040_041_DOPE779 Tests

7/12/05 11:39 Page 40

Dossier scurit de process

CAPTEURS-VANNES

Pas de SIL qui tienne sans tests priodiques!

Le niveau SIL attribu un systme instrument de scurit est calcul en prvoyant des tests priodiques sur les diffrents lments
qui composent le systme. Pour les vannes, llment le plus fragile de la boucle de scurit, ce test nest pas pratique sauf si on arrte
le process. Il existe une alternative : le test sur une petite partie de la course.

ans lapplication de la norme

IEC 51508 et de celles qui en
sont issues, la performance
dun quipement de scurit
est quantifie par son SIL (Safety Integrity
Level), cest--dire son niveau dintgrit de
la scurit. Le SIL dfinit la probabilit de
dfaillance dangereuse que lon sautorise.
Le SIL ne peut prendre que 4 valeurs possibles (de 1 4), et on ne cherche donc pas
dfinir des valeurs prcises des probabilits
de dfaillance dangereuses, mais il faut que
la valeur obtenue se trouve lintrieur de la
fourchette dfinie par le SIL. Pour un SIL donn, la valeur de cette probabilit de dfaillance peut varier dans un rapport 10. Le concepteur dune application de scurit peut donc
sautoriser une marge derreur, sans que la
valeur du SIL soit remise en cause.
Ceci tant, lorsque lon se trouve aux extrmits de la fourchette autorise, lerreur
mme minime peut vite conduire un
dclassement, et un systme qui tait par
exemple SIL3 peut se retrouver en catgorie SIL2.
Il faut savoir aussi quun niveau SIL nest pas
garanti vie. Les lments du systme de scurit vieillissent, leurs performances se dgradent. Cest la raison pour laquelle le niveau
SIL est considr comme valable tant que lon
ne dpasse pas une dure bien dfinie.
Le test en ligne et hors ligne des systmes
de scurit est clairement mentionn dans
les normes IEC 61508 et IEC 61511 comme
tant une condition sine qua non pour
maintenir le niveau SIL annonc. Si toutes
les dfaillances taient auto-dtectes, il ne
serait pas ncessaire de vrifier priodiquement les lments entrant dans la composition dun SIS. Des dtecteurs de niveau qui
sont bloqus, des relais de commande dun
pressostat qui sont colls, des vannes darrt
qui sont bloques, cela est frquent et cela
peut tre trs dangereux si de tels dfauts se
rvlent au moment o le systme de scurit est sollicit. Le seul et unique objectif
du test en ligne est de rvler ces dfauts.
Bien entendu, dans un systme instrument de scurit, la frquence de test dpend
du type dlment et de limportance du rle

40

quil joue dans le systme. La frquence des

tests est calcule partir des lments fournis par les constructeurs.
Pour les automates ddis la scurit, les
priodes de test atteignent facilement plusieurs annes. Certains sont annoncs avec
des priodes suprieures un sicle! Bien
entendu, plus il y a des redondances, plus
la priode de test sera importante. Mais

structure quivalente, il peut aussi y avoir

des grosses diffrences au niveau de la priode de test. Le choix des composants lectroniques joue en effet un rle important.
Dans tout systme instrument de scurit,
la vanne est le composant le plus fragile. Cela
se comprend aisment, les vannes restent
sans bouger pendant de longues priodes,
et lobturateur aura tendance se coller. Et

PFD
10-2
SIL 2
10-3
SIL 3
10-4
SIL 4

10-5
10-6
1

1,6
2
3
4
Frquence de vrification (annes)

Emerson Process Management

Comme on peut le voir ici, la valeur de la probabilit sur sollicitation (PFD) se dgrade au fil du temps. La courbe obtenue ici correspond
un capteur de pression spcifi pour une application SIL3. Il reste SIL3 pendant 1,6 an, ensuite il passe en niveau SIL2.

PFD
10-2
SIL 2

Capteur A
10-3

SIL 3
10-4
SIL 4

10-5
Capteur B
10-6

Frquence de vrification (annes)

Emerson Process Management
Cette illustration prsente les valeurs PFD de deux capteurs de pression, tous deux spcifis pour une application SIL3.
Le capteur A est SIL3 pendant 1 an. Au bout de cette priode, si on effectue un test et que ce test atteste du bon tat de fonctionnement du
capteur, le capteur peut continuer tre utilis dans une application SIL3. Et ainsi de suite tous les ans.
Le capteur B, par contre, conserve son niveau SIL3 pendant 5 ans, sans quaucun test ne soit ncessaire pendant toute cette priode.

