Académique Documents
Professionnel Documents
Culture Documents
La Sûreté de fonctionnement
Système Instrumenté Sécurité
SIS
Sommaire
1 Introduction......................................................................................................................................... 8
6.1.5 Le calcule du temps de vie moyen MTTF d'un 1oo1 système .......................................... 60
Utilisation libre pour les instituts publics de formation et de R&D. © Pr Bsiss Mohammed. Tous droits réservés Ver0117.
Sûreté de fonctionnement SIS Ver01
7.4 Architecture au moins Un parmi Deux 1oo2D (1 out of 2D) avec diagnostic................................. 68
Utilisation libre pour les instituts publics de formation et de R&D. © Pr Bsiss Mohammed. Tous droits réservés Ver0117.
Sûreté de fonctionnement SIS Ver01
Figure 2-1 : Genre des défaillances (2nd edition 2003, health & Safety Executive HSE - UK).......... 14
Figure 2-5 : Les types des défaillances d’un système programmable (les erreurs détectées) ............ 18
Figure 2-7 : Les effets internes engendrent des effets externes ......................................................... 21
Figure 5-1 : Éléments essentiel pour une représentation graphique par l’arbre de de défaillance et
des causes ................................................................................................................................... 49
Utilisation libre pour les instituts publics de formation et de R&D. © Pr Bsiss Mohammed. Tous droits réservés Ver0117.
Sûreté de fonctionnement SIS Ver01
Figure 6-5 : Système d’une simple architecture présenté par les chaines de Markov ....................... 60
Utilisation libre pour les instituts publics de formation et de R&D. © Pr Bsiss Mohammed. Tous droits réservés Ver0117.
Université Abdelmalek Essaâdi
Faculté des Sciences et Techniques
Département génie électrique
Table 7-1 : Disponibilité et sécurité d’un sis d’une structure 1oo1 .................................................... 64
Table 7-2 : Disponibilité et sécurité d’un sis d’une structure 1oo1D ................................................. 66
Table 7-3 : Disponibilité et la sécurité d’un SIS d’une architecture 1oo2 .......................................... 68
Table 7-4 : Disponibilité et la sécurité d’un SIS avec une architecture 1oo2D .................................. 70
Page 7 von 88
Sûreté de fonctionnement SIS Ver01
1 Introduction
Étant donné que les systèmes d'automatisations sont de plus en plus complexes et in-
formatisés, des nouvelles normes et des standards sont conçus pour assurer la sûreté de fonc-
tionnement d’un système automatisé. Évidemment, il n'existe pas des systèmes qui fonction-
nent parfaitement. Mais le but c’est la réduction des défaillances dangereuses qui peuvent
mener des dégâts catastrophiques pour les personnes, les biens et l’environnement.
Ce manuscrit a pour but de fournir les connaissances nécessaires sur les systèmes de
sécurité et leur conception pour les élèves ingénieurs de la faculté des sciences et techniques
de Tanger.
8
Sûreté de fonctionnement SIS Ver01
Dans la gestion des entreprises, la sécurité industrielle, au sens large, consiste de façon
générale à garantir la sécurité des biens, des personnes et également la pérennité de l'entre-
prise. Il s'agit alors de concilier les exigences de disponibilité, de rentabilité à court terme,
avec les exigences de sécurité des biens et des personnes. Ces exigences visent à réduire les
risques sur le plan environnemental, social et économique. Prenant par exemple les équipe-
ments médicaux dans les unités de soins intensifs, ils doivent fonctionner d’une manière
fiable et sûre. Le requit de la sécurité ce fait à travers une série de mesure qui inclus la for-
mation, la gestion de risque, la conception des installations et les dispositifs de sécurité et de
réduction de risque.
Ces système sont aussi utilisés dans des domaines très variés comme le secteur médi-
cal, le nucléaire, le secteur des machines, l'automobile, le ferroviaire et l'armement. Les sys-
tèmes instrumentés de sécurité se caractérisent par l’utilisation des capteurs, des automates,
des réseaux de communication et des actionneurs, pour réaliser des fonctions de sécurité, qui
devront, suivant l’ampleur du risque couvert, garantir un certain niveau d’intégrité de sécuri-
té (SIL) afin d’amener le risque à des limites de tolérances acceptables.
9
Sûreté de fonctionnement SIS Ver01
2.2 Historique
Le corpus de la sûreté de fonctionnement a débuté en 1947 par un accord sur les tarifs
douaniers et le commerce (GATT) qui a été signé et publié par un groupe composant 23
pays et qui visait à simplifier le commerce international. En 1994, l’accord sur les obstacles
techniques au commerce, a abouti à la création, un an plus tard, de l'organisation modiale du
commerce (OMC), visant le libre-échange.
Selon les accords OMC / OTC, les États membres s'engagent à aligner leurs propres
normes contraignantes et volontaires et les procédures d'évaluation de la conformité avec
des normes internationales telles que l'ISO et la IEC.
Pour faciliter la coordination au niveau international, chaque pays est représenté au ni-
veau international par un seul organisme. L’AFNOR pour la France, DIN pour l’Allemagne,
BSI pour la Grande Bretagne et ANSI pour les États unis.
Au niveau national l’Institut Marocaine de Normalisation (IMANOR) est l’organisme
officiel Marocain chargé de la normalisation. Il est créé par le législateur marocain en 2010
pour remplacer le SNIMA qui était rattachée au ministère chargé de l’industrie.
A travers son nouveau statut d’organisme avec l’autonomie administrative et finan-
cière, l’IMANOR vise d’une part à contribuer à l’accroissement de la compétitivité des en-
10
Sûreté de fonctionnement SIS Ver01
treprises marocaines et d‘autre part, à apporter son soutien aux politiques publiques respec-
tant les conditions de concurrence économique, la protection des consommateurs, la préser-
vation de l’environnement et l’amélioration des conditions de vie.
Les systèmes instrumentés de sécurité (SIS) d’un niveau d’intégrité haut leurs coût
reste encore très onéreux, mais ça n’empêche pas que durant l’étude de la conception de SIS
des solutions optimal intégrant la réduction des coûts de connexions et des composants pour
obtenir des SISs qui satisfait aux niveaux d’intégrité et sécurité SIL sont toujours apriori.
11
Sûreté de fonctionnement SIS Ver01
Dans un système instrumenté de sécurité les unités de traitements par exemple repré-
sentent un sous-système du SIS. Un système, un sous-système ou un composant alterne dans
son cycle de vie entre deux états.
• L’état défaillant où le système est fonctionnel mais n’accomplit pas son service
spécifié
• Panne matérielle aléatoire avec des défaillances de cause commune (Common cause)
Ces pannes peuvent être soit permanentes (jusqu'à la réparation du système) ou bien
dynamique (ça se produit sous certain conditions (par exemple température, humidité etc.))
