Manuscrit SDF Ver01102017

Université Abdelmalek Essaâdi
Faculté des Sciences et Techniques

Département génie électrique
La Sûreté de fonctionnement
Système Instrumenté Sécurité
SIS
Pr. Mohammed Bsiss / Pr. Amami Benaissa

2017/2018
Sûreté de fonctionnement SIS Ver01
Sommaire
A. Liste des figures ................................................................................................................................. 5
B. Liste des tableaux .............................................................................................................................. 7
1 Introduction......................................................................................................................................... 8
2 Les concepts de base d’un système de sécurité ................................................................................. 9
2.1 Définition de la sûreté de fonctionnement ......................................................................................... 9
2.2 Historique ........................................................................................................................................ 10
2.3 Coût de la sûreté de fonctionnement................................................................................................ 11
2.4 Systèmes et sous-système ................................................................................................................ 11
2.5 Défaillances systématiques et aléatoires .......................................................................................... 12
2.5.1 Défaillance systématique .................................................................................................. 13
2.5.2 Les défaillances aléatoires................................................................................................. 14
2.6 Taux de défaillance .......................................................................................................................... 15
2.6.1 Défaillance sûre et dangereuse .......................................................................................... 17
2.7 Taxonomie de la SdF ....................................................................................................................... 19
2.7.1 Entraves (Fautes, Erreurs et défaillance ............................................................................ 20
2.7.2 Attributs (Disponibilité, Fiabilité, Sécurité et maintenabilité) .......................................... 22
2.7.2.1 La fiabilité et probabilité............................................................................................ 22
2.7.2.2 La disponibilité (Availibility) .................................................................................... 23
2.7.2.3 La sécurité (Safety) .................................................................................................... 24
2.7.2.4 La maintenabilité (Maintainability) ........................................................................... 24
2.7.3 Les outils de sécurité ......................................................................................................... 25
2.7.3.1 Gestion des erreurs du matériels ................................................................................ 26
2.7.3.2 Gestion de la sûreté fonctionnelle .............................................................................. 26
2.8 Système instrumenté de sécurité ...................................................................................................... 27
2.9 Informations générales sur la terminologie...................................................................................... 29
2.9.1 Éléments de type A où de type B ...................................................................................... 29
2.9.2 Taux de couverture de diagnostic (DC) ............................................................................ 29
2.9.3 Défaillance de cause commune (Common Cause Failure) CCF ....................................... 31

Utilisation libre pour les instituts publics de formation et de R&D. © Pr Bsiss Mohammed. Tous droits réservés Ver0117.
2.9.4 La probabilité de défaillance dangereuse (eng:Probability of Failure on Demand PFD) . 31
2.9.5 Fonction de sécurité .......................................................................................................... 31
2.9.6 Niveau d’intégrité en sécurité (SIL) .................................................................................. 32
2.9.7 Le facteur de sécurité ........................................................................................................ 32
2.9.8 Proof Test .......................................................................................................................... 33
2.9.9 Temps de mission.............................................................................................................. 33
3 Méthode d’analyse de risque ........................................................................................................... 34
3.1 Analyse du danger et du risque ........................................................................................................ 34
3.2 Analyse des modes de défaillances et leurs Effets........................................................................... 37
3.3 Graphe de risque .............................................................................................................................. 41
4 Évaluation qualitative et quantitative de la SdF par le bloc de diagramme de fiabilité ............ 43
4.1 Analyse qualitative par Bloc diagramme de fiabilité ....................................................................... 43
4.1.1 Liens minimaux et coupes minimales ............................................................................... 43
4.2 Analyse quantitative par Bloc diagramme de fiabilité ..................................................................... 44
4.2.1 Système multi composants ................................................................................................ 47
5 Évaluation qualitative et quantitative de la sûre de fonctionnement par Arbres des causes, de

défaillance et d’événement .................................................................................................................. 48
5.1 Principes et objectifs de ces méthodes ............................................................................................. 48
5.2 L’arbre de cause d’une structure simple .......................................................................................... 51
5.3 L’arbre de cause d’une structure redondante ................................................................................... 52
5.4 Codage des arbres de défaillance sous forme de DDB .................................................................... 52
6 Modèles à états transition................................................................................................................. 54
6.1 Modèle de Markov ........................................................................................................................... 54
6.1.1 Un simple model de Markov ............................................................................................. 54
6.1.2 La probabilité de transition ............................................................................................... 56
6.1.3 Approche mathématique ................................................................................................... 58
6.1.4 Système d’une simple architecture.................................................................................... 59
6.1.5 Le calcule du temps de vie moyen MTTF d'un 1oo1 système .......................................... 60
7 L’architecture d’un système instrumenté de sécurité (SIS) .......................................................... 63
7.1 Architecture UN parmi UN 1oo1 (1 out of 1).................................................................................. 63
7.2 Architecture Un parmi Un avec diagnostic 1oo1D .......................................................................... 64
7.3 Architecture au moins Un parmi Deux 1oo2 (1 out of 2) ................................................................ 66
7.4 Architecture au moins Un parmi Deux 1oo2D (1 out of 2D) avec diagnostic................................. 68
7.5 Architecture deux Un parmi Deux 2oo2 (2 out of 2) ....................................................................... 71
8 Évaluation quantitative du système instrumente de sécurité........................................................ 73
8.1 Structure Un parmi Un (1oo1) ......................................................................................................... 73
8.2 Structure un parmi deux (1oo2) ....................................................................................................... 75
9 Conception du système instrumenté de sécurité ............................................................................ 77
9.1 Estimation du risque ........................................................................................................................ 77
9.2 Proportion de défaillance en sécurité ............................................................................................... 78
9.3 Fonction de sécurité ......................................................................................................................... 80
9.4 Allocation des blocs fonctionnels aux sous-systèmes...................................................................... 80
9.5 Exigences fonctionnelles de chaque élément de SIS ....................................................................... 82
9.6 Détermination de la valeur PFD ...................................................................................................... 82
9.6.1 PFD du Sous-système Capteur :........................................................................................ 83
9.6.2 Sous-système API de sécurité ........................................................................................... 83
9.6.3 Sous-système actionneur : ................................................................................................. 83
9.7 Evaluation du SIL de SIF................................................................................................................. 84
A. Liste des figures
Figure 2-1 : Genre des défaillances (2nd edition 2003, health & Safety Executive HSE - UK).......... 14
Figure 2-2 : Les défaillances dans une cellule SRAM ....................................................................... 15
Figure 2-3 : Courbe en baignoire ....................................................................................................... 16
Figure 2-4 : Défaillances d’un composant programmable et non programmable.............................. 18
Figure 2-5 : Les types des défaillances d’un système programmable (les erreurs détectées) ............ 18
Figure 2-6 : Arbre de la sûreté de fonctionnement ............................................................................. 20
Figure 2-7 : Les effets internes engendrent des effets externes ......................................................... 21
Figure 2-8 : Les piliers de la sûreté de fonctionnement ...................................................................... 22
Figure 2-9 : Probabilité de défaillance et de réussite ......................................................................... 23
Figure 2-10 : Les termes de temps d’un système réparable ................................................................ 25
Figure 2-11 : Couche préventive et couche de réduction de risque ................................................... 28
Figure 2-12 : Les couches d’un SIS ................................................................................................... 28
Figure 2-13 : Taux de couverture de diagnostic ................................................................................ 30
Figure 2-14 : Niveau d’Intégrité en sécurité SIL ............................................................................... 32
Figure 2-15 : Les proof tests et le cycle de vie .................................................................................. 33
Figure 3-1 : Cotation du risque .......................................................................................................... 35
Figure 3-2 : Identification du risque .................................................................................................. 35
Figure 3-3 : Gestion du risqué par séparation des couches ................................................................. 36
Figure 3-4 : Commande d’une vanne par un SIS ............................................................................... 38
Figure 3-5 : Formule de calcul du Risque........................................................................................... 41
Figure 3-6 : Graphe de risque ............................................................................................................. 42
Figure 4-1 : Diagramme de fiabilité en série ..................................................................................... 45
Figure 4-2 : Diagramme de fiabilité en parallèle ............................................................................... 46
Figure 5-1 : Éléments essentiel pour une représentation graphique par l’arbre de de défaillance et
des causes ................................................................................................................................... 49
Figure 5-2 : Arbre de défaillance ....................................................................................................... 49
Figure 5-3 : Arbre des causes ............................................................................................................ 50
Figure 5-4 : Arbre d'événement ......................................................................................................... 51
Figure 5-5 : Arbre de cause d'un 1oo1-système d’alimentation ........................................................ 51
Figure 5-6 : Analyse de la défaillance d’un capteur de pression en redondante ................................ 52
Figure 5-7 : Formule booléenne d’un arbre de défaillance ................................................................ 53
Figure 6-1 : Éléments de base pour une chaine de markovienne ....................................................... 55
Figure 6-2 : Modèle de Markov pour un system irréparable ............................................................. 55
Figure 6-3 : Modèle de Markov pour un system réparable ................................................................ 56
Figure 6-4 : Représentation d'un simple modèle de Markov ............................................................. 58
Figure 6-5 : Système d’une simple architecture présenté par les chaines de Markov ....................... 60
Figure 6-6 : Modèle de Markov d'un système d'architecture redondante .......................................... 61
Figure 7-1 : SIS d’Architecture 1oo1................................................................................................. 64
Figure 7-2 : SIS d’une structure 1oo1D ............................................................................................. 65
Figure 7-3 : SIS d’une structure 1oo2 ................................................................................................ 67
Figure 7-4 : SIS d’une structure 1oo2D .............................................................................................. 69
Figure 9-1 : Régulation d'un réservoir d’architecture 1oo1 ................................................................ 77
Figure 9-2 : Commande de réservoir avec une 1oo2 architecture ...................................................... 78
Figure 9-3 : Architecture du SIS ........................................................................................................ 80
Figure 9-4 : Allocation des blocs fonctionnels aux systèmes ............................................................ 81
Faculté des Sciences et Techniques
B. Liste des tableaux
Table 2-1 : Principales normes relatives à la sécurité fonctionnelle ................................................... 11
Table 2-2 : Genre de défaillance ......................................................................................................... 19
Table 2-3 : Équations du taux de défaillances .................................................................................... 19
Table 2-4 : Classifications des défaillances en fonction des effets ..................................................... 21
Table 2-5: Quelques anomalies et leur taux de couverture de diagnostic ........................................... 30
Table 3-1 : Mode génériques de défaillance ....................................................................................... 38
Table 3-2 : AMDEC d’une vanne d’arrêt d’urgent............................................................................. 39
Table 7-1 : Disponibilité et sécurité d’un sis d’une structure 1oo1 .................................................... 64
Table 7-2 : Disponibilité et sécurité d’un sis d’une structure 1oo1D ................................................. 66
Table 7-3 : Disponibilité et la sécurité d’un SIS d’une architecture 1oo2 .......................................... 68
Table 7-4 : Disponibilité et la sécurité d’un SIS avec une architecture 1oo2D .................................. 70
Table 7-5 : La disponibilité et la sécurité dans une architecture 2oo2 ................................................ 72
Table 9-1 : Taux de défaillance des composants du SIS .................................................................... 79
Table 9-2:Détermination de la valeur de proportion de défaillance en sécurité ................................. 79
Page 7 von 88
1 Introduction
Étant donné que les systèmes d'automatisations sont de plus en plus complexes et in-
formatisés, des nouvelles normes et des standards sont conçus pour assurer la sûreté de fonc-
tionnement d’un système automatisé. Évidemment, il n'existe pas des systèmes qui fonction-
nent parfaitement. Mais le but c’est la réduction des défaillances dangereuses qui peuvent
mener des dégâts catastrophiques pour les personnes, les biens et l’environnement.
Ce manuscrit a pour but de fournir les connaissances nécessaires sur les systèmes de
sécurité et leur conception pour les élèves ingénieurs de la faculté des sciences et techniques
de Tanger.
8
2 Les concepts de base d’un système de sécurité
Dans la gestion des entreprises, la sécurité industrielle, au sens large, consiste de façon
générale à garantir la sécurité des biens, des personnes et également la pérennité de l'entre-
prise. Il s'agit alors de concilier les exigences de disponibilité, de rentabilité à court terme,
avec les exigences de sécurité des biens et des personnes. Ces exigences visent à réduire les
risques sur le plan environnemental, social et économique. Prenant par exemple les équipe-
ments médicaux dans les unités de soins intensifs, ils doivent fonctionner d’une manière
fiable et sûre. Le requit de la sécurité ce fait à travers une série de mesure qui inclus la for-
mation, la gestion de risque, la conception des installations et les dispositifs de sécurité et de
réduction de risque.
2.1 Définition de la sûreté de fonctionnement
La sûreté de fonctionnement est l'aptitude d'une entité ou d’un système à satisfaire à

une ou plusieurs fonctions requises dans des conditions données. Elle traduit la confiance
qu'on peut accorder à un système. Au sens large, la sûreté de fonctionnement est considérée
comme la science d'analyse de risque qui inclut les défaillances, les pannes, la disponibilité,
la sécurité et la maintenance du système automatisé de sécurité. Ces systèmes de contrôle-
commande des procédés génèrent des ordres de mise en sécurité en fonction des signaux
d'entrées, tels que par exemple :
• les systèmes d’arrêt d’urgence et le déclenchement des processus (ESD/PSD)

