You are on page 1of 4

036_039_DOPEHima

7/12/05

11:38

Page 36

Dossier scurit de process


AUTOMATES DE SCURIT

La redondance? Oui, mais laquelle?

Sils sont trop frquents, les arrts durgence sur les process industriels se rvlent conomiquement prjudiciables, voire
dangereux. Pour les limiter, il est impratif que les architectures des automates de scurit fournissent la fois de la scurit et de la disponibilit. Ceci passe par la mise en uvre darchitectures redondantes. Dans cet article, Hima brosse un rapide tableau des diffrents types darchitectures, en mettant laccent sur la solution Quad quelle soutient.

out systme lectronique, quel


quil soit, est caractris par une
certaine sret de fonctionnement et une certaine disponibilit. Ces deux paramtres dpendent
notamment de la manire dont sont conus
les systmes, de la qualit des composants
et des techniques de fabrication utiliss. Ils
dpendent aussi de la manire dont travaillent les systmes en interne, notamment
des outils dautodiagnostic et de la frquence des tests embarqus mis en uvre.
Bien conu, fabriqu avec soin, utilis normalement, un systme lectronique permet dobtenir des performances trs acceptables pour rpondre la plupart des
besoins.
Mais il est des applications o cela ne suffit pas. Pour aller plus loin encore, on ajoute des redondances, en multipliant le
nombre des processeurs utiliss, et/ou
ventuellement des entres et/ou des sorties. Il existe plusieurs types de redondances, qui donnent des rsultats diffrents.
Dans certaines applications, comme par
exemple les serveurs utiliss dans les tl-

36

coms, la redondance sera surtout pratique


pour obtenir une trs grande disponibilit
du systme (quel usager du tlphone ou
dInternet accepte les interruptions de service?). Sil sagit de piloter un procd dangereux, la redondance servira garantir que
le systme de scurit met le process dans
un tat sr quelles que soient les circonstances. Selon le rsultat que lon recherche,
les redondances ne se font pas de la mme
faon. Le choix dune architecture plutt
quune autre dpend en effet du niveau de
scurit que lon veut atteindre mais aussi
du niveau de disponibilit que lon souhaite. Avec les redondances relativement
simples, on ne peut en gnral pas obtenir
la fois un niveau lev de scurit et une
haute disponibilit. Cest lun ou lautre.
Avec les redondances plus sophistiques, il
est possible davoir les deux, mais avec des
gradations qui dpendent de larchitecture
retenue.
Architecture une seule unit centrale.
Comme son nom lindique, il ny a pas de
redondance. Si un dfaut dangereux est
dtect au niveau de lunit centrale, un

module de diagnostic externe (watchdog)


permet de dclencher immdiatement un
arrt durgence de faon mettre le process
en scurit.
Les pannes non dangereuses entranent galement un dclenchement de larrt
durgence.

Les multiples variantes


des architectures dupliques
Les systmes deux units centrales existent
en de multiples variantes. Les deux units
centrales peuvent avoir des entres et des
sorties communes, ou alors des entres et
des sorties spares. Ce qui distingue aussi
ces systmes, cest la manire dont travaillent
les units centrales (types dchanges quil y
a entre elles) et la faon dont sont cbles
les sorties qui commandent larrt du process (en parallle ou en srie).
Prenons par exemple le cas dune architecture deux units centrales, chacune ayant
ses propres entres et ses propres sorties. On
a donc deux canaux indpendants.
Si les sorties sont cbles en srie, il suffit
quune des deux soit en dfaut pour dclencher larrt durgence du process. On se
trouve alors dans une configuration 1oo2
ou, si lon prfre 2-0. Le systme est sr
mais il nest pas tolrant aux pannes (sa disponibilit est peu leve).
Si au contraire les sorties sont cbles en
parallle, il faut que les deux sorties soient
simultanment en dfaut pour dclencher
larrt durgence du process. Ceci rduit le
nombre de dclenchements intempestifs.
On se trouve alors dans une configuration
2oo2 (ou 2-1-0), qui assure une disponibilit leve, mais dont la performance de
scurit est trs pauvre.
Dans loptique de fournir une disponibilit
et une scurit importantes, les architectures
doubles sont maintenant ralises dans une
configuration 1oo2D, o on trouve un
double cblage des sorties, la fois srie et
parallle. Cette architecture tolrante aux
pannes fonctionne normalement dans un
mode 2oo2 (2-1-0), mais revient un
mode 1oo2 (2-0) si une panne se produit et

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

036_039_DOPEHima

7/12/05

11:38

Page 37

Dossier scurit de process


Architecture HiQuad

diagnostics
et affichage

ne peut pas tre rsolue. De ce fait, sa performance de scurit dpend videmment


de lefficacit des diagnostics internes du
systme, et sa disponibilit oprationnelle
de la capacit de ce dernier rsoudre les
erreurs et disoler le canal en faute, tout en
continuant fonctionner en scurit sur le
canal valide.
Les systmes 1oo2D ne sont pas tous identiques, et quelques expriences significatives
ont dmontr un manque de disponibilit
rsultant de lexcution des diagnostics de
comparaison requis.

