Scurit des machines, procds et infrastructures

Dmarche et solutions de mise en uvre

Sommaire
04 06 08
Les directives europennes et les normes La scurit fonctionnelle Les machines et les normes de scurit
Exemple dune machine dtalonnage Exemple dune machine - analyse Exemple dune machine - conception Sistema, outil dvaluation du niveau de performance

22

Les procds industriels et les normes de scurit

Procds industriels - la directive Seveso Procds industriels - la norme EN 61511 Exemple de rnovation dune unit de production chimique Exemple de rnovation - analyse Exemple de rnovation - conception Exemple de rnovation - synthse et recommandations

36 42

Les infrastructures et les normes de scurit

Exemple de la centralisation dun rseau dcluses Exemple dun systme de dtection des vents sur un rseau ferr

Les solutions Schneider Electric

Fonctions de base dun systme de scurit Architectures machines Architectures procds Architectures infrastructures

52

Les services experts en scurit de Schneider Electric

En tant que fournisseur dquipements et partenaire dans le domaine de la scurit, nous souhaitons vous accompagner avec ce guide sur les dernires volutions des directives scurit dans les domaines de la machine, des procds et des infrastructures ainsi que sur les normes qui les mettent en application. Nous avons particulirement veill mettre laccent sur la dmarche et les points essentiels afin de vous sensibiliser au respect dune mthodologie. Nous avons galement illustr lensemble de nos propos par des exemples pour montrer concrtement comment nous pouvons vous assister tout au long de vos projets et vous faire partager notre savoir-faire.

machines

industrie

infrastructures

Les directives europennes et les normes

Une directive est un acte juridique communautaire tabli par le Conseil de lUnion europenne. Les tats membres doivent transposer la directive dans leur droit national. Les directives sont publies au Journal Ofciel des Communauts Europennes. La surveillance des entreprises est assure par les services dinspection du travail ou de la DREAL. Lorsquune machine ou un procd nest pas conforme aux exigences essentielles de la directive, trois types de sanctions sont susceptibles dtre mises en uvre : - une sanction administrative consistant procder au retrait du produit du march europen, - une sanction judiciaire avec mise hors service de la machine ou du procd non conforme, - des sanctions pnales lencontre du fabricant et de lutilisateur. Les directives sont spciques au secteur dactivit, elles dcoulent des diffrents traits qui ont rig des droits fondamentaux. Le tableau (Fig.1) rsume les directives et les normes applicables aux fonctions de scurit.

Si la conformit dune machine neuve est de la responsabilit du constructeur, la mise en exploitation et les modications sont du ressort des utilisateurs. Ils doivent, chaque fois quune volution est engage, dmontrer que les directives sociales, voire environnementales sont respectes et que le niveau de scurit est conserv. Une norme est une spcication technique approuve par un organisme reconnu. Son application nest pas obligatoire. Une norme harmonise est une norme labore par un organisme europen de normalisation sur la base dun mandat dlivr par la Commission Europenne. Elle est publie au Journal Ofciel de lUnion Europenne et respecte la directive par rapport laquelle elle est rdige. Pour le produit ou le systme qui est construit conformment cette norme, elle lui confre prsomption de conformit aux exigences essentielles de scurit concernes. Parmi les normes cites ci-dessous, seules les EN/ISO 13849 et EN 62061 sont harmonises, les autres normes telles quIEC sont reconnues comme de bonnes pratiques. La norme scurit fonctionnelle EN 61508 est gnrique, elle sert de rfrence aux normes sectorielles qui sont plus faciles apprhender.

Droits fondamentaux de lUnion Europenne

Libre circulation

Protection des travailleurs

Protection de lenvironnement , des personnes et des biens Directives Seveso II 2008/99/CE 96/82/CE

Directives de lUnion Europenne

Directives machines 2006/42/CE

Directives sociales 89/391/CE

Secteur dactivit

Constructeur de machines

Utilisateur intgrateur

Utilisateur intgrateur

Fig.1 Rsum des directives et normes applicables aux fonctions de scurit

Normes fonctions de scurit Norme gnrique EN 61508 Normes harmonises EN/ISO 13849 EN 62061 EN/ISO 13849 EN 62061 EN 61508 EN 61511

La scurit fonctionnelle
Rduire le risque demande la mise en uvre dun ensemble de moyens et de prescriptions qui concourent obtenir un niveau de scurit acceptable. Si les protections passives (murs denceinte, capots de protections...) ne sont pas sufsantes, des systmes automatiss doivent tre ajouts. Ils scurisent laccs et le fonctionnement des machines ou des procds pour que loprateur puisse travailler en scurit.

La norme EN 61508 et les systmes de scurit fonctionnelle

Les systmes de scurit sont des sous-ensembles qui viendront en parallle des automatismes de contrle/commande. Ils complteront les autres protections pour assurer le niveau de scurit requis. La norme EN 61508 prcise sous le terme de scurit fonctionnelle des rgles pour raliser ces sous-ensembles et les exigences quant leur fonctionnement. Ces sous-ensembles assurent une fonction dnie. Ils sont constitus dune chane complte tels que les capteurs, les circuits lectriques et lectroniques, les interverrouillages et les moteurs (voir Fig.2). Scurit fonctionnelle ensemble des moyens concourant la scurit

Analyse et prescriptions > concept > dnition de lapplication > analyse de danger et de risques > prescriptions globales de scurit

Ralisation > spcication des fonctions de scurit > conception et dveloppement > intgration > procdures dexploitation et de maintenance > validation Mise en service > installation > tests de validation

Exploitation > maintenance > modication et volution > dmantlement Fig.3 Phases du cycle de vie

autres technologies

systme instrument de scurit (SIS)

externes

Fig.2 Illustration de la scurit fonctionnelle

Scurit fonctionnelle instrumente

Le l conducteur de la scurit fonctionnelle

Les grandes lignes qui ont conduit llaboration des directives sont : - une approche base sur le risque pour dterminer les exigences dintgrit de la scurit des systmes. - la prise en compte de toutes les phases du cycle de vie du systme. Celles-ci comprennent (Fig.3) : la conception initiale, en passant par lanalyse et lvaluation des risques, le dveloppement des exigences de scurit, la spcication, la conception des systmes, limplmentation, la mise en service, lexploitation et la maintenance, la modication, le dmantlement nal et la mise au rebut. - le concept de scurit fonctionnelle qui prend en compte un ensemble complet assurant une fonction de scurit. Ces fonctions sont composes de sous-ensembles qui sintgrent dans le systme de scurit. - des exigences pour se prmunir des pannes et pour garantir la scurit en prsence de pannes. - la formalisation des processus de dcision touchant la scurit, des mthodes employes et de la mise jour des documents.

verrouillage mcanique

fonctions instrumentes F1 F2 Fn

mur capot

fonction

capteur traitement

actionneur

Mise en uvre de la scurit fonctionnelle

Pour faciliter la comprhension de la dmarche, nous allons prsenter la mise en uvre de la scurit fonctionnelle travers deux exemples : une machine et un procd industriel. Le propos nest pas de dtailler les calculs, mais de prsenter les difcults et les points essentiels qui permettent au lecteur dorienter ses choix darchitecture de systme et ventuellement de solliciter des conseils.

Les machines et les normes de scurit

Le contexte
Selon quil sagit dune machine neuve ou de la modication dune machine existante, les responsabilits sont endosses par des personnes diffrentes.

Construction dune nouvelle machine

Lapplication des directives machines 2006/42/CE est obligatoire. En se conformant aux normes harmonises de scurit, le constructeur obtient une prsomption de conformit pour sa machine. Il peut donc apposer le marquage e et vendre dans la CEE. Le tableau ci-dessous (Fig.4) prsente deux normes de type B applicables la scurit des machines et de leurs automatismes. Elles sont compltes des normes type C, spciques certaines machines (presses, robots...). La mise en uvre de ces normes est dtaille partir dun exemple concret au chapitre suivant. Si ces normes sont exigeantes, elles offrent une mthode utile pour dvelopper la scurit. En intgrant leurs contraintes en amont de la conception, le constructeur optimisera la part relative la scurit. En effet, une protection mcanique simple, telle quun verrouillage de laccs une partie dangereuse associ des constituants de scurit standards, peut tre facilement mis en uvre sans ncessairement faire appel des systmes dautomatisme complexes.

Modication dune machine existante

Celui qui ralise une modication prend la responsabilit du constructeur (OEM) et doit garantir la conformit du rsultat.

Directive machines europenne 2006/42/CE

Type A normes sur les notions fondamentales EN 14121, EN 12100, EN 1050

Type B normes gnriques sur les machines EN/ISO 13849-1 ou EN 62061

Type C normes spciques

Certication et marquage e selon la directive machines

Fig.4 Normes appliquer pour la conception de la scurit des machines et de leurs automatismes.

Les machines et les normes de scurit

exemple

Exemple dune machine dtalonnage de produits lectriques

Description de lapplication
Cette machine spciale dtalonnage de produits lectriques comporte un convoyeur dentre, un poste de rglage, un poste de contrle et un convoyeur de sortie.

Prestation de Schneider Electric

Le constructeur souhaite mettre sa machine en conformit avec la directive machine. La conception est en cours, lexpert scurit de Schneider Electric participe en amont ds lanalyse des risques. Nous allons dcrire la dmarche qui comporte deux phases : > Lanalyse Elle comporte cinq grandes tapes (gure 5) dcrites dans les normes EN 14121 et EN 12100. Litration de ces tapes est ncessaire pour matriser les phnomnes dangereux. > La conception du systme Selon les technologies mises en uvre le concepteur choisira la norme EN/ISO 13849-1 ou EN 62061.