• les systèmes de gestion des brûleurs (BMS)
• les applications avec feu & gaz (F&G)
Ces système sont aussi utilisés dans des domaines très variés comme le secteur médi-
cal, le nucléaire, le secteur des machines, l'automobile, le ferroviaire et l'armement. Les sys-
tèmes instrumentés de sécurité se caractérisent par l’utilisation des capteurs, des automates,
des réseaux de communication et des actionneurs, pour réaliser des fonctions de sécurité, qui
devront, suivant l’ampleur du risque couvert, garantir un certain niveau d’intégrité de sécuri-
té (SIL) afin d’amener le risque à des limites de tolérances acceptables.
9
Pour chaque fonction de sécurité (SIF), l'identification du niveau de sécurité représen-

tant le niveau de crédibilité qui peut être accordé à ces Systèmes Instrumentés de Sécurité
(SIS).
2.2 Historique
Le corpus de la sûreté de fonctionnement a débuté en 1947 par un accord sur les tarifs
douaniers et le commerce (GATT) qui a été signé et publié par un groupe composant 23
pays et qui visait à simplifier le commerce international. En 1994, l’accord sur les obstacles
techniques au commerce, a abouti à la création, un an plus tard, de l'organisation modiale du
commerce (OMC), visant le libre-échange.
Selon les accords OMC / OTC, les États membres s'engagent à aligner leurs propres
normes contraignantes et volontaires et les procédures d'évaluation de la conformité avec
des normes internationales telles que l'ISO et la IEC.
L’organisation mondiale de commerce (ISO), la commission électrotechnique interna-

tionale (CEI) et l’union internationale des télécommunications (UIT) représentent donc les
trois principales organisations internationales de normalisation. Dans le cadre de l’accord
sur les obstacles techniques de commerce, l’OMC reconnaît l’importance de ces organismes
de normalisation. Depuis, ils coordonnent leurs stratégies et leurs activités normatives au
sein de la coopération mondiale de la normalisation. En officialisant trois organismes de
normalisation compétents pour l’adoption de normes européennes (comite européen de nor-
malisation CEN, Comite Européen de la Normalisation Électrotechnique CENELEC),
l’Europe a suivi la structure normative internationale qui facilite l’intégration et la collabora-
tion avec les organismes internationaux.
Pour faciliter la coordination au niveau international, chaque pays est représenté au ni-
veau international par un seul organisme. L’AFNOR pour la France, DIN pour l’Allemagne,
BSI pour la Grande Bretagne et ANSI pour les États unis.
Au niveau national l’Institut Marocaine de Normalisation (IMANOR) est l’organisme
officiel Marocain chargé de la normalisation. Il est créé par le législateur marocain en 2010
pour remplacer le SNIMA qui était rattachée au ministère chargé de l’industrie.
A travers son nouveau statut d’organisme avec l’autonomie administrative et finan-
cière, l’IMANOR vise d’une part à contribuer à l’accroissement de la compétitivité des en-
10
treprises marocaines et d‘autre part, à apporter son soutien aux politiques publiques respec-
tant les conditions de concurrence économique, la protection des consommateurs, la préser-
vation de l’environnement et l’amélioration des conditions de vie.
Le Table 2-1 présente les principales normes relatives à la sécurité fonctionnelle en

fonction du domaine et qui peut aider aux choix du référentiel normatifs à utiliser.
La norme Secteur Cible Technologie description
IEC 61508 Tous Constructeur Matériel Électrique complexe Cycle de vie ?

EN ISO Machine Constructeur Toutes technologies (dont) électrique Conception
13849 peu complexe
IEC 61511 Industrie du Intégrateur Systèmes instrumentés Cycle de vie
procédé
IEC 62061 Automobile Intégrateur Matériel Électrique-Électronique Conception
complexe
ISO26262 Véhicule Concepteur Matériel Électrique-Électronique Cycle de vie
Matériel complexe
EN50126/ Ferroviaire Concepteur Électrique-Électronique / Matériel Cycle de vie
128/129 complexe
Table 2-1 : Principales normes relatives à la sécurité fonctionnelle
2.3 Coût de la sûreté de fonctionnement
Les systèmes instrumentés de sécurité (SIS) d’un niveau d’intégrité haut leurs coût
reste encore très onéreux, mais ça n’empêche pas que durant l’étude de la conception de SIS
des solutions optimal intégrant la réduction des coûts de connexions et des composants pour
obtenir des SISs qui satisfait aux niveaux d’intégrité et sécurité SIL sont toujours apriori.
2.4 Systèmes et sous-système
Un système est un ensemble de mécanisme et des fonctions qui sont en interaction

entre eux et avec l’environnement pour accomplir une tâche ou des tâches. Leur comporte-
ment dépend:
• des comportements individuels des éléments qui le composent,

• des règles d’interaction entre les éléments (interfaces, algorithmes, protocoles),
• de l’organisation topologique des éléments (architectures).
11
Dans un système instrumenté de sécurité les unités de traitements par exemple repré-
sentent un sous-système du SIS. Un système, un sous-système ou un composant alterne dans
son cycle de vie entre deux états.
• L’état de marche où le système est opérationnel
• L’état défaillant où le système est fonctionnel mais n’accomplit pas son service
spécifié
2.5 Défaillances systématiques et aléatoires
Une analyse des risques permet de déterminer comment la sûreté de fonctionnement

permettra d’assurer une protection adéquate contre chacun des risques qui peut survenir. Ces
dangers sont donc traités de manière appropriée pendant la phase de conception pour que le
système final soit libre de défaut. Les pannes peuvent provenir de nombreux facteurs diffé-
rents :
• Panne matérielle aléatoire
• Panne matérielle aléatoire avec des défaillances de cause commune (Common cause)
• Défaillance systématique (erreurs de conception)
Ces pannes peuvent être soit permanentes (jusqu'à la réparation du système) ou bien
dynamique (ça se produit sous certain conditions (par exemple température, humidité etc.))
Les défaillances aléatoire sont liées au matériel, telles que
1) Les défaillances des composants
2) La corruption des logiciels en raison de défaillances matérielles
3) Les interférences électromagnétiques, électrostatiques
4) Les défaillances de cause commune
Les défaillances systématiques peuvent être considérées comme la conséquence

d’erreurs humaines telles que :
1) Erreur de spécification dans le cahier des charges
2) Les erreurs de conception des logiciels
12
3) Les erreurs de codage
4) Les erreurs du matériel pendant la conception
5) Les erreurs de circuits et le câblage
6) Les erreurs de saisie et de contrôle
7) Les erreurs dans la maintenance
8) Les erreurs de la spécification
2.5.1 Défaillance systématique
Toutes les défaillances systématiques peuvent être considérées comme la conséquence

d’erreurs humaines, dans le sens où l’architecture et les caractéristiques du matériel sont
produites par le développeur, l’intégrateur etc.
Prenant l'exemple d’un transistor utilisé dans un module analogique prévu pour une
température de fonctionnement de -5°C à +75°C, et utilisé à des températures d’exposition
supérieure à +80°C. Elle tombera en panne après un certain temps. Ce genre de faute est
classé comme des fautes systématiques
La plupart des ressources littéraires estiment que 85% des accidents sont causés par
une erreur humaine. Les erreurs systématiques sont moins nombreuses que les défaillances
aléatoires mais difficilement détectables. Il est à noter que les défaillances proviennent en
majorité d'une mauvaise spécification après la mise en service comme le montre la Figure
2-1:
13
20,6 %
44 %
14,7 %
5,9 %
14,7 %
nd
Figure 2-1 : Genre des défaillances (2 edition 2003, health & Safety Executive HSE - UK)
2.5.2 Les défaillances aléatoires
Les défaillances aléatoires sont liées au matériel. Prenant par exemple la défaillance
d’une cellule de mémoire volatile correspond à un fonctionnement incorrect de la cellule qui
est dû à des erreurs, ce qui constitue une différence entre une cellule saine et une cellule dé-
faillante. Les fautes peuvent être permanentes ou non permanentes, elles sont causées no-
tamment par une corrosion, une contamination ionique, un vieillissement, un alliage et des
radiations, de même que des rayonnements cosmiques (softerros). La Figure 2-2 représente
les différentes défaillances dans une cellule mémoire.
14
Figure 2-2 : Les défaillances dans une cellule SRAM
a) Faute fonctionnelle.
b) Génère le blocage au niveau zéro de la cellule.
c) Génère le blocage au niveau zéro de la cellule.
d) Génère le blocage au niveau zéro de la cellule.
e) Ouverture de la ligne d’adresse.
f) Génère le blocage au niveau zéro de la cellule.
g) Génère le blocage au niveau Un de la cellule.
h) La valeur ‘0’ ne sera pas transmise sur la ligne de données BL.
2.6 Taux de défaillance
Le comportement de la défaillance d'une entité, d'un composant ou bien d'un sous-

système peut être décrit à travers un taux de défaillances qui est lié à un instant donné t à la
15
somme de toutes les unités intactes. Le taux de défaillance peut être aussi décrit à partir la
fonction de densité f(t) et la probabilité de fiabilité R(t) comme suite:
f (t ) (2-1)
λ (t ) =
R (t )
Le taux de défaillance λ (t) est dans la plupart de temps déterminé expérimentalement.

Le taux de défaillance peut être caractérisé par trois zones:
1. Zone A : les défaillances de jeunesse. caractérisées par un taux de défaillance dé-

croissant en fonction du temps. (rodage, jeunesse, déverminage)
2. Zone B : les défaillances de maturité caractérisées par un taux de défaillance cons-

tant. (maturité, vie utile)
3. Zone C: les défaillances de vieillesse caractérisées par un taux de défaillance crois-

sant (période d'usure, obsolescence).
Les défaillances pendant le cycle de vie d'un système peuvent être représentées selon
une courbe en baignoire comme le montre la Figure 2-3:
Figure 2-3 : Courbe en baignoire
16
Dans la première phase, le taux de défaillance diminue (Zone A) avec la durée de mis-
sion. Elles sont dues à :
• Des erreurs de montage,
• Des défauts de conception,
• Des défauts de matériels et de fabrication,
Cette phase est caractérisée par une baisse relativement forte du taux de défaillance
(lors de la phase en cours d’exécution). Les défaillances matérielles pour les cartes électro-
niques peuvent être éliminées grâce à des tests. Ils consistent à tester la carte électronique
pendant et après la fabrication.
Dans la deuxième phase, avec un taux de défaillance constant se trouvent des défail-
lances aléatoires (Zone B) causées par :
• des erreurs de l'opérateur,
• des erreurs de maintenance ou bien des particules de saleté.
Cette section décrit le temps de comportement normal de composants et tous les cal-
culs des caractéristiques de fiabilité du système sont basé sur cette durée.
Au moment ou commence l'augmentation rapide de défaillance, commence la zone des dé-

faillances d'usure (Zone C). Cette phase est caractérisée par une augmentation du taux de
défaillance en raison du vieillissement et de l'usure. Il est synonyme de la fin de la durée de
vie.
2.6.1 Défaillance sûre et dangereuse
Un système peut subir une défaillance, cette défaillance peut être sure ou bien dangereuse.
Les défaillances qui ne causent pas un état critique du système ou bien qui n’affectent pas la
fonction de sécurité sont considérées comme des défaillances sûres.
Considérons une vanne utilisée dans un système instrumenté de sécurité pour couper le flux
de produit lors de la sollicitation de la fonction de sécurité.
• La défaillance sûre correspond au blocage de la vanne en position fermée sans que la

fonction de sécurité n’ait été sollicitée. Si ce blocage peut être détecté (par des tests
de diagnostic) avant la sollicitation de la fonction de sécurité, il sera donc classé en
défaillance sûre détectée, sinon elle sera classée en défaillance sûre non détectée.
17
• La défaillance dangereuse correspond au blocage de la vanne en position ouverte. Si

ce blocage peut être détecté (par des tests de diagnostic) avant la sollicitation de la
fonction de sécurité, il sera donc classé en défaillance dangereuse détecté, sinon elle
sera classée en défaillance dangereuse non détectée.
Le comportement des composants non programmables de sécurité est très bien connu
puisque leur structure n’est pas complexe. Les défaillances sûres (détectées et non détectées)
représentent la plus grande proportion, par contre les composants programmables de sécuri-
té, leurs défaillances sûres (détectées et non détectées) représentent seulement la moitié. Ce-
la est dû à la complexité de fabrication de ces derniers.
λDD
λDU
λS = λSd + λSU λD = λDU +λDD
λ SU
λSD
Figure 2-4 : Défaillances d’un composant programmable et non programmable
λSD λDU
λS λD
λDD
λ SU
λS = λSD + λSU λ = λ S + λ D λ D = λ DU + λ DD
Figure 2-5 : Les types des défaillances d’un système programmable (les erreurs détectées)
18
Genre défaillance Défaillance sûre Défaillance dangereuse
Défaillance détectée Défaillance sûre détectée Défaillance dangereuse détectée

Défaillance sûre non détectée Défaillance non dangereuse dé-
Défaillance non détectée
tectée
Table 2-2 : Genre de défaillance
Les différents taux de défaillances sont calculés à partir de la défaillance de base. Elle
est représentée par l’unité [FIT] (failure in time) qui indique la probabilité du temps
d’échecs par heure.
FIT = 1 * 10 −91 / h (2-2))
On obtient les équations suivantes correspondant aux différents taux de défaillance

d’un composant :
Type de taux de défaillance Formule de calcul
Taux de défaillance dangereuse détectée λ

