Embed Size (px)
Citation preview
MESURES 737 - SEPTEMBRE 2001 73
AUTOMATISMES
Les centrales électriques comportentdes chaudières de grande puissance(typiquement de 100 à 600 MW),truffées de systèmes de sécurité. Jus-
qu’ici, les exploitants de ces chaudières étaientessentiellement des grands producteursd’énergie électrique à vocation nationale (enFrance, EDF) : ceux-ci réalisaient eux-mêmesleurs études de sécurité, avaient une politiqued’auto-assurance et appliquaient leurs propresnormes. Aujourd’hui, à l’instar de ce qui s’estpassé pour les télécoms, le marché de l’élec-tricité est en train de s’ouvrir (la fameuse“dérégulation”) et de nouveaux producteursd’électricité arrivent sur le marché. « Dans le
nouveau contexte de la dérégulation, l’exploi-
tant qui s’équipe d’une nouvelle chaudière ne
veut pas être obligé d’avoir à étudier le systè-
me de sécurité associé. Il souhaite que la chau-
dière lui soit livrée avec un certificat émanant
d’un organisme internationalement reconnu,
indépendant du constructeur, et garantissant
(vis-à-vis des assurances) que la chaîne de
protection répond à la meilleure règle de l’art
du moment », explique Jean-Pierre Dalzon,responsable du marketing et de la définitiondes systèmes d’automatisme à Alstom Power. Pour s’adapter au nouveau contexte et livrerses chaudières avec un certificat de confor-mité en matière de sécurité, Alstom Power s’est
appuyé sur Bureau Veritas. Celui-ci est connudans le monde entier et ses compétences enmatière de systèmes de sécurité des chaudièressont largement reconnues, plus particulière-ment depuis qu’il a pris le contrôle de CEP
Systèmes, remplaçant l’aspect logiciel et système.Les enjeux en matière de sécurité sont impor-tants. Un dysfonctionnement non correcte-ment traité peut entraîner l’explosion et ladestruction de la chaudière, avec risque de
L’IEC 61508, UN GUIDE POUR CONCEVOIR
LES SYSTÈMES DE SÉCURITÉ■ Approuvée il y a un peu plus d’un an (en mai 2000), la norme IEC 61508 fournit un véri-table guide pour concevoir les systèmes électroniques programmables de sécurité.Alstom Power, en partenariat avec Bureau Veritas, vient de la déployer à grande échellepour l’élaboration du système de sécurité de chaudières de grande puissance destinées àdes centrales thermiques. Cette approche permet d’éviter une qualification au cas par cas
des systèmes de sécurité…
Les chaudières pour centrales thermiques de Alstom Power sont désormais livrées avec un sys-tème de sécurité intégré certifié par un organisme connu internationalement (Bureau Veritas).L’exploitant est ainsi déchargé d’une lourde tâche…
Alsto
m
olutionsS
Vu chezAlstomPower
Reportage
073_076_SOL 11/10/05 12:08 Page 73
MESURES 737 - SEPTEMBRE 200174
� Solutions Reportage�
blessures ou de mort de personnes présentesdans le voisinage. Par exemple, si l’allumageest défectueux, l’accumulation de gaz imbrû-lés peut entraîner un mélange détonnant lorsde la tentative d’allumage. Celui-ci doit doncêtre surveillé. La combustion en marche et lesparamètres de sécurité (pression, températu-re, etc.) doivent également être contrôlés.