10

EN 14121

Dbut

tape 1

Dtermination des limites de la machine

tape 2

Identication des phnomnes dangereux

Phase danalyse

tape 3

Estimation du risque

tape 4

Evaluation du risque

oui La machine est-elle sre ?

non
tape 5

EN 12100 Rduction des risques > mesures de conception > fonctions complmentaires > information du personnel

Phase de conception

EN/ISO 13849-1 ou EN 62061 Conception du systme de contrle/commande relatif la scurit

Fig.5 Les tapes dapprciation du risque

11

Les machines et les normes de scurit

exemple

tape 1

Dtermination des limites de la machine

Les limites de la machine ont t identies en prenant en compte sur lensemble du cycle de vie : - lusage normal (substances utilises, cadences... ), - le mauvais usage possible (utilisation hors spcication... ), - les limites despace (environnement, accs... ), - les limites de temps (dure de vie, priodes dentretien... ).

tape 2

Identication des phnomnes dangereux

Cette phase commence par lanalyse des zones de travail et des tches ralises par loprateur de production, le rgleur et les personnes de maintenance : - chargement/dchargement des produits (dmarrage, arrt, arrt durgence, redmarrage), - changement de srie (modication des paramtres de tests), - nettoyage, maintenance prventive, - maintenance corrective, rglage. > identication des oprations dangereuses Elle est ralise ensuite partir dune check-list de phnomnes dangereux fournie par les normes EN 12100 et EN 14121. La gure 6 en illustre quelques-uns. Dans notre cas elles seront essentiellement dordre mcanique et lectrique avec une attention particulire pour un laser de marquage. > Les scnarios daccidents Lors de lanalyse, nous avons identi 22 scnarios daccidents. Nous allons dcrire seulement ceux qui concernent le poste de transfert. Il est plus parlant de prsenter un scnario extrait de cette analyse qui conduit estimer les risques (voir Fig.7).

Fig.6 Les principaux phnomnes dangereux et leurs risques

12

tape 3

Estimation du risque
La norme EN 14121-1 dnit le risque comme tant le produit de la gravit du dommage possible par la probabilit doccurrence. Celle-ci tant la combinaison de trois critres : - exposition de la ou des personnes au phnomne dangereux, - risque dapparition dun phnomne dangereux, - possibilit dviter ou de limiter le dommage. Risque Gravit du dommage possible Probabilit doccurrence

Les risques correspondant chaque phnomne dangereux doivent tre estims pour chaque tche de la phase de vie. Lors de cette analyse, nous avons identi 22 risques, par simplication nous allons en dcrire un seul. Fig.7 Identification des risques sur le poste de transfert.
(1)

Ces numros correspondent aux tapes mentionnes dans la figure 5.

Etape 2 : Zone dangereuse identication Tche/opration des phnomnes Phnomne dangereux dangereux(1) Situation dangereuse vnement dangereux

Transfert Opration/cycle normal Ecrasement Accs dune personne dans la zone de transfert, proximit des actionneurs aliments Accs ou contact avec des pices en mouvement en raison de labsence de protecteur Srieux Probable

Etape 3(1)

Dommages malgr la prsence de protections Probabilit doccurrence du dommage

tape 4

Evaluation du risque
Malgr la prsence de protections mcaniques, un risque rsiduel lev persiste. Il se dduit des deux lignes du tableau 7 en utilisant la matrice de risque propose par la norme EN 14121-2. Fig.8 Matrice de risque utilise dans le projet Probabilit doccurrence du dommage trs probable probable improbable rare Gravit du dommage catastrophique leve leve moyenne faible srieuse leve leve moyenne faible modre leve moyenne faible ngligeable mineure moyenne faible ngligeable ngligeable

Une phase prliminaire ayant x le niveau de risque tolrable, cette analyse dmontre la ncessit dutiliser des moyens supplmentaires pour rduire le risque. Il est dcid dajouter une fonction de scurit.

13

Les machines et les normes de scurit

exemple

tape 5

Rduction des risques

La norme EN 12100 mentionne la notion de risque tolrable comme tant la valeur accepte par lensemble des parties prenantes (Fig.9). Les moyens mettre en uvre pour rduire les risques sont de trois ordres : - les mesures prises lors de la conception de la machine pour supprimer les risques tels que les protections par carters, - des fonctions de scurit complmentaires au cas o les autres mesures ne seraient pas sufsantes, - les informations de scurit aux utilisateurs (afchage de consignes et formation des oprateurs). Dans notre cas le risque rsiduel est trop lev. Il est dcid de mettre en uvre une fonction de scurit complmentaire.
systme sans rduction de risque

svrit

risque initial inhrent lactivit

risque rsiduel

nive

au d e risqu e tolrable

obtenu par des mesures de rduction des risques frquence

Fig.9 Rduire le risque un niveau tolrable

EN/ISO 13849-1

A
ce stade, il faut slectionner une mthode provenant de lune des deux normes applicables aux machines (EN/ISO 13849-1 / EN 62061). Comme ces deux normes se chevauchent, le choix est assez exible et dpendra souvent du contexte dutilisation. Elles ont cependant un positionnement diffrent selon les technologies dautomatisme de scurit utilises : > Technologie pneumatique, hydraulique, lectrique La norme EN/ISO 13849-1 sapplique, elle remplace la EN 954-1 en lui apportant plusieurs amliorations et surtout une cohrence avec lensemble des normes de scurit (Fig.10) : - elle classie les niveaux de risque en PL (Performance Level ou niveau de performance), - elle couvre les automatismes relais, les automates et contrleurs de scurit, les logiques pneumatiques, - elle sapplique gnralement aux machines autonomes et aux machines intgres aux procds manufacturiers.

Identier les fonctions de scurit

B C D E

Spcier les caractristiques

Dterminer le niveau de performance requis (PLr)

Concevoir la fonction de scurit

Dterminer le PL de la fonction

vrication PL u PLr
non

oui

Fig.10 Phases de la norme EN/ISO 13849-1

14

> Technologie lectrique, lectronique et lectronique programmable (E/E/EP) Dans ce cas la norme EN 62061 sapplique. Elle intgre entre autres la notion de scurit fonctionnelle. Elle dnit des SIL : Safety Integrity Level (Niveau dIntgrit de Scurit). Elle couvre les automatismes relais, les automates et contrleurs de scurit. > Choix de la norme appliquer pour notre tude Les fonctions tant peu complexes, le choix sest port sur la EN/ISO 13849-1. Cette norme prescrit un processus bas sur le mme concept que la norme EN 14121. Il est schmatis ci-contre (Fig.11). Les travaux danalyse raliss aux tapes 1 4 nous permettent de passer directement la phase C de lEN/ISO 13849-1 qui donne les rgles de calcul du PL requis. > Dtermination du niveau PL requis La norme sappuie sur le graphique de risque pour obtenir le niveau de performance PL (Performance Level) requis. Les paramtres prendre en compte sont : S gravit de la blessure - S1 blessure lgre (normalement rversible) - S2 blessure grave (normalement irrversible, y compris le dcs) F frquence et/ou dure dexposition au phnomne dangereux - F1 rare assez frquente et/ou courte dure dexposition - F2 frquente continue et/ou longue dure dexposition P possibilit dviter le phnomne dangereux ou de limiter le dommage - P1 possible sous certaines conditions - P2 rarement possible
lev

PLr

F1 S1 F2

P1 P2

a b

faible

P1 P2

1 P1 P2

c
S2 F1 F2

d e

P1 P2

Le tableau ci-dessous (Fig.12) rsume lvaluation de notre fonction. Poste de transfert : risque mcanique, contact avec un actionneur en mouvement Paramtre retenu Gravit de la blessure Frquence S2 F1 Justication Sectionnement du doigt Intervention machine ponctuelle (machine automatique) environ 1/jour Mouvement vitesse rapide

Fig.11 Dtermination du PL requis. Le chemin en rouge reprsente les paramtres retenus dans le cas du poste de transfert

Possibilit dvitement Niveau de performance requis

P2 PLd

Fig.12 Evaluation de la fonction de scurit

15

Les machines et les normes de scurit

exemple

Exemple dune machine > conception

canal 1 S1 Fin de course porte 1 S3 Fin de course porte 2 Traitement contrleur de scurit K1 Contacteur KM1 Coupure air mise lchappement

S2 Fin de course porte 1

S4 Fin de course porte 2 canal 2

K2 Contacteur KM1

Coupure air mise lchappement

Fig.13 Reprsentation par blocs

ouvert
S1

porte 1
S2

K1

ferm

ouvert
S3

K2
A1

porte 2
S4

Air M
A1 A2

EV1 EV2

ferm

Fig.14 Composants de la fonction de scurit

Conception dune fonction de scurit

Le niveau PLd de notre fonction est maintenant dtermin, nous allons la dcrire. Elle doit assurer lors dune ouverture de porte : - la coupure de lalimentation des pices nues sous tension, - la mise hors nergie des lments mobiles (coupure alimentation et mise lchappement air). Larchitecture est dabord reprsente sous forme de blocs diagramme de abilit (Fig.13). partir de cette reprsentation conceptuelle, le choix des composants est effectu et le schma est ralis (Fig.14) : - deux ns de course de scurit XC (S1 et S2), - un contrleur de scurit XPS-MP, - deux contacteurs standards LC1K dont le circuit de contrle est aliment en 24V (K1 et K2), - des lectrovannes (EV1 et EV2), commandes par les contacts auxiliaires des deux contacteurs en srie.