λDD = DC
2
Taux de défaillance dangereuse non détectée λ

λDU = (1 − DC )
2
Taux de défaillance sûre détectée λ

λSD = DC
2
Table 2-3 : Équations du taux de défaillances
2.7 Taxonomie de la SdF
La gestion de la sûreté de fonctionnement englobe trois éléments suivants :
• Entraves : événements qui peuvent affecter la sûreté de fonctionnement du système ;
• Attributs : points de vue pour évaluer la sûreté de fonctionnement ;
• Moyen : moyens pour améliorer la sûreté de fonctionnement.
19
Figure 2-6 : Arbre de la sûreté de fonctionnement
2.7.1 Entraves (Fautes, Erreurs et défaillance
Un système est sûr s’il est libre des erreurs et résiste contre les défaillances critiques.
Ces entraves qui peuvent affecter le système et dégrader la sûreté de fonctionnement (SdF)
peuvent être classées en trois notions:
• les fautes,
• les erreurs et
• les défaillances.
La cause interne de la défaillance c’est l’erreur (court-circuit etc.) et ca manifestation interne

du système c’est la cause de la défaillance.
La défaillance est donc le service rendu incorrect et présente la cessation de

l’aptitude d’une entité à accomplir une fonction requise.
20
Figure 2-7 : Les effets internes engendrent des effets externes
Pour mieux gérer ces défaillances on utilise généralement en industrie une cotation de
gravité des effets et on prend dans l’analyse d’une défaillance trois paramètres notamment la
fréquence de la défaillance, ça gravité et ça détection en introduisant souvent 4 catégories de
défaillances. Ces catégories sont représentées dans la Table 2-4 :
Niveau Définition
Défaillance mineure Défaillance qui nuit au bon fonctionnement (mineur) d’un système
en causant un dommage négligeable au système ou à son environ-
nement sans présenter de risque pour l’homme
Défaillance significative Défaillance qui nuit au bon fonctionnement (major) sans causer de
dommage notable ni présenter de risque important pour l’homme.
Défaillance critique Défaillance qui entraîne la perte d’une (hazardous) (ou des) fonc-
tion(s) essentielle(s) du système et cause des dommages importants
au système en ne présentant qu’un risque négligeable de mort ou de
blessure.
Défaillance catastrophique Défaillance qui occasionne la perte d’une (catastrophique) (ou des)
fonction(s) essentielle(s) du système en causant des dommages
importants au système ou à son environnement et/ou entraîne la
mort ou des dommages corporels
Table 2-4 : Classifications des défaillances en fonction des effets
21
2.7.2 Attributs (Disponibilité, Fiabilité, Sécurité et maintenabilité)
Les Attributs de la sûreté de fonctionnement on les trouve dans le plus haut niveau
dans la hiérarchie des systèmes de sécurité. Il comprend les termes suivants fiabilité, dispo-
nibilité, sûreté et la maintenance.
Figure 2-8 : Les piliers de la sûreté de fonctionnement
2.7.2.1 La fiabilité et probabilité
La fiabilité (Reliability) est un terme générique qui couvre un large éventail de con-
cepts et de mesures. Un système est fiable quand vous pouvez légitimement avoir une con-
fiance sur la performance qu'il offre. L’approche globale de la fiabilité signifie également
que les systèmes (par exemples les téléphériques, les avions, les automates de sécurité ou
des trains à grande vitesse) conçus et construits doivent être soumis antérieurement à une
vérification à certains intervalles de temps pour détecter les risques de sécurité. L’homme est
considéré dans cette chaîne comme un facteur non négligeable qui peut générer des défail-
lances souvent avec des conséquences catastrophiques. Il est donc très important d’identifier
ces défaillances dans l’analyse de la fiabilité d’un système et de les prévenir.
Si un système possède un taux de défaillance constant λ [défaillance/ heure], la fiabili-

té d’un système au moment t, si on considère que le taux de défaillance est constant, est dé-
fini par la loi exponentielle comme suit:
22
R (t ) = e − λ t (2-3)
avec
λ est le taux de défaillanc e
On peut expérimentalement calculer cette probabilité de réussite. On prend n compo-

sant identiques qui fonctionnent à t=0 et on compte à chaque instant ti combien sont toujours
en bon fonctionnement z(t). La probabilité de fiabilité est donc égale à R(t) = z(t) / n. On
déduit la défiabilité où la probabilité de défaillance F(t) = 1-R(t)
Probabilité
1-certain
Probabilité de défaillance
F (t ) = 1 − e − λt = 1 − R (t )
Probabilité de réussite (fiabilité)
R (t ) = e − λ t
0-impossible temps
Figure 2-9 : Probabilité de défaillance et de réussite
2.7.2.2 La disponibilité (Availibility)
La disponibilité, c'est la probabilité que le système satisfait certaines exigences bien

définies dans un délai aussi bien défini t, on peut dire qu’il s’agit ici d’un critère de qualité
du système. Afin de garantir un minimum de la disponibilité des systèmes standard, on doit
faire une analyse statique des défaillances déjà connues, on peut par exemple faire joindre à
un sous-système une redondance afin de minimiser la probabilité de défaillance totale. Lors-
qu’un système n’est pas réparable avec un taux de défaillance constant, la disponibilité est
égale à la probabilité de réussite.
23
A(t ) = R (t ) = e − λt (2-4)
Il existe une relation forte entre la valeur du temps moyen qui s'écoule jusqu'à ce qu'un
système tombe en première panne (MTTF), et la valeur du temps moyen entre deux défail-
lances (MTBF).
∞ (2-5)
MTTF = ∫ R (t ) dt
0
MTTF
A=
MTBF
Le temps de mission ou bien de fonctionnement d’un système peut être limité à cause
d’un entretien régulier ou bien des réparations. La disponibilité est généralement exprimée
en pourcentage.
2.7.2.3 La sécurité (Safety)
La sûreté, c’est la résistance du système envers les défaillances critiques et à éviter de

faire apparaître, dans des conditions données, des événements critiques ou catastrophiques.
Une défaillance dangereuse est nocive aussi bien qu’une défaillance non critique (non dan-
gereuse). La réalisation d’un système qui répond aux critères de la SdF, nécessite le dé-
ploiement des systèmes embarqués de haute disponibilité et de sécurité dans plusieurs appli-
cations critiques, tel que les systèmes d’arrêt d’urgence et le déclenchement des processus
(ESD/PSD), les systèmes de gestion des brûleurs (BMS) et les applications avec feu & gaz
(F&G).
2.7.2.4 La maintenabilité (Maintainability)
La maintenance, c’est la durée qui est nécessaire pour qu'un système en panne puisse
revenir à l’état de fonctionnement. La maintenance d’un système, d’une entité peut
s’exprimer par
M (t ) = P (Y ≤ t ) avec Y la variable désignant la durée de la panne
du composant. La figure représente un aperçu des temps moyens dans la vie d’un système en
opération. La Figure 2-10 montre un aperçue sur les termes utilisés
24
Figure 2-10 : Les termes de temps d’un système réparable
• MTTF: Le délai moyen de la première défaillance. Il décrit la durée de vie moyenne

jusqu'à la première défaillance dans un système réparable.
• MTTR: Mean Time to Repair. Le temps moyen de réparation.
• MUT : Mean Up Time durée moyenne de fonctionnement du système après répara-

tion
• MDT : Mean Down Time durée moyenne de non fonctionnement du système
• MTBF: Mean Time between Failures. La durée moyenne entre deux défaillances.
On a MTTB = MUT + MDT.
2.7.3 Les outils de sécurité
Les moyens pour sécuriser une installation, des équipements électriques et/où électro-
niques nécessitent une maitrise des erreurs du matériel d’une part et d’autre part les erreurs
systématique.
25
2.7.3.1 Gestion des erreurs du matériels
La gestion des erreurs aléatoire consiste à éviter des fautes qui auraient pu être introduites
pendant le développement du système, passant par la production jusqu’à l’intégration et la
mise en service. Cela peut être accompli en utilisant des méthodologies de développement et
de bonnes techniques d’implantation, on parle donc de la prévention de faute.
L’´élimination de faute peut être divisée en trois catégories : élimination d’erreur pen-
dant la phase de développement, pendant la phase de production et élimination pendant la
phase d’intégration. Pendant la phase de développement, l’idée est d’utiliser des techniques
de vérification et de validation avancées (tests de la successibilité magnétique, tests de la
température, test de fonctionnement) de façon à détecter les fautes et les enlever avant
l’envoi du produit à la production. Pendant la production par le respect des normes et stan-
dard de la production et la livraison. Pendant l’intégration, il faut tenir à jour les défaillances
rencontrées et les retirer pendant les cycles de maintenance.
La tolérance aux fautes consiste à mettre en place des mécanismes qui maintiennent le
service fourni par le système, même en présence de fautes. On accepte dans ce cas un fonc-
tionnement dégradé. La tolérance aux fautes repose sur l’utilisation de mécanismes de re-
dondance, l’idée est de réaliser la même fonction par des moyens différents.
La prévision de faute consiste à anticiper les fautes (de manière qualitative ou probabi-
liste) et leur impact sur le système.
2.7.3.2 Gestion de la sûreté fonctionnelle
La notion de gestion de la SdF correspond à un ensemble de méthodes qui permet

d'éviter les erreurs systématiques pendant la conception des produits.
• Divers aspects de la planification de FSM (définition du cycle de vie de sécurité, por-

tée des activités FSM, documentation, outils, etc.)
• Spécifications des exigences de sécurité
• Gestion des changements et des modifications
• Conception de l'architecture matérielle – Processus, techniques et documentation
26
• Matériel et système liés aux activités V&V, y compris la documentation, la vérifica-

tion
• Stratégie de test d'intégration et d'insertion de défauts
• Matériel de validation du système
• Exigences de fonctionnement du matériel, d'installation et de maintenance
2.8 Système instrumenté de sécurité
Afin d'éviter que des phénomènes dangereux tels que des incendies, explosions ou en-
core des rejets de matières dangereuses, susceptibles d'occasionner des dommages sur les
personnes, l'environnement ou les biens, les industriels sont amenés à mettre en place des
mesures de maîtrise des risques (MMR) dont le rôle est de prévenir l'apparition de tels phé-
nomènes ou d'en limiter les conséquences. Parmi ces couches de protection, se trouvent les
systèmes instrumentés de sécurité (SIS) qui permettent la mise en œuvre de fonctions ins-
trumentées de sécurité (FIS). Différentes couches de protection peuvent être mises en œuvre
afin de réduire les risques dans le but de les rendre acceptables. Ces différentes couches sont
valorisées lors des analyses quantitatives ou semi-quantitatives menées dans le but de dé-
terminer le niveau de SIL requis des FIS (revue SIL réalisée à l'aide de méthodes telles que
la LOPA ou le graphe de risques par exemple). Une fois le niveau de SIL requis connu,
l'analyste doit démontrer que la probabilité de défaillance permet de vérifier le niveau de
SIL requis alloué lors de la revue SIL. Pour ce faire, les normes IEC 61508 et IEC 61511
peuvent être utilisées afin :
• de définir l'architecture de la SIF permettant de répondre à un niveau de SIL visé;

• d'estimer la probabilité de défaillance de la SIF.
La Figure 1 donne un aperçu général des couches de réduction et de prévention de

risque. Les premiers systèmes sont dédiés á contrôler et commander des procédés, dans la
plupart des installations en trouve ces systèmes qui visent à réduire les conséquences des
accidents mais rarement les systèmes qui visent à réduire la probabilité d’occurrence des
incidents qui peuvent mener à des accidents. C’est ces systèmes qu’on peut parler de la sûre-
té fonctionnelle puisque on a des fonctions qui agissent pour réduire la fréquence des
risques.
27
Figure 2-11 : Couche préventive et couche de réduction de risque
Un système instrumenté de sécurité est composé de 3 couches des unités de capteurs,

des unités logiques et des actionneurs. Chaque couche peut comprend au maximum m com-
posants pouvant être de types différents (redondance non homogène).
Figure 2-12 : Les couches d’un SIS
La conception d’un SIS à haut niveau de la SdF nécessite de trouver l’architecture op-
timale et d’analyser la fiabilité de cette structure en intégrant la réduction des coûts de con-
nexions et des composants. Ces méthodes d’analyse de la SdF varient selon la phase de vie
du produit.
28
2.9 Informations générales sur la terminologie
2.9.1 Éléments de type A où de type B
Le type d’élément peut être du type A ou bien de type B. Les sous-systèmes de type A,
sont des équipements simples dont le comportement et les modes de défaillance sont connus,
et sur lesquels il y a un retour d’expérience. Un contacteur, un afficheur, un bouton poussoir
entrent dans cette catégorie. Les sous-systèmes de type B sont des équipements plus com-
plexes dont le comportement et leurs modes de défaillance sont complexe, et sur lesquels il
n’y a pas un retour d’expérience. Dans cette catégorie en trouve des automates, des compo-
sants électroniques intégrés, des composants électroniques programmables.
2.9.2 Taux de couverture de diagnostic (DC)
Le taux de couverture de diagnostic indique à partir de quel point le système est en

mesure de s'auto surveiller face à une éventuelle défaillance dangereuse. En fonction du
pourcentage de défaillances dangereuses détectables par le système, on aura une couverture
du diagnostic plus ou moins élevée. Le DC est définit comme étant le rapport du taux de
défaillance des pannes dangereuses détectées (par un test diagnostic) sur le taux de défail-
lance total des pannes dangereuses (détectées et non détectées)
DC =
∑λ sys
DD
(2-6)
∑λ sys
DD + ∑ λsys
DU
Avec ∑λ DD
c'est la somme des taux de défaillance dangereuse détectées et des composants
d'un bloc de fonction de sécurité
Et ∑λ DU
La somme des taux de défaillance dangereuse non-détectées et des composants
d'un bloc de fonction de sécurité.
Le paramètre DC est une valeur processuelle en fonction des précautions adoptées par
le fabricant pour détecter les anomalies de son système. Selon le genre de précaution à
prendre, une valeur moyenne de couverture de diagnostic sera répartie dans les quatre
groupes suivants :
29
Classification Valeurs DC
Nulle 60 % < DC
Faible 60 % < DC < 90 %
Moyenne 90 % < DC < 99 %
Élevée 99 %
Figure 2-13 : Taux de couverture de diagnostic
Le Table 2-5: présente des prescriptions pour les anomalies qui doivent être détectées
par les techniques de maîtrise des défaillances du matériel afin d’obtenir la couverture de
diagnostic pertinente. Par exemple, pour une cellule mémoire, seules les erreurs de blocage
des adresses ou bien des données sont détectées par un test de diagnostic en exploitation,
cela signifie que la valeur de couverture de diagnostic est faible de DC = 60 % et si on
ajoute de plus des tests qui détectent les délais d’écoulement et le décodage d’adresse erro-
né, on atteint une couverture de diagnostic moyen de DC =90%.
Prescriptions pour la couverture de diagnostic

