Professional Documents
Culture Documents
7/12/05
11:38
Page 36
Sils sont trop frquents, les arrts durgence sur les process industriels se rvlent conomiquement prjudiciables, voire
dangereux. Pour les limiter, il est impratif que les architectures des automates de scurit fournissent la fois de la scurit et de la disponibilit. Ceci passe par la mise en uvre darchitectures redondantes. Dans cet article, Hima brosse un rapide tableau des diffrents types darchitectures, en mettant laccent sur la solution Quad quelle soutient.
36
036_039_DOPEHima
7/12/05
11:38
Page 37
diagnostics
et affichage
Un bon compromis :
les architectures tripliques
Tous les systmes dupliqus un problme
en commun : une svre restriction du
temps de fonctionnement en mode
canal unique. Quelques fournisseurs
tentent de contourner cette restriction
en utilisant un modle mathmatique
pour prvoir le taux dexigence du process, et ainsi allonger le temps de fonctionnement autoris en canal unique.
Cette approche nest certainement pas
recommande pour la scurit car les
donnes exploites dans de tels
modles ne sont quapproximatives, et
les rsultats obtenus sont inappropris
diagnostics
et affichage
37
036_039_DOPEHima
7/12/05
11:38
Page 38
tion dun facteur trois, tant en disponibilit quen scurit, par rapport ce qui est
normalement fourni par les architectures
TMR. En outre, elle a une sensibilit significativement moindre aux erreurs de mode
commun du fait dune totale sparation,
isolation et fonctionnement des canaux
redondants.
Voyons plus prcisment le problme de
la scurit. Dans les architectures dupli-
Configuration
Mode de fonctionnement
Nombre min.
de canaux
oprationnels
Nombre de
dfauts pour
dclencher
Simple
1oo1
1-0
Duplique
1oo2
2-0
Triplique
(TMR)
1oo3
3-0
Duplique
2oo2
2-1-0
Triplique
(TMR)
2oo3
3-2-0
Quadruple
(QMR)
2oo4
4-2-0
Systmes 1ooN : systme ddi la scurit, ou sous-ensemble dun tel systme, constitu de N canaux indpendants qui sont connects de telle sorte quil suffit quun seul canal soit oprationnel pour que la fonction de scurit
soit assure.
Systmes 2ooN : systme ddi la scurit, ou sous-ensemble dun tel systme, constitu de N canaux indpendants qui sont connects de telle sorte quil suffit que deux des canaux soient oprationnels pour que la fonction de scurit
soit assure.
38
036_039_DOPEHima
7/12/05
11:38
Page 39
Cot de fonctionnement
Les normes de scurit existantes et
venir demandent que le SIS (Safety Instrumented System/systme instrument de scurit) soit install de faon
attnuer le risque associ au fonctionnement de process dangereux. Ignorer ces
spcifications nest pas une option long
terme. De mme, le cot initial et le cot
de fonctionnement du SIS doivent tre
considrs.
Il est reconnu que quelques architectures,
du fait de leur complexit inhrente,
engendrent des cots dachat et de fonctionnement importants. Ceci se vrifie
pour des projets de petite taille ou des
Fonctionnement de la scurit
aprs la premire erreur
Architecture de base
Simplex
Double
TMR
QMR
1oo1
1oo2D
2oo3
2oo4
Pour des applications de scurit, les systmes en canal unique (1-0) ne sont
pas tolrants aux erreurs et doivent tre fail safe.
Les architectures doubles peuvent fonctionner en fail safe ou en mode dgrad de fonctionnement en canal unique (2-1-0) sous des conditions spcifiques
derreur, et avec des temps de limitation de fonctionnement dfinis dans leur
rapport de certification de scurit. Obtenir une copie de ce rapport pour tout
automate est grandement recommand.
Les deux architectures TMR (3-2-0) et Quad (4-2-0) reviennent en mode de fonctionnement 2-0 aprs une premire erreur. Cependant, larchitecture Quad
(QMR) garde ses diagnostics internes complets, elle na pas de restriction de
temps de fonctionnement sous ce mode, et elle conserve son niveau de scurit maximum SIL3 (RC6).
Le mode de fonctionnement dgrad au niveau de scurit SIL3 (RC6) demande que lautomate fournisse un circuit secondaire de dsactivation des sorties.
Celui-ci peut tre externe ou intgr dans les modules de sortie, mais il doit
tre en conformit avec les rgles de scurit. Les mmes restrictions sappliquent au fonctionnement de lautomate aprs une seconde erreur. Pour larchitecture TMR, la seconde erreur peut provenir de lunit centrale ou des entressorties. Une telle situation imposera larrt durgence du systme. Pour
larchitecture QMR, seule une erreur de lUnit Centrale sur le second canal
entranera un arrt durgence du systme, car des erreurs des entres-sorties
peuvent tre gres indpendamment, du fait de ses diagnostics internes plus
complets. En outre, larchitecture QMR propose une tolrance additionnelle aux
erreurs, et un niveau plus lev de disponibilit oprationnelle.
39