16

A2

Dterminer le PL de la fonction
ce point il est ncessaire de prsenter la mthode de calcul du PL. Le PL se dnit en terme darchitecture et de probabilit de dfaillance dangereuse par heure. Il est bas sur les paramtres suivants : - la catgorie de larchitecture, - la abilit des composants (MTTFd : temps moyen avant dfaillance dangereuse), - la couverture de diagnostic DC, - lestimation des dfaillances de cause commune (CCF). Le PL comporte 5 niveaux, pour notre exemple le niveau PLd est requis (Fig.15).

PL a b c d e

Probabilit de dfaillance dangereuse par heure

u 10-5 < 10-4 u 3 x10-6 < 10-5 u 10-6 < 3 x 10-6 u 10-7 < 10-6 u10-8 < 10-7

Fig.15 Niveaux de performances PL (extrait de la norme EN 13949-1)

> La catgorie de larchitecture utilise Cinq catgories dnissent le comportement en cas de dfaillance, cest ce niveau que la redondance des composants est prise en compte (Fig.16). De par le choix de larchitecture (Fig.14) qui comporte des composants redondants, la catgorie 3 sapplique.

cat. B 1 2 3 4

Comportement du systme
Une faute peut conduire une perte de la fonction de scurit Idem B, mais exigence dune meilleure abilit de la fonction scurit. Une faute peut conduire une perte de la fonction de scurit et la perte de la fonction de scurit est dtecte par le contrle. Si la faute est unique, la fonction de scurit est toujours assure. Laccumulation de dfauts non dtects peut conduire la perte de la fonction scurit. Quand des fautes surviennent, la fonction de scurit est toujours assure. Les fautes seront dtectes temps an de ne pas perdre la fonction de scurit.

Principe pour obtenir la scurit

Choix du composant appropri Choix du composant appropri Auto contrle

Redondance

Redondance + auto contrle

Fig.16 Les catgories darchitectures utilises

17

Les machines et les normes de scurit

exemple

> La abilit des composants MTTFd La abilit se mesure par le temps moyen avant dfaillance dangereuse du composant (Mean Time To dangerous Failure). Les composants sont combins en canaux, la norme EN/ISO 13849-1 propose une mthode de calcul du MTTFd dun canal partir du MTTFd de chacun de ses composants. Le MTTFd est compris entre 3 et 100 ans (Fig.17). Dans notre cas le calcul donne une valeur de 87 ans correspondant un indice lev. Les fabricants de composants doivent fournir ces donnes pour chacun de leurs produits. Indice Faible Moyen lev

Gamme
3 ans y MTTFd < 10 ans 10 ans y MTTFd < 30 ans 30 ans y MTTFd < 100 ans

Fig.17 Indice de fiabilit dun canal > La couverture de diagnostic DC Ce terme sexprime en pourcentage et dnit la capacit de diagnostiquer une dfaillance dangereuse. Par exemple, lors dun ventuel collage de contact NC dun relais, ltat du contact NO donnera une information errone louverture du circuit. Si le produit a des contacts NO et NC lis, le dfaut sera dtect. Lestimation se fait par analyse des modes de dfaillances et leurs effets. La norme reconnat quatre niveaux. Malgrs lutilisation dun contrleur de scurit disposant dune trs bonne couverture de diagnostic, la couverture de diagnostic de lensemble de la fonction de scurit est limite un niveau moyen par la mise en cascade des capteurs et la surveillance de la coupure dair (Fig.18). Couverture de diagnostic Nul Faible Moyen lev

Gamme
DC < 60 % 60 % y DC < 90 % 90 % y DC < 99 % 99 % y DC

Fig.18 Gamme de couverture de diagnostic

18

> Les dfaillances de cause commune CCF Il sagit ici des dfaillances pouvant impacter lensemble des fonctions comme une coupure de tension. Il faudra mettre en uvre des mesures pour maintenir le niveau de scurit lorsquelles se produiront. Le tableau ci-dessous numre les mesures et contient des valeurs associes, fondes sur une valuation dexpert. Pour chaque mesure liste, seuls les rsultats tout ou rien peuvent tre dclars. Si une disposition est partiellement ralise, le score rsultant est nul. La norme EN/ISO 13849 donne une mthode de notation dtaille dont nous donnons un extrait ci-dessous (Fig.19). Elle impose un score total qui doit tre au minimum de 65. Dans lexemple trait le score atteint 70.

Mesure contre les CCF

Sparation/Isolement Sparation physique entre les voies de signaux Diversit diffrents principes de conception/technologies ou principes physiques sont utiliss (ex : composants de diverses technologies, premier canal lectronique programmable et second canal cbl) Conception/application/exprience (protection surtensions, courant, etc., composants prouvs) Apprciation/analyse (ex. : analyse des modes de dfaillance) Comptence/formation Environnement : CEM, ltration des uides Environnement : tempratures, chocs, vibrations, humidit

Score maxi
15

Score ralis
15

20

20 5 5 25 10

20 5 5 25 0

Total
Fig.19 Groupes de mesures contre les CCF

100

70

Schneider Electric propose une large gamme de composants de scurit et de composants standards en capteurs, contrleurs et actionneurs. Un panorama de loffre de scurit est propos la n de ce document. Lensemble de loffre est prsent sur le site de lentreprise : www.schneider-electric.fr

19

Les machines et les normes de scurit

exemple

> Vrication du PL de la fonction Larchitecture de la fonction et les composants tant choisis, il reste maintenant dterminer le PL. La gure 20 rsume les diffrents lments du PL prsents dans les paragraphes prcdents.

Paramtre Catgorie darchitecture DC MTTFd CCF

Rsultat pour la fonction

3 96 % - lev (suprieur moyen pour Fig.21) 87 ans - lev 70

Fig.20 Composants du PL

Pour aider le concepteur orienter sa dcision, la norme propose un graphe de choix (Fig.21). Nous y avons entour les donnes de notre fonction, ce qui conduit un niveau suprieur ou gal PLd. Cette valeur correspond bien au niveau requis.

Niveau de performance PL

Depuis quelques annes, des bases de donnes communes se sont standardises. Elles intgrent les rgles prsentes au paragraphe prcdent et il devient plus simple de dterminer le PL dune fonction.

a b
catgorie

Fig.21 Graphe de choix du PL

c d e
MTTFd faible moyen lev

Catgorie darchitecture Couverture DC

B
nulle

1
nulle

2
faible

2
moyenne

3
faible

3
moyenne

4
leve

20

Sistema, outil dvaluation du niveau de performance

Fig.22 Capture dcran du logiciel Sistema

Les logiciels spcialiss de dtermination du PL

Plusieurs solutions logicielles sont apparues sur le march : - les solutions propritaires sous forme de feuilles de calcul ou de logiciels, - les solutions ouvertes telles que Sistema du BGIA. Sistema est un logiciel gratuit qui permet dvaluer le niveau de performance PL partir dune architecture dtermine par lutilisateur. Ce logiciel prend en charge des bases de donnes standardises fournies par diffrents fabricants. Schneider Electric met disposition une base de donnes pour ses produits de scurit directement exploitable dans Sistema. Lutilisation de Sistema dans notre exemple conrme le PL que nous avions calcul. Ce logiciel est disponible sur le site de Schneider Electric ladresse : http://xsl.schneider-electric.com
menus > utilitaires > bibliothques > bibliothques SISTEMA

Si le logiciel est dune aide importante, il reste essentiel de conduire en amont du projet lanalyse du risque. Cest une tape cl pour obtenir une machine sre et optimiser les fonctions de scurit ncessaires.

21

Les procds industriels et les normes de scurit

22

La directive 96/82/CE, appele aussi directive Seveso II, concerne la matrise des accidents majeurs pouvant survenir dans les procds potentiellement dangereux. Elle xe comme priorit la prvention et la rduction des risques la source.

Les accidents majeurs

Un accident majeur est un vnement tel que : - une mission de polluant, - un incendie, - une explosion, rsultant dune anomalie survenue au cours de lexploitation, entranant un danger grave, immdiat ou diffr pour : - la sant humaine, - lenvironnement, - lintrieur ou lextrieur de ltablissement.

La norme de scurit fonctionnelle EN 61511

Cette norme, applicable aux procds industriels, concerne les Systmes Instruments de Scurit (SIS) construits partir de technologies lectriques, lectroniques et lectroniques programmables. Elle est base sur deux concepts fondamentaux : - le cycle de vie complet du procd, - le niveau dintgrit de scurit (SIL : Safety Integrity Level) qui sera prsent dans lexemple sur la rnovation dune unit de production chimique (voir page 28).

Limportance de lorganisation comme cause daccidents

Sur la priode 1992-2006, les dfaillances dordre humain ou organisationnel sont lorigine de prs de la moiti des accidents [...]. (Fig.23) Source : bureau du ministre charg de lEnvironnement (Bureau dAnalyse des Risques et Pollutions Industrielles). Il est noter que les dfaillances proviennent en majorit de mauvaises spcications et des modications aprs mises en service. Il en dcoule la ncessit de travailler la scurit le plus en amont possible et de traiter non seulement lensemble du cycle de vie du procd, mais aussi lorganisation (processus de dcision, mthodes, gestion des documents) et les comptences du personnel.

