Article de reference

Sécurité fonctionnelle

La sécurité fonctionnelle est la partie de la sécurité globale d'un système ou d'un équipement qui dépend du bon fonctionnement de la protection automatique en réponse à ses ent...

La sécurité fonctionnelle est la partie de la sécurité globale d'un système ou d'un équipement qui dépend du bon fonctionnement de la protection automatique en réponse à ses entrées ou à une défaillance de manière prévisible ( sécurité intégrée ). Le système de protection automatique doit être conçu pour gérer correctement les erreurs systématiques probables , les défaillances matérielles et les contraintes opérationnelles/environnementales.

Objectif

L'objectif de la sécurité fonctionnelle est d'éliminer tout risque inacceptable de blessure corporelle ou d'atteinte à la santé des personnes, directement ou indirectement (par des dommages matériels ou environnementaux), grâce à la mise en œuvre appropriée d'une ou plusieurs fonctions de protection automatique (souvent appelées fonctions de sécurité). Un système de sécurité (souvent appelé système lié à la sécurité) est constitué d'une ou plusieurs fonctions de sécurité.

La sécurité fonctionnelle a une portée intrinsèquement de bout en bout dans la mesure où elle doit traiter la fonction d'un composant ou d'un sous-système comme faisant partie de la fonction de protection automatique complète de tout système. Ainsi, bien que les normes de sécurité fonctionnelle se concentrent sur les systèmes électriques, électroniques et programmables (E/E/PS), la portée de bout en bout signifie qu'en pratique, les méthodes de sécurité fonctionnelle doivent s'étendre aux parties non E/E/PS du système, telles que les actionneurs , les vannes , les commandes ou les moniteurs de moteurs E/E/PS.

Atteindre la sécurité fonctionnelle

La sécurité fonctionnelle est atteinte lorsque chaque fonction de sécurité spécifiée est exécutée et que le niveau de performance requis pour chaque fonction de sécurité est atteint. Cela est normalement obtenu par un processus qui comprend au minimum les étapes suivantes :

  1. Identifier les fonctions de sécurité requises. Cela signifie que les dangers et les fonctions de sécurité doivent être connus. Un processus d'analyse des fonctions, d'analyses formelles des risques , d'analyses des risques et d'analyses des accidents est appliqué pour les identifier.
  2. Évaluation de la réduction des risques requise par la fonction de sécurité, qui impliquera un niveau d'intégrité de sécurité (SIL) ou un niveau de performance ou une autre évaluation de quantification. Un SIL (ou PL, AgPL, ASIL ) s'applique à une fonction de sécurité de bout en bout du système lié à la sécurité, et pas seulement à un composant ou à une partie du système.
  3. Assurer que la fonction de sécurité fonctionne conformément à l'intention de conception, y compris dans des conditions de saisie incorrecte de l'opérateur et de modes de défaillance. Cela impliquera que la conception et le cycle de vie soient gérés par des ingénieurs qualifiés et compétents exécutant des processus conformément à une norme de sécurité fonctionnelle reconnue. En Europe, cette norme est la norme IEC EN 61508 , ou l'une des normes sectorielles dérivées de la norme IEC EN 61508, ou pour les systèmes simples, une autre norme comme la norme ISO 13849 .
  4. Vérification que le système répond aux niveaux SIL, ASIL , PL ou agPL assignés en déterminant la probabilité d'une défaillance dangereuse, en vérifiant les niveaux minimaux de redondance et en examinant la capacité systématique (SC). Ces trois mesures ont été appelées « les trois barrières ». Les modes de défaillance d'un dispositif sont généralement déterminés par l'analyse des modes de défaillance et de leurs effets du système (AMDE). Les probabilités de défaillance pour chaque mode de défaillance sont généralement déterminées à l'aide de l'analyse des modes de défaillance, de leurs effets et de leur diagnostic ( AMDE ) .
  5. Réaliser des audits de sécurité fonctionnelle pour examiner et évaluer les preuves que les techniques appropriées de gestion du cycle de vie de la sécurité ont été appliquées de manière cohérente et approfondie dans les étapes pertinentes du cycle de vie du produit.