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

040_041_DOPE779 Tests

7/12/05 11:39 Page 41

Dossier scurit de process

Vanne teste sur (petite) partie de sa course

Vanne teste sur la totalite de sa course

PFD
10-2

SIL 2
10-3

SIL 4

10-5
10-6

SIL 3

intervalle
de test
intervalle de test

10-4

Emerson Process Management

2
3
4
Frquence de vrification (annes)

Pour maintenir un niveau de PFD relativement faible (et donc un SIL lev), les vannes de scurit doivent tre soumises des tests priodiques. Comme on le voit ici sur la courbe rouge, il est impossible davoir la fois un SIL lev et une priode de test longue. Une priode
de test longue serait pourtant bien pratique car les tests des vannes ncessitent darrter le process (il existe des alternatives mais elles sont
coteuses et peuvent tre dangereuses). Si on veut un SIL lev sur une longue priode sans test, la solution classique consiste prvoir une
redondance au niveau de la vanne (mais cest une solution coteuse).
La courbe verte prsente une alternative. Ici on pratique un test intervalles rapprochs mais sur une course partielle de la vanne, ce qui
vite davoir arrter le process. On voit quil est ds lors possible de garantir un niveau SIL2 (voire SIL3) pendant une longue dure,
avec une seule vanne.

donc ne pas se dcoller le jour o la vanne

devra tre actionne. Emerson Process Management
estime que 50 % des dfaillances viennent

des vannes tout-ou-rien. Il faut donc, bien

videmment, pratiquer des tests priodiques.
Le problme, cest que les arrts des process

pour maintenance sont de moins en moins

frquents : il y avait autrefois un arrt par an,
la tendance est de faire un arrt tous les trois
cinq ans. Autrement dit, si on veut continuer faire comme par le pass un test annuel
complet douverture de la vanne, il faut prvoir des dispositifs permettant de raliser
quand mme ces tests. Il est par exemple possible de prvoir des dispositifs pneumatiques
ou des bypass. Ces solutions sont ou coteuses ou potentiellement dangereuses. Dans
le cas dun test ralis laide dun bypass,
qui ncessite des interventions manuelles,
que se passe-t-il si, au moment de raliser les
tests, le systme scurit doit entrer en action?
Pour contourner ces limitations, Emerson Process Management propose de raliser des tests en
ligne douverture partielle (de 1 30 %) de
la vanne, histoire de sassurer que la vanne
nest pas colle. Bien entendu, si cest le cas,
linformation est remonte au contrleur. Le
gros avantage de cette technique est que les
tests partiels peuvent tre pratiqus des
priodes trs rapproches, ce qui permet de
maintenir le SIL au niveau initial. Bien entendu, cela ne dispense pas de raliser des tests
priodiques approfondis mais ceux-ci peuvent tre beaucoup plus espacs et tre pra
tiqus lors des arrts du process.

Lintrt du test sur une partie de la course dune vanne

Le tableau ci-contre montre les valeurs
de SFF obtenues pour les vannes dans
le cas o on pratique un test complet
aux priodes normales (espaces) et
dans le cas o on pratique un test sur
une partie de la course (priodes
beaucoup plus rapproches).

Le tableau ci-contre donne lincidence de

la valeur du SFF sur larchitecture du systme de scurit (au niveau de la vanne).
Une tolrance la faute de n signifie que
sil y a n + 1 fautes, le systme de scurit nest plus oprationnel. Autrement dit,
si on veut une tolrance 1 dfaillance, il
faut prvoir une redondance simple et si
on veut une tolrance 2 dfaillances, il
faut prvoir une redondance double.
Supposons que lapplication exige un
SIL2. Ce tableau montre que pour une
vanne prvue avec un test priodique
normal (donne pour un SFF de 55 %), on

Dfaillance dangereuse dtecte (DD)

Dfaillance dangereuse non dtecte (DU)
Dfaillance non dangereuse dtecte (SD)
Dfaillance non dangereuse non dtecte (SF)
Pourcentage de dfaillance en scurit
DD + SD + SF
SFF =
DD + DU + SD + SF

Avec test sur une

partie de la course

1 350

810
540
1 650

1 650
55 %

82 %

SFF

Tolrance aux dfaillances

1

< 60 %
60 % - 90 %
90 % - 99 %
> 99 %

SIL1
SIL2
SIL3
SIL3

SIL2
SIL3
SIL4
SIL4

SIL3
SIL4
SIL4
SIL4

ne peut atteindre un SIL2 qu condition

de prvoir une redondance simple (chiffre
marqu en rouge). Si on utilise une vanne
avec un test sur une partie de la course
(SFF = 82 %), il est possible datteindre un
SIL2 sans redondance (chiffre en vert).

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

Test priodique
normal

Pour les mmes raisons, un SIL3 ne peut

tre atteint dans le premier cas quavec
une redondance double. Dans le deuxime cas (test sur une partie de la course), il
peut tre atteint avec une redondance
simple.

41