20,6 %

44 % 14,7 %

5,9 % 14,7 %

44 % 14,7 % 5,9 % 14,7 % 20,6 %

Spcification Conception & implmentation Installation & mise en service Exploitation & maintenance Modifications aprs mise en service

Fig.23 Rpartition des causes de dfaillances. (Source ministre de lEnvironnement)

23

Les procds industriels et les normes de scurit

Procds industriels > la norme EN 61511

Le cycle de vie En reprenant les concepts de cycle de vie de la norme EN 61508, lEN 61511 prcise une mthodologie comportant 8 phases.
phase 1 phase 6

Analyse des dangers et des risques

- identier les risques associs aux vnements dangereux - dnir le niveau de risque acceptable et la rduction de risque ncessaire phase 2

Exploitation et maintenance
- sassurer que le niveau de scurit du SIS est conserv pendant lexploitation et la maintenance phase 7

Modications
- faire des corrections, des amliorations ou des adaptations au SIS - sassurer que le niveau de scurit nest pas dgrad et quil ny a pas de nouveau risque gnr phase 8

Allocation des fonctions de scurit aux couches de protection

- identier les couches de protection et leurs fonctions - allouer le niveau de scurit associ phase 3

Dclassement
- lors du dmantlement sassurer que le SIS reste appropri

Prescription de scurit, spcication du Systme Instrument de Scurit (SIS)

- spcier les exigences pour chaque SIS - allouer le niveau de scurit associ phase 4

La gestion de la scurit fonctionnelle

Pour garantir la qualit du travail de lensemble de ces phases il est ncessaire de mettre en uvre un management qui consiste : - tablir un planning global - dnir des tapes de vrication entre chaque phase - planier des audits

Conception et ingnierie du SIS

- concevoir les SIS - planication des essais phase 5

Installation, mise en service et validation

- intgrer et essayer les SIS - valider que les SIS satisfassent aux exigences de scurit

Les phases 1 et 2 sont dtailles page 26. Les phases 3 et 4 sont illustres par un exemple concret de ralisation dune fonction instrumente de scurit (FIS) page 28.

24

phase 1

Analyse des dangers et des risques

Allocation des fonctions de scurit aux couches de protection

Gestion de la scurit fonctionnelle Planication Vrication

phase 3

Prescription de scurit spcication du SIS

phase 2

phase 4

Conception et ingnierie du SIS

Conception et dveloppement des autres moyens de rduction de risque

phase 5 phase 6 phase 7 phase 8

Installation, mise en service et validation

Exploitation et maintenance

Modications

Dclassement

Fig.24 Le cycle de vie selon lEN 61511

25

Les procds industriels et les normes de scurit

phase 1

Analyse des dangers et des risques

Dnition du risque Le risque se dnit comme le produit de la frquence dapparition du phnomne dangereux par la svrit des dommages occasionns aux personnes et lenvironnement.
Risque Svrit des dommages Frquence dapparition

Lanalyse du risque comporte deux dimensions : - la probabilit doccurrence et les consquences du phnomne dangereux, - le comportement des personnes face au risque, leur comptence et leur capacit anticiper ou ragir en cas daccident. Des arrts nationaux, bass sur les directives europennes, dnissent des exigences pour les installations classes risque. Comme le risque zro nexiste pas, un niveau de risque acceptable doit tre dni. Le travail danalyse et dvaluation est gnralement ralis par une quipe multidisciplinaire sous lautorit de lingnieur responsable de la scurit de lentreprise.

Le risque tant valu, il convient ensuite didentier les moyens qui participent sa rduction. Ils sont aussi bien dordre organisationnel que matriel. En voici quelques exemples : - description du processus - plan de formation du personnel - plan dvacuation - enceinte de protection - systmes instruments de scurit (SIS) Ces moyens organiss en couches complmentaires contribuent obtenir le niveau de scurit requis (Fig.25).

Lexpertise de Schneider Electric intervient ds lanalyse de risque pour contribuer dnir les fonctions instrumentes de scurit (SIS).

Systme de contrle/commande SIS Plan dvacuation Enceintes de protection Plan de formation Description du processus

Niveau de scurit requis

Phnomne dangereux

Fig.25 Les moyens organiss en couches complmentaires

26

phase 2

Allocation des fonctions de scurit aux couches de protection

Chaque couche participe la prvention du risque (ex. abilit du systme, formation du personnel) ou la rduction de ses consquences (ex. enceinte de connement, soupape de scurit, plan dvacuation). Les SIS participent lune ou lautre. De la qualit du travail ralis dans cette phase dpendra la qualit du systme de scurit. Cette phase est de la responsabilit du client et fait appel de nombreuses comptences complmentaires capables dapporter leur expertise sur chacune des couches qui contribuent la scurit. Sparation des couches Pour prvenir les dfaillances de cause commune (surtensions, CEM, perte dnergie...), la conception doit assurer que lindpendance entre les couches de protection et le systme de contrle/commande est sufsante. Lvaluation peut tre qualitative ou quantitative et doit prendre en compte : - lindpendance entre les couches de protection, - la diversit entre les couches de protection, - la sparation physique entre les diffrentes couches de protection, - les dfaillances de cause commune entre les couches de protection.
Risque rsiduel Risque tolrable Risque initial

Les systmes de scurit (SIS) Ils sont dnis aprs la mise en uvre des autres couches devant assurer la rduction du risque et contribuent atteindre les objectifs de scurit de lensemble (Fig.26). - Le niveau de scurit des SIS permet de donner une rponse adapte au niveau de SIL recherch. - Les SIS sont indpendants du systme de gestion du procd. Lexemple ci-dessous (Fig.27) montre la complmentarit dun SIS mettant le systme en scurit lors dune dfaillance du contrle/ commande.
Systme Instrument de Scurit (SIS) Action du SIS Seuil de scurit Seuil dalarme Systme de contrle/commande

Action du contrle/commande

Dans un automatisme, la partie spcique lie la scurit peut reprsenter 20 % du cot total, le reste tant assur par des produits standards. En prenant ces contraintes en amont ds la conception, il sera possible de rduire les cots lis la scurit, et de limiter ceux engendrs par la remise en conformit dune installation.

Fig.27 Exemple dintervention du SIS lors de la dfaillance du contrle/commande

niveau de risque
Rduction minimum requise Rduction effective du risque

Stratgie pour atteindre le niveau dintgrit requis (SIL) Un systme est confront deux principaux types de dfaillance : - les dfaillances matrielles alatoires. Malgr leur qualit les composants ne sont pas parfaits. Ils se caractrisent par leur taux de dfaillance ; - les dfaillances systmatiques. Elles sont plus difciles mesurer. Un dfaut logiciel par exemple se reproduira toujours dans les mmes conditions. La norme dnit des exigences pour tout le cycle de vie de la fonction de scurit. Les contraintes darchitecture et le calcul de la probabilit de dfaillance dangereuse sont deux exigences parmi dautres qui sont dveloppes dans les phases 3 et 4.

rduction et prvention des risques par lensemble des couches rduction Soupape de scurit prvention Systme Instrument de Scurit (SIS) prvention Systme de contrle commande

Scurit fonctionnelle

Fig.26 Exemple de participation des SIS la rduction du risque.

27

Les procds industriels et les normes de scurit

exemple

Exemple de rnovation dune unit de production chimique

Contexte
Il sagit, pour cette unit, de rnover lensemble des systmes de contrle/commande et de scurit et de se mettre en conformit avec les directives europennes sachant que ltablissement est class Seveso. Lexploitant souhaite proter de sa mise en conformit pour rengocier son contrat dassurance. Le procd tant existant, il est essentiel de minimiser limpact sur lensemble, la mise en conformit devant tre assure par la seule refonte du SIS. Ltude de danger est faite et le niveau de risque acceptable identi (phase 1 du cycle de vie). Lallocation des fonctions de scurit aux couches de protection est ralise (phase 2). Le client souhaite conserver intacte la partie procd et les scurits existantes telles que les vannes et autres protections (phase 2). Le niveau de scurit sera atteint laide du nouveau systme instrument de scurit (SIS) (phase 2). Sous lautorit du responsable HSE (hygine, scurit et environnement) Schneider Electric a t sollicit pour dnir et raliser un SIS et en particulier : - laider spcier les fonctions de scurit (phase 3 du cycle de vie) - les concevoir (phase 4) et dmontrer latteinte du niveau dintgrit requis.

Prestation de Schneider Electric

Schneider Electric a propos une prestation sur les phases 2 4. La mthode sappuie sur la norme EN 61511, bien adapte ce type dindustrie. partir dune des fonctions de scurit choisie comme exemple concret, nous allons dcrire la dmarche qui a conduit spcier (phase 3) puis concevoir son architecture et choisir ses composants (phase 4).

28

phase 3

Spcication du SIS Dnition de la fonction de scurit

La fonction analyse surveille la temprature dun racteur chimique. Elle a pour but danticiper le risque demballement de la raction qui entranerait le dconnement de gaz, dangereux pour les personnes. La fonction doit en cas de dpassement du seuil dangereux assurer les oprations suivantes : - couper llectrovanne de distribution dair, - arrter les pompes dalimentation des produits primaires, - ouvrir le refroidissement. Cette opration permet de redmarrer plus rapidement. Ltude amont (phase 1) ralise par le client a abouti - pour cette fonction de scurit une exigence dintgrit de scurit SIL2. Fig.28 Extrait des exigences pour la fonction de scurit surveillant la temprature du racteur

Prcision sur les exigences de scurit de la fonction

La norme EN 61511 requiert entre autres les points suivants : - la description de toutes les fonctions instrumentes, - lidentication et prise en compte des dfaillances de cause commune, - la dnition de tous les tats du procd, - les sources et le taux de sollicitation de la fonction, - les exigences pour les intervalles de tests priodiques, - les exigences de temps de rponse. Un extrait des exigences pour notre fonction est donn dans la gure 28.