Composant
Faible (60%) Moyen (90%) Élevé (99%)
Matériel discret modèle CC dérive et modèle CC dérive et

Blocage
Module d’entrée / de sortie oscillation oscillation
Matériel discret modèle CC dérive et modèle CC dérive et

Blocage
Alimentation oscillation oscillation
Moddelle CC (courant continu) indique des Anomalies de blocage, blocage ouvert, sorites ouvertes
ou haute impedance ainsi que les courts-circuits entre les lignes de signaux.
Table 2-5: Quelques anomalies et leur taux de couverture de diagnostic
30
2.9.3 Défaillance de cause commune (Common Cause Failure) CCF
La défaillance de mode commun désigne la défaillance simultanée qui peut apparaitre

dans deux ou plusieurs canaux séparés dans un système multiple canaux homogène.
L’introduction des défaillances de mode commun est généralement représentée par le facteur
β. La norme IEC 61508 distingue deux genres du facteur

β DU pour les défaillances dange-
reuses non détectées et β DD pour les défaillances dangereuses détectées. Les valeurs pour
les facteurs Beta β DU et β DD sont généralement entre 0,5 et 5%.
2.9.4 La probabilité de défaillance dangereuse (eng:Probability of Failure on

Demand PFD)
La Probabilité de défaillance dangereuse sur demande (Probability of Failure on De-

mand, PFD) est la probabilité que le système ne puisse pas exécuter la fonction de sécurité
pour laquelle il a été conçu au moment où la demande de cette fonction est faite sur un in-
tervalle de temps. Ce temps de mission Ti est considéré comme égal au temps entre deux
proof test consécutifs. Dans le cas où il n’y a pas de proof tests, on prend le temps de mis-
sion égal au temps de vie de l’appareil (MTTF).
La probabilité moyenne de défaillance à la demande PFDavg(Ti) et sur l’intervalle de

temps [0, Ti] peut être obtenu à partir de la formule suivantes:
T (2-7).
1 i
PFD avg (Ti )= ∫ PFD (t ) dt
Ti 0
2.9.5 Fonction de sécurité
La fonction de sécurité c’est une fonction réalisée par un système relatif à la sécurité
pour assurer ou maintenir un état de sécurité du système par rapport a un événement dange-
reux spécifique. En distingue deux états de sécurité:
• Excité en état de sécurité (Energized),
• Où désexcité en état de sécurité (De-energized)
31
2.9.6 Niveau d’intégrité en sécurité (SIL)
Le niveau d’intégrité de sécurité, on le retrouve presque dans toutes les normes qui
sont élaborées à partir de la norme CEI 61508, à savoir la norme EN 61511 pour les procé-
dées industriels, la norme EN 61513 pour le nucléaire, les normes EN 50128/50129 pour le
secteur ferroviaire ou encore la norme EN 62061 pour le secteur automobile.
La norme de sécurité CEI 61508 vise à quantifier la probabilité de défaillance, ce qui

permet de classer les systèmes par niveau d’intégrité de sécurité.
Le SIL définissant donc la probabilité de défaillance dangereuse que l'on s'autorise.
Selon la norme EN61508, le SIL ne peut prendre que 4 niveau possibles (de SIL1 à SIL4).
Ces quatre niveaux sont décrits dans le tableau suivant :
Niveaux de Probabilité de défaillance dangereuse Probabilité de défaillance sur demande

par heure (forte sollicitation) (faible sollicitation)
sécurité
Ti = 1 Mois, 3 Mois ou bien 1 an Ti = 2 ans ou bien 10ans
SIL4 10 -9 ≤ PFH ≤ 10-8 10 -5 ≤ PFD ≤ 10-4

SIL3 10 -8 ≤ PFH ≤ 10-7 10 -4 ≤ PFD ≤ 10-3
SIL2 10 -7 ≤ PFH ≤ 10-6 10 -3 ≤ PFD ≤ 10-2
SIL1 10 -6 ≤ PFH ≤ 10-5 10 -2 ≤ PFD ≤ 10-1
Figure 2-14 : Niveau d’Intégrité en sécurité SIL
2.9.7 Le facteur de sécurité
Le facteur de sécurité S indique combien des pannes qui se produisent sont essentiels
à la perte de la sécurité. Il est donné en pourcentage. On distingue à partir du facteur de sé-
curité S deux genres de type de composant.
• Les composants de type B dont le cas échéant possèdent une valeur de sécurité de
50%,
• tandis que les composants de types A possèdent une valeur de sécurité de 10%.
Les modes de défaillance des composants de Type A sont connus et peuvent être complète-
ment détecté par un test diagnostic. Le facteur de sécurité S peut également être démontré
explicitement via une analyse AMDEC pour les composants de types B. Pour les composant
32
dont la sécurité n’est pas critiques tels qu’un afficheur, il est supposé d’une valeur égale a S
= 0%.
2.9.8 Proof Test
Les Proof Test sont des tests périodiques hors ligne réalisé pour détecter des pannes
dans un système de telle sorte que le système puisse être réparé afin de revenir dans un état
équivalent à son état initial.
Figure 2-15 : Les proof tests et le cycle de vie
La fréquence des tests de fonctionnement est un élément important dans la détermi-

nation du niveau de SIL d'une chaîne de commande. Plus la fréquence des tests est élevée,
plus grande sera le niveau de confiance accordé au système.
2.9.9 Temps de mission
Le temps de mission c’est la durée pendant lequel le système est en ligne pour son
application de sécurité. Lorsque des proof test sont réalisés, ce temps de mission sera consi-
déré comme égal au temps entre deux proof tests consécutifs. Dans le cas ou il n’ya pas de
proof tests, on prendra le temps de mission égale au temps de vie du système (MTTF)
33
3 Méthode d’analyse de risque
Une analyse prévisionnelle de SdF est un processus d’étude d’un système réel de fa-
çon à produire un modèle abstrait du système relatif à une caractéristique de SdF (fiabilité,
disponibilité, maintenabilité, sécurité). On distingue deux termes dans l’analyse de risque:
• Un danger est toute source potentielle de dommage, de préjudice ou d’effet no-

cif à l’égard d’une chose ou d’une personne dans certaines conditions dans le
milieu du travail.
• Un risque est la probabilité qu’une personne subisse un préjudice ou des effets

nocifs pour sa santé en cas d’exposition à un danger.
Les éléments de ce modèle seront des événements (des dangers et des risques) suscep-
tibles de se produire dans le système et son environnement.
Le modèle prévisionnelle permet ainsi de représenter toutes les défaillances et les

pannes des composants du système qui compromettent une des caractéristiques de SdF.
Pour mieux d’aider l’analyste, plusieurs Méthodes d’analyse ont été mises au point.
Les principales sont :
APD Analyse Préliminaire des Dangers,
AMDE Analyse des Modes de Défaillances et de leurs Effets,
AMDEC Analyse des Modes de Défaillances, de leurs Effets et leurs criticités
MDS Méthode du Diagramme de Succès,
MTV Méthode de la Table de Vérité,
MAC Méthode de l’Arbre des Causes,
MACQ Méthode de l’Arbre des Conséquences,
Nous ne verrons dans la suite que quelques-unes de ces méthodes.
3.1 Analyse du danger et du risque
34
Le but d’analyse du danger et du risque est d'identifier quels sont tous les éventuels
dangers auxquels sont exposés les opérateurs et l'environnement d'une machine.
Le risque se définit donc comme le produit de la fréquence d’apparition du phénomène

dangereux par la sévérité des dommages occasionnés aux personnes et à l’environnement.
Figure 3-1 : Cotation du risque
Le risque étant évalué, il convient ensuite d’identifier les moyens qui participent à sa
réduction. Chaque couche participe à la prévention du risque où/et à la réduction de ses con-
séquences.
Figure 3-2 : Identification du risque
Les divers risques indiqués dans la norme CEI 61508-5 sont les suivants:
• Risque initial: Il peut être provoqué par les équipements de contrôle et de com-
mande. Ils contiennent des systèmes de commande où les facteurs humains sont as-
sociés. De plus, aucun dispositif de protection n'est pris en compte dans la détermina-
tion de ce risque (Partie quatre de CEI 61508-4).
35
• Risque tolérable: risque accepté dans un certain contexte et fondé sur les valeurs
admises de la société (Partie quatre de la CEI 61508-4),
• Risque résiduel: dans le contexte de la présente norme, pour les événements dange-
reux spécifiés, risque encouru par les équipements de contrôle et commande, mais
avec l’ajout de la couche de sécurité par les systèmes instrumentés de sécurités et des
dispositifs externes de réduction de risque (Partie quatre de la CEI 61508-4).
Figure 3-3 : Gestion du risqué par séparation des couches
Le risque résiduel acceptable dépend des divers facteurs tels que, pays, société, lois et
les goûts. Le risque résiduel acceptable doit être évalué cas par cas et il est déterminé sur une
base sociale et tient en compte des facteurs sociaux et politiques. Si le risque d’une installa-
tion technique est considéré comme trop élevé, il faut prendre des mesures particulières pour
diminuer le risque.
La combinaison de toutes les mesures de protection relatives à la sécurité permet de

diminuer le risque autant nécessaire. Le risque résiduel doit être au maximum égal au risque
tolérable. Pour cela, les outils d’évaluation du risque peuvent être qualitatifs à l’aide de
l'analyse des modes de défaillance et de leurs effets (FMEDA) ou / et par la méthode de
l'analyse hasard (Hazard Analysis).
36
L’évaluation quantitative peut être effectuée par une analyse par des blocs fonctionnel de
fiabilité qu’ainsi par l’arbre des évènements aboutissant au calcul de la probabilité de défail-
lance dangereuse.
3.2 Analyse des modes de défaillances et leurs Effets
La méthode d’analyse de risque signifie l’analyse des modes de défaillances et de

leurs effets, a été introduite dans l’aviation, au début des années 1960. L'idée de base de la
méthode FMEA/AMDEC est d'essayer de prévenir les causes possibles de la défaillance du
système, pour éliminer les pannes qui peuvent se produisent entre le temps. Le but de cette
analyse qualitative c’est d’assurer que les risques et les vulnérabilités d’un système soient le
plus tôt possible détectés afin d’effectuer des améliorations sur le système. Ils existent diffè-
rent genre d’analyse FMEA/AMDEC :
• FMEA –Failure Mode and Effects Analysis– utilisée pour l’analyse du risque d’un
produit, d’un composant.
• FMECA –Failure Mode, Effects, and Criticality Analysis– est similaire à une FMEA
avec un ajout de la criticité de plus d’un produit ou bien d’un composant.
• FMEDA –Failure Mode, Effects and Diagnostic Analysis– est similaire à une
FMEA avec un ajout de diagnostique de plus d’un produit ou bien d’un composant.
Le processus de construction d’une analyse AMDEC débute par une description fonc-
tionnelle et matérielle du système, après une analyse préliminaire des risques en identifiant
les événements redoutés, puis une analyse détaillée des évènements critiques et enfin le trai-
tement des points critiques par la proposition des solutions visant à améliorer la sûreté de
fonctionnement. La mise en œuvre d’AMDEC se fait selon les étapes suivantes :
1. Description fonctionnelle et matérielle
2. Recensement des modes de défaillance
3. Recherche des causes et les effets
4. Analyse de la criticité
5. Moyens de détection
6. Actions correctives
La classification des modes génériques de défaillance se compose de quatre modes :

37
Électroniques Hydrauliques Mécaniques
Pas de Fonction -circuit ouvert -Fuite -absence de jeu

-court circuit
-pas de réponse à la
sollicitation
-connexion / fil desser- -Circuit bouché
rés
Perte de Fonction -coupure ou court cir- -Obstruction ou -rupture
cuit coupure circuit
-composant défectueux
-Composant défec- -blocage / grippage
tueux
Fonction dégradée -dérive des caractéris- -mauvaise étan- -mauvaise potée
tiques chéité
s -usure -désolidarisation
-perturbations, para- -perturbations de
sites bélier -jeu
Fonction Intempes- -déclenchement intem- -coup de bélier
tive pestif
Table 3-1 : Mode génériques de défaillance
La recherche des causes commence par l’analyse de la petite unité du composant vers
l’unité supérieure et cela peut aider à identifier les défaillances de cause unique, mais par
contre les défaillances systématiques ou bien les défaillances de causes communes ne peu-
vent pas être détectées. La Figure 3-4 représente un système instrumenté de sécurité d’un
niveau d’intégrité de sécurité SIL2. Il se compose d’un capteur d’une unité de traitement
APS et une vanne SOV d’arrêt d’urgence.
Figure 3-4 : Commande d’une vanne par un SIS
38
Le Table 3-2 représente l’analyse de risque par AMDEC d’une vanne utilisé comme un sys-
tème d’arrêt d’urgence.
Information sure le composant Information sur l’erreur
Identifica- fonctionnement Mode de Effets local Effets sur Causes Probabili-

tion du com- défaillance l’ensemble possibles té de la
posant du système défaillan-
ce
SOV Vanne de com- Bloqué en Alimentation Pas de Une faute Faible

mande position permanent possibilité méca-
ouverte d’actionner nique
Système Arrêt
sur la interne
d’urgence
vanne pour
(Emergency Shut
la fermer.
Down ESD)
Bloqué en Arrêt Pas de Une faute Faible

position d’alimentation possibilité méca-
fermé d’actionner nique
sur la interne
vanne pour
l’ouvrir.
Fuite Alimentation Pas de Une faute Très faible

restreint possibilité méca-
d’actionner nique
sur la interne
vanne.
Table 3-2 : AMDEC d’une vanne d’arrêt d’urgent
L’AMDEC est donc en revanche indispensable dès lors que l'on travaille sur des ma-
chines, ou plus généralement sur des systèmes composé de plusieurs sous-ensembles, car les
mesures de maîtrise ne seront alors jamais simples ni à imaginer, ni à valider.
Avant de commencer la cotation, un groupe de travail d’expert définit les échelles