La sécurité est étroitement associéeau procédéDans leur démarche “sécurité”, Alstom Power etBureau Veritas ont cherché à s’appuyer sur l’existant.Dans le domaine des chaudières, l’existant, c’estl’arsenal des normes américaines NFPA (Natio-nal Fire Protection Agency), qui précisent lecomportement du “procédé” à adopter (déclen-chement naturel sur coupure de tension) et lesprotections électriques et électroniques à mettreen place selon le type de chaudière, de com-bustible utilisé et le type de brûleurs. Ces normes ne précisent pas comment doitêtre réalisé le système de protection. D’autresnormes abordent le sujet. Alstom Power s’appuiedepuis longtemps sur des travaux effectués ausein des organismes de normalisation, notam-ment en Grande-Bretagne (High IntegritySoftware), en Allemagne (Draft VDE 801) età la CEI (comité 65A). Tous ces travaux ontdébouché sur la norme IEC 61508. Et c’esttout naturellement que celle-ci a été choisiecomme référentiel pour la certification du sys-tème de sécurité des chaudières par Bureau Veri-tas. A sa sortie, certains avaient souligné lacomplexité de cette norme (elle est présen-tée en 7 volumes et comprend plus de1 000 prescriptions) et douté qu’elle soit unjour véritablement appliquée. Aujourd’hui,les faits sont là, la norme s’est imposée. Maisc’est vrai qu’il faut pas mal de compétences
et de patience pour pouvoir l’appliquer, tantelle est détaillée : « Sur les 18 mois de travaux
nécessaires pour mener à bien la certification,
il a fallu 6 mois d’analyse méthodologique pré-
liminaire. Nous avons eu de longues discus-
sions avec Bureau Veritas afin d’être sûrs de
bien nous comprendre, de parler le même lan-
gage », se souvient M. Poueyo, spécialiste dela sécurité de fonctionnement à Alstom Power.La norme ne peut stricto sensu être limitée à laqualification d’un équipement. Pour qualifierle système de protection, et plus particulière-ment l’électronique et le logiciel de contrôlede celui-ci, il est nécessaire de bien préciser laquote-part de participation du système de pro-tection au fonctionnement de l’ensemble duprocédé, tel qu’il est défini dans les normesNFPA. L’application de la norme implique descompétences multi-formes : il faut à la foisbien comprendre le procédé, s’imprégnerd’une logique de raisonnement d’assureur (ilfaut “assurer” le risque), connaître le systè-me de contrôle commande et avoir de bonnesnotions de calculs de probabilités. Autant dire
qu’elle n’est pas à la portée du premier venu !L’IEC 61508 définit le niveau d’intégrité quedoit remplir le système de sécurité. Ce niveau,appelé SIL (Safety Integrity Level), est déter-miné en fonction du risque à couvrir, autre-ment dit de ses conséquences potentielles(atteinte à l’environnement, catastrophes, bles-sures ou mort d’homme, etc.). Pour évaluer leniveau SIL, il faut donc bien connaître le pro-cédé (c’est-à-dire la chaudière). Alstom et BureauVeritas se sont appuyés pour cela sur des don-nées statistiques issues de l’exploitation auniveau international. La compilation de tousles éléments a conduit à développer un sys-tème de sécurité ayant le niveau SIL3, ce quiest un niveau élevé (l’échelle SIL comprenden effet 4 niveaux).Une fois défini le niveau d’intégrité SIL, il estpossible de définir les critères auxquels doi-vent répondre le matériel et le logiciel du sys-tème de protection. Ce travail est réalisé ens’appuyant sur des tableaux se trouvant enannexe de la norme. A partir de ces tableaux,il est également possible de définir la métho-de d’évaluation et les points à examiner parl’organisme certificateur.
Un même système pilote le process eten assure la protectionPar le passé, le système de protection étaitréalisé indépendamment du système decontrôle-commande du procédé, et unechaîne à relais dédiée à la sécurité fonction-nait en parallèle avec la chaîne dédiée aucontrôle de process. « Cette approche était
coûteuse car elle impliquait une double chaî-
ne d’ingénierie, une double formation et une
double maintenance. De plus, avec deux
chaînes qui ne réagissaient pas de la même
façon, la sécurité n’était pas optimale. En
couvrant à la fois l’aspect contrôle-com-
mande et l’aspect sécurité, notre système Als-
pa P320 permet de réaliser des économies
importantes, tout en assurant une meilleure
sécurité », commente M. Dalzon.
Un conseil pour faire de la sécurité au “juste nécessaire”■ Les causes des accidents des systèmesélectroniques utilisés dans des fonctions desécurité se répartissent sur tout le cycle de viede ces systèmes, mais de manière inégale. Lamajorité de ces défaillances survenant lorsdes phases de spécification et de modifica-tions après démarrage, la CEI (CommissionElectrotechnique Internationale) a impulsé destravaux sur le sujet, qui ont abouti enmai 2000 à la publication de la normeIEC 61508 “Sécurité fonctionnelle des sys-tèmes électriques/électroniques/électro-niques programmables (E/E/PES) relatifs à lasécurité”).
Bureau Véritas s’appuie sur cette norme pourdélivrer ses attestations (entre autre pour lesystème de protection des chaudièresd’Alstom Power). Le groupe évalue la perfor-mance du management des systèmes desécurité, mais il attribue également un niveaude sécurité en fonction de leur disponibilité àdes équipements électroniques. « Notredémarche nous permet de conseiller etd’accompagner nos clients, pour aller vers le“juste nécessaire” en matière de conceptiondes équipements électroniques program-mables de sécurité. Nous travaillons dans lebut d’optimiser le ratio coût/sécurité », expli-quent Michel Suzan et Patrick Teixeira, encharge de cette activité à Bureau Veritas.