Paramtre de la fonction
Description de la fonction de scurit

Caractristiques
Surveillance de la temprature dune raction chimique pour prvenir un emballement de la raction pouvant conduire des dommages. Si la T > 120 C dans le racteur il faut fermer les vannes et arrter les pompes dintroduction. Rare Contrle annuel, sauf pour les vannes qui peuvent tre testes mensuellement. De lordre de plusieurs secondes SIL2 mode faible sollicitation Mesures temprature par sonde de temprature PT100 + interface 4-20 mA Fermeture des vannes par coupure de llectrovanne de distribution air Coupure des pompes dintroduction par un contacteur Autorisation de marche si T < 120 C dans le racteur Acquittement manuel sur la scurit (tat sr) si T+ hystrsis < 120 C Arrt du procd, pas de nouveau risque gnr. Interface avec automate du contrle/commande et de la supervision.

Frquence de sollicitation de la fonction de scurit Intervalle de test priodique Temps de rponse du systme de scurit Niveau dintgrit de scurit souhait Acquisition des mesures Action des sorties Relation fonctionnelle entre les entres et les sorties de la fonction Retour en mode normal Consquences dune activation intempestive de la fonction de scurit Interface avec les autres systmes

Reprsentation structurelle de la fonction

ce stade la structure de la fonction est dnie et reprsente gure 29. Bien que louverture du refroidissement soit commande par lautomate de scurit, elle nentre pas dans la chane de scurit.

Capteur Automate Programmable de Scurit (APS)

Coupure arrive dair Coupure pompes Ouverture refroidissement

Fig.29 Fonction de surveillance de temprature du racteur chimique

29

Les procds industriels et les normes de scurit

exemple phase 4

Conception et ingnierie du SIS Dtermination du niveau SIL de la fonction de scurit

La structure de notre fonction de scurit tant dnie (Fig.29), nous allons passer en revue les paramtres ncessaires au calcul du niveau dintgrit SIL. Nous donnerons en n de chapitre le rsultat de ces calculs sans en prsenter les dtails, leur dveloppement sortirait du cadre de cet ouvrage. La mthode sappuie sur deux notions : La tolrance aux anomalies du matriel (HFT) Elle concerne larchitecture. Par exemple, deux capteurs monts en srie auront une meilleure tolrance aux pannes quavec un seul. Si un contact reste coll, le deuxime assurera louverture. (Fig.30) capteur 1 Fig.30 Exemple de tolrance aux pannes de deux contacts en srie

Tolrance aux anomalies du matriel (HFT)

Les dfaillances se rpartissent en deux catgories : - les dfaillances systmatiques Comme nous lavons vu en phase 1, elles proviennent derreur de conception ou dexploitation. Leur rduction passe par la rigueur des mthodes employes et la formation du personnel, - les dfaillances alatoires de la fonction Leur prise en compte dbouchera sur le choix darchitecture. Le calcul se base sur les quatre lments suivants :
> La proportion de dfaillance en scurit SFF

capteur 2

La premire tape consiste valuer les consquences dune dfaillance (Fig.31). - la dfaillance est sre si elle ne met pas le systme dans un tat dangereux lors dun dfaut, - la dfaillance est dangereuse si elle conduit le systme est dans un tat potentiellement dangereux ou si elle rend la fonction de scurit inoprante.

La probabilit de dfaillance des fonctions aux sollicitations (PFH ou PFD). Cette exigence quantitative est base sur des calculs probabilistes retant le comportement du SIS en cas de dfaillance de ses composants.

D= DD+ DU

DD

DU

Fig.31 Proportion de dfaillance en scurit SFF

S
D Taux de dfaillances dangereuses par heure S Taux de dfaillances sres par heure DD Taux de dfaillances dangereuses dtectes DU Taux de dfaillances dangereuses non dtectes

30

Ensuite, il faudra vrier si les dfaillances peuvent tre dtectes ou non. Nous arrivons ainsi au calcul du SFF (Safe Failure Fraction) qui se dnit comme le rapport du taux de dfaillances sres ou dtectes sur le taux global. SFF = (s + DD) / (s + D) Ce taux sexprime en % et traduit la capacit du systme passer en position sre en cas de dfaut, soit intrinsquement, soit par action spcique sur dtection de defaillance.
> La couverture du diagnostic (DC)

les sous-systmes de type B (Fig.33). Ces quipements plus complexes (ex : lectronique fortement intgre, lectronique programme) ne bncient pas dun retour dexprience permettant de matriser tous leurs modes de dfaillance.

Proportion de dfaillances en scurit (SFF)

< 60 % 60 % - 90 % 90 % - 99 % > 99 %

Tolrance aux anomalies matrielles (HFT) 0

non autoris SIL 1 SIL 2 SIL 3

1
SIL 1 SIL 2 SIL 3 SIL 4

2
SIL 2 SIL 3 SIL 4 SIL 4

Cest le taux des dfaillances dtectes divis par le taux total de dfaillance de la fonction, il sexprime en %. DC=dd / d Par exemple, la surveillance dun contact auxiliaire plac sur une vanne permet de contrler ltat de la vanne, et de dtecter son coincement.
> La redondance

Fig.33 Sous-systme type B. Pour atteindre le niveau SIL2 avec un SFF < 90 %, il faut un systme redondant. Dans notre exemple o la valeur SIL2 est requise il sera possible de latteindre avec des produits lectromcaniques. Il est noter que les fonctions lectroniques redondantes intgrent souvent des logiques de dtection qui amliorent le SFF.

La norme classie la tolrance aux anomalies matrielles HFT en trois niveaux : 0-une seule dfaillance conduit la perte de la fonction de scurit. 1-le systme tolre 1 dfaillance sans perdre la fonction de scurit. 2-le systme tolre deux dfaillances sans perdre la fonction de scurit.
> Le type dquipement ou sous-systme

Nous utiliserons ici les critres de la EN 61508 qui reconnat deux types dquipements : les sous-systmes de type A (Fig.32). Ce sont des quipements simples dont le comportement et les modes de dfaillance sont connus, et sur lesquels il y a un retour dexprience. Un contacteur, un bouton poussoir entrent dans cette catgorie.

Proportion de dfaillances en scurit (SFF)

< 60 % 60 % - 90 % 90 % - 99 % > 99 %

Tolrance aux anomalies matrielles (HFT) 0

SIL 1 SIL 2 SIL 3 SIL 3

1
SIL 2 SIL 3 SIL 4 SIL 4

2
SIL 3 SIL 4 SIL 4 SIL 4

Fig.32 Sous-systme type A (selon EN 61508). Le niveau SIL2 avec un SFF > 60 % est atteint sans redondance. noter que pour les procds la valeur se limite SIL3.

31

Les procds industriels et les normes de scurit

exemple phase 4

Conception et ingnierie du SIS (suite)

La probabilit de dfaillance de la fonction en cas de sollicitation (PFH, PFD)

En cas de dtection dun dfaut le systme ragira-t-il ? Pour rpondre cette question, la norme reconnat deux situations : - le systme est rarement sollicit, la probabilit se mesurera par sollicitation (PFD). Cest le cas de notre exemple ou une mesure de temprature anormale sera rare. La norme EN 61511 considre ce mode comme une sollicitation qui intervient moins dune fois par an, ce qui est bien le cas de la fonction que nous tudions. - le systme est sollicit en continu, la probabilit se mesurera par heure (PFH). Cest le cas dune ouverture de grille de scurit sur une machine. Le tableau (Fig.35) donne la valeur du PFD en fonction de lexigence SIL. Par exemple, il est accept dans le cas de SIL1, que le systme ne fonctionne pas une fois sur 10 et SIL 3 1 fois sur 1000.

SIL Facteur de rduction du risque

4 3 2 1 100 000 10 000 10 000 1 000 1 000 100 100 10

Probabilit de dfaillance la sollicitation PFD

10-5 y PFD < 10-4 10 y PFD < 10
-4 -3

Probabilit de dfaillance dangereuse par heure PFH

10-9 y PFH < 10-8 10-8 y PFH < 10-7 10-7 y PFH < 10-6 10-6 y PFH < 10-5

10-3 y PFD < 10-2 10-2 y PFD < 10-1

Fig.35 Slection du PFD pour un niveau SIL2

Analyse fonctionnelle
partir de la spcication de la fonction (voir phase 3), le systme est dcompos en sous-systmes selon la gure 36 : - le sous-systme capteur assure la fonction mesure, - le sous-systme logique assure la fonction traitement, > - le sous-systme lment nal assure la fonction mise en scurit. Dtection Traitement logique Actionneurs

Capteur Automate Programmable de Scurit (APS)

Coupure arrive dair Coupure pompes Ouverture refroidissement

Fig.36 Dcomposition de la fonction en sous-systmes

32

La description dtaille de ces sous-systmes aboutit au choix des composants illustrs par la gure 37, dont les produits Schneider Electric suivants : - un automate de scurit Quantum Safety niveau SIL3, pour la gestion de lensemble des fonctions de scurit, - des contacteurs Tesys D. La partie logicielle de lautomate est galement aborde dans cette tape (spcication logicielle et analyse organique). Automate (APS) Coupure arrive dair Fig.37 Ralisation de la fonction de scurit Capteur Coupure pompes

Ouverture refroidissement

> Diagrammes de abilit

Cest un diagramme logique qui permet de dterminer le dysfonctionnement du systme partir des dysfonctionnements possibles des composants. Pour notre exemple, le bloc-diagramme de abilit est reprsent ci-dessous. (Fig.38) Coupure arrive dair Coupure pompes

Capteur

APS

Fig.38 Diagramme de fiabilit de la fonction de scurit

> Donnes de abilit

Les donnes de abilit qui seront utilises par la suite proviennent des fournisseurs, des avis dexperts, ou des recueils de donnes de abilit.

