Introduction

Lors de la conception d'une application sécurisée, vous devez suivre les recommandations de l'une des normes de sécurité qui s'appliquent à votre domaine d'application. La plupart des normes d'application dérivent de la norme générique CEI 61508 ou sont liées à celle-ci, notamment la norme sur l'industrie des procédés (CEI 61511), les normes sur l'industrie des machines (CEI 62061 et ISO 13489), la norme sur l'industrie nucléaire (CEI 61513), les normes sur les chemins de fer (EN 5012x), etc.

La norme IEC 61508 définit le cycle de vie d'une application sous la forme d'une séquence d'étapes. Chaque étape remplit un rôle défini, nécessite des documents d'entrée obligatoires et produit des documents de sortie. La décision d'utiliser un système intégré de sécurité (SIS) est prise à la fin de l'étape d'allocation des besoins en matière de sécurité (étape 5).

Cette section définit les vérifications nécessaires liées à l'utilisation d'un système de sécurité M580 que vous devez effectuer lors des étapes suivantes :

9.

Spécification des exigences de sécurité des systèmes E/E/PE
10.

Réalisation de systèmes liés à la sécurité E/E/PE
12.

Installation et mise en service globales
13.

Validation de sécurité globale
14.

Exploitation, maintenance et réparation générales
15.

Modification et modernisation générales

Le diagramme suivant présente une vue d'ensemble du cycle de vie d'une application de sécurité :

Etape 9 : Spécification des exigences de sécurité des systèmes E/E/PE

Cette étape a lieu lorsque l'analyse des risques est terminée et a fourni (entre autres) les informations suivantes :

  • Définition des fonctions intégrées de sécurité

  • Performances exigées desdites fonctions (temps, réduction des risques, niveau SIL, etc.)

  • Modes de défaillance de ces fonctions

Elle doit produire les spécifications du besoin en matière de sécurité, lesquelles comprendront au minimum les informations suivantes nécessaires à la conception d'une application sécurisée à l'aide de n'importe quel type de PAC de sécurité :

  • Etat sécurisé des fonctions de sécurité intégrées

  • Analyse du mode de fonctionnement du SIS (y compris le comportement en mode de marche, d'arrêt, de mise sous tension, de maintenance, de réparation, etc.)

  • Intervalle de test de la fonction de sécurité (SIF)

  • MTTR du SIS

  • Choix d'avoir la SIF alimentée ou non alimentée

  • Performance du solveur de logique (temps de réaction, précision, etc.)

  • Besoins en matière de performance

    • Tolérance aux défaillances

    • Intégrité

    • Taux maximum de déclenchements infondés

    • Taux maximum de défaillances dangereuses

  • Spécifications environnementales (CEM, conditions mécaniques, chimiques, climatiques, etc.)

Etape 10 : Réalisation de systèmes liés à la sécurité E/E/PE

La norme IEC 61508 divise cette étape en 2 sous-cycles : un pour la réalisation du système et un pour la réalisation du logiciel.

Réalisation du système :

Réalisation du logiciel :

La première sous-étape (10.1) a pour but de convertir les exigences de sécurité du SIS en spécifications de la conception matérielle, des tests du matériel, de la conception logicielle, des tests du logiciel et des tests d'intégration. Elle doit fournir au minimum les informations suivantes, nécessaires pour concevoir une application sécurisée utilisant le système de sécurité M580 :

  • Architecture matérielle, en tenant compte des points suivants :

    • Respect des règles M580 concernant le mélange de modules de sécurité et de modules hors sécurité : tous les modules de sécurité (modules d'E/S de sécurité et UC & coprocesseur de sécurité) sont placés dans des racks où le rack principal et son extension sont alimentés par une alimentation sécurisée et contiennent uniquement des modules sécurisés ou des modules non perturbateurs de type 1.

    • Consommation électrique par rack.

    • Règles de déclassement.

  • Architecture de l'alimentation :

    • Alimentation SELV/PELV uniquement.