Un bon compromis :
les architectures tripliques
Tous les systmes dupliqus un problme
en commun : une svre restriction du
temps de fonctionnement en mode
canal unique. Quelques fournisseurs
tentent de contourner cette restriction
en utilisant un modle mathmatique
pour prvoir le taux dexigence du process, et ainsi allonger le temps de fonctionnement autoris en canal unique.
Cette approche nest certainement pas
recommande pour la scurit car les
donnes exploites dans de tels
modles ne sont quapproximatives, et
les rsultats obtenus sont inappropris

diagnostics
et affichage

pour tre utiliss dans des dcisions


critiques de scurit.
Les systmes tripliqus (TMR) sont
constitus de trois canaux, avec des sorties cbles la fois en srie et en parallle. Ils sont trs rpandus et sont souvent utiliss dans des situations sans
relle justification technique ou conomique. Larchitecture TMR est la fois
sre et disponible, elle doit fonctionner
en mode 2oo3 (3-2-0) pour des applications de scurit. Le systme TMR ralise des diagnostics par vote ou comparaison. De ce fait, il nest pas autoris
fonctionner en canal unique, car il
manque de diagnostic interne dtaill et
ne peut pas tre considr comme sr.
En fait, les limitations de temps sont
imposes pour deux canaux en fonctionnement, et des tapes doivent tre
respectes pour sassurer que le systme
sarrtera aprs la perte du second canal.
Un autre problme affecte larchitecture
TMR : sa plus grande sensibilit (3 fois
suprieure) concernant une erreur de
mode commun due dune part au troisime niveau de redondance et dautre
part au fait que les canaux multiples partagent un ensemble hardware commun,
telle une entre-sortie commune, un

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

module processeur etc. De plus, le cot


initial et le cot de fonctionnement
(incluant la maintenance) du systme
sont levs.

Encore plus loin avec


les architectures quadruples
La nouvelle architecture Quad (QMR) est
une avance importante au regard des
performances lies la scurit. Cette
architecture propose quatre processeurs
(2 par canal) et remdie aux problmes
associs aux architectures double processeurs, comme les fautes dangereuses
dtectes dun des deux processeurs. Les
deux paires des processeurs sont synchronises et utilisent le mme programme. Un comparateur hardware et
un chien de garde fail-safe supervisent
le fonctionnement de chaque paire de
processeurs pour diagnostiquer et
rsoudre les anomalies. De ce fait, cette
architecture peut fonctionner en SIL3
(RC6) aussi bien sur un que deux canaux,
pour une priode de temps illimite.
Du fait de sa structure double et redondante, larchitecture Quad est intrinsquement
plus disponible quune architecture triplique. Elle est galement meilleure en terme de scurit. Elle apporte une amliora-

37

036_039_DOPEHima

7/12/05

11:38

Page 38

Dossier scurit de process


Comparaison des diffrentes architectures
Systmes dupliqus
- Diagnostics intrinsques aux modules.
- Certains automates fonctionnent en disponibilit ou en scurit : les deux options ne
sont pas obligatoirement cumulables.
- Temps de fonctionnement trs restreint sur
une seule unit centrale : disponibilit infrieure celle du TMR
- Scurit comparable celle du TMR
- Prix comptitifs.
Systmes tripliqus (TMR)
- Diagnostics par comparaisons
- Certains automates fonctionnent uniquement en scurit.
- Temps de fonctionnement restreint sur
deux units centrales
- Pas autoris fonctionner en mono canal
(1 unit centrale).

- Beaucoup de modes communs


- Niveau de scurit comparable celui obtenu avec un systme dupliqu
- Prix initial et maintenance levs : oblige
souvent regrouper plusieurs units
Systmes quadrupls (QMR)
- Diagnostics intrinsques aux modules
- Temps de fonctionnement illimit sur un seul
canal : disponibilit suprieure celle du TMR.
- Temps de fonctionnement illimit sur un
seul canal en classe 6 (SIL3) : scurit suprieure celle du TMR
- Trs peu de modes communs : sparation
des canaux
- MTBF suprieur celui du TMR
- Cots dachat et de maintenance identiques
celui du dupliqu : convient des projets
de toutes tailles.

