de la sécurité fonctionnelle à la gestion des performances ... · les diagnostic des modules di...
TRANSCRIPT
4 De la Sécurité Fonctionnelle à la gestion des performances des systèmes de sécurité
Slide 1
Thierry VUILLAUME Technical Sales Consultant Director Safety & Critical Control - EURA
Paris – 11 Avril 2013
Architecture Simplex versus Dual-PLC en configuration Failsafe
• 1001
CPU
A A
Fail dangerous Available1oo1 0,02 0,98
Fail dangerous Available1oo1 0,02 0,982oo2 0,04 0,99961oo2 0,0004 0,96
A
B
CPU
A
CPU
B
• 1002
Slide 2
APS avec voteur 2 sur 3
A
B
A
B
C
C
CPU
A
CPU
C
CPU
B
Output = A.B + B.C + A.C
Fail dangerous Available1oo1 0,02 0,982oo2 0,04 0,99961oo2 0,0004 0,962oo3 0,0012 0,9988
Safety Integrity Level (SIL)
Slide 3
SIL et contraintes Architecture des SIS Les contraintes architecturales d'un SIS imposées par la CEI/EN 61508 limite le
SIL qui peut être revendiqué pour une fonction de sécurité sur la base de son facteur de tolérance aux pannes matérielles et son SFF et DC.
– Le ‘SFF’ proportion de défaillances en sécurité est la fraction du taux global aléatoire de défaillance matérielle d'un composant qui se traduit par une défaillance soit sûre ou dangereuse mais détectée /défaillances en sécurité et dangereuses.
– Le ‘DC’ couverture de diagnostic est défini comme le rapport du taux de défaillance détectée à un taux d'échec total du composant ou sous-système, tel que détecté par les tests de diagnostic.[hors tests périodiques IEC61511-1]
– La couverture de diagnostic inclue les composants ou sous-systèmes d’un SIS. Exemple: capteur et/ou ‘logic solver’ et/ou élément final.
Slide 4
Objectifs des Diagnostics PFS - Probabilité de défaillance en mode Sûr PFD - Probabilité de défaillance sur Demande (Dangerous Failure)
FIABILITE
DISPONIBILITE
SUCCESSFUL OPERATION
UNSUCCESSFUL OPERATION
Product
PFS PFD
Nuisance Trip
PFS
PFD
Nuisance Trip
" Fail Safe" Strategy versus "Fail operational" strategy sur défault d’un sous-système
Améliorer l’intégrité du SIS et
sa disponibilité
Slide 5
M P
C
M P
B
M P
A
Input Leg
A
Input Leg B
Input Leg C
Output Leg
A
Output Leg B
Output Leg C
Main Processor
C
Main Processor
B
Bus E/S
Bus E/S
I/O Bus
TriBus
TriBus
TriBus Voter
Main Processor
A
Entrée Terminaison
Sortie Terminaison
Auto Spare Auto Spare
Cause 0
1
1
1
1
1 1
1
1
Effet 1
Architecture Triple modulaire Redondante avec Diagnostiques
TMR = Sécurité + Fiabilité + Disponibilité
Slide 6
TRIDENT Diagnostic mechanics Modules AI et DI exécutent en permanence des diagnostics valeur forcée
(FVD), un auto-test de diagnostic qui détecte et signale par une alarme toute conditions de ‘stuck-at’ et défaut de précision en moins de 500 ms.
Les diagnostic des modules DI sont spécifiquement conçus pour surveiller les dispositifs qui maintiennent lespoints dans un état pendant de longues périodes de temps. Les diagnostics assurent une couverture complète de détection de faute sur chaque circuit d'entrée, même si l'état actuel de l'entrée ne change jamais.
Modules AO exécutent en permanence des diagnostics de commutation forcée (FSD) sur chaque point. En forçant es conditions d'erreur et en observant le comportement correct des circuits du voteur, une grande fiabilité et un fonctionnement sûr est garanti.
Ces capacités de diagnostic permettent un fonctionnement sécuritaire sans limitation même en cas de scénarion de détection de fautes multiples.
Tous les diagnostics sont exécutés à chaque scan Slide 7
Trident DO module features Module DO les diagnostics sont spécifiquement conçus pour superviser les
sorties qui restent dans un état pendant de longues périodes de temps. Le diagnostics OVD assure une couverture complète de chaque circuit de sortie, même si l'état actuel de la sortie ne change jamais.