12
Sûreté de fonctionnement SIS Ver01
13
Sûreté de fonctionnement SIS Ver01
20,6 %
44 %
14,7 %
5,9 %
14,7 %
nd
Figure 2-1 : Genre des défaillances (2 edition 2003, health & Safety Executive HSE - UK)
Les défaillances aléatoires sont liées au matériel. Prenant par exemple la défaillance
d’une cellule de mémoire volatile correspond à un fonctionnement incorrect de la cellule qui
est dû à des erreurs, ce qui constitue une différence entre une cellule saine et une cellule dé-
faillante. Les fautes peuvent être permanentes ou non permanentes, elles sont causées no-
tamment par une corrosion, une contamination ionique, un vieillissement, un alliage et des
radiations, de même que des rayonnements cosmiques (softerros). La Figure 2-2 représente
les différentes défaillances dans une cellule mémoire.
14
Sûreté de fonctionnement SIS Ver01
a) Faute fonctionnelle.
15
Sûreté de fonctionnement SIS Ver01
somme de toutes les unités intactes. Le taux de défaillance peut être aussi décrit à partir la
fonction de densité f(t) et la probabilité de fiabilité R(t) comme suite:
f (t ) (2-1)
λ (t ) =
R (t )
Les défaillances pendant le cycle de vie d'un système peuvent être représentées selon
une courbe en baignoire comme le montre la Figure 2-3:
16
Sûreté de fonctionnement SIS Ver01
Dans la première phase, le taux de défaillance diminue (Zone A) avec la durée de mis-
sion. Elles sont dues à :
Cette phase est caractérisée par une baisse relativement forte du taux de défaillance
(lors de la phase en cours d’exécution). Les défaillances matérielles pour les cartes électro-
niques peuvent être éliminées grâce à des tests. Ils consistent à tester la carte électronique
pendant et après la fabrication.
Dans la deuxième phase, avec un taux de défaillance constant se trouvent des défail-
lances aléatoires (Zone B) causées par :
Cette section décrit le temps de comportement normal de composants et tous les cal-
culs des caractéristiques de fiabilité du système sont basé sur cette durée.
Un système peut subir une défaillance, cette défaillance peut être sure ou bien dangereuse.
Les défaillances qui ne causent pas un état critique du système ou bien qui n’affectent pas la
fonction de sécurité sont considérées comme des défaillances sûres.
Considérons une vanne utilisée dans un système instrumenté de sécurité pour couper le flux
de produit lors de la sollicitation de la fonction de sécurité.
17
Sûreté de fonctionnement SIS Ver01
λDD
λDU
λS = λSd + λSU λD = λDU +λDD
λ SU
λSD
λSD λDU
λS λD
λDD
λ SU
λS = λSD + λSU λ = λ S + λ D λ D = λ DU + λ DD
Figure 2-5 : Les types des défaillances d’un système programmable (les erreurs détectées)
18
Sûreté de fonctionnement SIS Ver01
Les différents taux de défaillances sont calculés à partir de la défaillance de base. Elle
est représentée par l’unité [FIT] (failure in time) qui indique la probabilité du temps
d’échecs par heure.
19
Sûreté de fonctionnement SIS Ver01
Un système est sûr s’il est libre des erreurs et résiste contre les défaillances critiques.
Ces entraves qui peuvent affecter le système et dégrader la sûreté de fonctionnement (SdF)
peuvent être classées en trois notions:
• les fautes,
• les erreurs et
• les défaillances.
20
Sûreté de fonctionnement SIS Ver01
Pour mieux gérer ces défaillances on utilise généralement en industrie une cotation de
gravité des effets et on prend dans l’analyse d’une défaillance trois paramètres notamment la
fréquence de la défaillance, ça gravité et ça détection en introduisant souvent 4 catégories de
défaillances. Ces catégories sont représentées dans la Table 2-4 :
Niveau Définition
Défaillance mineure Défaillance qui nuit au bon fonctionnement (mineur) d’un système
en causant un dommage négligeable au système ou à son environ-
nement sans présenter de risque pour l’homme
Défaillance significative Défaillance qui nuit au bon fonctionnement (major) sans causer de
dommage notable ni présenter de risque important pour l’homme.
Défaillance critique Défaillance qui entraîne la perte d’une (hazardous) (ou des) fonc-
tion(s) essentielle(s) du système et cause des dommages importants
au système en ne présentant qu’un risque négligeable de mort ou de
blessure.
Défaillance catastrophique Défaillance qui occasionne la perte d’une (catastrophique) (ou des)
fonction(s) essentielle(s) du système en causant des dommages
importants au système ou à son environnement et/ou entraîne la
mort ou des dommages corporels
21
Sûreté de fonctionnement SIS Ver01
Les Attributs de la sûreté de fonctionnement on les trouve dans le plus haut niveau
dans la hiérarchie des systèmes de sécurité. Il comprend les termes suivants fiabilité, dispo-
nibilité, sûreté et la maintenance.
La fiabilité (Reliability) est un terme générique qui couvre un large éventail de con-
cepts et de mesures. Un système est fiable quand vous pouvez légitimement avoir une con-
fiance sur la performance qu'il offre. L’approche globale de la fiabilité signifie également
que les systèmes (par exemples les téléphériques, les avions, les automates de sécurité ou
des trains à grande vitesse) conçus et construits doivent être soumis antérieurement à une
vérification à certains intervalles de temps pour détecter les risques de sécurité. L’homme est
considéré dans cette chaîne comme un facteur non négligeable qui peut générer des défail-
lances souvent avec des conséquences catastrophiques. Il est donc très important d’identifier
ces défaillances dans l’analyse de la fiabilité d’un système et de les prévenir.
22
Sûreté de fonctionnement SIS Ver01
R (t ) = e − λ t (2-3)
avec
λ est le taux de défaillanc e
Probabilité
1-certain
Probabilité de défaillance
F (t ) = 1 − e − λt = 1 − R (t )
R (t ) = e − λ t
0-impossible temps
23
Sûreté de fonctionnement SIS Ver01
A(t ) = R (t ) = e − λt (2-4)
Il existe une relation forte entre la valeur du temps moyen qui s'écoule jusqu'à ce qu'un
système tombe en première panne (MTTF), et la valeur du temps moyen entre deux défail-
lances (MTBF).
∞ (2-5)
MTTF = ∫ R (t ) dt
0
MTTF
A=
MTBF
Le temps de mission ou bien de fonctionnement d’un système peut être limité à cause
d’un entretien régulier ou bien des réparations. La disponibilité est généralement exprimée
en pourcentage.
La maintenance, c’est la durée qui est nécessaire pour qu'un système en panne puisse
revenir à l’état de fonctionnement. La maintenance d’un système, d’une entité peut
s’exprimer par
M (t ) = P (Y ≤ t ) avec Y la variable désignant la durée de la panne
du composant. La figure représente un aperçu des temps moyens dans la vie d’un système en
opération. La Figure 2-10 montre un aperçue sur les termes utilisés
24
Sûreté de fonctionnement SIS Ver01
• MTBF: Mean Time between Failures. La durée moyenne entre deux défaillances.
On a MTTB = MUT + MDT.
Les moyens pour sécuriser une installation, des équipements électriques et/où électro-
niques nécessitent une maitrise des erreurs du matériel d’une part et d’autre part les erreurs
systématique.
25
Sûreté de fonctionnement SIS Ver01
La gestion des erreurs aléatoire consiste à éviter des fautes qui auraient pu être introduites
pendant le développement du système, passant par la production jusqu’à l’intégration et la
mise en service. Cela peut être accompli en utilisant des méthodologies de développement et
de bonnes techniques d’implantation, on parle donc de la prévention de faute.