33

Les procds industriels et les normes de scurit

exemple phase 4

Conception et ingnierie du SIS (suite)

Calcul du niveau dintgrit de scurit (SIL)

Tous les lments sont runis pour aboutir au calcul du niveau SIL de la fonction : - larchitecture et les composants sont dnis - les donnes de abilit sont disponibles - la mthodologie est dcrite. Les calculs qui ne sont pas dtaills aboutissent aux deux tableaux de rsultats suivants :
> La tolrance aux anomalies du matriel (HFT)

Le niveau dintgrit de scurit de la fonction est dtermin par le soussystme qui satisfait le niveau le plus bas, comme la vanne et le contacteur de pompe permettent un niveau SIL1, le niveau de la fonction sera limit SIL1 (Fig.39).

Sous-systme
Capteurs temprature APS Actionneurs Actionneurs Le rsultat nest pas conforme au cahier des charges qui exige un niveau SIL2 pour notre fonction de surveillance de la temprature du racteur chimique.

lment
PT100, transmetteur Quantum Safety Vanne Contacteur Pompe

SFF
64 %

HFT
0

Intgrit de scurit
SIL2 SIL3

15 % 27 %

0 0

SIL1 SIL1

Fig.39 Rsultats des calculs SFF et HFT

> La probabilit de dfaillances dangereuses de la fonction (PFD)

Aprs calcul, le PFD de la boucle est de 1.59E-02 ce qui correspond un niveau dintgrit SIL1 (Fig.40).

Composant
Capteurs temprature APS Actionneurs Actionneurs

Type
PT100, transmetteur Quantum Safety Vanne Contacteur Pompe

PFD moy
1.15E-02 1.50E-04 3.94E 3.20E
-03 -04

Contribution
72 % 1% 24 % 2% 100 %

Somme de la boucle complte Fig.40 Rsultats des calculs PFD

1.59E-02

34

Synthse et recommandations
Le niveau SIL1 atteint ntant pas sufsant il faudra donc faire des modications plus substantielles. Lexpert de Schneider Electric a propos plusieurs pistes pour atteindre le niveau SIL2 :
> Le capteur de temprature

- augmenter la frquence des tests priodiques, - ajouter un deuxime capteur en redondance, - utiliser le capteur du contrle/commande pour vrier la cohrence avec la mesure du capteur de scurit. Cette solution, qui maintient lindpendance des couches de protection, permettrait datteindre un PFD de 5.5E03.
> Les actionneurs

- mettre en redondance les contacteurs de pompe pour amliorer la tolrance aux dfaillances (HFT) et atteindre le niveau SIL2, - instrumenter la vanne pour dtecter la position et la faire surveiller par lautomate de scurit, - mettre des vannes en redondance. La mise en uvre de ces volutions capteurs et actionneurs permet de respecter les contraintes SIL2, tant du point de vue de la tolrance aux fautes (HTF) que du point de vue probabiliste (PFD), et datteindre le niveau dintgrit de scurit requis.

35

Les infrastructures et les normes scurit

36

Les exigences de scurit dans les infrastructures

Selon les secteurs dactivit, les exigences de scurit sappuient sur les normes sectorielles. Si elles nexistent pas, la norme gnrique EN61508 simpose. Plusieurs secteurs comme le ferroviaire ont toujours t en pointe dans le domaine de la scurit. Ils disposent de comptences fortes appuyes sur un ensemble normatif trs prcis adapt leur mtier (Fig.41).

Normes
EN 50126

Applications
Spcication et dmonstration de abilit, disponibilit, maintenabilit et scurit (FDMS). Systmes de signalisation, de tlcommunication et de traitement - Logiciel pour les systmes ferroviaires de commande et de protection. Systmes de signalisation, de tlcommunication et de traitement - Systmes lectroniques de scurit pour la signalisation.

EN 50128

EN 50129

Le contenu minimum du PSO (Annexe 2 extrait de la directive) est de : - recenser des points dinfrastructure importants, - conduire une analyse de risques, - identier, slectionner et dsigner des contre-mesures.

Fig.41 Normes ferroviaires pour les fonctions de scurit des systmes lectriques et lectroniques.

Besoins des infrastructures

Si les infrastructures couvrent des domaines trs divers rgis par des rgles propres, les mthodes de rduction des risques restent proches. La scurit fonctionnelle conserve les mmes dnitions. Les besoins prsentent des similitudes quant au choix des automatismes : - des installations tendues, - de fortes contraintes de continuit de service. Nous allons illustrer ltude de fonctions de scurit par deux exemples.

La directive sur les infrastructures critiques europennes

Depuis 2008, la directive 2008/114/CE impose le recensement des Infrastructures Critiques Europennes (ICE) qui doit tre termin au plus tard le 12 janvier 2011. Cette directive : - donne des rgles de recensement, - dnit un plan de scurit doprateurs (PSO), - impose un correspondant par ICE. La liste initiale, limite aux secteurs du transport et de lnergie, stend ce jour des domaines tels que les technologies de linformation, leau, lalimentation, la sant, lindustrie chimique, lespace...

37

Les infrastructures et les normes de scurit

exemple

Exemple de centralisation dun rseau dcluses

Contexte
La scurit des cluses est gre localement en utilisant une technologie lectromcanique. Tout en conservant la gestion locale, le client souhaite un systme de surveillance et de contrle centralis de lensemble. La scurit des personnes et des biens doit tre respecte. Il doit particulirement tre pris en compte les risques daccidents et dincendie dans les cluses. Le systme de scurit doit respecter la norme de scurit IEC 61508 avec un niveau dintgrit de SIL3. Un haut niveau de disponibilit est requis.

Prestation
Un expert de Schneider Electric certi TV accompagne le client de la phase danalyse jusqu la mise en service des premires cluses en assurant les prestations suivantes : - spcication des fonctions de scurit, - tude de lallocation du SIL adapt au juste ncessaire pour chaque fonction, - proposition darchitecture, - analyse des modes de dfaillance (AMDE), - valuation SIL : contraintes architecturales et probabilistes. En complment de ces tudes, Schneider Electric a ralis : - la programmation, - les tests en plateforme et de validation de la solution, - la mise en service, - la formation des oprateurs et du personnel de maintenance.

38

Solution mise en uvre

Venant en complment des systmes de scurit locaux, les fonctions de scurit dveloppes concernent : - la gestion des arrts durgence distance - la gestion des vannes de dluge distance Le systme est ralis partir dune architecture dautomates programmables de scurit Schneider Electric communiquant travers une boucle optique. Cette architecture (voir le principe Fig.46) permet datteindre le niveau SIL3 requis et assure : - une haute disponibilit, - la abilit des communications entre les postes via le protocole safeEthernet - la gestion des modes de pilotage site ou distant, - la redondance des calculs et de toutes les acquisitions, - le diagnostic rapide par la mise disposition de lensemble des informations au niveau du poste de supervision via le protocole Modbus TCP/IP. Toutes les informations sont gres par le mme rseau Ethernet cbl en anneau. > Le cycle de vie du projet de scurit Ce cycle de vie est articul autour des phases ci-dessous : - dnition de larchitecture et rdaction du dossier de tests de validation, - conception des fonctions de scurit et rdaction du dossier de tests dintgration, - conception dtaille et rdaction du dossier de tests unitaires, - tests unitaires et compte-rendu associ, - tests dintgration en plateforme et compterendu associ, - tests de validation sur site et compte-rendu associ, - transfert de connaissances au client par formation sur une maquette, - mise en service avec le client.

Schneider Electric, par son exprience dans les automatismes de scurit et son exprience de la gestion du cycle de vie dun projet de scurit, a propos la spcication et la mise en uvre des fonctions de scurit : > en apportant la dmonstration du respect des normes, > en rdigeant les documents ncessaires la certication SIL3.

incendie

arrt durgence

arrt durgence arrt durgence arrt durgence

Rseau Ethernet cbl en anneau

incendie incendie incendie

(longueur de lanneau : 40km)

Poste de contrle
Fig.42 Principe de larchitecture retenue

Ecluse 1 Ecluse 2 Ecluse 12

39

Les infrastructures et les normes de scurit

exemple

Exemple dun systme de dtection des vents sur un rseau ferr

Contexte
Pour assurer la scurit des voyageurs, il est ncessaire de ralentir les trains grande vitesse lorsque les vents latraux sont trop forts. Lexploitant veut mettre en oeuvre un systme de dtection rparti sur les lignes avec une supervision centralise.

