les zonesGestion des incertitudes

Bordeaux 26/11/2010 2IMdR GTR 22 Recherche Méthodologique

Nouvelles exigences sur les systèmes de sécurité (ici des systèmes E/E/PE)Distinction entre différents type de demande :

Mode sollicitation faible : la fonction de sécurité n’est réalisée que sur sollicitation, afin de faire passer système protégé dans un état de sécurité spécifié, et la fréquence des sollicitations n’est pas supérieure à une par an.Mode sollicitation élevée / ou continue : idem plus d’un fois par an ou de manière continue


« Nouveaux » indicateursMode faible sollicitation : PFDAvg = Probabilité moyenne de défaillance dangereuse.Mode sollicitation élevée/continue : PFH = Fréquence moyenne de défaillance dangereuse (h-1) .

Des objectifs à atteindre en fonction du système à « sécuriser »


Bordeaux 26/11/2010

5

IMdR GTR 22 Recherche Méthodologique

Obtain or produce safety allocation description

Develop E/E/PE system design requirements

Start planning safety E/E/PEsafety-related system safety validation

Establish the E/E/PE safety-related systemparameters

Develop a model for the hardware architecture

Determine the safety parameters forRoute 1H or Route 2H

For each safety function, determine the relevant targetfailure measure achieved by the E/E/PE

safety-related system

Create a reliability model for each safetyfunction

Does estimated probability offailure of safety function meet

the required target failuremeasure?

Implement the design, select measures/techniquesto avoid/control systematic failures

Determine critical parameters andselect and implement improvements

See 7.6 of IEC 61508-1

See 7.3

See 7.4.4.2 for Route 1H &7.4.4.3 for Routes R 2H

See 7.4.5 for the requirements forquantifying the effects of random

hardware failures

See:7.4.6- Requirements for the avoidance ofsystematic faults7.4.7-Requirements for the control ofsystematic faults7.4.8 Requirements for system behaviouron detection of a fault7.4.9 Requirements for E/E/PE systemimplementation7.4.10 Requirements for proven in useelements

Input from "B" in figure A.2

NOTE: For PE safety-related systems,activities for software occur in parallel

(see figure A.3).

To "A" in figure A.2

NO

YES

Does Probability of failure of safety

fonction meets target ?

Critiques :SIL obtenus par des calculs approchés et ne fournissant que des moyennesAssemblage de moyennes (comme des LEGO)SFF : Safe Failure Fraction qui incite à introduire des pannes sûres sans forcement diminuer les pannes dangereuses.


2T

2TMDT 2

T

21

T

1E

MTTRMRT2T

tD

DD1

D

DUCE

MTTRMRT3Tt

D

DD1

D

DUGE

MRT2TMTTRtt112PFD 1

DUDDDGECE2

DUDDDG

SDDDDU

SDDD1

DU

CE

MTTRMRT2T

't

Utilisation de calculs éprouvés dans la sureté de fonctionnement :

PFD => IndisponibilitéPFH => Intensité inconditionnelle de défaillanceValeurs en fonction du tempsPossibilité de prendre en compte les incertitudes


Différence Calcul Simpliste et Calcul BDD sur un 1oo2


Test 10000 h et Lambda 2.10-5

LEGO

LEGO

PFDAvg Composant : 9.17 10-2 = SIL 1

GRIFGRIF

PFDAvg system : 1.11 10-2 = SIL 1

PFDAvg system : 8.41 10-3 = SIL 2

Différence sur un système plus complexe 1oo2D (Source Thèse Farès Innal)


Lambda 5.10-5

SFF de 60%Beta de 2%Sur 1 an

Route 2H (Markov): 3.19 10-3 = SIL 1Route 1H: 1.5 10-3

TOTAL R&M a décidé de ne plus utiliser les logiciels utilisant les formules de la route 1HCréation d’un module SIL s’appuyant sur GRIF et le moteur BDD ALBIZIA