L’´élimination de faute peut être divisée en trois catégories : élimination d’erreur pen-
dant la phase de développement, pendant la phase de production et élimination pendant la
phase d’intégration. Pendant la phase de développement, l’idée est d’utiliser des techniques
de vérification et de validation avancées (tests de la successibilité magnétique, tests de la
température, test de fonctionnement) de façon à détecter les fautes et les enlever avant
l’envoi du produit à la production. Pendant la production par le respect des normes et stan-
dard de la production et la livraison. Pendant l’intégration, il faut tenir à jour les défaillances
rencontrées et les retirer pendant les cycles de maintenance.
La tolérance aux fautes consiste à mettre en place des mécanismes qui maintiennent le
service fourni par le système, même en présence de fautes. On accepte dans ce cas un fonc-
tionnement dégradé. La tolérance aux fautes repose sur l’utilisation de mécanismes de re-
dondance, l’idée est de réaliser la même fonction par des moyens différents.
La prévision de faute consiste à anticiper les fautes (de manière qualitative ou probabi-
liste) et leur impact sur le système.
26
Sûreté de fonctionnement SIS Ver01
Afin d'éviter que des phénomènes dangereux tels que des incendies, explosions ou en-
core des rejets de matières dangereuses, susceptibles d'occasionner des dommages sur les
personnes, l'environnement ou les biens, les industriels sont amenés à mettre en place des
mesures de maîtrise des risques (MMR) dont le rôle est de prévenir l'apparition de tels phé-
nomènes ou d'en limiter les conséquences. Parmi ces couches de protection, se trouvent les
systèmes instrumentés de sécurité (SIS) qui permettent la mise en œuvre de fonctions ins-
trumentées de sécurité (FIS). Différentes couches de protection peuvent être mises en œuvre
afin de réduire les risques dans le but de les rendre acceptables. Ces différentes couches sont
valorisées lors des analyses quantitatives ou semi-quantitatives menées dans le but de dé-
terminer le niveau de SIL requis des FIS (revue SIL réalisée à l'aide de méthodes telles que
la LOPA ou le graphe de risques par exemple). Une fois le niveau de SIL requis connu,
l'analyste doit démontrer que la probabilité de défaillance permet de vérifier le niveau de
SIL requis alloué lors de la revue SIL. Pour ce faire, les normes IEC 61508 et IEC 61511
peuvent être utilisées afin :
27
Sûreté de fonctionnement SIS Ver01
La conception d’un SIS à haut niveau de la SdF nécessite de trouver l’architecture op-
timale et d’analyser la fiabilité de cette structure en intégrant la réduction des coûts de con-
nexions et des composants. Ces méthodes d’analyse de la SdF varient selon la phase de vie
du produit.
28
Sûreté de fonctionnement SIS Ver01
Le type d’élément peut être du type A ou bien de type B. Les sous-systèmes de type A,
sont des équipements simples dont le comportement et les modes de défaillance sont connus,
et sur lesquels il y a un retour d’expérience. Un contacteur, un afficheur, un bouton poussoir
entrent dans cette catégorie. Les sous-systèmes de type B sont des équipements plus com-
plexes dont le comportement et leurs modes de défaillance sont complexe, et sur lesquels il
n’y a pas un retour d’expérience. Dans cette catégorie en trouve des automates, des compo-
sants électroniques intégrés, des composants électroniques programmables.
DC =
∑λ sys
DD
(2-6)
∑λ sys
DD + ∑ λsys
DU
Avec ∑λ DD
c'est la somme des taux de défaillance dangereuse détectées et des composants
d'un bloc de fonction de sécurité
Et ∑λ DU
La somme des taux de défaillance dangereuse non-détectées et des composants
d'un bloc de fonction de sécurité.
Le paramètre DC est une valeur processuelle en fonction des précautions adoptées par
le fabricant pour détecter les anomalies de son système. Selon le genre de précaution à
prendre, une valeur moyenne de couverture de diagnostic sera répartie dans les quatre
groupes suivants :
29
Sûreté de fonctionnement SIS Ver01
Classification Valeurs DC
Nulle 60 % < DC
Élevée 99 %
Le Table 2-5: présente des prescriptions pour les anomalies qui doivent être détectées
par les techniques de maîtrise des défaillances du matériel afin d’obtenir la couverture de
diagnostic pertinente. Par exemple, pour une cellule mémoire, seules les erreurs de blocage
des adresses ou bien des données sont détectées par un test de diagnostic en exploitation,
cela signifie que la valeur de couverture de diagnostic est faible de DC = 60 % et si on
ajoute de plus des tests qui détectent les délais d’écoulement et le décodage d’adresse erro-
né, on atteint une couverture de diagnostic moyen de DC =90%.
Moddelle CC (courant continu) indique des Anomalies de blocage, blocage ouvert, sorites ouvertes
ou haute impedance ainsi que les courts-circuits entre les lignes de signaux.
30
Sûreté de fonctionnement SIS Ver01
reuses non détectées et β DD pour les défaillances dangereuses détectées. Les valeurs pour
T (2-7).
1 i
PFD avg (Ti )= ∫ PFD (t ) dt
Ti 0
La fonction de sécurité c’est une fonction réalisée par un système relatif à la sécurité
pour assurer ou maintenir un état de sécurité du système par rapport a un événement dange-
reux spécifique. En distingue deux états de sécurité:
31
Sûreté de fonctionnement SIS Ver01
Le niveau d’intégrité de sécurité, on le retrouve presque dans toutes les normes qui
sont élaborées à partir de la norme CEI 61508, à savoir la norme EN 61511 pour les procé-
dées industriels, la norme EN 61513 pour le nucléaire, les normes EN 50128/50129 pour le
secteur ferroviaire ou encore la norme EN 62061 pour le secteur automobile.
Le facteur de sécurité S indique combien des pannes qui se produisent sont essentiels
à la perte de la sécurité. Il est donné en pourcentage. On distingue à partir du facteur de sé-
curité S deux genres de type de composant.
• Les composants de type B dont le cas échéant possèdent une valeur de sécurité de
50%,
• tandis que les composants de types A possèdent une valeur de sécurité de 10%.
Les modes de défaillance des composants de Type A sont connus et peuvent être complète-
ment détecté par un test diagnostic. Le facteur de sécurité S peut également être démontré
explicitement via une analyse AMDEC pour les composants de types B. Pour les composant
32
Sûreté de fonctionnement SIS Ver01
dont la sécurité n’est pas critiques tels qu’un afficheur, il est supposé d’une valeur égale a S
= 0%.
Les Proof Test sont des tests périodiques hors ligne réalisé pour détecter des pannes
dans un système de telle sorte que le système puisse être réparé afin de revenir dans un état
équivalent à son état initial.