Vous trouverez ci-dessous une table en quatre niveaux, utilisée pour les défaillances d'un
39
moyen de production. Ce n'est qu'une proposition, que chaque groupe de travail peut adapter
à son besoin, son environnement, sa problématique.
Fréquence (F)
Niveau valeur Définition
Très faible 1 défaillance rare : moins une défaillance par année
faible 2 défaillance possible : moins de une défaillance par trimestre
moyen 3 défaillance occasionnelle : moins de une défaillance par semaine
élevé 4 défaillance fréquente : plus de une défaillance par semaine
Gravité (G)
Niveau valeur Critère
mineur 1 Personnel : Blessure légère
Matériel : pertes d'exploitation perte de production de 100 000 à 1 million de dollars
moyenne 2 Personnel : Blessure grave une opération et nécessaire
Matériel : pertes d'exploitation perte de production de 1 à 20 million de dollars
majeur 3 Personnel : un mort et plusieurs blessées
Matériel : pertes d'exploitation perte de production de 20 à 200 million de dollars
grave 4 Personnel : Plusieurs morts
Matériel : pertes d'exploitation perte de production de 200 million de dollars
Détection (D)
Niveau valeur Définition
évident 1 Détection certaine, sirène, moyens automatiques, signes évidents
possible 2 Détectable par l’opérateur, par des inspections, vibration
improbable 3 Difficilement détectable, moyens complexes (démontages, appareils)
40
impossible 4 Indétectable, aucun ne signes
La cotation de la criticité se définit donc comme le produit de la fréquence

d’apparition du phénomène dangereux, ca gravité et ca détection.
Figure 3-5 : Formule de calcul du Risque
3.3 Graphe de risque
La norme ISO 13849 propose une évaluation par un point de départ, le constructeur de
la machine identifiera en répondant aux questions notamment la gravité de la blessure (S), la
fréquence ou/et la durée d’exposition (F) au danger qu’ainsi la possibilité de la réduction du
danger (P), et le niveau de performance de la machine et la fonction de sécurité qui sera
examinée.
Le niveau de performance requis est classé en cinq niveaux), en fonction de l'augmen-

tation du risque en allant du niveau de performance PLa au niveau de performance Ple. Cha-
cun d'eux identifie un domaine numérique de probabilité moyenne de défaillance dangereuse
par heure. Un niveau de performance PLa indique par exemple que la probabilité moyenne
de défaillance dangereuse par heure est comprise entre 10-5 et 10-4.
41
Figure 3-6 : Graphe de risque
42
4 Évaluation qualitative et quantitative de la SdF par le bloc de

diagramme de fiabilité
Une analyse qualitative de sûreté de fonctionnement consiste à donné une structure du

système par des blocs fonctionnel, afin d’estimer les combinaisons des éléments qui amè-
nent à la défaillance du système. Pour cela, les analystes utilisent deux concepts : les che-
mins à succès et les coupes. Par contre une analyse quantitative de sûreté de fonctionnement
consiste de plus à calculer la probabilité d’occurrence des défaillances pour tout le système.
4.1 Analyse qualitative par Bloc diagramme de fiabilité
Un diagramme de fiabilité consiste à visualiser la logique de fonctionnement d’un sys-

tème par des blocs fonctionnels. Un ensemble de blocs dont le dysfonctionnement entraîne
le dysfonctionnement du système est un couple.
4.1.1 Liens minimaux et coupes minimales
Dans un schéma de connexion, un lien est un ensemble de blocs dont le fonctionne-

ment assure le succès de la mission du système. Un lien minimal est une des plus petites
combinaisons de blocs qui lorsqu’ils sont en fonction permettent d’assurer la fonction re-
quise pour le système. Si Li est un lien minimal du système alors la fiabilité totale du sys-
tème est donnée par :
 l 
R = P ∑ Li 
 i =1  (4-1)
Où l est le nombre de liens minimaux du système.
Les coupes minimales représentent les plus petites combinaisons de défaillances des
blocs qui compromettent la fonction requise pour le système. Si Ci est une coupe minimale
du système alors la fiabilité totale du système est donnée par :
43
 c 
R = 1 − P ∑ C i 
 i =1  (4-2)
Où c est le nombre de coupes minimales du système.
La recherche de coupe minimale au sein d’une représentation déterministe se fait par les
étapes suivantes :
• réalisation d’une représentation du système par un diagramme de fiabilité.
• la recherche de tous les liens minimaux par un parcours exhaustif de tous les chemins
et l’on construit une matrice d’incidence des blocs dans les liens.
• Pour trouver les coupes d’ordre 1, on recherche les lignes n’ayant que des uns.
• On supprime ensuite ces colonnes, qui correspondent aux coupes d’ordre 1. On com-
bine toutes les colonnes deux à deux (avec un OU booléen). Les colonnes n’ayant
que des uns sont les coupes minimales d’ordre 2.
• On supprime les colonnes ainsi trouvées et on recommence pour obtenir les coupes
d’ordre 3. Etc.
4.2 Analyse quantitative par Bloc diagramme de fiabilité
Le diagramme de fiabilité consiste à construire un diagramme qui compose des blocs,

chacun d’eux représentant une entité (Un composants, des sous-systèmes etc.). Ces blocs
sont reliés par des flèches indiquant les dépendances des entités entre eux.
Cette représentation statique du fonctionnement du système consiste à chercher les

combinaisons de défaillances d’entités qui peuvent conduire à la défaillance totale du sys-
tème. On distingue deux genres de transmission du signal entre les entités soit en série ou
bien en parallèle.
Comme le montre Erreur ! Source du renvoi introuvable. , une défaillance au ni-

veau d’une entité dans un système en série entrainera l’arrêt du signal au niveau du bloc qui
lui est associé, ce qui introduit l’arrêt du système.
44
Figure 4-1 : Diagramme de fiabilité en série
Le système ne fonctionne que lorsque tous les composants sont fonctionnels. La fiabi-
lité d'un système (la probabilité de bon fonctionnement) de n composant est calculée selon
l'équation suivante :
n
R(t ) = R1 (t ) • R2 (t )L • Rn (t ) = ∏ Ri (t ) (4-3)
i =1
En conséquence le taux de défaillance est calculé par l’addition du taux de défaillance

de chaque composant constituant le système:
n
λS = ∑ λi (4-4)
i =1
La formule de calcul de la valeur du temps moyen qui s'écoule jusqu'à ce qu'un sys-
tème tombe en panne (MTTF) est formulée comme suit:
45
∞
1
MTTFSerie = ∫ R1 (t ) • R2 (t ) L • Rn (t )dt =
0
λTotal (4-5)
Pour les systèmes en parallèles, il suffit qu’une entité ne fonctionne pas pour que le si-
gnal passe. L’arrêt du système est possible si seulement si les trois entités sont défaillantes.
Figure 4-2 : Diagramme de fiabilité en parallèle
Dans une structure parallèle, l'arrêt du système est provoqué par la défaillance de
toutes les entités. La fiabilité d’un système parallèle est calculée selon l'équation suivante:
n
R (t ) = 1 − (1 − R1 (t )) • (1 − R2 (t )) L • (1 − Rn (t ))) = 1 − ∏ (1 − Ri (t )) (4-6)
i =1
La formule de calcul de la valeur du temps moyen qui s'écoule jusqu'à ce qu'un sys-
tème tombe en panne (MTTF) pour un système de deux composants est comme suit:
∞ ∞
[ ]
MTTFParallèle = ∫ [R A + RB − R A RB ]dt = ∫ e −λ A ×t + e −λB ×t − e −( λ A +λB )×t dt
0 0 (4-7)
En évaluant l’exponentielle on obtient:
1 1 1
MTTFParallèle = + −
λA λB λ A + λB (4-8)
46
4.2.1 Système multi composants
Dans la partie précédente, nous avons étudié la défaillance d’un système à composant
unique. Dans ce cas, la défaillance du composant implique la défaillance du système. Dans
un système multi composant, la défaillance du système survient à la suite de défaillance de
sous-ensembles de composants. Par exemple, la défaillance d’un frein sur un véhicule ne
remet pas en cause le fonctionnement global même s’il faut adapter son mode d’utilisation.
Par contre, la défaillance d’une roue conduit à l’immobilisation du véhicule.
Soit un système à n composants, on note par xi l’état de l’i-ème composant. xi = 1 si le

composant fonctionne et 0 sinon. On note φ(x) l’état du système complet. On rappelle éga-
lement que :
P ( A ∧ B ) = P ( A).P ( B ) si A et B sont indépendan ts

et
(4-9)
p ( A ∨ B ) = P ( A) + P ( B ) − P ( A ∧ B )
≈ P ( A) + P ( B )
47
5 Évaluation qualitative et quantitative de la sûre de fonctionne-

ment par Arbres des causes, de défaillance et d’événement
Les méthodes et les démarches pour maitriser les risques sont indispensable pour la
sûreté de fonctionnement d’un SIS. Ils décrient les mécanismes qui conduisent aux incidents
et aux accidents. En distingue trois méthodes les plus courantes notamment:
• L’arbre de défaillance,
• L’arbre des causes et
• L’arbre d’événement
Ces trois méthodes d’analyse de risque sont représentées sous forme d’une représenta-
tion graphique logique d’un système sous formes arborescentes mais ils ne contiennent pas
les mêmes informations.
5.1 Principes et objectifs de ces méthodes
L’Arbre de défaillance est aussi une méthode d'analyse des défaillances qui part d’un
événement final pour remonter vers les causes et les conditions qui peuvent être associés.
Ayant pour point de départ un événement redouté, un dysfonctionnement ou un accident la
démarche constitue à effectuer une analyse sur les éléments constitutifs du système étudié
pour identifier tous les scénarios conduisant à l’événement redouté. À partir des opérateurs
logiques et des symboles de la représentation schématique donnée á titre d’exemple Figure
5-1 on peut calculer la probabilité de l’événement redouté á partir des probabilités des évé-
nements élémentaires qui se combinent pour le provoquer.
48
Figure 5-1 : Éléments essentiel pour une représentation graphique par l’arbre de défaillance et des causes
Figure 5-2 : Arbre de défaillance
49
L’arbre des causes part d’un événement qui s’est produit et organise l’ensemble des événe-
ments ou les conditions qui peuvent être associés. Cette analyse repose sur un raisonnement
similaire à l’arbre de défaillance mais ne décrit qu’un scénario, d’un incident ou un acci-
dent, pour soutenir la démarche d’analyse de la cause. Sa représentation est illustrée par la
Figure 5-3.
Figure 5-3 : Arbre des causes
L’arbre d’événement part d’un événement et décrit les différentes conséquences qu’il
peut avoir en fonction des conditions dans lesquelles il s’est produit et des événements avec
lesquels il se combine. Il repose sur un raisonnement inverse des arbres précédents : de la
cause vers les conséquences (d’où sa représentation donnée à titre d’exemple Figure 5-4c).
Comme l’arbre de défaillance, il vise à représenter l’ensemble des possibles, ici, des consé-
quences possibles de l’événement étudié. Le point de départ est un incident, une défaillance,
une erreur, une agression... dont on veut évaluer les conséquences possibles qui dépendent
d’un certain nombre d’autres facteurs. Si on connaît les probabilités associées à ces facteurs
on peut calculer en s’appuyant sur l’arbre d’événement la probabilité associée à chacune des
conséquences possibles de l’incident initial.
50
Figure 5-4 : Arbre d'événement
5.2 L’arbre de cause d’une structure simple
Un système d’une 'architecture simple se compose d'un canal ce que signifie que le
système est déjà dans un état critique. Si le système peut tomber en panne à cause d'une dé-
faillance dangereuse, cette défaillance peut être une défaillance dangereuse détectée ou bien
une défaillance dangereuse non détectée.
Figure 5-5 : Arbre de cause d'un 1oo1-système d’alimentation
51
5.3 L’arbre de cause d’une structure redondante
Le système d’architecture d’une structure redondante exerce sa fonction de sécurité

seulement si au moins l'un des deux systèmes est en service. Le système tombe complète-
ment en panne au cas où:
1. les deux systèmes ont chacun une défaillance dangereuse
2. le raccord de deux systèmes a chacun une défaillance dangereuse
Sous-système de capteur de pression

Défaillance Dangereuse
m:0:0
Raccord de pression
Défaillance Dangereuse
Capteur de pression A Capteur de pression B

