CF - fautocoes

Download Report

Transcript CF - fautocoes 

Cyrille Folleau (SATODEV)
Bordeaux 26/11/2010 - IMdR GTR 22 Recherche Méthodologique
Norme IEC61508
Indicateurs et objectifs
Calculs : Route 1H VS Route 2H
Module SIL
Saisie d’architectures simplifiée
Calculs précis et automatisés PFD/PFH …
Module Tree
Fonctionnalité classique d’un logiciel d’AdD
Calcul PFD/PFH : temps passé dans les zones
Gestion des incertitudes
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
2
Nouvelles exigences sur les systèmes de
sécurité (ici des systèmes E/E/PE)
Distinction entre différents type de demande :
Mode sollicitation faible : la fonction de sécurité
n’est réalisée que sur sollicitation, afin de faire
passer système protégé dans un état de sécurité
spécifié, et la fréquence des sollicitations n’est pas
supérieure à une par an.
Mode sollicitation élevée / ou continue : idem plus
d’un fois par an ou de manière continue
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
3
« Nouveaux » indicateurs
Mode faible sollicitation :
PFDAvg = Probabilité moyenne de défaillance dangereuse.
Mode sollicitation élevée/continue :
PFH = Fréquence moyenne de défaillance dangereuse (h-1) .
Des objectifs à atteindre en fonction du
système à « sécuriser »
SIL
4
3
2
1
Non SIL
Bordeaux 26/11/2010
Sollicitation élevée ou continu
PFH < 10-8
10-8 ≤ PFH < 10-7
10-7 ≤ PFH < 10-6
10-6 ≤ PFH < 10-5
PFH ≥ 10-5
IMdR GTR 22 Recherche Méthodologique
Faible sollicitation
PFDavg < 10-4
10-4 ≤ PFDavg < 10-3
10-3 ≤ PFDavg < 10-2
10-2 ≤ PFDavg < 10-1
PFDavg ≥ 10-1
4
Does
Probability of failure of safety
fonction meets target ?
5
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
Route 1H
Critiques :
SIL obtenus par des calculs approchés et ne
fournissant que des moyennes
Assemblage de moyennes (comme des LEGO)
SFF : Safe Failure Fraction qui incite à introduire des
pannes sûres sans forcement diminuer les pannes
dangereuses.
MDTE 
tGE 
DU  T1
 