Le temps de mission c’est la durée pendant lequel le système est en ligne pour son
application de sécurité. Lorsque des proof test sont réalisés, ce temps de mission sera consi-
déré comme égal au temps entre deux proof tests consécutifs. Dans le cas ou il n’ya pas de
proof tests, on prendra le temps de mission égale au temps de vie du système (MTTF)
33
Sûreté de fonctionnement SIS Ver01
Une analyse prévisionnelle de SdF est un processus d’étude d’un système réel de fa-
çon à produire un modèle abstrait du système relatif à une caractéristique de SdF (fiabilité,
disponibilité, maintenabilité, sécurité). On distingue deux termes dans l’analyse de risque:
Les éléments de ce modèle seront des événements (des dangers et des risques) suscep-
tibles de se produire dans le système et son environnement.
Pour mieux d’aider l’analyste, plusieurs Méthodes d’analyse ont été mises au point.
Les principales sont :
34
Sûreté de fonctionnement SIS Ver01
Le but d’analyse du danger et du risque est d'identifier quels sont tous les éventuels
dangers auxquels sont exposés les opérateurs et l'environnement d'une machine.
Le risque étant évalué, il convient ensuite d’identifier les moyens qui participent à sa
réduction. Chaque couche participe à la prévention du risque où/et à la réduction de ses con-
séquences.
Les divers risques indiqués dans la norme CEI 61508-5 sont les suivants:
• Risque initial: Il peut être provoqué par les équipements de contrôle et de com-
mande. Ils contiennent des systèmes de commande où les facteurs humains sont as-
sociés. De plus, aucun dispositif de protection n'est pris en compte dans la détermina-
tion de ce risque (Partie quatre de CEI 61508-4).
35
Sûreté de fonctionnement SIS Ver01
• Risque tolérable: risque accepté dans un certain contexte et fondé sur les valeurs
admises de la société (Partie quatre de la CEI 61508-4),
• Risque résiduel: dans le contexte de la présente norme, pour les événements dange-
reux spécifiés, risque encouru par les équipements de contrôle et commande, mais
avec l’ajout de la couche de sécurité par les systèmes instrumentés de sécurités et des
dispositifs externes de réduction de risque (Partie quatre de la CEI 61508-4).
Le risque résiduel acceptable dépend des divers facteurs tels que, pays, société, lois et
les goûts. Le risque résiduel acceptable doit être évalué cas par cas et il est déterminé sur une
base sociale et tient en compte des facteurs sociaux et politiques. Si le risque d’une installa-
tion technique est considéré comme trop élevé, il faut prendre des mesures particulières pour
diminuer le risque.
36
Sûreté de fonctionnement SIS Ver01
L’évaluation quantitative peut être effectuée par une analyse par des blocs fonctionnel de
fiabilité qu’ainsi par l’arbre des évènements aboutissant au calcul de la probabilité de défail-
lance dangereuse.
• FMEA –Failure Mode and Effects Analysis– utilisée pour l’analyse du risque d’un
produit, d’un composant.
• FMECA –Failure Mode, Effects, and Criticality Analysis– est similaire à une FMEA
avec un ajout de la criticité de plus d’un produit ou bien d’un composant.
• FMEDA –Failure Mode, Effects and Diagnostic Analysis– est similaire à une
FMEA avec un ajout de diagnostique de plus d’un produit ou bien d’un composant.
Le processus de construction d’une analyse AMDEC débute par une description fonc-
tionnelle et matérielle du système, après une analyse préliminaire des risques en identifiant
les événements redoutés, puis une analyse détaillée des évènements critiques et enfin le trai-
tement des points critiques par la proposition des solutions visant à améliorer la sûreté de
fonctionnement. La mise en œuvre d’AMDEC se fait selon les étapes suivantes :
4. Analyse de la criticité
5. Moyens de détection
6. Actions correctives
-composant défectueux
-Composant défec- -blocage / grippage
tueux
Fonction dégradée -dérive des caractéris- -mauvaise étan- -mauvaise potée
tiques chéité
s -usure -désolidarisation
-perturbations, para- -perturbations de
sites bélier -jeu
Fonction Intempes- -déclenchement intem- -coup de bélier
tive pestif
La recherche des causes commence par l’analyse de la petite unité du composant vers
l’unité supérieure et cela peut aider à identifier les défaillances de cause unique, mais par
contre les défaillances systématiques ou bien les défaillances de causes communes ne peu-
vent pas être détectées. La Figure 3-4 représente un système instrumenté de sécurité d’un
niveau d’intégrité de sécurité SIL2. Il se compose d’un capteur d’une unité de traitement
APS et une vanne SOV d’arrêt d’urgence.
38
Sûreté de fonctionnement SIS Ver01
Le Table 3-2 représente l’analyse de risque par AMDEC d’une vanne utilisé comme un sys-
tème d’arrêt d’urgence.
L’AMDEC est donc en revanche indispensable dès lors que l'on travaille sur des ma-
chines, ou plus généralement sur des systèmes composé de plusieurs sous-ensembles, car les
mesures de maîtrise ne seront alors jamais simples ni à imaginer, ni à valider.
39
Sûreté de fonctionnement SIS Ver01
moyen de production. Ce n'est qu'une proposition, que chaque groupe de travail peut adapter
à son besoin, son environnement, sa problématique.
Fréquence (F)
Gravité (G)
Détection (D)
40
Sûreté de fonctionnement SIS Ver01
La norme ISO 13849 propose une évaluation par un point de départ, le constructeur de
la machine identifiera en répondant aux questions notamment la gravité de la blessure (S), la
fréquence ou/et la durée d’exposition (F) au danger qu’ainsi la possibilité de la réduction du
danger (P), et le niveau de performance de la machine et la fonction de sécurité qui sera
examinée.
41
Sûreté de fonctionnement SIS Ver01
42
Sûreté de fonctionnement SIS Ver01
l
R = P ∑ Li
i =1 (4-1)
Les coupes minimales représentent les plus petites combinaisons de défaillances des
blocs qui compromettent la fonction requise pour le système. Si Ci est une coupe minimale
du système alors la fiabilité totale du système est donnée par :
43
Sûreté de fonctionnement SIS Ver01
c
R = 1 − P ∑ C i
i =1 (4-2)
La recherche de coupe minimale au sein d’une représentation déterministe se fait par les
étapes suivantes :
• la recherche de tous les liens minimaux par un parcours exhaustif de tous les chemins
et l’on construit une matrice d’incidence des blocs dans les liens.
• Pour trouver les coupes d’ordre 1, on recherche les lignes n’ayant que des uns.
• On supprime ensuite ces colonnes, qui correspondent aux coupes d’ordre 1. On com-
bine toutes les colonnes deux à deux (avec un OU booléen). Les colonnes n’ayant
que des uns sont les coupes minimales d’ordre 2.
• On supprime les colonnes ainsi trouvées et on recommence pour obtenir les coupes
d’ordre 3. Etc.
44
Sûreté de fonctionnement SIS Ver01
Le système ne fonctionne que lorsque tous les composants sont fonctionnels. La fiabi-
lité d'un système (la probabilité de bon fonctionnement) de n composant est calculée selon
l'équation suivante :
n
R(t ) = R1 (t ) • R2 (t )L • Rn (t ) = ∏ Ri (t ) (4-3)
i =1
n
λS = ∑ λi (4-4)
i =1
La formule de calcul de la valeur du temps moyen qui s'écoule jusqu'à ce qu'un sys-
tème tombe en panne (MTTF) est formulée comme suit:
45
Sûreté de fonctionnement SIS Ver01
∞
1
MTTFSerie = ∫ R1 (t ) • R2 (t ) L • Rn (t )dt =
0
λTotal (4-5)
Pour les systèmes en parallèles, il suffit qu’une entité ne fonctionne pas pour que le si-
gnal passe. L’arrêt du système est possible si seulement si les trois entités sont défaillantes.