1KO (DD) 1KO (DU)

μ'DU

2(1-ß)λ DU

4(1- ßD)λDD

λDU

λDU

2 λDD

μDD

4

2KO (DU) 4

5

1

2

3

1KO (DD) 1OK

2

2

1KO (DU) 1OK

2OK

μDD

μDU

μDU

Modélisation de boucle instrumentée de sécuritéSaisie intuitive de l’architecture


Gestion des différents mode de défaillance

Nombreux paramètres pour éviter les approximations


Pannes non détectées Pannes détectés

Pannes dangereuses λdu λdd

Pannes sûres λsu λsd

Lois tests périodiques Lois GLM

Calculs : génération de formules booléennes et traitement avec le moteur BDD Albizia comme le module arbre de défaillance


Calculs exactsCalculs à chaque instantCalculs de moyenneCalculs de temps passé dans les zones

Possibilité d’introduire des décalages entre tests


Prise en compte des contraintes architecturales : le SIL atteint est calculé à partir la PFD/PFH et du SIL maximum atteignable par l’architecturePrise en compte du caractère déterminé des composants (IEC 61508 et/ou 61511), NS/F/S


Composant1 Composant2 Composant3 SIL max atteignableNS - - 0S - - 1F - - 2

NS NS - 1NS S - 2NS F - 3S S - 2S F - 3F F - 3

NS NS NS 2NS NS S 3NS S S 3… … … …

Synthèse


Les dernière moutures de l’IEC 61508 ont permis de rectifier le tir en proposant l’utilisation de méthodes de calculs éprouvées pas les fiabilistes.GRIF module SIL a été conçu pour répondre aux besoins de calculs sur des boucles instrumentées de sécuritéCe module permet à des « non fiabilistes » d’obtenir des valeurs plus juste que la simple application de formules.Démonstration en pratiqueCe module permet d’exporter au format .dag pour traiter des cas plus complexe avec le module Tree (Arbre de défaillance)


Lorsque les systèmes de sécurité deviennent plus complexes, il incombe aux fiabilistes de réaliser un arbre de défaillance et d’en tirer les informations souhaitéesProblèmes :

Disposer d’outil pour faire les calculs de PFD/PFH et calculer les temps passés dans chaque SILComme indiqué dans la norme, il faut prendre en compte les incertitudes des paramètres d’entrée.

Solution améliorer un outils d’arbre de défaillance existant : GRIF module Tree



Outils Outils de saisiede saisie

Arborescence Arborescence pour pour

organiser son organiser son arbrearbre

Courbes Courbes configurablesconfigurables

Tableau de Tableau de paramètres paramètres

pouvant pouvant être être

connectés à connectés à une base de une base de

donnéesdonnées

Nombreuses possibilités de calculs


Récupération des résultats


Affichage des résultatsVisible sur l’arbre directementPrésentation sous forme de courbeDirectement dans les tableaux de données à droite


Calcul des temps passés dans les zones


Lors des calculs, Albizia vérifie dans quelle zone se situe le point pour fournir le temps passé dans chaque SIL. Les zones spécifiés sont reprises pour l’affichage des courbes.

IncertitudesPour chaque paramètre, possibilité d’utiliser une incertitude suivant les lois :• Uniforme• Normale• LogNormale

– Un calcul de Quantiles est effectué et il est possible de choisir le quantile représentant la borne inférieure et supérieure de l’intervalle de confiance


• Incertitudes


• Contraintes architecturales– En plus des PFD/PFH l’IEC 61508/61511 impose une

tolérance à un certain nombre de défaillance matériel pour chaque SIL => Calcul de coupe

• Contraintes architecturales 61511 prenant en compte le type de composant– Pas traité pour l’instant, peut-être faut-il ajouter la

possibilité de faire coupes pondérées.


evolutions des modules booléens de grif pour l'iec 61508

Documents