  MRT   DD MTTR
D  3
 D
 T1
2
DU 
tCE' 
Bordeaux 26/11/2010
1  T1  2  T2 
 
 
 T1

2
T  2  PFD
T  2 
 MRT 
G  2 1   D DD  1   DU  tCE tGE   D DDMTTR  DU 
 DU  T1
 

 MRT   DD MTTR
 t CE 
 MRT      MTTR
D  2
D


DD
2

SD
DU  DD  SD 
IMdR GTR 22 Recherche Méthodologique
6
Route 2H
Utilisation de calculs éprouvés dans la sureté de
fonctionnement :
PFD => Indisponibilité
PFH => Intensité inconditionnelle de défaillance
Valeurs en fonction du temps
Possibilité de prendre en
compte les incertitudes
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
7
Route 1H VS Route 2H
Différence Calcul Simpliste et Calcul BDD sur
un 1oo2
Test 10000 h et Lambda 2.10
PFDAvg Composant :
9.17 10-2 = SIL 1
PFDAvg system :
8.41 10-3 = SIL 2
Bordeaux 26/11/2010
PFDAvg system :
1.11 10-2 = SIL 1
IMdR GTR 22 Recherche Méthodologique
8
-5
Route 1H VS Route 2H
Différence sur un système plus complexe 1oo2D
(Source Thèse Farès Innal)
Lambda 5.10-5
SFF de 60%
Beta de 2%
Sur 1 an
μ'DU
2KO
(DU)
λDU
2(1-ß)λDU
2 λDD
4
4
1KO (DU)
1OK
2OK
μDU
2
μDD
2
1
λDU
μDD
1KO (DD)
1OK
1KO (DD)
1KO (DU)
5
μDU
3
4(1- ßD)λDD
2
Route 1H: 1.5 10-3
Route 2H (Markov): 3.19 10-3 = SIL 1
TOTAL R&M a décidé de ne plus utiliser les logiciels
utilisant les formules de la route 1H
Création d’un module SIL s’appuyant sur GRIF et le
moteur BDD ALBIZIA
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
9
Pour l’utilisateur non fiabiliste
Modélisation de boucle instrumentée de sécurité
Saisie intuitive de l’architecture
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
10
Gestion des différents mode de défaillance
Pannes non
détectées
Pannes détectés
Pannes dangereuses
λdu
λdd
Pannes sûres
λsu
λsd
Lois tests périodiques
Lois GLM
Nombreux paramètres pour éviter les approximations
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
11
Calculs : génération de formules booléennes et
traitement avec le moteur BDD Albizia comme le
module arbre de défaillance
Calculs exacts
Calculs à chaque instant
Calculs de moyenne
Calculs de temps passé
dans les zones
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
12
Possibilité d’introduire des décalages entre tests
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
13
Prise en compte des contraintes architecturales : le SIL
atteint est calculé à partir la PFD/PFH et du SIL
maximum atteignable par l’architecture
Prise en compte du caractère déterminé des
composants (IEC 61508 et/ou 61511), NS/F/S
Composant1
NS
S
F
NS
NS
NS
S
S
F
NS
NS
NS
…
Bordeaux 26/11/2010
Composant2
NS
S
F
S
F
F
NS
NS
S
…
Composant3
NS
S
S
…
SIL max atteignable
0
1
2
1
2
3
2
3
3
2
3
3
…
IMdR GTR 22 Recherche Méthodologique
14
Synthèse
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
15
Les dernière moutures de l’IEC 61508 ont permis de rectifier le
tir en proposant l’utilisation de méthodes de calculs éprouvées
pas les fiabilistes.
GRIF module SIL a été conçu pour répondre aux besoins de
calculs sur des boucles instrumentées de sécurité
Ce module permet à des « non fiabilistes » d’obtenir des valeurs
plus juste que la simple application de formules.
Démonstration en pratique
Ce module permet d’exporter au format .dag pour traiter des
cas plus complexe avec le module Tree (Arbre de défaillance)
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
16
Lorsque les systèmes de sécurité deviennent plus
complexes, il incombe aux fiabilistes de réaliser un
arbre de défaillance et d’en tirer les informations
souhaitées
Problèmes :
Disposer d’outil pour faire les calculs de PFD/PFH et
calculer les temps passés dans chaque SIL
Comme indiqué dans la norme, il faut prendre en compte
les incertitudes des paramètres d’entrée.
Solution améliorer un outils d’arbre de défaillance
existant : GRIF module Tree
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
17
Arborescence
pour organiser
son arbre
Tableau de
paramètres
pouvant être
connectés à
une base de
données
Outils de
saisie
Bordeaux 26/11/2010
Courbes
IMdRconfigurables
GTR 22 Recherche Méthodologique
18
Nombreuses possibilités de calculs
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
19
Récupération des résultats
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
20
Affichage des résultats
Visible sur l’arbre directement
Présentation sous forme de courbe
Directement dans les tableaux de données à droite
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
21
Calcul des temps passés dans les zones
Lors des calculs, Albizia vérifie dans
quelle zone se situe le point pour
fournir le temps passé dans chaque
SIL. Les zones spécifiés sont reprises
pour l’affichage des courbes.
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
22
Incertitudes
Pour chaque paramètre, possibilité d’utiliser une
incertitude suivant les lois :
Uniforme
Normale
LogNormale
Un calcul de Quantiles est effectué et il est possible
de choisir le quantile représentant la borne
inférieure et supérieure de l’intervalle de confiance
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
23
Incertitudes
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
24
Contraintes architecturales
En plus des PFD/PFH l’IEC 61508/61511 impose une
tolérance à un certain nombre de défaillance
matériel pour chaque SIL => Calcul de coupe
Contraintes architecturales 61511 prenant en
compte le type de composant
Pas traité pour l’instant, peut-être faut-il ajouter la
possibilité de faire coupes pondérées.
Bordeaux 26/11/2010
IMdR GTR 22 Recherche Méthodologique
25