  • Architecture logicielle :

    • Y compris l'utilisation de variables globales M580 ; une variable globale ne doit pas empêcher le déclenchement d'une action de sécurité à moins qu'un "protocole d'application sécurisé" soit utilisé.

  • Intégration du matériel (câblage, armoire, etc.) :

    • Protection par fusibles.

    • Accessoires pour diagnostic du câblage.

  • Interfaces homme-machine :

    • Y compris l'utilisation de variables globales M580 ; une variable globale ne doit pas empêcher le déclenchement d'une action de sécurité à moins qu'un "protocole d'application sécurisé" soit utilisé.

  • Interfaces électriques/numériques :

    • Etat de sécurité.

    • Capteur et actionneur.

  • Algorithme

  • Performances (y compris la définition de la période, du chien de garde et du timeout de la tâche) et prédiction d'un bon comportement à l'aide de la formule :

    NOTE : Cette formule s'applique uniquement lorsque la tâche MAST n'est pas en mode cyclique.

  • Comportement dans les cas suivants :

    • Configuration déverrouillée

    • Mode de maintenance

    • Entrée de maintenance

    • Canal non valide

    • Défaut du câblage

    • Intégrité de la voie

    • Intégrité du module

  • Gestion des identifiants uniques (UID) des modules d'E/S sécurisés (définir quand un UID doit être modifié).

  • Serveur NTP :

    • Choix du PAC en tant que serveur NTP ou serveur NTP externe (en fonction de l'utilisation de l'horodatage des E/S dans l'application de processus).

    • Redondance de serveurs

    • Perte de serveur

Les sous-étapes suivantes affinent les spécifications en spécifications techniques détaillées, effectuent la conception elle-même, exécutent tous les plans de test et produisent les rapports associés.

Etape 12 : Installation et mise en service globales

Cette étape a pour but de définir les besoins pour les procédures d'installation, de planification des tâches, d'instrumentation et de mise en service, puis de générer le système et de vérifier qu'il est correct.

  • Pour les applications redondantes, vérifiez que le timeout de repli des modules de sortie de sécurité remplit les conditions définies pour les opérations de permutation et de basculement, puis vérifiez le temps de maintien du CRA.

  • Vérifiez que le timeout de sécurité de repli (S_TO) pour les modules de sorties de sécurité est, au moins supérieur à 40 ms ou à (2,5 * TSAFE), où TSAFE est égal à la période de la tâche SAFE configurée.

  • Effacez toute application préexistante dans l'automate ou utilisez une application configurée sans équipement de sécurité CIP avant d'installer l'équipement de sécurité sur un réseau de sécurité Ethernet (avec équipements de sécurité CIP).

Dans un système de sécurité M580, la procédure de mise en service doit comprendre les points suivants :

  • Vérification de l’intégrité de Control Expert et de la version de Control Expert.

  • Vérification des versions de micrologiciel de l'UC et du coprocesseur via la surveillance des mots système %SW14 (version de micrologiciel du processeur de l'automate) et %SW142 (version de micrologiciel du coprocesseur).

  • Vérification des adresses de tous les modules (position dans le rack, commutateurs CRA).

  • Vérification du câblage :

    • Vérification point à point : de la variable interne au module d'E/S et à l'actionneur ou au capteur.

    • Fusibles.

    • Equipement de diagnostic du câblage.

  • Au terme de cette procédure, tous les modules de sécurité sont en mode verrouillé (LCK) (il est recommandé que l'application de sécurité elle-même vérifie cette condition).

  • Vérification de la configuration de chaque module (y compris les timeouts) :

    • Lisez la configuration à l'aide de l'écran Control Expert et comparez-la à la spécification.

  • Toutes les applications de sécurité ont été regénérées à l'aide de l'option Regénérer tout le projet, puis téléchargées vers chaque automate, et leur identifiant (SAId) a été enregistré ainsi que leur archive.

  • La période et le chien de garde des tâches sont corrects.

  • Références et versions des modules.

  • Utilisation d'alimentations SELV/PELV uniquement.

