SIL partie 3 : Capacité systématique
La conformité à SIL exige que la conception d’une fonction de sécurité réponde à trois critères spécifiques tels que décrits dans la norme. Cette section se concentre sur la partie 3 - Capacité systématique.
Qu’est-ce que la sécurité fonctionnelle ?
La sécurité fonctionnelle est la détection active de conditions potentiellement dangereuses, entraînant la demande d’un mécanisme ou d’une fonction de protection afin de prévenir ou de réduire l’impact des éventuels événements dangereux.
Intégrée à la sécurité globale des équipements sous contrôle (EUC), la sécurité fonctionnelle se concentre sur l’électronique et les logiciels associés.
La norme CEI 61508 est une norme internationale traitant de la « Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables relatifs à la sécurité ». En tant que norme générale pour la sécurité fonctionnelle, elle constitue la base de nombreuses normes dérivées spécifiques de secteur, comme la norme CEI 61511 pour l’industrie des process.
En suivant un modèle de cycle de vie de sécurité, les normes formalisent la gestion de la sécurité fonctionnelle et fournissent des mesures et des techniques pour la conception de systèmes instrumentés de sécurité (SIS) et les fonctions instrumentées de sécurité (SIF) associées.
CEI 61511 – Cycle de vie de sécurité
La création de la spécification des exigences de sécurité (SRS) constitue un élément clé du cycle de vie de sécurité. Tenant compte des informations des niveaux d’évaluation des risques et des dangers du cycle de vie, ce document constitue l’ébauche de la fonctionnalité, de l’intégrité et de la validation de la conception du système de sécurité.
Qu’est-ce que le SIL ?
La spécification des exigences de sécurité permet de documenter le niveau de toute réduction de risques résiduels requis dans la conception du système de sécurité et d’assigner un niveau SIL cible correspondant.
Le SIL, ou Safety Integrity Level (niveau d’intégrité de sécurité), est un niveau relatif de réduction de risques inhérents à une fonction de sécurité. Quatre niveaux SIL séparés, allant de 1 à 4 ont été définis : le SIL 4 assurant le niveau d’intégrité de sécurité le plus élevé et le facteur de réduction des risques correspondant.
SIL | Facteur de réduction des risques – RRF |
4 | > 10.000 à ≤ 100.000 |
3 | > 1.000 à ≤ 10.000 |
2 | > 100 à ≤ 1.000 |
1 | >10 à ≤ 100 |
Comment atteindre un SIL spécifique ?
La conformité SIL exige que la conception d’une fonction de sécurité réponde à trois critères spécifiques tels que décrits dans la norme.
Ces critères stricts sont les suivants : intégrité du matériel aléatoire, contraintes architecturales et capacité systématique.
Cette section se concentre sur la partie 3 - Capacité systématique. Pour plus d’informations sur l’intégrité du matériel aléatoire et les contraintes architecturales, veuillez cliquer sur les liens correspondants.
PR electronics propose une gamme de dispositifs certifiés SIL pour couvrir un large choix d’applications SIL.
Qu’est-ce que la capacité systématique ?
La norme CEI 61508-2010 définit la capacité systématique comme :
« Une mesure (exprimée sur une échelle de SC 1 à SC 4) de la confiance que l’intégrité de sécurité systématique d’un élément satisfait aux exigences du niveau d’intégrité de sécurité (Safety Integrity Level, SIL) spécifié, en ce qui concerne la fonction de sécurité de l’élément défini, lorsque l’élément est appliqué conformément aux instructions spécifiées dans le manuel de sécurité conforme de l’élément. »
Les défaillances systématiques sont principalement le résultat d’une faute humaine. Qu’il s’agisse de la conception, de l’ingénierie, de l’exploitation ou de la maintenance d’une fonction de sécurité, des défaillances systématiques peuvent être introduites et se produire en fonction des circonstances.
Les défaillances systématiques sont souvent le résultat de spécifications inappropriées des appareils ou des composants, d’erreurs dans les procédures d’exploitation ou de maintenance, ou de bugs logiciels. Les défaillances systématiques continuent à se produire jusqu’à ce que la cause profonde de l’erreur soit définie.
Par conséquent, l’intégrité systématique peut être définie comme un niveau de défense contre les défaillances systématiques.