Dans une structure parallèle, l'arrêt du système est provoqué par la défaillance de
toutes les entités. La fiabilité d’un système parallèle est calculée selon l'équation suivante:
n
R (t ) = 1 − (1 − R1 (t )) • (1 − R2 (t )) L • (1 − Rn (t ))) = 1 − ∏ (1 − Ri (t )) (4-6)
i =1
La formule de calcul de la valeur du temps moyen qui s'écoule jusqu'à ce qu'un sys-
tème tombe en panne (MTTF) pour un système de deux composants est comme suit:
∞ ∞
[ ]
MTTFParallèle = ∫ [R A + RB − R A RB ]dt = ∫ e −λ A ×t + e −λB ×t − e −( λ A +λB )×t dt
0 0 (4-7)
1 1 1
MTTFParallèle = + −
λA λB λ A + λB (4-8)
46
Sûreté de fonctionnement SIS Ver01
Dans la partie précédente, nous avons étudié la défaillance d’un système à composant
unique. Dans ce cas, la défaillance du composant implique la défaillance du système. Dans
un système multi composant, la défaillance du système survient à la suite de défaillance de
sous-ensembles de composants. Par exemple, la défaillance d’un frein sur un véhicule ne
remet pas en cause le fonctionnement global même s’il faut adapter son mode d’utilisation.
Par contre, la défaillance d’une roue conduit à l’immobilisation du véhicule.
47
Sûreté de fonctionnement SIS Ver01
Les méthodes et les démarches pour maitriser les risques sont indispensable pour la
sûreté de fonctionnement d’un SIS. Ils décrient les mécanismes qui conduisent aux incidents
et aux accidents. En distingue trois méthodes les plus courantes notamment:
• L’arbre de défaillance,
• L’arbre d’événement
Ces trois méthodes d’analyse de risque sont représentées sous forme d’une représenta-
tion graphique logique d’un système sous formes arborescentes mais ils ne contiennent pas
les mêmes informations.
L’Arbre de défaillance est aussi une méthode d'analyse des défaillances qui part d’un
événement final pour remonter vers les causes et les conditions qui peuvent être associés.
Ayant pour point de départ un événement redouté, un dysfonctionnement ou un accident la
démarche constitue à effectuer une analyse sur les éléments constitutifs du système étudié
pour identifier tous les scénarios conduisant à l’événement redouté. À partir des opérateurs
logiques et des symboles de la représentation schématique donnée á titre d’exemple Figure
5-1 on peut calculer la probabilité de l’événement redouté á partir des probabilités des évé-
nements élémentaires qui se combinent pour le provoquer.
48
Sûreté de fonctionnement SIS Ver01
Figure 5-1 : Éléments essentiel pour une représentation graphique par l’arbre de défaillance et des causes
49
Sûreté de fonctionnement SIS Ver01
L’arbre des causes part d’un événement qui s’est produit et organise l’ensemble des événe-
ments ou les conditions qui peuvent être associés. Cette analyse repose sur un raisonnement
similaire à l’arbre de défaillance mais ne décrit qu’un scénario, d’un incident ou un acci-
dent, pour soutenir la démarche d’analyse de la cause. Sa représentation est illustrée par la
Figure 5-3.
L’arbre d’événement part d’un événement et décrit les différentes conséquences qu’il
peut avoir en fonction des conditions dans lesquelles il s’est produit et des événements avec
lesquels il se combine. Il repose sur un raisonnement inverse des arbres précédents : de la
cause vers les conséquences (d’où sa représentation donnée à titre d’exemple Figure 5-4c).
Comme l’arbre de défaillance, il vise à représenter l’ensemble des possibles, ici, des consé-
quences possibles de l’événement étudié. Le point de départ est un incident, une défaillance,
une erreur, une agression... dont on veut évaluer les conséquences possibles qui dépendent
d’un certain nombre d’autres facteurs. Si on connaît les probabilités associées à ces facteurs
on peut calculer en s’appuyant sur l’arbre d’événement la probabilité associée à chacune des
conséquences possibles de l’incident initial.
50
Sûreté de fonctionnement SIS Ver01
Un système d’une 'architecture simple se compose d'un canal ce que signifie que le
système est déjà dans un état critique. Si le système peut tomber en panne à cause d'une dé-
faillance dangereuse, cette défaillance peut être une défaillance dangereuse détectée ou bien
une défaillance dangereuse non détectée.
51
Sûreté de fonctionnement SIS Ver01
m:0:0
Raccord de pression
Défaillance Dangereuse
En 1992, J.-C. Coudert et O. Madre d’un côté, A. Rauzy d’un autre, ont proposé un
codage efficace des arbres de défaillances. Un arbre de défaillance est équivalent à une for-
mule binaire. En effet, un arbre est constitué d’événements E = {e1,…; en} et de portes lo-
giques P = {ou, et . . .}. Chaque événement est transformé en une variable booléenne xi qui
52
Sûreté de fonctionnement SIS Ver01
vaut 1 si l’événement s’est produit. Les portes logiques sont directement traduites en con-
necteurs logiques.
se produit 1
Ne se produit pas 0
F = x3 ∨ (x1 ∧ x2 )
m:0:0
E3
E1 E2
Les diagrammes de décision binaires (BDD pour Binary Decision Diagram) sont une
structure de données qui permet de représenter de façon compacte les relations entre va-
riables booléennes. Ils ont été introduits par Randal E. Bryant et sont devenus incontour-
nables pour les outils de vérification.
53
Sûreté de fonctionnement SIS Ver01
Lorsqu’un système est modélisé par une équation différentielle son avenir est unique-
ment déterminé par sa situation présente, d’où son nom de dynamique déterministe. Ils per-
mettent de bonnes descriptions statiques de système mais ne prennent pas en compte les re-
configurations, comme les réparations.
Pour une chaîne de Markov au contraire, on fait l’hypothèse qu’il y a plusieurs évolu-
tions possibles à partir de la situation présente, chacune d’elles ayant une certaine probabili-
té de se réaliser. C’est cette incertitude sur l’avenir qui est prise en compte par les modèles
markoviens que l’on appelle pour cette raison dynamiques aléatoires ou stochastiques.
Andrei Markov (en 1856 – en 1922) a réussi de réaliser une telle description d’un sys-
tème. Il a publié ses premiers résultats en 1906, qui ont ensuite été généralisés à un espace
d’états infini dénombrable par Andrei Kolmogorov.
A l’aide des chaînes du Markov ou bien du processus de Markov, un système peut être
analysé sur une longue période de façon qu'on puisse prédire le futur en se basant sur l’état
présent du processus. Dans ce cas, il faudrait par exemple prendre en compte le fait que la
probabilité pij = P (Xt+1 = xj/Xt = xi) pourrait être différente selon que Xt−1 = xk ou que Xt−1
= xl.