Ni la sécurité ni la sûreté fonctionnelle ne peuvent être déterminées sans prendre en compte le système dans son ensemble et l'environnement avec lequel il interagit. La sécurité fonctionnelle est par nature de bout en bout. Les systèmes modernes disposent souvent de logiciels qui commandent et contrôlent de manière intensive les fonctions critiques pour la sécurité. Par conséquent, la fonctionnalité du logiciel et le comportement correct du logiciel doivent faire partie de l'effort d'ingénierie de la sécurité fonctionnelle pour garantir un risque de sécurité acceptable au niveau du système.

Certification de la sécurité fonctionnelle

Toute déclaration de sécurité fonctionnelle d'un composant, d'un sous-système ou d'un système doit être certifiée de manière indépendante selon l'une des normes de sécurité fonctionnelle reconnues. Un produit certifié peut alors être déclaré fonctionnellement sûr à un niveau d'intégrité de sécurité particulier ou à un niveau de performance dans une gamme d'applications spécifique : le certificat et le rapport d'évaluation sont fournis aux clients décrivant la portée et les limites de performance.

Organismes de certification

La sécurité fonctionnelle est un domaine techniquement complexe. Les certifications doivent être effectuées par des organismes indépendants expérimentés et possédant une solide expérience technique (électronique, électronique programmable, mécanique et analyse probabiliste). La certification de la sécurité fonctionnelle est effectuée par des organismes de certification accrédités (OC). L'accréditation est accordée à un organisme d'accréditation par un organisme d'accréditation (OA). Dans la plupart des pays, il existe un OA. Aux États-Unis, l' American National Standards Institute (ANSI) est l'OA pour l'accréditation de la sécurité fonctionnelle. Au Royaume-Uni, le United Kingdom Accreditation Service (UKAS) fournit l'accréditation de la sécurité fonctionnelle. Les OA sont membres de l' International Accreditation Forum (IAF) pour les travaux sur les systèmes de gestion, les produits, les services et l'accréditation du personnel ou de l' International Laboratory Accreditation Cooperation (ILAC) pour l'accréditation des tests en laboratoire. Un accord de reconnaissance multilatérale (MLA) entre les OA garantira la reconnaissance mondiale des OC accrédités.

Des programmes de certification de sécurité fonctionnelle IEC 61508 ont été établis par plusieurs organismes de certification mondiaux. Chacun d'entre eux a défini son propre programme basé sur la norme IEC 61508 et d'autres normes de sécurité fonctionnelle. Le programme répertorie les normes référencées et spécifie les procédures qui décrivent leurs méthodes de test, leur politique d'audit de surveillance, leurs politiques de documentation publique et d'autres aspects spécifiques de leur programme. Des programmes de certification de sécurité fonctionnelle pour les normes IEC 61508 sont proposés dans le monde entier par plusieurs organismes de certification reconnus, notamment Intertek , SGS , TÜV Rheinland, TÜV SÜD et UL .

Un élément important de la certification de sécurité fonctionnelle est la surveillance continue par l'organisme de certification. La plupart des organismes de certification ont inclus des audits de surveillance dans leur programme. La surveillance de suivi garantit que le produit, le sous-système ou le système est toujours fabriqué conformément à ce qui a été initialement certifié pour la sécurité fonctionnelle. La surveillance de suivi peut se produire à différentes fréquences selon l'organisme de certification, mais elle examinera généralement l'historique des défaillances sur le terrain du produit, les modifications de conception matérielle, les modifications logicielles, ainsi que la conformité continue du fabricant aux systèmes de gestion de la sécurité fonctionnelle.

Aérospatiale militaire

Pour les systèmes militaires, aérospatiaux et de défense, la norme MIL-STD-882E traite des analyses des risques fonctionnels (FHA) et de la détermination des fonctions implémentées dans le matériel et les logiciels qui sont importantes pour la sécurité. L'accent sur la sécurité fonctionnelle est mis sur la garantie que les fonctions critiques pour la sécurité et les threads fonctionnels du système, du sous-système et du logiciel sont analysés et vérifiés pour un comportement correct conformément aux exigences de sécurité, y compris les conditions de défaillance fonctionnelle et les défauts et l'atténuation appropriée dans la conception. Ces principes de sécurité des systèmes qui sous-tendent la sécurité fonctionnelle ont été développés dans les industries militaire, nucléaire et aérospatiale, puis repris par les industries du transport ferroviaire, des procédés et du contrôle en élaborant des normes sectorielles spécifiques. Les normes de sécurité fonctionnelle sont appliquées dans tous les secteurs industriels traitant des exigences critiques pour la sécurité et sont particulièrement applicables à chaque fois qu'un logiciel commande, contrôle ou surveille une fonction critique pour la sécurité. Des milliers de produits et de processus répondent aux normes basées sur la norme IEC 61508 : des douches de salle de bain, des produits de sécurité automobile, des capteurs, des actionneurs, des équipements de plongée, des contrôleurs de processus et leur intégration aux navires, aux avions et aux grandes usines.