Solution mise en uvre

5 stations de dtections sont implantes le long de la ligne dans les zones les plus ventes (viaducs, sortie de tunnels...). Chaque station est compose : - dun poste de mesure charg de lacquisition de la vitesse et de la direction du vent. Il est conu pour rsister aux conditions climatiques et assure la transmission des informations au poste de traitement ; - dun poste de traitement constitu par un automate de scurit Schneider Electric. partir des caractristiques du vent, un programme labor dans lautomate tablit les ordres de ralentissement des trains pour respecter les conditions sres dexploitation. Le poste de traitement envoie une consigne de vitesse aux trains, via le systme de signalisation. Le conducteur reoit linformation dans sa cabine de conduite. La supervision des stations de dtection est assure par un poste central de conduite. Il permet : - la surveillance en temps rel des vents, - le suivi du bon fonctionnement de la ligne grande vitesse, la gestion des alarmes et des dfauts, - le tlchargement des paramtres des postes de traitement.

Prestation
Schneider Electric a ralis le projet de scurit dans sa globalit : - tudes, fourniture et installation de lensemble du systme de scurit, - pilotage global du projet, - mise en service et validation du systme de scurit, - fourniture du dossier de scurit complet selon les normes ferroviaires EN 50126, EN 50128, EN 50129.

40

Ralisation dun dossier de dmonstration du niveau de scurit - pour chaque fonction de scurit dnie et ncessaire, dmonstration du niveau SIL atteint par la fonction, - comparaison avec le niveau SIL requis lors de lanalyse prliminaire. Dnition dtaille des fonctions de scurit Larchitecture du projet est constitue dun ensemble de fonctions qui assurent la chane de traitement. Chaque fonction est dtaille. Un ensemble de tests est prvu pour chaque fonction, puis ralis en tests unitaires. Dans lexemple ci-dessous (Fig.43), un APS Schneider Electric acquiert les mesures de deux capteurs anmomtriques et ralise des calculs de prdiction du vent.

Les informations sont envoyes lunit de gestion qui centralise et dialogue en direct avec le systme de signalisation. Les alarmes associes sont afches dans la cabine de pilotage et au poste de supervision. Validation de larchitecture La phase dintgration en plateforme permet de valider les fonctions des units de mesure, de traitement, de gestion et leurs interactions. Dans cette tape sont vries les performances du systme. Les tests dintgration sont raliss et leur validation autorise la mise en service sur le site.

Lors des mises en service de chacun des lots, laccompagnement du client par un expert de Schneider Electric assure le transfert des connaissances.

zone de mesure 1

Elaboration des alarmes de vent et mission dordres de ralentissement vers les systmes de signalisation.

zone de mesure 2 Systme de signalisation

Unit de gestion

Boucle optique
zone de mesure 3

zone de mesure 4

zone de mesure 5

Acquisition des mesures

Unit dacquisition et de traitement

Poste central de conduite

Fig.43 Architecture du systme de scurit

41

Les solutions Schneider Electric

Schneider Electric fournit lensemble de loffre ncessaire la ralisation des automatismes et des fonctions de scurit. Cette offre est disponible dans tous les pays du globe et elle est conforme aux principales normes en vigueur (Europe, Amrique du Nord , Japon, Asie...).

42

Les fonctions de base dun systme de scurit

La base de larchitecture dun systme de scurit comporte cinq fonctions essentielles :
Dialogue Alimentation protection Commande de puissance Actionneurs / charges M Fig.44 Les fonctions de base dun systme de scurit

Traitement

Dtection acquisition

Les liaisons de contrle pouvant tre ralises par du cblage l l ou par un bus de communication.

Le dialogue
On y retrouve des lments spciques la scurit (Fig.45) : - une trs large gamme darrts durgence, - des arrts durgence cble, - des commandes bimanuelles. Mais galement des lments standards tels que : - les colonnes lumineuses, - les voyants, - les pdales, - les gyrophares.

Fig.45 Les constituants de dialogue

Le traitement
Selon la complexit de la machine, larchitecture des fonctions de scurit est ralise partir (Fig.46) : - dun module monofonction paramtrable qui gre une seule fonction, - dun contrleur multifonction qui peut grer simultanment deux fonctions parmi 15 fonctions prdnies, - dun contrleur multifonction qui utilise un logiciel pour congurer des fonctions prdnies, - dune gamme dautomates programmables de scurit pour raliser une solution complte et communicante. Les liaisons peuvent tre faites l l ou par un rseau de scurit tel que Asi Safe ou Ethernet Safe.

Fig.46 Les constituants de traitement

43

Les solutions Schneider Electric

La dtection et lacquisition
base de technologies lectromagntiques, magntiques ou optiques, ces produits permettent de raliser des fonctions conformes aux niveaux SIL ou PR requis (Fig.47) : - surveillance de protecteurs le plus souvent en association avec des modules ou contrleurs de scurit, - n de course ou systme magntiques cods, - surveillance de primtres en association avec des contrleurs de scurit ou en autonomie, - protection avec toute une gamme de barrires immatrielles.

Fig.47 Les constituants de dtection et dacquisition

Lalimentation et les protections lectriques

Ces fonctions sont ralises avec les produits standards de Schneider Electric qui rpondent aux normes requises et qui sont homologus partout dans le monde (Fig.48). Elles couvrent en basse tension : - les disjoncteurs jusqu 6300A, - les interrupteurs jusqu 6300A, - les relais de protection lectroniques multifonctions, - les onduleurs (UPS).

Fig.48 Les constituants dalimentation et de protection

La commande de puissance
Schneider Electric, leader mondial en commande de puissance, propose une large gamme de produits basse tension (Fig.49) : - des contacteurs jusqu 900kW, - des variateurs de vitesse jusqu 2400kW, - des dmarreurs progressifs jusqu 900kW, - des servovariateurs jusqu 42kW. De plus en plus de produits Schneider Electric intgrent des fonctions de scurit. Par exemple : - des contacteurs avec les contact lis - des variateurs avec les fonctions safe torque off

Fig.49 Les constituants de commande de puissance

44

Architectures de type machine

Le besoin
La majorit des applications requiert des fonctions simples et rptitives telles que des arrts durgence, des ns de courses pour protecteurs amovibles, des tapis de sol, etc. Ces fonctions doivent rpondre aux exigences normatives internationales et satisfaire, selon le danger des machines, diffrents niveaux de scurit.

Les solutions
Pour les machines simples et compactes, les liaisons sont gnralement assures par un cblage l l. Lutilisation dun module de scurit (Fig.50) simplie la ralisation de la fonction scurit. Il prsente lavantage dtre facile mettre en uvre. Pour des machines plus complexes, un contrleur paramtrable ou un automate apportera une solution efcace et volutive (Fig.51). Pour des machines tendues ou complexes, il est conomique de concevoir le systme de scurit autour dun bus scuris Asi-Safe (Fig.52). An de faciliter votre dmarche, nous mettons votre disposition des ches pratiques dtaillant des fonctions simples de scurit (ex : chane dAU, chane de protection carter, etc.). Pour les obtenir, merci de contacter Chorus au 0 825 012 999 (numro Indigo). Ces ches, approuves par un organisme de contrle, prsentent une architecture prcise et dtaillent tous les calculs relatifs la nouvelle directive 2006/42/CE.

Pour un constructeur de machines, la dmarche scurit est incontournable. Schneider Electric sest impos le challenge de proposer aux OEM des architectures types permettant de rpondre au plus juste aux besoins rcurrents mis en vidence lors de la phase analyse de risque. Grce une double comptence scurit et automatisme, Schneider Electric dnit des solutions conciliant scurit et productivit. De cette manire, la dmarche scurit devient un atout pour le constructeur de machines.

Dialogue
Fig.50 Architecture dune machine simple base de module de scurit monofonction signal de scurit contrle commande puissance

Traitement

Actionneurs

45

Les solutions Schneider Electric

Dialogue

Traitement

Fig.51 Architecture dune machine compacte base dautomate programmable de scurit signal de scurit rseau de communication Ethernet contrle commande puissance bus ASI Safe

Actionneurs

Acquisition dtection

Dialogue

Traitement

Fig.52 Architecture dune machine tendue intgrant un bus ASi Safe

Actionneurs

Acquisition dtection

46

Architectures de type procd

Le besoin
Les procds sont caractriss par des installations complexes moyennement tendues (quelques centaines de mtres) et souvent spares en ateliers. Pour sadapter aux besoins de la production ou aux volutions du procd, le systme de scurit doit tre facilement modiable. La communication est devenue un lment cl pour synchroniser les actions, visualiser les vnements et les archiver. La productivit tant essentielle, certaines installations imposent une continuit de service.

Scurit et contrle procd : deux types de fonctions traiter dans des canaux spars
Conformment la norme EN61511, la scurit est traite laide dorganes physiquement diffrencis du systme de contrle-commande du procd. La limitation des modes communs entre le systme de conduite du procd (BPCS) et le systme de scurit (SIS) assure lindpendance des canaux et rduit le risque de dfaillance simultane des systmes. Lautomate programmable de scurit Quantum Safety fait partie de la famille Unity. Certi pour traiter des fonctions de scurit jusquau niveau SIL3, Quantum Safety apporte une rponse optimale pour des architectures de taille moyenne grande, avec possibilit de dporter les Entres/Sorties sur de grandes distances.

Les solutions
De la qualit du dveloppement dpend la performance et la scurit du procd. Schneider Electric propose un atelier logiciel unique de dveloppement pour lautomatisme et pour la scurit. Latelier logiciel Unity Latelier Logiciel Unity est commun toute la gamme des automates programmables industriels (API) du M340 au Quantum. Unity Pro XLS permet les modications en run du programme de la gamme Quantum Safety (APS). Certi par le TV, Unity PRO XLS fournit des fonctions de scurit et de calcul. Lergonomie, le dveloppement et la mise en oeuvre restent identiques aux automates de contrle. Les diffrents niveaux daccs au programme sont protgs par des mots de passe. Les donnes sont mmorises dans une zone mmoire spcique et protge.