Un simple modèle de Markov possède principalement deux états qu’ainsi deux états,
le système est en fonctionnement, à savoir que le système effectue sa fonctionnalité sans
erreur, ou pas en fonctionnement, à savoir que le système et dans un état de défaillance. Les
états sont représentés par des cercles et les transitions avec des lignes de transition.
54
Sûreté de fonctionnement SIS Ver01
Le passage du système d’un état à un autre état ce présente par deux cercles et une
ligne de transmission ou d'une courbe de transition. On distingue deux types de systèmes :
• Un système possédant des composants irréparables.
• Un système possédant des composants réparables.
Les systèmes irréparables sont des systèmes qu’on ne peut pas les réparer à cause
d’une défaillance dangereuse. Pour la reprise en service on doit remplacer complètement ce
composant. La Figure 6-2 montre le modèle de Markov de ce genre de système.
Après un certain temps, le système passe de l'état normal E0 à travers un taux de tran-
sition (le taux de défaillance λ) à l’état E1 qui représente l'état où le système est en panne.
Puisque ce système est irréparable, la mise en service de ce genre de système nécessite le
remplacement complet des composants défectueux.
55
Sûreté de fonctionnement SIS Ver01
La Figure 6-3 illustre un modèle de Markov d'un système réparable. Ce genre de sys-
tème peut être ramené en service ou bien à l’état sans défaut après une défaillance dange-
reuse.
Système
en service Système hors
E0 service
E1
Ce genre de système après avoir passé de l’état en service à l’état hors service, ce sys-
tème à la capacité de revenir en service encore une fois après un certain temps qu’on notera
le temps de réparation µr.
La probabilité de transition d’un état i à un autre état j peut être calculée mathémati-
quement. Si un état Ei sur un intervalle de temps dt passe à l'état E1, entre ces deux états
existe une relation de probabilité de transition représentée par l'équation suivante :
→ E j ) = λij * dt
Pij = P( Ei (6-1)
Une représentation plus pratique de tous les états du modèle de Markov à partir de la
matrice de transition est définie comme suit :
56
Sûreté de fonctionnement SIS Ver01
P 00 P 01 P 02 ... P 0 n
P P P ... P
P = 10 11 12 1 n
L (6-2)
P n 0 P n 1 P n 2 ... P nn
En remplaçant les différentes probabilités par leur équation la matrice de transition P
peut être décris comme suit :
1 − λ 00 dt .λ 01 dt .λ 02 dt ... λ 0 n dt
λ dt . 1 − λ dt .λ dt ... λ dt
P = 10 11 12 1n
.......... ...... (6-3)
λ n 0 dt .λ n 1 dt .λ n 2 dt ... 1 − λ nn dt
La matrice de transition nous permet de calculer tous les taux de transitions des diffé-
rents états de la chaine de Markov. S'il n’existe pas de lien entre deux états alors le taux de
transition est égal à 0. On note que la somme des termes de n’importe quelle ligne P donne
toujours 1. Il faut mentionner que la matrice de transition représente seulement l’état initial
du système. La matrice de transition p est égale au cube pour l’instant T = 3 avec l’état ini-
tial T = 1.
P (T = 3) = [P (T = 1) ]3 (6-4)
• E0 système en service
57
Sûreté de fonctionnement SIS Ver01
0,01
Système
en service Système hors 0,01
0,99
E0 service
E1
0,5
Étant donné que seulement deux états sont présents, cela signifie que la matrice de
transition est de dimension (2x2) comme suit :
P 00 P 01
P = (6-5)
P 10 P 11
0 , 99 . 0 , 01
P = (6-6)
0 , 5 . 0 , 99
Comme déjà mentionne, la somme de chaque ligne de la matrice P est toujours égale à
1, sinon la matrice est faute.
58
Sûreté de fonctionnement SIS Ver01
M = I −Q (6-7)
N = [M ]
−1
(6-8)
Le modèle de Markov pour un système d'une simple architecture est représenté par la
Figure 6-1. Il se compose d'un seul canal et possède quatre états. Un état normal (SYS_N)
E0 où le système est complètement opérationnel et il n'existe pas de défaillance. Dans cet
état, la fonction de sécurité est valide (le système peut répondre à une sollicitation). A partir
de cet état, le système peut prendre trois autres états.
1. L'état de sécurité (SYS_S) E1 pour lequel l'état de sécurité est réalisé. Cet état peut
être causé d'une défaillance sûre dangereuse détectée et non détectée, on est donc
dans le cas du fonctionnement nominal. Un le temps de réparation est présenté par µr.
2. L'état normal dégradé (SYS_DD) E2, la fonction de sécurité du système est valide. le
système passe à cet état après une défaillance dangereuse détectée. Les taux de tran-
sitions µ0 et µR est disponible.
3. Dans l'état de défaillance dangereuse SYS_DU la fonction de sécurité n'est plus réa-
lisée, un ou plusieurs composants étant défaillant à cause d'une défaillance dange-
reuse non détectée, le système se trouve dans un état critique. Le système entre dans
cet état dès qu'il présente un risque d'accident et un manque de répondre à une de-
59
Sûreté de fonctionnement SIS Ver01
mande d'activation de la fonction de sécurité. Pour revenir à l'état initial sans défaut
le système doit attendre jusqu'a que le système atteint sa durée de vie.
Figure 6-5 : Système d’une simple architecture présenté par les chaines de Markov
Le système possède quatre états, l'état dont le système est en état normale E0, l'état
sûre E1, l'état normal dégradé E2 dont les défaillances dangereuses détectées peuvent être
détectées à partir des tests de diagnostics et l'état de défaillances dangereuses non détectées
E3 dont ces tests ne peuvent pas détecter ces défaillances dangereuse. Étant donné que seu-
lement quatre états sont présents, cela signifie que la matrice de transition (comme déjà
mentionnée) est définie comme suit :
1 − ( λ s + λ D ). dt λ s . dt λ DD . dt λ DU . dt
µ . dt 1 − µ . dt 0 0
P = (6-9)
R R
0 µ 0 . dt 1 − µ 0 . dt 0
µ LT . dt 0 0 1 − µ LT . dt
La matrice de fiabilité a donc la forme suivante :
60
Sûreté de fonctionnement SIS Ver01
Q = 1 − (λ s + λ D ) (6-10)
La matrice M est donc:
M = I − Q = 1 − [1 − ( λ s + λ D )]= (λ s + λ D ) (6-11)
La matrice N est donc de dimension 1x1, ce que signifie que la valeur MTTF est égale
la valeur de la matrice N
1
MTTF = N = [M ]− 1 =
λ s + λ D
(6-12)
2* S
0,003988
0,2
0,25
0,2
*
D DD
0,2
2* DD
1,2e-9
4,8e-7
DD
2,4e-7
DU
0,0028
0,5
2 * DU
* DU 0,5
0,00576
2,88e-5
DD
2,4-007
DU
0,00288
61
Sûreté de fonctionnement SIS Ver01
62
Sûreté de fonctionnement SIS Ver01
Un système d'architecture 1oo1 (Figure 7-1) consiste en un seul canal, pour lequel une
défaillance dangereuse entraînera la perte de la fonction de sécurité en cas de sollicitation.
Les tests de diagnostic sont présents ici pour assurer une détection des fautes en vue de répa-
rer le système mais n’affectent pas la sortie.