Ces classeurs donnent unaperçu de la complexité del’IEC 61508. Environ six moisont été nécessaires à AlstomPower et Bureau Veritas pours’assurer que la norme avaitété bien comprise, que lesdeux partenaires se compre-naient bien et qu’il était dèslors possible de pouvoirl’appliquer.
073_076_SOL 11/10/05 12:08 Page 74
Aujourd’hui encore, sur bien des process, lasécurité est assurée par un système indé-pendant. C’est notamment le cas des processchimiques, pour lesquels la majorité dessignaux d’entrées/sorties concernent desboucles de régulation. « Sur les centrales
thermiques, c’est un peu l’inverse. Sur
15 000 signaux, 300 à 400 “à peine” sont
affectés à des régulations. La partie sécurité
SIL3 est isolable mais certains actionneurs
affectés à la sécurité sont également utilisés
lors du démarrage de l’installation. De ce fait,
le système P320 a d’abord été conçu en répon-
se aux problèmes de sûreté des automatismes
“logiques” », explique M. Dalzon. La logique réalisée est relativement simple,mais la décision de déclenchement fait inter-venir des combinaisons multiples sur unnombre très important de signaux (200 à600, selon le type de chaudière et le niveaude redondance requis sur l’instrumentation).L’architecture de l’Alspa P320 est bâtie surdeux types de réseaux de communication.Le premier est le réseau “salle de comman-de” et il assure les liaisons entre les auto-matismes et la salle de commande, ainsi queles liaisons inter-cellules. Le deuxième typede réseau est le réseau “cellules d’automa-
tisme”. Une cellule d’automatisme estconstituée d’un contrôleur multifonctions(automatisme séquentiel et régulation, com-munication) et d’un réseau de terrainconnecté à des “field controllers” (contrôleursde terrain). Le fonctionnement, conçu àl’origine selon les standards WorldFip, per-met de répondre aux exigences maximalesde sûreté : fonctionnement simple etcyclique des automatismes, non-altérationdes échanges d’automatisme par la messa-gerie d’information et de configurationsuperposée, redondance intégrée sansadjonction de matériel annexe, contrôle per-manent des temps d’échange, tenue à l’envi-ronnement électromagnétique.L’application “sécurité chaudière” consiste àconcentrer les traitements de sécurité dansdes “field controllers”. Il s’agit notamment decontrôler la séquence de ventilation préa-lable à l’allumage (dite “balayage”) assurantl’évacuation des gaz susceptibles de provo-quer une explosion lors de la mise en flam-me. Ces contrôleurs réalisent également letraitement des sécurités provoquant l’arrêtde la chaudière sur défaut en marche.Les signaux des capteurs de sécurité sontacquis, en redondance, sur les contrôleursde terrain (également redondants). Lesordres de sollicitation de l’organe déclen-cheur général de la chaudière sont élaborésau niveau de ces contrôleurs, sur la based’une logique cyclique à blocs de fonction. Bien entendu, l’architecture du système, lesniveaux de redondances adoptés, les optionsmatériels et logiciels retenues dépendent del’application, et donc du niveau SIL.
Une analyse détaillée pour obtenir lacertificationL’attestation de conformité délivrée parBureau Veritas est très explicite sur la portée dela certification : « Bureau Veritas certifie
que la conception du système de protection
de chaudière pour centrale de production
d’énergie réalisé avec le système Alspa P320
(…) est conforme à la norme CEI 61508
niveau SIL3 pour ce qui a trait exclusive-
ment au risque de non-fonctionnement de la
protection ». Ce type de certification n’a rienà voir avec la certification de sous-ensembles, telle que la pratique, parexemple, les TüV pour les automates desécurité, indépendamment du contexte del’application. Ici, c’est une architecture com-plète qui est certifiée, aussi bien l’aspectmatériel que logiciel, dans son environne-ment d’utilisation (chaudière), et en pre-nant en compte l’ensemble du cycle de viede la sûreté (de la conception à l’exploita-tion).
MESURES 737 - SEPTEMBRE 2001 75
� Solutions Reportage �
Le système de protection des chaudières est conçu autour d’un système Alspa P320. Ce mêmesystème assure également le contrôle commande. Par rapport aux approches classiques où lecontrôle commande et la sécurité sont confiées à des chaînes séparées, l’utilisation d’un systè-me unique assure une économie d’ingénierie et de maintenance très importante pour l’exploi-tant et offre, en conséquence, une sécurité encore accrue en exploitation.
