4 De la Sécurité Fonctionnelle à la gestion des performances des systèmes de sécurité

Slide 1

Thierry VUILLAUME Technical Sales Consultant Director Safety & Critical Control - EURA

Paris – 11 Avril 2013

Architecture Simplex versus Dual-PLC en configuration Failsafe

•  1001

CPU

A A

Fail dangerous Available1oo1 0,02 0,98

Fail dangerous Available1oo1 0,02 0,982oo2 0,04 0,99961oo2 0,0004 0,96

A

B

CPU

A

CPU

B

•  1002

Slide 2

APS avec voteur 2 sur 3

A

B

A

B

C

C

CPU

A

CPU

C

CPU

B

Output = A.B + B.C + A.C

Fail dangerous Available1oo1 0,02 0,982oo2 0,04 0,99961oo2 0,0004 0,962oo3 0,0012 0,9988

Safety Integrity Level (SIL)

Slide 3

SIL et contraintes Architecture des SIS Les contraintes architecturales d'un SIS imposées par la CEI/EN 61508 limite le

SIL qui peut être revendiqué pour une fonction de sécurité sur la base de son facteur de tolérance aux pannes matérielles et son SFF et DC.

–  Le ‘SFF’ proportion de défaillances en sécurité est la fraction du taux global aléatoire de défaillance matérielle d'un composant qui se traduit par une défaillance soit sûre ou dangereuse mais détectée /défaillances en sécurité et dangereuses.

–  Le ‘DC’ couverture de diagnostic est défini comme le rapport du taux de défaillance détectée à un taux d'échec total du composant ou sous-système, tel que détecté par les tests de diagnostic.[hors tests périodiques IEC61511-1]

–  La couverture de diagnostic inclue les composants ou sous-systèmes d’un SIS. Exemple: capteur et/ou ‘logic solver’ et/ou élément final.

Slide 4

Objectifs des Diagnostics PFS - Probabilité de défaillance en mode Sûr PFD - Probabilité de défaillance sur Demande (Dangerous Failure)

FIABILITE

DISPONIBILITE

SUCCESSFUL OPERATION

UNSUCCESSFUL OPERATION

Product

PFS PFD

Nuisance Trip

PFS

PFD

Nuisance Trip

" Fail Safe" Strategy versus "Fail operational" strategy sur défault d’un sous-système

Améliorer l’intégrité du SIS et

sa disponibilité

Slide 5

M P

C

M P

B

M P

A

Input Leg

A

Input Leg B

Input Leg C

Output Leg

A

Output Leg B

Output Leg C

Main Processor

C

Main Processor

B

Bus E/S

Bus E/S

I/O Bus

TriBus

TriBus

TriBus Voter

Main Processor

A

Entrée Terminaison

Sortie Terminaison

Auto Spare Auto Spare

Cause 0

1

1

1

1

1 1

1

1

Effet 1

Architecture Triple modulaire Redondante avec Diagnostiques

TMR = Sécurité + Fiabilité + Disponibilité

Slide 6

TRIDENT Diagnostic mechanics Modules AI et DI exécutent en permanence des diagnostics valeur forcée

(FVD), un auto-test de diagnostic qui détecte et signale par une alarme toute conditions de ‘stuck-at’ et défaut de précision en moins de 500 ms.

Les diagnostic des modules DI sont spécifiquement conçus pour surveiller les dispositifs qui maintiennent lespoints dans un état pendant de longues périodes de temps. Les diagnostics assurent une couverture complète de détection de faute sur chaque circuit d'entrée, même si l'état actuel de l'entrée ne change jamais.

Modules AO exécutent en permanence des diagnostics de commutation forcée (FSD) sur chaque point. En forçant es conditions d'erreur et en observant le comportement correct des circuits du voteur, une grande fiabilité et un fonctionnement sûr est garanti.

Ces capacités de diagnostic permettent un fonctionnement sécuritaire sans limitation même en cas de scénarion de détection de fautes multiples.

Tous les diagnostics sont exécutés à chaque scan Slide 7

Trident DO module features Module DO les diagnostics sont spécifiquement conçus pour superviser les

sorties qui restent dans un état pendant de longues périodes de temps. Le diagnostics OVD assure une couverture complète de chaque circuit de sortie, même si l'état actuel de la sortie ne change jamais.