L’exemple suivant représente un système instrumenté de sécurité (SIS) de type de sys-
tème d’arrêt d’urgence de sécurité (ESD Emergency Safety Shudown) comprenant un cap-
teur connecté en série avec une logique de commande qui commande un contacteur.
63
Sûreté de fonctionnement SIS Ver01
Le Table 7-1 traite les différents états du système de structure 1oo1. On considère que
la fonction de sécurité se résume à l’ouverture du contact du relais en cas d’une détection
d’une défaillance dangereuse au niveau de canal.
État du
Cause potentielle Disponibilité du système Sécurité de système
système
Canal est
défaillant
Contacteur bloqué à Impossibilité d’actionner la sortie Le système est dans un
l’état ouvert (pas de disponibilité). état sûr.
64
Sûreté de fonctionnement SIS Ver01
cas de demande. Les tests de diagnostics sont capables de couper l’énergie des sorties en cas
de détection d’erreur. On a amélioré la structure d’une architecture simple à une structure
dont les tests de diagnostic agissent directement sur la sortie si les tests détectent une défail-
lance dangereuse. Il faut noter que les fautes dangereuses non détectées par les tests font
passer le système de structure 1oo1D à un état dangereux, car la fonction de sécurité ne peut
pas être exécutée. La disponibilité d’exécution de la fonction de sécurité n’est pas donc sa-
tisfaite.
La Figure 7-2 représente le système d’arrêt d’urgence de sécurité avec une structure
1oo1D dont ses tests de diagnostic agissent directement sur la sortie.
Le Table 7-2 traite les différents états du système 1oo1D. On considère que la fonction
de sécurité se résume par l’ouverture de contact du contacteur en cas d’une détection d’une
défaillance dangereuse au niveau de canal.
État du Cause
Disponibilité du système Sécurité de système
système potentielle
Défaillance détectée
Contacteur
Canal est Possibilité d’actionner la sortie par Le système est dans
bloqué
défaillant les tests de diagnostic. un état sûr.
à l’état fermé
(disponibilité)
65
Sûreté de fonctionnement SIS Ver01
(pas de disponibilité)
Défaillance détectée
(disponibilité)
Contacteur
Le système est dans
bloqué Défaillance non détectée
un état sûr
à l’état ouvert Impossibilité d’actionner la sortie par
(pas de disponibilité)
66
Sûreté de fonctionnement SIS Ver01
La Table 7-3 traite les différents états du système. On prend par définition que la fonc-
tion de sécurité se résume par l’ouverture de contact du contacteur en cas d’une détection
d’une défaillance dangereuse.
67
Sûreté de fonctionnement SIS Ver01
Contacteur
Le système est
bloqué à l’état Impossibilité d’actionner sur la sortie.
dans un état sûr
ouvert
68
Sûreté de fonctionnement SIS Ver01
La Table 7-4 traite les différents états du système 1oo2D. On considère que la fonction
de sécurité se résume par l’ouverture de contact du contacteur en cas d’une détection d’une
défaillance dangereuse.
69
Sûreté de fonctionnement SIS Ver01
un état sûr.
Défaillance détectée
La possibilité d’agir sur
possibilité d’actionner sur la sortie
Contacteur
la sortie par les tests de
bloqué à l’état
diagnostic
fermé
Le système n’est plus
Deux canaux Défaillance non détectée
dans
défaillants
impossibilité d’actionner sur la sortie
un état sûr.
Défaillance détectée
Contacteur possibilité d’actionner sur la sortie Le système est dans
bloqué à l’état
Défaillance non détectée un état sûr
ouvert
impossibilité d’actionner sur la sortie
Table 7-4 : Disponibilité et la sécurité d’un SIS avec une architecture 1oo2D
70
Sûreté de fonctionnement SIS Ver01
Un système d’architecture 2oo2 consiste en deux canaux, la défaillance d’un seul des
deux canaux empêche l’exécution de la fonction de sécurité. La fonction de sécurité sera
traitée si les deux canaux fonctionnent correctement. On parle donc d’une tolérance aux
anomalies de matérielles de zéro et s’exprime comme suite : HFT=0
La Table 7-5 traite les différents états du système d’architecture 2oo2. On prend par
définition que la fonction de sécurité se résume par l’ouverture de contact du contacteur en
cas d’une détection d’une défaillance dangereuse.
71
Sûreté de fonctionnement SIS Ver01
Le système
Contacteur bloqué
Impossibilité d’actionner sur la sortie. n’est plus dans
à l’état fermé
un état sûr
Deux canaux
défaillants Le système est dans
Contacteur bloqué un état sûr puisque la
Impossibilité d’actionner sur la sortie.
à l’état ouvert sortie reste non
alimente.
72
Sûreté de fonctionnement SIS Ver01
L’évaluation des performances d’un SIS peut s’obtenir par des méthodes quantitatives.
Cette évaluation se base sur un calcul d’indisponibilité de la fonction de sécurité lors de sa
sollicitation, à partir des données probabilistes de défaillances.
Il possède un canal qui peut être défaillant avec un taux de défaillances dangereuses
λD résultant des défaillances non détectées λDU ou bien avec un taux de défaillances dange-
reuses λDD résultant des défaillances détectées.
Ti (8-1)
t C1 = + MTTR
2
tC 2 = MTTR (8-2)
(8-3)
λ DU Ti λ DD
tCE = D ( + MTTR) + D MTTR
λ 2 λ
Avec:
• MTTR (Mean Time to Repair), est le temps de réparation conventionnelle, est pris
égale à 8 heures ; c’est-à-dire après la détection de la première défaillance dange-
reuse, le responsable dispose d’une durée de 8 heures pour résoudre le problème, si-
non après ce temps le système n’est plus fiable.
73
Sûreté de fonctionnement SIS Ver01
• Ti est le temps de mission (on utilise souvent 6 mois, 1 an, 3 ans, 5 ans ou bien 10
ans). C’est-à-dire après ce temps on doit effectuer un redémarrage du système pour
contrôler le système par les tests d’inspection.
λD
λDU λDD
Ti
tC 1 = + MTTR tC 2 = MTTR
2
tCE
Le SIS peut perdre la fonction de sécurité en cas des défaillances détectées et non dé-
tectées.
(8-4)
1 T
PFDavg = ∫ PFD (t ) ⋅ dt
T 0
1 T
= ∫ λD ⋅ t ⋅ dt
T 0
1
= λD T
2
λDU λ
Avec : T= (T1 + MTTR ' ) + DD MTTR '
λD λD
Et : λD = λDU + λDD
74
Sûreté de fonctionnement SIS Ver01
1 T (8-5).
PFDavg = ∫ PFD(t ) ⋅ dt
T 0
1 T
= ∫ λD ⋅ t ⋅ dt
T 0
λ λ λ
= D DU (T1 + MTTR ' ) + DD MTTR '
2 λD λD
T1 MTTR ' MTTR '
= λDU ( + ) + λDD
2 2 2
On considère que :
T1 MTTR '
>> ≈ MTTR ' = MTTR
2 2
T1 (8-6)
PFD avg = λ DU ( + MTTR ) + λ DD ⋅ MTTR
2
Avec
Un système d'architecture 1oo2 consiste en deux canaux, la défaillance d’un seul par-
mi les deux canaux n’empêche pas l’exécution de la fonction de sécurité. Le système est
défaillant si les deux canaux ne fonctionnent pas. Les tests de diagnostic signalent les fautes
pour les réparer mais n’affectent pas la sortie.