Défaillance Dangereuse Défaillance Dangereuse
Figure 5-6 : Analyse de la défaillance d’un capteur de pression en redondante
5.4 Codage des arbres de défaillance sous forme de DDB
En 1992, J.-C. Coudert et O. Madre d’un côté, A. Rauzy d’un autre, ont proposé un
codage efficace des arbres de défaillances. Un arbre de défaillance est équivalent à une for-
mule binaire. En effet, un arbre est constitué d’événements E = {e1,…; en} et de portes lo-
giques P = {ou, et . . .}. Chaque événement est transformé en une variable booléenne xi qui
52
vaut 1 si l’événement s’est produit. Les portes logiques sont directement traduites en con-
necteurs logiques.
Événement Variable booléenne xi
se produit 1
Ne se produit pas 0
La Figure 5-6 traduit la formule booléenne d’un arbre de défaillance.
F = x3 ∨ (x1 ∧ x2 )
m:0:0
E3
E1 E2
Figure 5-7 : Formule booléenne d’un arbre de défaillance
Les diagrammes de décision binaires (BDD pour Binary Decision Diagram) sont une
structure de données qui permet de représenter de façon compacte les relations entre va-
riables booléennes. Ils ont été introduits par Randal E. Bryant et sont devenus incontour-
nables pour les outils de vérification.
53
6 Modèles à états transition
6.1 Modèle de Markov
Lorsqu’un système est modélisé par une équation différentielle son avenir est unique-
ment déterminé par sa situation présente, d’où son nom de dynamique déterministe. Ils per-
mettent de bonnes descriptions statiques de système mais ne prennent pas en compte les re-
configurations, comme les réparations.
Pour une chaîne de Markov au contraire, on fait l’hypothèse qu’il y a plusieurs évolu-
tions possibles à partir de la situation présente, chacune d’elles ayant une certaine probabili-
té de se réaliser. C’est cette incertitude sur l’avenir qui est prise en compte par les modèles
markoviens que l’on appelle pour cette raison dynamiques aléatoires ou stochastiques.
Andrei Markov (en 1856 – en 1922) a réussi de réaliser une telle description d’un sys-
tème. Il a publié ses premiers résultats en 1906, qui ont ensuite été généralisés à un espace
d’états infini dénombrable par Andrei Kolmogorov.
A l’aide des chaînes du Markov ou bien du processus de Markov, un système peut être
analysé sur une longue période de façon qu'on puisse prédire le futur en se basant sur l’état
présent du processus. Dans ce cas, il faudrait par exemple prendre en compte le fait que la
probabilité pij = P (Xt+1 = xj/Xt = xi) pourrait être différente selon que Xt−1 = xk ou que Xt−1
= xl.
6.1.1 Un simple model de Markov
Un simple modèle de Markov possède principalement deux états qu’ainsi deux états,
le système est en fonctionnement, à savoir que le système effectue sa fonctionnalité sans
erreur, ou pas en fonctionnement, à savoir que le système et dans un état de défaillance. Les
états sont représentés par des cercles et les transitions avec des lignes de transition.
54
Figure 6-1 : Éléments de base pour une chaine de markovienne
Le passage du système d’un état à un autre état ce présente par deux cercles et une
ligne de transmission ou d'une courbe de transition. On distingue deux types de systèmes :
• Un système possédant des composants irréparables.
• Un système possédant des composants réparables.
Les systèmes irréparables sont des systèmes qu’on ne peut pas les réparer à cause
d’une défaillance dangereuse. Pour la reprise en service on doit remplacer complètement ce
composant. La Figure 6-2 montre le modèle de Markov de ce genre de système.
Figure 6-2 : Modèle de Markov pour un system irréparable
Après un certain temps, le système passe de l'état normal E0 à travers un taux de tran-
sition (le taux de défaillance λ) à l’état E1 qui représente l'état où le système est en panne.
Puisque ce système est irréparable, la mise en service de ce genre de système nécessite le
remplacement complet des composants défectueux.
55
La Figure 6-3 illustre un modèle de Markov d'un système réparable. Ce genre de sys-
tème peut être ramené en service ou bien à l’état sans défaut après une défaillance dange-
reuse.
Système
en service Système hors
E0 service
E1
Figure 6-3 : Modèle de Markov pour un system réparable
Ce genre de système après avoir passé de l’état en service à l’état hors service, ce sys-
tème à la capacité de revenir en service encore une fois après un certain temps qu’on notera
le temps de réparation µr.
6.1.2 La probabilité de transition
La probabilité de transition d’un état i à un autre état j peut être calculée mathémati-
quement. Si un état Ei sur un intervalle de temps dt passe à l'état E1, entre ces deux états
existe une relation de probabilité de transition représentée par l'équation suivante :
→ E j ) = λij * dt
Pij = P( Ei  (6-1)
Avec le taux de transition λij ≥ 0.
Une représentation plus pratique de tous les états du modèle de Markov à partir de la
matrice de transition est définie comme suit :
56
 P 00 P 01 P 02 ... P 0 n 
 P P P ... P 
P =  10 11 12 1 n 
 L  (6-2)
 
 P n 0 P n 1 P n 2 ... P nn 
En remplaçant les différentes probabilités par leur équation la matrice de transition P
peut être décris comme suit :
1 − λ 00 dt .λ 01 dt .λ 02 dt ... λ 0 n dt 
 λ dt . 1 − λ dt .λ dt ... λ dt 
P =  10 11 12 1n 
.......... ......  (6-3)
 
 λ n 0 dt .λ n 1 dt .λ n 2 dt ... 1 − λ nn dt 
La matrice de transition nous permet de calculer tous les taux de transitions des diffé-
rents états de la chaine de Markov. S'il n’existe pas de lien entre deux états alors le taux de
transition est égal à 0. On note que la somme des termes de n’importe quelle ligne P donne
toujours 1. Il faut mentionner que la matrice de transition représente seulement l’état initial
du système. La matrice de transition p est égale au cube pour l’instant T = 3 avec l’état ini-
tial T = 1.
P (T = 3) = [P (T = 1) ]3 (6-4)
Ce qui suit voici un exemple de calcul de la matrice de transition pour un système à

deux états.
• E0 système en service
• E1 système en état de panne.
57
0,01
Système
en service Système hors 0,01
0,99
E0 service
E1
0,5
Figure 6-4 : Représentation d'un simple modèle de Markov
Étant donné que seulement deux états sont présents, cela signifie que la matrice de
transition est de dimension (2x2) comme suit :
 P 00 P 01 
P =   (6-5)
 P 10 P 11 
En remplaçant chaque transition avec sa valeur de taux de transition, on obtient

l’équation suivante:
 0 , 99 . 0 , 01 
P =   (6-6)
 0 , 5 . 0 , 99 
Comme déjà mentionne, la somme de chaque ligne de la matrice P est toujours égale à
1, sinon la matrice est faute.
6.1.3 Approche mathématique
La valeur MTTF signifie la durée moyenne de fonctionnement avant la première dé-

faillance pour un système irréparable, pour un system réparable on parle de la durée
moyenne entre deux défaillances consécutives qu’on note MTBF (Mean Time Between Fai-
lure).Pour effectuer le calcul de la valeur MTTF en utilisant les chaines de Markov, il faut
suivre les 4 étapes suivantes:
58
1. La formation de la matrice de fiabilité Q à partir de la matrice de transition P. Cela

exige certaines conditions, notamment le système doit être dans un état normal. Les
états absorbants ne sont pas présents.
2. La formation de la matrice M se fait en déduisant la matrice de fiabilité Q-matrice de

la matrice d’unité I.
M = I −Q (6-7)
3. La formation de la matrice N à partir de l’inverse de la matrice M.
N = [M ]
−1
(6-8)
4. Après avoir déterminé la matrice N, la valeur MTTF c’est la somme de la première

ligne de la matrice N
6.1.4 Système d’une simple architecture
Le modèle de Markov pour un système d'une simple architecture est représenté par la
Figure 6-1. Il se compose d'un seul canal et possède quatre états. Un état normal (SYS_N)
E0 où le système est complètement opérationnel et il n'existe pas de défaillance. Dans cet
état, la fonction de sécurité est valide (le système peut répondre à une sollicitation). A partir
de cet état, le système peut prendre trois autres états.
1. L'état de sécurité (SYS_S) E1 pour lequel l'état de sécurité est réalisé. Cet état peut
être causé d'une défaillance sûre dangereuse détectée et non détectée, on est donc
dans le cas du fonctionnement nominal. Un le temps de réparation est présenté par µr.
2. L'état normal dégradé (SYS_DD) E2, la fonction de sécurité du système est valide. le
système passe à cet état après une défaillance dangereuse détectée. Les taux de tran-
sitions µ0 et µR est disponible.
3. Dans l'état de défaillance dangereuse SYS_DU la fonction de sécurité n'est plus réa-
lisée, un ou plusieurs composants étant défaillant à cause d'une défaillance dange-
reuse non détectée, le système se trouve dans un état critique. Le système entre dans
cet état dès qu'il présente un risque d'accident et un manque de répondre à une de-
59
mande d'activation de la fonction de sécurité. Pour revenir à l'état initial sans défaut
le système doit attendre jusqu'a que le système atteint sa durée de vie.
Figure 6-5 : Système d’une simple architecture présenté par les chaines de Markov
6.1.5 Le calcule du temps de vie moyen MTTF d'un 1oo1 système
Le système possède quatre états, l'état dont le système est en état normale E0, l'état
sûre E1, l'état normal dégradé E2 dont les défaillances dangereuses détectées peuvent être
détectées à partir des tests de diagnostics et l'état de défaillances dangereuses non détectées
E3 dont ces tests ne peuvent pas détecter ces défaillances dangereuse. Étant donné que seu-
lement quatre états sont présents, cela signifie que la matrice de transition (comme déjà
mentionnée) est définie comme suit :
1 − ( λ s + λ D ). dt λ s . dt λ DD . dt λ DU . dt 
 µ . dt 1 − µ . dt 0 0 
P =   (6-9)
R R
0 µ 0 . dt 1 − µ 0 . dt 0 
 
 µ LT . dt 0 0 1 − µ LT . dt 
La matrice de fiabilité a donc la forme suivante :
60
Q = 1 − (λ s + λ D ) (6-10)
La matrice M est donc:
M = I − Q = 1 − [1 − ( λ s + λ D )]= (λ s + λ D ) (6-11)
La matrice N est donc de dimension 1x1, ce que signifie que la valeur MTTF est égale
la valeur de la matrice N
1
MTTF = N = [M ]− 1 =
λ s + λ D
(6-12)
Le modèle de Markov pour un système d'une architecture redondante est représenté

par la Figure 6-6.
2* S
0,003988
0,2
0,25
0,2
*
D DD
0,2
2* DD
1,2e-9
4,8e-7
DD
2,4e-7
DU
0,0028
0,5
2 * DU
* DU 0,5
0,00576
2,88e-5
DD
2,4-007
DU
0,00288
Figure 6-6 : Modèle de Markov d'un système d'architecture redondante
61
62
7 L’architecture d’un système instrumenté de sécurité (SIS)
Pour caractériser l’architecture d’un système instrumenté de sécurité, la convention M-

out-of-N (MooN) sera utilisée, ce qui signifie que M canaux parmi les N canaux que com-
porte le système doivent fonctionner correctement pour que la fonction de sécurité soit exé-
cutée.
Par exemple un système d’architecture 1-out-of-N dédié à la sécurité, ou sous-
ensemble d’un tel système, constitué de N canaux indépendants qui sont connectés de telle
sorte qu’il suffit qu’un seul canal (M=1) soit opérationnel pour que la fonction de sécurité
soit assurée. Par contre les systèmes de structure 2-out-of-N, L'exécution de la fonction de
sécurité exige que les deux (M=2) canaux sur les N canaux soit opérationnels.
Dans les applications industrielles, on trouve aujourd’hui principalement les architec-
tures suivantes :
• Un parmi un
• Un parmi un avec diagnostic 1oo1D
• Un parmi trois 1oo3
• Un parmi deux 1oo2
• Un parmi deux avec diagnostic 1oo2D
• Deux parmi deux 2oo2
• Deux parmi deux avec diagnostic 2oo2D
• Deux parmi trois 2oo3
• Deux parmi quatre 2oo4
7.1 Architecture UN parmi UN 1oo1 (1 out of 1)
Un système d'architecture 1oo1 (Figure 7-1) consiste en un seul canal, pour lequel une
défaillance dangereuse entraînera la perte de la fonction de sécurité en cas de sollicitation.
Les tests de diagnostic sont présents ici pour assurer une détection des fautes en vue de répa-
rer le système mais n’affectent pas la sortie.
L’exemple suivant représente un système instrumenté de sécurité (SIS) de type de sys-
tème d’arrêt d’urgence de sécurité (ESD Emergency Safety Shudown) comprenant un cap-
teur connecté en série avec une logique de commande qui commande un contacteur.
63
Figure 7-1 : SIS d’Architecture 1oo1
Le Table 7-1 traite les différents états du système de structure 1oo1. On considère que
la fonction de sécurité se résume à l’ouverture du contact du relais en cas d’une détection
d’une défaillance dangereuse au niveau de canal.
État du
Cause potentielle Disponibilité du système Sécurité de système
système
Contacteur bloqué à Impossibilité d’actionner la sortie. Le système est dans un

l’état fermé (pas de disponibilité). état dangereux
Canal est
défaillant
Contacteur bloqué à Impossibilité d’actionner la sortie Le système est dans un
l’état ouvert (pas de disponibilité). état sûr.
Table 7-1 : Disponibilité et sécurité d’un sis d’une structure 1oo1
7.2 Architecture Un parmi Un avec diagnostic 1oo1D
Un système d'architecture un parmi un avec diagnostic 1oo1D consiste en un seul ca-

nal, pour lequel une défaillance dangereuse entraînera la perte de la fonction de sécurité en
64
cas de demande. Les tests de diagnostics sont capables de couper l’énergie des sorties en cas
de détection d’erreur. On a amélioré la structure d’une architecture simple à une structure
dont les tests de diagnostic agissent directement sur la sortie si les tests détectent une défail-
lance dangereuse. Il faut noter que les fautes dangereuses non détectées par les tests font
passer le système de structure 1oo1D à un état dangereux, car la fonction de sécurité ne peut
pas être exécutée. La disponibilité d’exécution de la fonction de sécurité n’est pas donc sa-
tisfaite.
La Figure 7-2 représente le système d’arrêt d’urgence de sécurité avec une structure
1oo1D dont ses tests de diagnostic agissent directement sur la sortie.
Figure 7-2 : SIS d’une structure 1oo1D
Le Table 7-2 traite les différents états du système 1oo1D. On considère que la fonction
de sécurité se résume par l’ouverture de contact du contacteur en cas d’une détection d’une
défaillance dangereuse au niveau de canal.
État du Cause
Disponibilité du système Sécurité de système
système potentielle
Défaillance détectée
Contacteur
Canal est Possibilité d’actionner la sortie par Le système est dans
bloqué
défaillant les tests de diagnostic. un état sûr.
à l’état fermé
(disponibilité)
65
Défaillance non détectée
Impossibilité d’actionner la sortie par Le système est dans
les tests de diagnostic. un état dangereux
(pas de disponibilité)
Possibilité d’actionner la sortie (disponible)

par les tests de diagnostic
(disponibilité)
Contacteur
Le système est dans
bloqué Défaillance non détectée
un état sûr
à l’état ouvert Impossibilité d’actionner la sortie par
les tests de diagnostic.
(pas de disponibilité)
Table 7-2 : Disponibilité et sécurité d’un sis d’une structure 1oo1D
7.3 Architecture au moins Un parmi Deux 1oo2 (1 out of 2)
Un système d'architecture redondante 1oo2 consiste en deux canaux, la défaillance

d'un seul canal parmi les deux canaux n’empêche pas l’exécution de la fonction de sécurité.
Le système est défaillant si les deux canaux ne fonctionnent pas. Les tests de diagnostic si-
gnalent les fautes pour les réparer mais n’affectent pas la sortie.
La Figure 7-3 présente un SIS d’une architecture 1oo2, comprenant deux capteurs con-
nectés en série avec deux APids qui commandent deux contacteurs.
66
Figure 7-3 : SIS d’une structure 1oo2
La Table 7-3 traite les différents états du système. On prend par définition que la fonc-
tion de sécurité se résume par l’ouverture de contact du contacteur en cas d’une détection
d’une défaillance dangereuse.
État du Cause Disponibilité du système Sécurité de

système potentielle système
Contacteur Possibilité d’actionner sur la sortie par le canal