tion dun facteur trois, tant en disponibilit quen scurit, par rapport ce qui est
normalement fourni par les architectures
TMR. En outre, elle a une sensibilit significativement moindre aux erreurs de mode
commun du fait dune totale sparation,
isolation et fonctionnement des canaux
redondants.
Voyons plus prcisment le problme de
la scurit. Dans les architectures dupli-

ques, le point crucial du problme


concerne les erreurs dangereuses indtectes dun des deux processeurs. Un processeur unique ne peut pas sautocontrler
suffisamment pour tre considr comme
compltement sr, et il existe une possibilit quune telle erreur puisse mettre les
deux canaux dans un tat dangereux, et
rendre lautomate incapable de se positionner dans une configuration de scuri-

t. Cest pourquoi de svres restrictions


de temps de fonctionnement sont imposes au niveau de SIL3 (RC6) pour les
architectures doubles fonctionnant dans
des conditions derreur.
Larchitecture Quad (QMR) intgre une
paire de doubles processeurs oprant dans
un mode de scurit (2-0) pour chaque
canal. Cette configuration augmente de
faon significative les diagnostics des processeurs en opration, rpond parfaitement
aux critres de scurit concernant les fautes
dangereuses indtectes, et par consquent
supprime toutes les restrictions de temps
de fonctionnement du systme en mode
mono canal.
Une comparaison des performances de
scurit (PFD, probabilit de dfaillance
sur sollicitation) des diffrentes architectures de scurit peut tre tablie. Si lon
se rfre lISA TR84.02, Part 2, 1998, on
voit que larchitecture Quad (2oo4) est
comparable celle de larchitecture ultra
sre 1oo3, tandis que larchitecture TMR
2oo3 est identique larchitecture 1oo2D.
Cette comparaison conclut la prdominance de larchitecture QMR 2oo4 par rapport larchitecture TMR 2oo3 ou duplique 1oo2D.
Une autre considration importante
dans la performance des systmes de
scurit est leur capacit de dtection
de fautes internes de faon rapide et
correcte. En effet, les automates de scurit doivent tre capables de rpondre

Configurations des systmes programmables de scurit


Type

Configuration

Mode de fonctionnement

Nombre min.
de canaux
oprationnels

Nombre de
dfauts pour
dclencher

Simple

1oo1

1-0

Fonctionnement avec 1 CPU puis arrt


durgence aprs une panne de cette CPU

Duplique

1oo2

2-0

Fonctionnement avec 2 CPU puis arrt


durgence aprs une panne dune des 2 CPU

Triplique
(TMR)

1oo3

3-0

Fonctionnement avec 3 CPU, puis arrt durgence


aprs une panne dune des 3 CPU

Duplique

2oo2

2-1-0

Fonctionnement avec 2 CPU, puis avec 1 CPU,


puis arrt durgence aprs une panne de la dernire CPU

Triplique
(TMR)

2oo3

3-2-0

Fonctionnement avec 3 CPU, puis avec 2 CPU,


puis arrt durgence aprs une panne dune des 2 CPU restantes

Quadruple
(QMR)

2oo4

4-2-0

Fonctionnement avec 4 CPU, puis avec 2 CPU,


puis arrt durgence aprs une panne dune des 2 CPU restantes

Systmes 1ooN : systme ddi la scurit, ou sous-ensemble dun tel systme, constitu de N canaux indpendants qui sont connects de telle sorte quil suffit quun seul canal soit oprationnel pour que la fonction de scurit
soit assure.
Systmes 2ooN : systme ddi la scurit, ou sous-ensemble dun tel systme, constitu de N canaux indpendants qui sont connects de telle sorte quil suffit que deux des canaux soient oprationnels pour que la fonction de scurit
soit assure.

38

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

036_039_DOPEHima

7/12/05

11:38

Page 39

Dossier scurit de process


dans le temps de scurit spcifi (safety time).
Le temps de scurit du process (TSP) dun
process donn est par essence le temps de
tolrance aux pannes, avant datteindre une
situation dangereuse. Ainsi, si une situation dangereuse existe pour un temps plus
long que celui spcifi dans le TSP, le process entre dans un tat dangereux. Compte tenu de ces exigences, lautomate de
scurit doit maintenir un niveau de scurit par la dtection interne de fautes dangereuses et les corriger sans dpasser le
TSP, ou en consquence tre considr
comme incapable de remplir les conditions de scurit de ce process.
Comme exemple typique, on peut citer
le Systme de Contrle de Brleur
(SCB.) o le TSP dune seconde est dfini par le TV (DIN VDE 0116). Compte tenu que deux cycles dun automate
sont demands pour dtecter et corriger une panne interne, le Temps de

Dtection et de Correction de la Faute


(TDCF) de lautomate ne peut pas
dpasser 500 ms. Si lautomate de scurit ne peut remplir cette condition, il
ne peut pas tre utilis pour la scurit
dapplication du SCB.