• Ce circuit du voteur est basée sur des chemins parallèles séries qui passent l'alimentation si deux des trois canaux (A et B ou B et C ou A et C) de commande sont fermés. • Le circuit du voteur ‘Quad’ a une redondance multiple sur tous les chemins de signaux critiques, garantissant une sécurité et une disponibilité maximale. Au cours de l’exécution du diagnostic (OVD) l‘état de commandement de chaque point est momentanément inversé sur l'un des conducteurs de sortie, l’un après l'autre. Un circuit de re-bouclage en retour sur le module permet à chaque ASIC de lire la valeur de sortie du point et de déterminer si un défaut latent existe à l'intérieur du circuit de sortie
Slide 8
Pas de défauts sur les Modules Opération du système sans limitation
Trident / Tri-GP E/S
en Mode TMR
Quad System E/S
en Mode Dual
TMR versus QUAD: gestion des défauts
Slide 9
I/O board in Fault Insertion Robot
1er Point en défaut sur une Voie Sans Supervision continue de l’Opérateur!
Trident / Tri-GP
Point marqué Dual
Module marqué TMR / Dual
Certified for Unlimited System
Operation!
Quad System
E/S en Mode Smplx
Module Shutdown
Per : Process Group Shutdown!
or System Shutdown!
TMR versus QUAD: gestion des défauts
Slide 10
1er Point en défaut sur 2ème Voie
Quad System
Both Modules Already Shutdown!
Per TÜV: Process Group
Already Shutdown! or
System Already Shutdown!
Trident
2nd Point Marqué Dual
Module is Still Dual
TÜV Certified:
Unlimited System Operation!
TMR versus QUAD: gestion des défauts
Slide 11
Actuateurs et vannes sont les maillons faibles
35% 50% 15%
Capteurs Sous-système
Element Final Sous-système
Logic Sous-système
Performance Globale d un SIS PFDSYS = PFDS + PFDL + PFDFE
• l’utilisation de capteurs ‘intelligent’ augmente le taux de diagnostics • l’utilisation d’équipement certifiés SIL augmente le taux de SFF
Slide 12
Operational Risk
L’apport d’une Instrumentation ‘Intelligente’ et certifiée SIL
SIL2 Certified (TÜV) Pressure Transmitters • >90% SFF (Safe Failure Fraction) • ‘Proof Test interval’ 1 ou 2 ans • 5 ans de guarrantie • DD et DTM pour configuration / diagnostics
SIL3 Certified Valve Positioners • Intrinsically safe et explosion proof • Manual / Automatic Partial Stroke Test (PST) pour vannes ESD • PST signature et rapport complet sur PST • Disponible en HART, Profibus PA et Foundation Fieldbus (FF)H1
13
La valeur ajoutée de diagnostic des appareils de terrain (HART )a un effet positif sur la maintenance prédictive, mais n'améliorent pas la SFF, et ne permettent pas de réduction de la redondance dans tous les cas
Intelligent Valve Diagnostics pour FSM & Maintenance Préventive
24VDC DO
Do PST
Status PST
Input
DI
DO 24VDC
1
2
Enregistrement SOE rétentif dans la mémoire de l’APS, pour une traçabilité des tests
14
Slide 14
Triconex® Enhanced Diagnostic Monitor (Puissant outil de reporting) Supervision / détection de fautes
15
• Internes au système et périfériques
• Alimentations, capteurs / actionneurs
• Communications Slide 15
Architecture typique SIS avec outils de gestion de sécurité operationelle
Tristation SOE, Alarmes par SIF Inhibit & Bypass Mgt. Real time view of risk across the plant, SIS Diagnostic Monitoring
Engineering Ops & Maintenance
Safety LAN
Trident SIL3
Tricon SIL3
16
Slide 16
Pour prendre les décisions sur la sécurité dans leur contexte avec suffisement
d’information
Design Risk
2
Business Risk
1
Operational Risk
3 GAP
Slide 18
Q1 Concept
Q2 Design
Q3 Implement
Q4 Operate
19
Outils pour la gestion des performances des systèmes de sécurité