75
Sûreté de fonctionnement SIS Ver01
λ DU Ti λ DD
tCE = ( + MTTR) + MTTR
λD 2 λD (8-7).
λ DU Ti λ DD
tGE = D ( + MTTR) + D MTTR
λ 3 λ (8-8).
λD
λDU λDD
Ti
t C1 = + MTTR tC 2 = MTTR
2
tCE
λD
λDU λDD
Ti
tC 3 = + MTTR tC 4 = MTTR
3
tGE
Ti
+ βλ DU ( + MTTR )
2
.
76
Sûreté de fonctionnement SIS Ver01
77
Sûreté de fonctionnement SIS Ver01
Ces deux défaillances peuvent avoir des effets catastrophiques sur les biens et sur
l’environnement. Pour cette raison, d’autres préventives de réduction du risque doivent être
mises en place.
Les mesures de prévention à base d’un système instrumenté de sécurité ont été rete-
nues. L’évaluation des risques a fait ressortir qu’une fonction instrumenté de sécurité FIS
d’un niveau d’intégrité SIL2 permettrait d’atteindre les objectifs visés.
La fonction instrumentée de sécurité doit être séparée matériellement et fonctionnel-
lement du système et doit répond ainsi aux exigences d’indépendance. Elle peut être réalisée
par un SIS constitué d’un transmetteur de niveau TL2 et d'une vanne fermée à manque d’air
Vanne XV2 comme représenté par la Figure 9-2 suivante:
(9-1).
SFF =
∑ λS + ∑ λ DD
∑ λS + ∑ λD
Il faut noter, que les capteurs, les vannes utilisés, sont de types hétérogènes. Les para-
mètres de calcule de la valeur SFF sont donnés ci-dessous.
78
Sûreté de fonctionnement SIS Ver01
LT1:
102 0,0008 0,001 0,008
Proportion de défail- Tolérance aux anomalies matérielles (HFT) pour les éléments type B
lance en sécurité
(SFF) 0 1 2
79
Sûreté de fonctionnement SIS Ver01
La décomposition du SIS par des blocs fonctionnels nous permet de donner un titre
fonctionnel à chaque bloc et de déterminer l’architecture du système.
L'allocation des bocs fonctionnels aux sous-systèmes nous permet d'avoir une vue des
matériels du système qu’ainsi le fonctionnement réelle par le passage aux sous-systèmes.
Cette allocation du SIS est représentée par la figure suivante:
80
Sûreté de fonctionnement SIS Ver01
Logic Solver
Bloc fonctionnel2 OUTPUT
INPUT Bloc fonctionnel4
Bloc fonctionnel1
Traitement des
Barriére a sécurité signaux d’entrée Commande
Le système est
mis sous tension
intrinséque venant des de la vanne
D1014D capteur T2 (4mA- XV2
20mA)
Transmetteur/
Capteur T2
81
Sûreté de fonctionnement SIS Ver01
82
Sûreté de fonctionnement SIS Ver01
Le sous-système capteur possède une structure 1oo1 et il est composé d'un transmet-
teur T2 et une barrière à la sécurité intrinsèque. L'équation simplifié pour le calcule de la
valeur PFDavg est définie comme suit:
λ DU ⋅ Ti
PDVavg = (9-2).
2
Pour Trois ans de mission, la probabilité de défaillance moyenne sur demande est dé-
finie comme suite:
Ti
PFDavg = (λDU _ VESD + λDU _ BI ) ⋅
2
3
PFDavg = (0,0008 + 0,00019) ⋅ = 1,4 ⋅ 10−3
2
Le sous-système capteur peut revendiquer un niveau d'intégrité de SIL2.
Pour dix ans de mission, la probabilité de défaillance moyenne sur demande est définie
comme suit :
Ti
PFDavg = λDU ⋅
2
10
PFDavg = (0,001) * = 5 *10−3
2
Le sous-système "APids" peut revendiquer un niveau d'intégrité de 2 soit SIL2.
Pour Trois ans de mission, la probabilité de défaillance moyenne sur demande est dé-
finie comme suite :
83
Sûreté de fonctionnement SIS Ver01
Ti
PFDXV 2 = λDU ⋅
2
3
PFDXV 2 = (0,0007) ⋅ = 1,05 ⋅ 10 −3
2
Le sous-système actionneur peut revendiquer un niveau d'intégrité de 2 soit SIL2.
La PFD globale de la SIF est égale à la somme des PFD de chaque sous-système.
84
Sûreté de fonctionnement SIS Ver01
10 Appendis
85
Sûreté de fonctionnement SIS Ver01
1oo1 TI
λDU ×
2
1oo2 DU 2 2 DU 2 TI 2
[(λ ) × TI ] DU DD DU TI D TI
( )
λ × [
+ λ × λ × MTTR × TI + β × λ × + λF × ]
3 3 2 2
1oo3 DU 3 3 DU 3 TI 3 TI TI
[(λ ) × TI ] DU 2
( )
λ × + λ [( ) ]
× λDD × MTTR × TI 2 + β λDU × + λDF ×
4 4 2 2
2oo2 DU TI
λDU × TI [λ ] [ ]
× TI + βλDU × TI + λDF ×
2
2oo3 DU 2 2 DU 2 TI TI
(λ ) × TI [(λ ] [ ]
) × (TI ) 2 + 3λDU × λDD × MTTR × TI + β × λDU × + λDF ×
2 2
2oo4 DU 3 3 DU 3 3 DU 2 DD 2 TI TI
(λ ) × (TI ) [(λ ) × (TI ) ]+ [4(λ ) × λ
]
× MTTR × (TI ) + β × λDU × + λDF ×
2 2
86
Sûreté de fonctionnement SIS Ver01
Architecture Formule de calcule de la probabilité de défaillance sur demande pour un mode de faible sollicitation
IEC 61508
PFDavg
1oo1 λ DU T λ DD
PFDavg = λ DtCE tCE = D ( i + MTTR) + D MTTR
λ 2 λ
1oo2
PFDavg= 2((1− βD )λDD + (1− β )λDU )2 tCEtGE + βDλDDMTTR λ DU Ti λ DD
tGE = D ( + MTTR) + D MTTR
T
DU λ 3 λ
+ βλ ( i + MTTR)
2
1oo3
2oo3
87
Sûreté de fonctionnement SIS Ver01
1oo1 TI +
DU
λ ×
2
1oo2 DU 2 2 +
[(λ ) × TI ] Ti
× λDU β
3 2
1oo3 DU 3 3
+
[(λ ) × TI ] Ti
C1oo 3 × × λDU β
4 2
2oo2
λDU × TI
2oo3 +
DU 2 2 Ti
(λ ) × TI C 2 oo 3 × × λDU β
2
MooN N − M +1
+
DU N! Ti
(λ TI ) × C MooN × × λDU β
(N − M + 2 ) ! × (M − 1) ! 2
88