Unity Pro XLS

Fig.53 Capture dcran du logiciel Unity Pro

47

Les solutions Schneider Electric

Les architectures simples Conformment la norme EN CEI 61511, le systme de scurit est physiquement dissoci du systme de contrle. La communication avec le niveau suprieur est assure par rseau Ethernet Modbus TCP, Modbus RS232/485, Modbus Plus. Larchitecture est base sur la structure Quantum habituelle.

Conduite supervision

Serveurs

Traitement

APS

AP

Fig.58 Exemple darchitecture simple base dautomate (API) Premium et dautomate de scurit (APS) Quantum signal de scurit rseau de communication Ethernet contrle commande

entres/sorties

Actionneurs Acquisition dtection

Atelier 1

Atelier 2

Un chssis contient une ou plusieurs alimentations redondantes, le coupleur de communication avec des E/S dportes et les coupleurs de communication Ethernet optionnels. Aux cartes dE/S de scurit peuvent tre ajoutes des cartes dE/S standard pour des fonctions de contrle standard. Les E/S sont locales ou dportes dans diffrents chssis jusqu plusieurs kilomtres.

48

Les architectures haute disponibilit Larchitecture redondante assure la haute disponibilit pour les procds dont larrt est critique, tout en conservant les caractristiques de scurit.

Conduite supervision

Serveurs

Traitement

AP

APS

AP

APS

Fig.59 Exemple darchitecture haute disponibilit tous les niveaux, base sur des automates programmables industriels (API) et des automates programmables de scurit (APS) Quantum

Entres /sorties

Actionneurs Acquisition dtection

Atelier 1

Atelier 2

UC 1

UC 2

p1

p2

p1

p2

1oo2

1oo2

Fig.60 Dans chacune des Units Centrales Quantum Safety, la redondance interne des microprocesseurs 1oo2 (1 parmi 2) garantit le niveau de scurit SIL3 et la redondance des Units Centrales 2oo2 (2 parmi 2) apporte la continuit de service (haute disponibilit)

49

Les solutions Schneider Electric

Architectures de type infrastructure

Le besoin
Les fonctions de scurit sont souvent rparties sur de grandes distances. Les liaisons sont donc critiques et participent majoritairement aux choix des architectures dautant que la continuit de service est fondamentale dans ce type dinstallations.

Les solutions
Schneider Electric propose des automates de scurit connects en rseau Ethernet de scurit. Le point fort de cette solution est de pouvoir connecter sur un mme rseau des fonctions de scurit et des fonctions standards telles que des camras de surveillance, sans incidence sur le temps de rponse des communications de scurit. La gamme dautomates de scurit XPSMF autorise une grande souplesse dans sa mise en uvre et sintgre facilement dans des architectures hautement rparties et sans contrainte de distance. Les capteurs et actionneurs sont connects des blocs E/S placs au plus prs et de faible granularit. La mise en redondance des UC et des E/S est ralise pour des applications haut niveau de disponibilit. Lalimentation peut se faire par deux sources diffrentes, un systme de vote interne assure la commutation. Une architecture rseau ouverte Le protocole de scurit SafeEthernet utilis pour la communication avec les blocs dE/S et dautres automates du mme type est vhicul via des organes rseau tels que switches, convertisseurs bre optique , non spciques. Il cohabite avec les autres protocoles. Chaque bloc dE/S de scurit ou automate de scurit est muni de ports Ethernet Safe switchs de telle faon que les topologies linaires ou en anneau sont ralises sans contraintes. Lautomate de scurit est ouvert aux protocoles standards de lindustrie. Un atelier logiciel tout-terrain Latelier logiciel conforme la norme CEI61131-3 est livr en standard avec une bibliothque de fonctions de scurit certie par le TV. Il est possible de coder des boucles de scurit type et de les encapsuler dans des blocs fonction de type DFB. Aprs la validation dune bibliothque de blocs fonctions types, linstanciation des blocs permet de rduire les cots de dveloppement, de tests et de validation du systme. Les variables et les Entres/Sorties peuvent tre forces en mode simulation hors ligne ou en mode test en ligne. Plusieurs niveaux daccs et de privilges scurisent les oprations de maintenance et de rglage des paramtres de scurit.

50

Conduite supervision
Arrts durgence dports

Fig.60 Exemple darchitecture simple

Traitement

signal de scurit rseau de communication Ethernet contrle commande puissance

K1

Actionneurs

Acquisition dtection
Camera Arrt durgence local

Unit 1

Unit n

Conduite supervision

Traitement

Fig.61 Exemple darchitecture redondante permettant datteindre un niveau de disponibilit lev

Actionneurs

Acquisition dtection

Unit 1

Unit n

51

Les services experts en scurit de Schneider Electric

La mise en application des nouvelles directives europennes sur la scurit gnre des interrogations chez les industriels (utilisateurs, intgrateurs systmes et constructeurs de machine). Depuis plusieurs annes, Schneider Electric accompagne ses clients dans cet environnement et ralise des prestations de service en scurit dans les automatismes industriels et la distribution lectrique. La prsence dans nos quipes dexperts habilits TV* dmontre notre volont dapporter le meilleur dans la ralisation des prestations tout au long du cycle de vie des projets.
* Certication dhabilitation dlivre par lorganisme de contrle et de normalisation allemand.

52

Exemples de prestations de service en scurit

Assistance technique la conduite du projet de scurit Formation scurit fonctionnelle cible de sur votre projet
Formation sur les exigences de scurit fonctionnelle ncessaire la conduite de votre projet (introduction la scurit fonctionnelle, approfondissement des normes EN 62061 / ISO 3849-1/2 ou EN 61511 avec illustration et exercices sur projet client). Sensibilisation et formation de vos quipes la conduite dun projet de scurit (sret de fonctionnement, normes de scurit, comprhension et connaissance de nos automates de scurit, assistance au dmarrage de la programmation de lautomate).

Diagnostic scurit du systme

Mise en application des normes de scurit fonctionnelle, analyse des risques, identication de chaque fonction de scurit, attribution du niveau SIL requis et leur spcication.

53

Les services experts en scurit de Schneider Electric

Un accompagnement aux tapes cls du projet

Dnition et validation des fonctions de scurit en phase avant projet
Spcication des fonctions de scurit, dnition de leur architecture pour rpondre aux exigences normatives et valuation du niveau SIL atteint par le systme de scurit pour valider les choix darchitecture.

Accompagnement projet de scurit

valuation du niveau SIL atteint par le systme, assistance technique dans le dveloppement de votre application et assistance au dmarrage de lapplication.

Ralisation de projet scurit

Ralisation et pilotage du projet de scurit dans sa globalit : identication des risques et des dangers, dnition et mise en uvre des solutions garantes du respect des exigences normatives (IEC61508, IEC62061, IEC61511, EN/ISO13849).

54

Les services experts en scurit de Schneider Electric

La scurit est laffaire de tous mais surtout des spcialistes
Les tapes cls du cycle de vie dun projet de scurit sont dcrites dans les normes EN 61508, EN 61511. Cette dmarche est applicable tout projet de scurit quel que soit le domaine dapplication. Nous vous accompagnons au cours de votre projet pour mettre en uvre la dmarche scurit. Notre exprience nous permet de matriser lenvironnement global (scurit, automatismes, rseaux et armoires lectriques) depuis lanalyse de risques jusqu la conception et mise en uvre des fonctions de scurit.

1 2 3 4 5

Concept dapplication

Dnition globale du domaine dapplication

Analyse de danger et de risque

Prescriptions globales de scurit

Allocation des prescriptions de scurit

Planication globale

Planication globale de lexploitation et de la maintenance

Planication globale de la validation de la scurit

Planication globale de linstallation et de la mise en service

Systme de scurit : E/E/ PES

10

Systmes de scurit : autre technologie Ralisation

11

Dispositifs externes de rduction de risque Ralisation

Ralisation
(voir le cycle de vie de scurit des E/E/PES)

12 13 14 16

Installation et mise en service globale

Validation globale de la scurit

15

Modication et remise niveau globale

Exploitation, maintenance et rparations globales

Retour vers la phase du cycle de vie de scurit global adquate

Mise hors service ou au rebut

55

Make the most of your energy*

Chorus
Toutes les rponses de 8h00 18h00, du lundi au vendredi, toute lanne.

Schneider Electric France

Direction Communication et Promotion Centre PLM-F F- 38050 Grenoble cedex 9 Tl. 0 825 012 999 www.schneider-electric.fr En raison de lvolution des normes et du matriel, les caractristiques indiques par les textes et les images de ce document ne nous engagent quaprs conrmation par nos services. Rdaction : Juxeo Ralisation : pemaco
Photos : Adam Gault - Getty Images, Thierry Bonnet - Bonnet/Andia, Fotosearch, Christian Lagerek Shutterstock, Deirdre Motto - Jupiterimages, Rudi van der Walt - Fotolia, Alan Gordine Shutterstock, Monkey Business Images - Shutterstock, Monty Rakusen - Getty Images, John A. Rizzo Photodisc, Mark Yuill - Shutterstock, Jos Antonio Rojo - Rojofoto, Michael Saint Maur Sheil Photodisc, Schneider Electric

Edition : Altavia Connexion FRAED209950FR ART.960424 03/2010

* Tirez le meilleur parti de votre nergie