Démonstration de l’intégrité de sécurité systématique
La norme CEI 61511 prévoit 2 méthodes de démonstration de la capacité systématique :
- Utilisation de dispositifs certifiés CEI 61508
- Dispositifs éprouvés par une utilisation antérieure
Utilisation de dispositifs certifiés CEI 61508
En fonction du niveau SIL requis, la norme CEI 61508 impose des exigences strictes en matière de conception, de prévention des défaillances et de test des équipements. Cela permet de s’assurer que les fabricants suivent un processus rigoureux et reproductible avec une responsabilité totale et des documents d’accompagnement.
Des tableaux sont fournis avec des techniques et des mesures pertinentes que les fabricants doivent suivre, afin de démontrer la conformité avec le niveau SIL correspondant.
Technique/mesure |
Voir |
SIL 1 | SIL 2 | SIL 3 | SIL 4 |
Contrôle de la séquence du programme | A.9 | HR low |
HR low |
HR medium |
HR high |
Détection des défaillances par la surveillance en ligne | A.1.1 | R low |
R low |
R medium |
R high |
Tests par matériel redondant | A.2.1 | R low |
R low |
R medium |
R high |
Port d’accès de test standard et architecture « boundary-scan » | A.2.3 | R low |
R low |
R medium |
R high |
Protection du code | A.6.2 | R low |
R low |
R medium |
R high |
Matériel divers | B.1.4 | - low |
- low |
R medium |
R high |
CEI 61508-2010 tableau A.15 – Techniques et mesures de contrôle des défaillances systématiques dues à la conception du matériel
Le tableau ci-dessus est un exemple parmi d’autres, chacun d’entre eux se concentrant sur un aspect particulier de la conception.
En fonction du niveau SIL requis, chaque technique/mesure comprend une indication afin de savoir si elle est obligatoire (Mandatory, M), hautement recommandée (Highly Recommended, HR), recommandée (Recommended, R) ou non recommandée (Not Recommended, NR). Le tableau présente également l’efficacité requise de la mesure vis-à-vis des défaillances systématiques.
Les dispositifs certifiés CEI 61508 font l’objet d’un audit par un tiers accrédité de toutes les exigences de conformité, afin de garantir que toutes les techniques et mesures correspondantes de conception, d’essai et de documentation ont été appliquées de manière appropriée par rapport au niveau SIL.
Les certificats SIL doivent indiquer le niveau SC correspondant.
Dispositifs éprouvés par une utilisation antérieure
Un consensus pourrait être qu’une utilisation fiable de l’appareil est justifiée si un utilisateur particulier dispose d’une grande expérience de l’appareil et que le taux de défaillance est suffisamment faible.
Toutefois, pour justifier totalement cela, on pourrait supposer que l’utilisateur doit disposer d’un système performant pour documenter entièrement TOUTES les défaillances et tous les modes de défaillance, ainsi que d’un contrôle strict des versions du matériel et du logiciel qui pourraient avoir un impact sur l’expérience passée. De plus, pour garantir la cohérence des données, toute nouvelle application proposée doit présenter des conditions de fonctionnement similaires aux données d’historique.
La clause 11.5.3 de la norme CEI 61511 spécifie les exigences relatives à la sélection des appareils sur la base d’une utilisation antérieure.
« Des preuves pertinentes doivent être disponibles afin de démontrer que les appareils sont adaptés à une utilisation dans le système de sécurité actif, notamment :
- la prise en compte des systèmes de qualité, de gestion et de gestion de la configuration du fabricant
- l’identification et la spécification adéquates des appareils
- la démonstration des performances des appareils dans des environnements de fonctionnement similaires
- le volume de l’expérience de fonctionnement. »
Les niveaux SIL plus élevés imposent des exigences supplémentaires à la justification d'utilisation antérieure, en particulier lorsque des logiciels sont inclus.
Il peut être très difficile pour un utilisateur final de fournir une justification d'utilisation antérieure et, de ce fait, de nombreux utilisateurs finaux profitent du nombre croissant de dispositifs certifiés CEI 61508 pour démontrer la capacité systématique.
La démonstration de la capacité systématique ne prouve pas en soi la réalisation de l’objectif SIL. Il convient également de tenir compte de l’intégrité du matériel aléatoire et des contraintes architecturales.