  • Si l'application de sécurité contient des équipements CIP Safety :

    • L'identifiant de configuration de sécurité (SCID) peut être considéré comme validé (option activée dans le DTM CIP Safety dans Control Expert) et la configuration cible est verrouillée après le test par l'utilisateur.

    • Pour vérifier que la configuration source créée par l'utilisateur à l'aide du logiciel Control Expert a bien été envoyée et enregistrée dans le module source CIP Safety M580, comparez visuellement les paramètres de la configuration cible CIP Safety affichés dans les DDDT cibles (en mode connecté avec le PAC, dans une table d'animation) à ceux affichés et configurés dans l'onglet Vérification de la configuration du DTM cible. Les valeurs doivent toutes être identiques.

    • Une fois que les configurations de connexion de sécurité ont été appliquées dans le module source CIP Safety M580, testez chacune de ces connexions cibles pour vérifier qu'elles fonctionnent comme prévu.

    • Avant d'installer des équipements CIP Safety dans le réseau de sécurité, attribuez-leur les adresses MAC et les débits appropriés.

  • Les téléchargements d'application sont validés au moyen d'un test utilisateur.

Etape 13 : Validation de sécurité globale

Cette étape a pour but de confirmer que le système intégré de sécurité satisfait aux exigences définies. Elle exécute tous les tests et produit les rapports définis à l'étape 7 du "cycle de vie de la sécurité". Elle doit notamment :

  • Vérifier qu'il n'y a pas de condition de dépassement (overrun) au cours d'aucun des états du système (vérification du bit système %S19 dans les tâches MAST, FAST, AUX0) et que le temps d'exécution maximum et actuel de la tâche SAFE (%SW42 et %SW43) sont inférieurs à la période de la tâche SAFE.

  • Vérifiez la formule de charge de l'UC :

    NOTE : Vous pouvez utiliser les mots systèmes %SW110 à %SW115 pour effectuer une évaluation en temps réel de la charge moyenne pour les tâches de l'UC (si toutes les tâches sont périodiques, %SW116 doit être inférieur à 80).

  • Vérifier les modes de fonctionnement spéciaux (déverrouillage de module, entrée de maintenance, canal non valide, défaut de câblage).

  • Pour les applications redondantes, vérifiez que toutes les tâches sont correctement synchronisées à l'aide de la liaison redondante et des bits MAST_SYNCHRONIZED, FAST_SYNCHRONIZED et SAFE-SYNCHRONIZED du DDT T_M_ECPU_HSBY. Reportez-vous au Modicon M580 - Redondance d''UC, Guide de planification du système pour architectures courantes pour une description du DDT T_M_ECPU_HSBY .

Etape 14 : Exploitation, maintenance et réparation générales

  • Exécuter les tests périodiques à intervalles corrects.

  • Surveiller l'identifiant SAId remarque.

    NOTE : Tant que le SAId n'a pas changé, la portion de sécurité de l'application n'a pas été modifiée. Voir le bloc fonction S_SYST_STAT_MX pour plus de détails sur le comportement du SAId.

  • Surveiller l'état de verrouillage de la configuration de chaque module de sécurité.

  • Enregistrer les opérations de réparation.

  • Si un module est remplacé, l'équipement de remplacement doit être correctement configuré et vous (l'utilisateur) devez vérifier son bon fonctionnement. Effectuez (au minimum) les opérations de mise en service applicables à ce module.

  • Enregistrer les écarts.

Etape 15 : Modification et modernisation générales

Toute modification doit être traitée comme une nouvelle conception. Une analyse d'impact peut permettre de définir quelle partie de l'ancien système de sécurité peut être conservée et quelle partie doit être reconçue.

NOTE : Lorsqu'une modification ne concerne pas l'application sécurisée, utilisez la signature du source SAFE pour vous assurer qu'aucun changement n'a été apporté involontairement au code SAFE. Cette signature permet de vérifier théoriquement que l'application n'a pas changé. Elle ne remplace pas le SAId, qui représente l'unique moyen de s'assurer qu'un PAC exécute bien l'application sécurisée qui a été validée.