Cot de fonctionnement
Les normes de scurit existantes et
venir demandent que le SIS (Safety Instrumented System/systme instrument de scurit) soit install de faon
attnuer le risque associ au fonctionnement de process dangereux. Ignorer ces
spcifications nest pas une option long
terme. De mme, le cot initial et le cot
de fonctionnement du SIS doivent tre
considrs.
Il est reconnu que quelques architectures,
du fait de leur complexit inhrente,
engendrent des cots dachat et de fonctionnement importants. Ceci se vrifie
pour des projets de petite taille ou des

Fonctionnement de la scurit
aprs la premire erreur
Architecture de base

Comportement aprs la premire erreur

Simplex
Double
TMR
QMR

Fail Safe (classe 4/SIL 2 seulement)


1oo1D
Limitation svre du temps de fonctionnement
1oo2
Limitation du temps de fonctionnement
1oo2D
Pas de limitation du temps de fonctionnement

1oo1
1oo2D
2oo3
2oo4

Pour des applications de scurit, les systmes en canal unique (1-0) ne sont
pas tolrants aux erreurs et doivent tre fail safe.
Les architectures doubles peuvent fonctionner en fail safe ou en mode dgrad de fonctionnement en canal unique (2-1-0) sous des conditions spcifiques
derreur, et avec des temps de limitation de fonctionnement dfinis dans leur
rapport de certification de scurit. Obtenir une copie de ce rapport pour tout
automate est grandement recommand.
Les deux architectures TMR (3-2-0) et Quad (4-2-0) reviennent en mode de fonctionnement 2-0 aprs une premire erreur. Cependant, larchitecture Quad
(QMR) garde ses diagnostics internes complets, elle na pas de restriction de
temps de fonctionnement sous ce mode, et elle conserve son niveau de scurit maximum SIL3 (RC6).
Le mode de fonctionnement dgrad au niveau de scurit SIL3 (RC6) demande que lautomate fournisse un circuit secondaire de dsactivation des sorties.
Celui-ci peut tre externe ou intgr dans les modules de sortie, mais il doit
tre en conformit avec les rgles de scurit. Les mmes restrictions sappliquent au fonctionnement de lautomate aprs une seconde erreur. Pour larchitecture TMR, la seconde erreur peut provenir de lunit centrale ou des entressorties. Une telle situation imposera larrt durgence du systme. Pour
larchitecture QMR, seule une erreur de lUnit Centrale sur le second canal
entranera un arrt durgence du systme, car des erreurs des entres-sorties
peuvent tre gres indpendamment, du fait de ses diagnostics internes plus
complets. En outre, larchitecture QMR propose une tolrance additionnelle aux
erreurs, et un niveau plus lev de disponibilit oprationnelle.

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

projets requrant un niveau de scurit


SIL1 ou SIL2. Pour de tels projets, utiliser une architecture triplique (TMR) na
pas de justification conomique, compte
tenu du cot initial et du cot de fonctionnement.
En outre, si un process peut tre dun
niveau SIL1 ou SIL2 au lieu de SIL3, des
conomies significatives peuvent tre
ralises dans dautres domaines (comme les capteurs), ce qui permettra de ne
pas utiliser darchitectures doubles ou
tripliques comme demandes pour les
applications SIL3.
Larchitecture Quad peut tre configure
pour rpondre aux exigences de performance des SIL1, 2 et 3. Elle peut fonctionner en canal unique ou redondant, en
canal simple, redondant ou tripliqu un
capteur ou un actionneur est demand
pour fonctionner avec chaque boucle de
scurit. Que ce soit dans une configuration simple, slectivement redondante ou
compltement redondante, le niveau de
scurit SIL3 est atteint. Si la redondance
est ajoute, la disponibilit augmente
considrablement et les performances de
scurit sont maintenues.
Ajouter la redondance ne reprsente pas
un cot trs important car les prix du processeur et des modules E/S sont significativement moins levs que ceux des architectures alternatives. De plus, comme ces
modules sont moins complexes, leur
MTBF est de ce fait plus long et les
dpenses de maintenance du systme sont
substantiellement rduites.
Du fait que cette nouvelle architecture est
relativement conomique, elle apporte un
bnfice additionnel au niveau du contrleur du process dont lautomate de scurit
assure la protection. De nombreuses normes
de scurit ne voient plus dinconvnient
regrouper le contrleur du process et
lautomate de scurit dans un mme systme. De mme, il ny a dsormais plus de
justification conomique vouloir prendre
un seul automate de scurit pour protger
plusieurs contrleurs de process. Il en rsulte que linstallation du systme de scurit,
les tests et la maintenance sont moins complexes et moins sujets lerreur humaine.
De plus, pour augmenter la scurit, lautomate de scurit ddi un seul contrleur
de process est nettement plus facile maintenir ou modifier. On limine aussi toute
possibilit darrt durgence accidentel des
autres units de process.
Pascal Paumard
Hima

39

You might also like