*Probabilité d’une défaillance dangereuse par heure
Niveau SIL d’intégrité Mode de fonctionnement de sécurité continu ou à forte sollicitation*
4 ≥10-9 à <10-8
3 ≥10-8 à <10-7
2 ≥10-7 à <10-6
1 ≥10-6 à <10-5
Niveau SIL d’intégrité Mode de fonctionnement de sécurité à faible sollicitation*
4 ≥10-5 à <10-4
3 ≥10-4 à <10-3
2 ≥10-3 à <10-2
1 ≥10-2 à <10-1
➤ Les niveaux SIL
*Probabilité moyenne de défaillance à exécuter, lors d’une sollicitation, la fonction pour laquelle il a été conçu
La norme IEC 61508 fixe des niveaux d’intégrité de sécurité SIL, définis en fonction du risque àcouvrir. A partir de ces niveaux SIL, il est possible de définir les exigences auxquelles doiventsatisfaire le système de protection, que celui-ci fonctionne en mode de faible sollicitation(tableau du haut) ou en mode continu ou de forte sollicitation (tableau du bas).
073_076_SOL 11/10/05 12:08 Page 75
MESURES 737 - SEPTEMBRE 200176
� Solutions Reportage�
« D’un utilisateur à l’autre, d’une chaudiè-
re à l’autre, il existe bien sûr des variantes,
et le système de protection n’est pas repro-
duit à l’identique. Mais en restant dans le
cadre défini avec Bureau Véritas, nous
n’avons pas à faire certifier chaque nouveau
système. C’est un des grands bénéfices du
processus de certification réalisé en suivant
la norme IEC 61508 », explique M. Dalzon.Il s’agit en fait d’une certification générique,avec des adaptations possibles (plusieursscénarios ont été prédéfinis) afin derépondre à un maximum de contextesindustriels.L’opération de certification du système de pro-tection a nécessité une analyse exhaustive dela conception et de la réalisation :- vérification du respect du cycle de vie de lasûreté dès la spécification initiale du systèmeet des produits constitutifs,- vérification du processus de développementdu matériel (hardware),- vérification du processus des essais de résis-tance aux agressions de l’environnement,- vérification du processus de réalisation deslogiciels (outils, méthodes, processus de testet d’intégration),
- vérification du processus de validation sys-tème (incluant les essais de sûreté, lesméthodes d’analyse de défaillance, l’examendu taux de couverture des tests et de traite-ment des marches dégradées),- vérification du processus de suivi des modi-fications.Ces vérifications sont faites sur les docu-ments de conception et d’essais. Elles sontcomplétées par un audit des équipes encharge, à différents niveaux d’exécution.Le résultat est synthétisé dans une “grillede balayage” de vérification croisée entreles exigences de la norme et les documentsfaisant preuve de la conformité du systè-me. Un millier de points de balayage ontété examinés, conduisant à une dizained’investigations complémentaires sur despoints de justification sur structure docu-mentaire de détail, et à trois essais com-plémentaires.La norme dissocie l’analyse de l’aspect sys-tème et “hardware” d’un côté, de l’analy-se de la qualité de production du logiciel del’autre. La certification “matériel” et leniveau de redondance à adopter ont étédéfinis par calcul, en prenant notamment
en compte les taux de défaillances des dif-férents éléments constitutifs du système.Pour le logiciel, les choses sont plus com-plexes. La norme constate qu’il est impos-sible de prouver l’absence de défaut logiciel.Le logiciel “système” retenu est un modèle“maison” qui avait largement fait ses preuvessur le terrain. La certification du logicielapplicatif pose plus de difficulté, et icil’accent est plutôt mis sur la méthode dedéveloppement. M. Dalzon souhaite que lanorme IEC 61508 aille plus loin : « Pour le
futur, la maintenance de la norme
IEC 61508 devra porter sur la prise en comp-
te de l’utilisation de “composants sur étagè-
re” et de logiciels préexistants. Elle devra éga-
lement, prendre en compte l’évolution des
technologies de réalisation des logiciels (les
langages graphiques, entre autres) ». Alstomsoutient cette voie au sein des groupes detravail sur la normalisation.■
Jean-François Peyrucat
Alstom Power4, avenue André Malraux92309 Levallois - PerretTel. : 01 41 49 20 00 - Fax : 01 41 49 24 85http : //www.power.alstom.com
073_076_SOL 11/10/05 12:08 Page 76