Le système est
bloqué à l’état non défaillant. La disponibilité de continuer
dans un état sûr
fermé d’assurer la fonction de sécurité est satisfaite
Un canal est
défaillant
Contacteur
impossibilité d’actionner sur la sortie, par le Le système est
bloqué à l’état
canal non défaillant. dans un état sûr
ouvert
Contacteur Le système est

Deux canaux
bloqué à l’état Impossibilité d’actionner sur la sortie. dans un état
sont défaillants
fermé dangereux
67
Contacteur
Le système est
bloqué à l’état Impossibilité d’actionner sur la sortie.
dans un état sûr
ouvert
Table 7-3 : Disponibilité et la sécurité d’un SIS d’une architecture 1oo2
7.4 Architecture au moins Un parmi Deux 1oo2D (1 out of 2D) avec

diagnostic
Un système d'architecture 1oo2D avec diagnostic consiste en deux canaux, la défail-

lance d'un seul canal parmi deux canaux n’empêche pas l’exécution de la fonction de sécuri-
té, on parle donc d’une tolérance aux anomalies de matérielles HFT=1 (Hardware Failure
Tolerant). Le système est défaillant lorsque les deux canaux ne fonctionnent pas. Les tests
de diagnostics sont capables de couper l’énergie des sorties dès qu’une erreur aura été détec-
tée.
La Figure 7-4 représente un système d’arrêt d’urgence de sécurité d'architecture redon-
dante dont les tests de diagnostic des deux canaux agissent directement sur la sortie.
68
Figure 7-4 : SIS d’une structure 1oo2D
La Table 7-4 traite les différents états du système 1oo2D. On considère que la fonction
de sécurité se résume par l’ouverture de contact du contacteur en cas d’une détection d’une
défaillance dangereuse.
État du Cause Disponibilité du système Sécurité de système

système potentielle
Défaillance détectée et non détectée

Défaillance détectée et
Contacteur Possibilité d’actionner sur la sortie par le non détectée
bloqué à l’état canal non défaillant. La disponibilité de
fermé continuer d’assurer la fonction de sécurité est
un état sûr
Un canal est satisfaite.
défaillant
Défaillance détectée et non détectée Défaillance détectée et
Contacteur non détectée
Impossibilité d’actionner sur la sortie,
puisque la sortie est toujours à l’état non Le système est dans
ouvert
alimentée un état sûr
69
un état sûr.
La possibilité d’agir sur
possibilité d’actionner sur la sortie
Contacteur
la sortie par les tests de
diagnostic
fermé
Le système n’est plus
Deux canaux Défaillance non détectée
dans
défaillants
impossibilité d’actionner sur la sortie
un état sûr.
Contacteur possibilité d’actionner sur la sortie Le système est dans
Défaillance non détectée un état sûr
ouvert
impossibilité d’actionner sur la sortie
Table 7-4 : Disponibilité et la sécurité d’un SIS avec une architecture 1oo2D
70
7.5 Architecture deux Un parmi Deux 2oo2 (2 out of 2)
Un système d’architecture 2oo2 consiste en deux canaux, la défaillance d’un seul des
deux canaux empêche l’exécution de la fonction de sécurité. La fonction de sécurité sera
traitée si les deux canaux fonctionnent correctement. On parle donc d’une tolérance aux
anomalies de matérielles de zéro et s’exprime comme suite : HFT=0
Figure 7-1 : SIS d’une architecture 2oo2
La Table 7-5 traite les différents états du système d’architecture 2oo2. On prend par
définition que la fonction de sécurité se résume par l’ouverture de contact du contacteur en
cas d’une détection d’une défaillance dangereuse.
71
État du Cause potentielle Disponibilité du système Sécurité de système

système
Le système n’est plus

Impossibilité d’actionner sur la sortie par
Contacteur bloqué dans
le canal non défaillant. La sortie reste
à l’état fermé un état sûr, la sortie
toujours alimentée.
est toujours alimentée.
Un canal
défaillant
Contacteur bloqué un état sûr puisque la
Possibilité d’actionner la sortie.
à l’état ouvert sortie n’est pas
alimentée
Le système
Contacteur bloqué
Impossibilité d’actionner sur la sortie. n’est plus dans
à l’état fermé
un état sûr
Deux canaux
défaillants Le système est dans
Contacteur bloqué un état sûr puisque la
Impossibilité d’actionner sur la sortie.
à l’état ouvert sortie reste non
alimente.
Table 7-5 : La disponibilité et la sécurité dans une architecture 2oo2
72
8 Évaluation quantitative du système instrumente de sécurité
L’évaluation des performances d’un SIS peut s’obtenir par des méthodes quantitatives.
Cette évaluation se base sur un calcul d’indisponibilité de la fonction de sécurité lors de sa
sollicitation, à partir des données probabilistes de défaillances.
8.1 Structure Un parmi Un (1oo1)
Un système d'architecture 1oo1 consiste à un seul canal, la défaillance dangereuse en-

trainera la perte de la fonction de sécurité en cas de demande.
Il possède un canal qui peut être défaillant avec un taux de défaillances dangereuses
λD résultant des défaillances non détectées λDU ou bien avec un taux de défaillances dange-
reuses λDD résultant des défaillances détectées.
Le temps d’indisponibilité tCE du canal est calculé par l’addition du temps de

l’indisponibilité du canal à cause d’une défaillance dangereuse non détectée tC1 et le temps
de l’indisponibilité du canal à cause d’une défaillance dangereuse détectée tC2 comme suite :
Ti (8-1)
t C1 = + MTTR
2
tC 2 = MTTR (8-2)
(8-3)
 λ DU Ti λ DD 
tCE =  D ( + MTTR) + D MTTR 
 λ 2 λ 
Avec:
• MTTR (Mean Time to Repair), est le temps de réparation conventionnelle, est pris
égale à 8 heures ; c’est-à-dire après la détection de la première défaillance dange-
reuse, le responsable dispose d’une durée de 8 heures pour résoudre le problème, si-
non après ce temps le système n’est plus fiable.
73
• Ti est le temps de mission (on utilise souvent 6 mois, 1 an, 3 ans, 5 ans ou bien 10
ans). C’est-à-dire après ce temps on doit effectuer un redémarrage du système pour
contrôler le système par les tests d’inspection.
La Figure 8-1 montre le schéma de principe de la fiabilité pour cette architecture.
λD
λDU λDD
Ti
tC 1 = + MTTR tC 2 = MTTR
2
tCE
Figure 8-1 : Schéma de principe de la fiabilité pour une structure 1oo1
Le SIS peut perdre la fonction de sécurité en cas des défaillances détectées et non dé-
tectées.
(8-4)
1 T
PFDavg = ∫ PFD (t ) ⋅ dt
T 0
1 T
= ∫ λD ⋅ t ⋅ dt
T 0
1
= λD T
2
λDU λ
Avec : T= (T1 + MTTR ' ) + DD MTTR '
λD λD
Et : λD = λDU + λDD
La valeur de la PFDavg du SIS d’architecture un parmi un est calcule comme suit :
74
1 T (8-5).
PFDavg = ∫ PFD(t ) ⋅ dt
T 0
1 T
= ∫ λD ⋅ t ⋅ dt
T 0
λ λ λ 
= D  DU (T1 + MTTR ' ) + DD MTTR ' 
2  λD λD 
 T1 MTTR ' MTTR ' 
=  λDU ( + ) + λDD
 2 2 2 
On considère que :
T1 MTTR '
>> ≈ MTTR ' = MTTR
2 2
La probabilité de défaillance moyenne on demande du SIS est calculé par la formule

suivante :
T1 (8-6)
PFD avg = λ DU ( + MTTR ) + λ DD ⋅ MTTR
2
Avec
• MTTR (Mean Time To Repair) le temps de réparation conventionnellement est très

inferieure au temps de mission T1
• T1 le temps de mission. Un an de temps de mission équivaux à 8760 heures.
8.2 Structure un parmi deux (1oo2)
Un système d'architecture 1oo2 consiste en deux canaux, la défaillance d’un seul par-
mi les deux canaux n’empêche pas l’exécution de la fonction de sécurité. Le système est
défaillant si les deux canaux ne fonctionnent pas. Les tests de diagnostic signalent les fautes
pour les réparer mais n’affectent pas la sortie.
Le temps de l’indisponibilité d’un canal à cause d’une défaillance dangereuse détectée

est représenté par tCE:
75
λ DU Ti λ DD
tCE = ( + MTTR) + MTTR
λD 2 λD (8-7).
On ajoute aussi le temps de l’indisponibilité de l’autre canal à cause d’une défaillance

dangereuse détectée qui est représenté par tGE :
λ DU Ti λ DD
tGE = D ( + MTTR) + D MTTR
λ 3 λ (8-8).
λD
λDU λDD
Ti
t C1 = + MTTR tC 2 = MTTR
2
tCE
λD
λDU λDD
Ti
tC 3 = + MTTR tC 4 = MTTR
3
tGE
Figure 8-2 : Schéma de principe de la fiabilité pour une structure 1oo2
L’introduction des défaillances de mode commun est généralement modélisée par la

proportion de défaillance de cause commune non détectées β et la de défaillance de cause
commune détectée β D . On obtient la formule de calcul de la valeur PFDavg pour une redon-
dance homogène:
PFDavg = 2((1 − β D ) λ DD + (1 − β ) λ DU ) 2 tCE tGE + β D λ DD MTTR (8-9).
Ti
+ βλ DU ( + MTTR )
2
.
76
9 Conception du système instrumenté de sécurité
L’exemple suivant présente un réservoir recevant des résidus organiques inflammables

et toxiques. Le maintien du réservoir est réalisé par le système de commande représenté par
la Figure 9-1 qui régule par action sur la vanne (FC), à travers un convertisseur courant /
pression (I/P) grâce au signal 4-20mA fourni par le transmetteur de niveau LT1.Le réservoir
possède une soupape d’échappement à l’atmosphère.
Figure 9-1 : Régulation d'un réservoir d’architecture 1oo1
9.1 Estimation du risque
En cas de décharge de la soupape, les projections peuvent générer de sérieuse atteints

au personnels due aux produit chimiques dangereux ainsi qu’un risque d’explosion.
L’analyse a donné que le niveau de régulation est comprise entre 40% et 75%, ainsi que il
faut arrêter le remplissage de la cuve dès que le niveau atteint 90%.
L’analyse d’incidents et d'accidents survenus sur des procédés similaires, fournit deux
principales causes pour avoir le sur-remplissage du réservoir :
• Défaillance de la vanne on reste dans une position ouvert.
• Défaillance du transmetteur de niveau soit fixé ou bien indiquant un niveau bas.
77
Ces deux défaillances peuvent avoir des effets catastrophiques sur les biens et sur
l’environnement. Pour cette raison, d’autres préventives de réduction du risque doivent être
mises en place.
Les mesures de prévention à base d’un système instrumenté de sécurité ont été rete-
nues. L’évaluation des risques a fait ressortir qu’une fonction instrumenté de sécurité FIS
d’un niveau d’intégrité SIL2 permettrait d’atteindre les objectifs visés.
La fonction instrumentée de sécurité doit être séparée matériellement et fonctionnel-
lement du système et doit répond ainsi aux exigences d’indépendance. Elle peut être réalisée
par un SIS constitué d’un transmetteur de niveau TL2 et d'une vanne fermée à manque d’air
Vanne XV2 comme représenté par la Figure 9-2 suivante:
Figure 9-2 : Commande de réservoir avec une 1oo2 architecture
9.2 Proportion de défaillance en sécurité
La proportion de défaillance en sécurité SFF traduit la capacité du système à passer en

position sûre en cas de défaut. Elle est calculée à partir de la formule suivante:
(9-1).
SFF =
∑ λS + ∑ λ DD
∑ λS + ∑ λD
Il faut noter, que les capteurs, les vannes utilisés, sont de types hétérogènes. Les para-
mètres de calcule de la valeur SFF sont donnés ci-dessous.
78
MTBF en ans λDU / ans λDD / ans λS / ans
LT1:
102 0,0008 0,001 0,008
LT2 102 0,0008 0,001 0,008
Barrière : 314 0,00019 0,0014 0,00159
PLC 685 0,001 0,001 0,00135
Vanne V1 167 0,0007 0 0,005300
Vanne V2 167 0,0007 0 0,00530
Alimentation 12 0,02183 0,02 0,04150
Table 9-1 : Taux de défaillance des composants du SIS
À partir de la valeur de la proportion de défaillance en sécurité SFF (dans notre cas