•  Ce circuit du voteur est basée sur des chemins parallèles séries qui passent l'alimentation si deux des trois canaux (A et B ou B et C ou A et C) de commande sont fermés. •  Le circuit du voteur ‘Quad’ a une redondance multiple sur tous les chemins de signaux critiques, garantissant une sécurité et une disponibilité maximale. Au cours de l’exécution du diagnostic (OVD) l‘état de commandement de chaque point est momentanément inversé sur l'un des conducteurs de sortie, l’un après l'autre. Un circuit de re-bouclage en retour sur le module permet à chaque ASIC de lire la valeur de sortie du point et de déterminer si un défaut latent existe à l'intérieur du circuit de sortie

Slide 8

Pas de défauts sur les Modules Opération du système sans limitation

Trident / Tri-GP E/S

en Mode TMR

Quad System E/S

en Mode Dual

TMR versus QUAD: gestion des défauts

Slide 9

I/O board in Fault Insertion Robot

1er Point en défaut sur une Voie Sans Supervision continue de l’Opérateur!

Trident / Tri-GP

  Point marqué Dual

  Module marqué   TMR / Dual

  Certified for Unlimited System

Operation!

Quad System

E/S en Mode Smplx

Module Shutdown

Per : Process Group Shutdown!

or System Shutdown!

TMR versus QUAD: gestion des défauts

Slide 10

1er Point en défaut sur 2ème Voie

Quad System

Both Modules Already Shutdown!

Per TÜV: Process Group

Already Shutdown! or

System Already Shutdown!

Trident

  2nd Point Marqué Dual

  Module is Still Dual

  TÜV Certified:

Unlimited System Operation!

TMR versus QUAD: gestion des défauts

Slide 11

Actuateurs et vannes sont les maillons faibles

35% 50% 15%

Capteurs Sous-système

Element Final Sous-système

Logic Sous-système

Performance Globale d un SIS PFDSYS = PFDS + PFDL + PFDFE

•  l’utilisation de capteurs ‘intelligent’ augmente le taux de diagnostics •  l’utilisation d’équipement certifiés SIL augmente le taux de SFF

Slide 12

Operational Risk

L’apport d’une Instrumentation ‘Intelligente’ et certifiée SIL

SIL2 Certified (TÜV) Pressure Transmitters • >90% SFF (Safe Failure Fraction) •  ‘Proof Test interval’ 1 ou 2 ans • 5 ans de guarrantie • DD et DTM pour configuration / diagnostics

SIL3 Certified Valve Positioners •  Intrinsically safe et explosion proof • Manual / Automatic Partial Stroke Test (PST) pour vannes ESD • PST signature et rapport complet sur PST • Disponible en HART, Profibus PA et Foundation Fieldbus (FF)H1

13

La valeur ajoutée de diagnostic des appareils de terrain (HART )a un effet positif sur la maintenance prédictive, mais n'améliorent pas la SFF, et ne permettent pas de réduction de la redondance dans tous les cas

Intelligent Valve Diagnostics pour FSM & Maintenance Préventive

24VDC DO

Do PST

Status PST

Input

DI

DO 24VDC

1

2

Enregistrement SOE rétentif dans la mémoire de l’APS, pour une traçabilité des tests

14

Slide 14

Triconex® Enhanced Diagnostic Monitor (Puissant outil de reporting) Supervision / détection de fautes

15

•  Internes au système et périfériques

• Alimentations, capteurs / actionneurs

• Communications Slide 15

Architecture typique SIS avec outils de gestion de sécurité operationelle

Tristation SOE, Alarmes par SIF Inhibit & Bypass Mgt. Real time view of risk across the plant, SIS Diagnostic Monitoring

Engineering Ops & Maintenance

Safety LAN

Trident SIL3

Tricon SIL3

16

Slide 16

17

Une approche holistique et systématique

Slide 17

Pour prendre les décisions sur la sécurité dans leur contexte avec suffisement

d’information

Design Risk

2

Business Risk

1

Operational Risk

3 GAP

Slide 18

Q1 Concept

Q2 Design

Q3 Implement

Q4 Operate

19

Outils pour la gestion des performances des systèmes de sécurité