Aviation

La FAA américaine a des processus de certification de sécurité fonctionnelle similaires, sous la forme de l'ARP4761, de l'US RTCA DO-178C pour les logiciels et de la DO-254 pour le matériel électronique complexe, qui sont appliqués dans toute l'industrie aérospatiale. La sécurité fonctionnelle et l'assurance de conception sur les avions de transport civils/commerciaux sont documentées dans la norme SAE ARP4754A sous forme de niveaux d'assurance de conception fonctionnelle (FDALS). Les FDAL du système déterminent la profondeur de l'analyse de sécurité technique. Le niveau de rigueur (LOR) ou les tâches de sécurité effectuées pour garantir un risque acceptable dépendent de l'identification d'une condition de défaillance fonctionnelle spécifique et de la gravité du danger lié aux fonctions critiques pour la sécurité (SCF). Dans de nombreux cas, le comportement fonctionnel des logiciels embarqués est analysé et testé de manière approfondie pour garantir que le système fonctionne comme prévu dans des conditions de panne et de défaillance crédibles. La sécurité fonctionnelle devient l'approche focalisée normale sur les systèmes complexes à forte intensité logicielle et les systèmes hautement intégrés ayant des conséquences sur la sécurité. Les tâches de sécurité logicielle traditionnelles et les tâches de sécurité fonctionnelle basées sur des modèles sont effectuées pour fournir des preuves de sécurité objectives que la fonctionnalité du système et les caractéristiques de sécurité fonctionnent comme prévu en cas de défaillances normales et hors nominales. Le point d'entrée de la sécurité fonctionnelle commence tôt dans le processus en effectuant des analyses des risques fonctionnels (FHA) pour identifier les dangers et les risques et pour influencer les exigences de conception de sécurité ainsi que l'allocation et la décomposition fonctionnelles afin d'atténuer les dangers. Le comportement du logiciel et des SCF au niveau du système est un élément essentiel de tout effort de sécurité fonctionnelle. Les analyses et les résultats de la mise en œuvre sont documentés dans des évaluations des risques fonctionnels (FHA) ou des évaluations de la sécurité du système ou des dossiers de sécurité . Les processus de sécurité fonctionnelle basés sur des modèles sont souvent utilisés et requis sur des systèmes hautement intégrés et complexes à forte intensité logicielle pour comprendre toutes les nombreuses interactions et comportements prévus et pour aider au processus de vérification et de certification de la sécurité.

Comités d'examen de la sécurité

Chez Boeing , un comité d'évaluation de la sécurité (SRB) est chargé de décider si un problème est ou non un problème de sécurité. Un SRB rassemble plusieurs experts en la matière de l'entreprise (SME) dans de nombreuses disciplines. Le SME le plus compétent présente le problème, assisté et guidé par l'organisation de la sécurité aérienne. La décision de sécurité est prise sous forme de vote. Tout vote en faveur de la « sécurité » donne lieu à une décision du conseil en faveur de la « sécurité ».

Espace

Aux États-Unis, la NASA a développé une infrastructure pour les systèmes critiques de sécurité largement adoptée par l'industrie, tant en Amérique du Nord qu'ailleurs, avec une norme, appuyée par des lignes directrices. La norme et les lignes directrices de la NASA s'appuient sur la norme ISO 12207 , qui est une norme de pratique logicielle plutôt qu'une norme critique de sécurité, d'où la nature exhaustive de la documentation que la NASA a été obligée d'ajouter, par rapport à l'utilisation d'une norme conçue à cet effet telle que la norme IEC EN 61508. Un processus de certification des systèmes développés conformément aux lignes directrices de la NASA existe.