SFF = 78,58%,), la tolérance aux anomalies du matériel et le type de composant on peut
définir le niveau d’intégrité en sécurité selon la Table 9-2.
Proportion de défail- Tolérance aux anomalies matérielles (HFT) pour les éléments type B
lance en sécurité
(SFF) 0 1 2
< 60% Non autorise SIL1 SIL2
< 60%- 90% SIL1 SIL2 SIL3
90%- 99% SIL2 SIL3 SIL4
>99 % SIL3 SIL4 SIL4
Table 9-2:Détermination de la valeur de proportion de défaillance en sécurité
Le niveau d’intégrité en sécurité de SIL2 est atteint avec un sous-système de type B,

avec une proportion de défaillance en sécurité de valeur SFF < 90% et avec une tolérance
aux anomalies du matériel HFT=1.
79
9.3 Fonction de sécurité
La fonction de sécurité est d’éviter un sur-remplissage du réservoir. Le point de dé-

clenchement du système instrumenté de sécurité dès que le niveau atteint le 90% on fera
passer le système de l’état normal à l’état de sécurité en agissant sur la vanne d’arrêt
d’urgence. A partir de cet état, le remplissage de la cuve doit être stoppé.
9.4 Allocation des blocs fonctionnels aux sous-systèmes
La décomposition du SIS par des blocs fonctionnels nous permet de donner un titre
fonctionnel à chaque bloc et de déterminer l’architecture du système.
Figure 9-3 : Architecture du SIS
L'allocation des bocs fonctionnels aux sous-systèmes nous permet d'avoir une vue des
matériels du système qu’ainsi le fonctionnement réelle par le passage aux sous-systèmes.
Cette allocation du SIS est représentée par la figure suivante:
80
Allocation des blocs fonctionnels aux sous-système
Logic Solver
Bloc fonctionnel2 OUTPUT
INPUT Bloc fonctionnel4
Bloc fonctionnel1
Traitement des
Barriére a sécurité signaux d’entrée Commande
Le système est
mis sous tension
intrinséque venant des de la vanne
D1014D capteur T2 (4mA- XV2
20mA)
Transmetteur/
Capteur T2
Allocation Allocation Allocation
Sous système 1 Sous système 2 Sous système 3
Capteur LOGIQUE Actionneur

Acquisition des valeur
analogiques du
capteur T2 Traitement par Commande de la
APIds vanne XV2
Barriére a sécurité
intrinséque D1014D
Figure 9-4 : Allocation des blocs fonctionnels aux systèmes
81
9.5 Exigences fonctionnelles de chaque élément de SIS
Exigences fonctionnelles de chaque élément du SIS
Entrée Sortie Fonctionnalité
Lecture de la pres- État de remplissage Transmetteur de ni-

sion et la trans- du réservoir veau
Transmetteur de niveau
mettre sous forme
LTT2 de signal de 0 -20
mA.
Traitement des données Signal 0-20mA La fermeture de la le remplissage du

par APids (Automate venant du Capteur vanne réservoir doit être
Programmable Indus- de niveau dans le interdit dès que le
triel dédie à la Sécurité) réservoir niveau atteint 90%.
Vanne d’arrêt d’urgent Signal de 24 V Fermeture de la vanne Arrêt de flux de fluide

d’arrêt d’urgent en cas s’il y a une
XV2D
discordance entre les
2 signaux de capteur
de niveau
9.6 Détermination de la valeur PFD
En prenant compte des exigences suivantes :
• Temps de réparation MTTR a été évalué à 8 heures.
• Temps complet non opérationnel a été évalué à 24 heures
• Temps de mission Ti égale à trois ans.
On effectue le calcul de la value PFD du système.
82
9.6.1 PFD du Sous-système Capteur :
Le sous-système capteur possède une structure 1oo1 et il est composé d'un transmet-
teur T2 et une barrière à la sécurité intrinsèque. L'équation simplifié pour le calcule de la
valeur PFDavg est définie comme suit:
λ DU ⋅ Ti
PDVavg = (9-2).
2
Pour Trois ans de mission, la probabilité de défaillance moyenne sur demande est dé-
finie comme suite:
Ti
PFDavg = (λDU _ VESD + λDU _ BI ) ⋅
2
3
PFDavg = (0,0008 + 0,00019) ⋅ = 1,4 ⋅ 10−3
2
Le sous-système capteur peut revendiquer un niveau d'intégrité de SIL2.
9.6.2 Sous-système API de sécurité
Pour dix ans de mission, la probabilité de défaillance moyenne sur demande est définie
comme suit :
Ti
PFDavg = λDU ⋅
2
10
PFDavg = (0,001) * = 5 *10−3
2
Le sous-système "APids" peut revendiquer un niveau d'intégrité de 2 soit SIL2.
9.6.3 Sous-système actionneur :
Pour Trois ans de mission, la probabilité de défaillance moyenne sur demande est dé-
finie comme suite :
83
Ti
PFDXV 2 = λDU ⋅
2
3
PFDXV 2 = (0,0007) ⋅ = 1,05 ⋅ 10 −3
2
Le sous-système actionneur peut revendiquer un niveau d'intégrité de 2 soit SIL2.
9.7 Evaluation du SIL de SIF
La PFD globale de la SIF est égale à la somme des PFD de chaque sous-système.
PFD avg _ FIS = PFD Capteur + PFD APIds + PFD XV 2

PFD avg _ FIS = 1, 4 10 − 3 + 5 10 − 3 + 1,05 10 − 3
PFD avg _ FIS = 7 , 45 10 − 3
La fonction instrumentée de sécurité FIS est séparée matériellement et fonctionnelle-
ment du système et répond ainsi aux exigences d’indépendance. Elle est réalisée par un sys-
tème instrumenté de sécurité SIS constitué d’un transmetteur de niveau T2, une barrière in-
trinsèque et d'une vanne fermée à manque d’air Vanne VESD et elle peut revendiquer un ni-
veau d'intégrité de 2 soit SIL2 avec une probabilité de défaillance sur demande á faible solli-
citation de 7,45 10-3
84
10 Appendis
85
Architecture Formule de calcul simplifié Formule de calcul

TR8.0.02 Part 2-1998 Version 4 Contribution des défaillances indépendantes Contribution des défaillances de cause commune β
1oo1 TI
λDU ×
2
1oo2 DU 2 2  DU 2 TI 2  
[(λ ) × TI ] DU DD DU TI   D TI 
( )
λ × [
 + λ × λ × MTTR × TI +  β × λ ×  + λF × ]
3  3   2  2
1oo3 DU 3 3  DU 3 TI 3    TI   TI 
[(λ ) × TI ] DU 2
( )
λ × + λ [( ) ]
× λDD × MTTR × TI 2 +  β  λDU ×  + λDF × 
4  4    2   2
2oo2 DU  TI 
λDU × TI [λ ] [ ]
× TI + βλDU × TI + λDF × 
 2
2oo3 DU 2 2 DU 2  TI   TI 
(λ ) × TI [(λ ] [ ]
) × (TI ) 2 + 3λDU × λDD × MTTR × TI +  β × λDU ×  + λDF × 
 2  2
2oo4 DU 3 3 DU 3 3 DU 2 DD 2  TI   TI 
(λ ) × (TI ) [(λ ) × (TI ) ]+ [4(λ ) × λ

]
× MTTR × (TI ) +  β × λDU ×  + λDF × 
2  2
86
Architecture Formule de calcule de la probabilité de défaillance sur demande pour un mode de faible sollicitation
IEC 61508
PFDavg
1oo1  λ DU T λ DD 
PFDavg = λ DtCE tCE =  D ( i + MTTR) + D MTTR 
 λ 2 λ 
1oo2
PFDavg= 2((1− βD )λDD + (1− β )λDU )2 tCEtGE + βDλDDMTTR λ DU Ti λ DD
tGE = D ( + MTTR) + D MTTR
T
DU λ 3 λ
+ βλ ( i + MTTR)
2
1oo3
2oo2 PFDavg = 2(λ DU + λ DD )tCE
2oo3
87
Architecture Formule de calcul simplifié Formule de calcul

SINTEF Contribution des défaillances indépendantes Contribution des défaillances de cause commune β
1oo1 TI +
DU
λ ×
2
1oo2 DU 2 2 +
[(λ ) × TI ] Ti
× λDU β
3 2
1oo3 DU 3 3
+
[(λ ) × TI ] Ti
C1oo 3 × × λDU β
4 2
2oo2
λDU × TI
2oo3 +
DU 2 2 Ti
(λ ) × TI C 2 oo 3 × × λDU β
2
MooN N − M +1
+
DU N! Ti
(λ TI ) × C MooN × × λDU β
(N − M + 2 ) ! × (M − 1) ! 2
88

Manuscrit SDF Ver01102017

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Manuscrit SDF Ver01102017

Transféré par

Droits d'auteur :

Formats disponibles

Université Abdelmalek Essaâdi

Faculté des Sciences et Techniques

Pr. Mohammed Bsiss / Pr. Amami Benaissa

A. Liste des figures ................................................................................................................................. 5

B. Liste des tableaux .............................................................................................................................. 7

2 Les concepts de base d’un système de sécurité ................................................................................. 9

2.1 Définition de la sûreté de fonctionnement ......................................................................................... 9

2.2 Historique ........................................................................................................................................ 10

2.3 Coût de la sûreté de fonctionnement................................................................................................ 11

2.4 Systèmes et sous-système ................................................................................................................ 11

2.5 Défaillances systématiques et aléatoires .......................................................................................... 12

2.5.1 Défaillance systématique .................................................................................................. 13

2.5.2 Les défaillances aléatoires................................................................................................. 14

2.6 Taux de défaillance .......................................................................................................................... 15

2.6.1 Défaillance sûre et dangereuse .......................................................................................... 17

2.7 Taxonomie de la SdF ....................................................................................................................... 19

2.7.1 Entraves (Fautes, Erreurs et défaillance ............................................................................ 20

2.7.2 Attributs (Disponibilité, Fiabilité, Sécurité et maintenabilité) .......................................... 22

2.7.2.1 La fiabilité et probabilité............................................................................................ 22

2.7.2.2 La disponibilité (Availibility) .................................................................................... 23

2.7.2.3 La sécurité (Safety) .................................................................................................... 24

2.7.2.4 La maintenabilité (Maintainability) ........................................................................... 24

2.7.3 Les outils de sécurité ......................................................................................................... 25

2.7.3.1 Gestion des erreurs du matériels ................................................................................ 26

2.7.3.2 Gestion de la sûreté fonctionnelle .............................................................................. 26

2.8 Système instrumenté de sécurité ...................................................................................................... 27

2.9 Informations générales sur la terminologie...................................................................................... 29

2.9.1 Éléments de type A où de type B ...................................................................................... 29

2.9.2 Taux de couverture de diagnostic (DC) ............................................................................ 29

2.9.3 Défaillance de cause commune (Common Cause Failure) CCF ....................................... 31

2.9.4 La probabilité de défaillance dangereuse (eng:Probability of Failure on Demand PFD) . 31

2.9.5 Fonction de sécurité .......................................................................................................... 31

2.9.6 Niveau d’intégrité en sécurité (SIL) .................................................................................. 32

2.9.7 Le facteur de sécurité ........................................................................................................ 32

2.9.8 Proof Test .......................................................................................................................... 33

2.9.9 Temps de mission.............................................................................................................. 33

3 Méthode d’analyse de risque ........................................................................................................... 34

3.1 Analyse du danger et du risque ........................................................................................................ 34

3.2 Analyse des modes de défaillances et leurs Effets........................................................................... 37

3.3 Graphe de risque .............................................................................................................................. 41

4 Évaluation qualitative et quantitative de la SdF par le bloc de diagramme de fiabilité ............ 43

4.1 Analyse qualitative par Bloc diagramme de fiabilité ....................................................................... 43

4.1.1 Liens minimaux et coupes minimales ............................................................................... 43

4.2 Analyse quantitative par Bloc diagramme de fiabilité ..................................................................... 44

4.2.1 Système multi composants ................................................................................................ 47

5 Évaluation qualitative et quantitative de la sûre de fonctionnement par Arbres des causes, de

5.1 Principes et objectifs de ces méthodes ............................................................................................. 48

5.2 L’arbre de cause d’une structure simple .......................................................................................... 51

5.3 L’arbre de cause d’une structure redondante ................................................................................... 52

5.4 Codage des arbres de défaillance sous forme de DDB .................................................................... 52

6 Modèles à états transition................................................................................................................. 54

6.1 Modèle de Markov ........................................................................................................................... 54

6.1.1 Un simple model de Markov ............................................................................................. 54

6.1.2 La probabilité de transition ............................................................................................... 56

6.1.3 Approche mathématique ................................................................................................... 58

6.1.4 Système d’une simple architecture.................................................................................... 59

7 L’architecture d’un système instrumenté de sécurité (SIS) .......................................................... 63

7.1 Architecture UN parmi UN 1oo1 (1 out of 1).................................................................................. 63

7.2 Architecture Un parmi Un avec diagnostic 1oo1D .......................................................................... 64

7.3 Architecture au moins Un parmi Deux 1oo2 (1 out of 2) ................................................................ 66

7.5 Architecture deux Un parmi Deux 2oo2 (2 out of 2) ....................................................................... 71

8 Évaluation quantitative du système instrumente de sécurité........................................................ 73

8.1 Structure Un parmi Un (1oo1) ......................................................................................................... 73