Automobile

L' industrie automobile a développé la norme ISO 26262 « Norme de sécurité fonctionnelle des véhicules routiers » basée sur la norme IEC 61508. La certification de ces systèmes garantit la conformité aux réglementations en vigueur et contribue à protéger le public. La directive ATEX a également adopté une norme de sécurité fonctionnelle, la BS EN 50495:2010 « Dispositifs de sécurité requis pour le fonctionnement sûr des équipements en ce qui concerne les risques d'explosion » qui couvre les dispositifs liés à la sécurité tels que les contrôleurs de purge et les disjoncteurs de moteur Ex e. Elle est appliquée par les organismes notifiés dans le cadre de la directive ATEX . La norme ISO 26262 aborde particulièrement le cycle de développement automobile. Il s'agit d'une norme en plusieurs parties définissant les exigences et fournissant des lignes directrices pour atteindre la sécurité fonctionnelle des systèmes E/E installés dans les voitures particulières de série. La norme ISO 26262 est considérée comme un cadre de bonnes pratiques pour atteindre la sécurité fonctionnelle automobile. Le processus de conformité prend généralement du temps car les employés doivent être formés afin de développer les compétences attendues.

Normes contemporaines de sécurité fonctionnelle

Les principales normes de sécurité fonctionnelle actuellement utilisées sont répertoriées ci-dessous :

  • La norme IEC EN 61508, parties 1 à 7, est une norme fondamentale de sécurité fonctionnelle, largement appliquée à tous les types d'E/E/PS critiques pour la sécurité et aux systèmes dotés d'une fonction de sécurité incorporant E/E/PS.
  • Norme de défense britannique 00-56, édition 2
  • US RTCA DO-178C , logiciel avionique nord-américain
  • US RTCA DO-254 , matériel avionique nord-américain
  • EUROCAE ED-12B, Systèmes européens de sécurité des vols embarqués
  • IEC 61513 , Centrales nucléaires – Instrumentation et contrôle-commande des systèmes importants pour la sûreté – Exigences générales pour les systèmes, basée sur EN 61508
  • IEC 61511-1 , Sécurité fonctionnelle – Systèmes instrumentés de sécurité pour le secteur de l'industrie de transformation – Partie 1 : Cadre, définitions, exigences relatives aux systèmes, au matériel et aux logiciels, basées sur l'EN 61508
  • IEC 61511-2, Sécurité fonctionnelle – Systèmes instrumentés de sécurité pour le secteur de l'industrie de transformation – Partie 2 : Lignes directrices pour l'application de l'IEC 61511-1, basées sur l'EN 61508
  • IEC 61511-3, Sécurité fonctionnelle – Systèmes instrumentés de sécurité pour le secteur de l'industrie de transformation – Partie 3 : Lignes directrices pour la détermination des niveaux d'intégrité de sécurité requis, basées sur la norme EN 61508
  • IEC 62061 , Sécurité des machines – Sécurité fonctionnelle des systèmes de commande électriques, électroniques et électroniques programmables relatifs à la sécurité, basée sur la norme EN 61508
  • ISO 13849-1 , -2, Sécurité des machines – Parties des systèmes de commande relatives à la sécurité. Norme indépendante de la technologie relative à la sécurité des systèmes de commande des machines.
  • EN 50126, Spécifique au secteur ferroviaire – Examen RAMS des conditions d'exploitation, de système et de maintenance des équipements du projet
  • EN 50128, Spécifique au secteur ferroviaire - Examen de la sécurité des logiciels (systèmes de communication, de signalisation et de traitement)
  • EN 50129, Spécifique au secteur ferroviaire - Sécurité des systèmes électroniques
  • EN 50495, Dispositifs de sécurité nécessaires au fonctionnement sûr des équipements en ce qui concerne les risques d'explosion
  • Directives de sécurité essentielles de la NASA
  • ISO 19014, Engins de terrassement – ​​Sécurité fonctionnelle
  • ISO 25119 , Tracteurs et matériels agricoles et forestiers – Parties des systèmes de commande relatives à la sécurité
  • ISO 26262 , Sécurité fonctionnelle des véhicules routiers

La norme ISO 26262 s'intéresse particulièrement au cycle de développement automobile. Il s'agit d'une norme en plusieurs parties définissant les exigences et fournissant des lignes directrices pour assurer la sécurité fonctionnelle des systèmes électriques et électroniques installés dans les voitures particulières produites en série. La norme ISO 26262 est considérée comme un cadre de bonnes pratiques pour assurer la sécurité fonctionnelle automobile.

Plus d articles de Worldlex Wiki

Revenez a l index pour explorer davantage de pages sur l histoire, la science, la culture, la geographie et la societe en francais.

Explorer l index