Vous êtes sur la page 1sur 146

Systèmes instrumentés

de sécurité

www.iap.dz

F.BEKHSIS – DEPT IMT - IAP Novembre 2016


sommaire

1. Introduction générale;

2. Acronymes;

3. La sécurité fonctionnelle: principe et normes associées;

4. L’analyse des risques: démarche et méthodes;

5. Réduction des risques versus les objectifs SIL;

6. Méthodes d’allocation du SIL cible;

7. Systèmes instrumentés de sécurité;

8. Evaluation du SIL des SIF.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 2


Introduction générale

Tchernobyl-Ukraine

26 Avril 1986, L'accident a été provoqué par l'augmentation


incontrôlée de la puissance du réacteur 4 de la centrale nucléaire
Lénine.
Le nombre de décès directement imputables à la radioactivité
varie entre 9 000, selon le rapport élaboré en 2006 par plusieurs
agences de l'ONU , et 90 000 selon Greenpeace,
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 3
Introduction générale

Bhopal-Inde

2-3 décembre 1984, émission de 30t de MIC.


4 000 morts, 40 000 blessés , 200 000 impactés

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 4


Introduction générale
Flixborough-UK

Le 16 juillet 1974, à 16 h 53, une explosion majeure a détruit une


partie de l'usine de Nypro à Flixborough.
Au total, 28 morts sur le site, 36 grièvement blessées et 53 blessures à
l'extérieur du site.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 5


Introduction générale

Flixborough
Galveston

Bhopal
Chaque
entreprise Tchernobyl

Systèmes
comporte de
des risques
sécurité : une
Seveso Challenger

nécessité pour
éviter les accidents

F.BEKHSIS – UFR IMT - IAP Novembre 2016 6


Introduction générale
 Il y a encore des accidents, parfois mortels, et il y en aura toujours. En
effet chaque entreprise comporte des risques et le risque zéro
n’existe jamais.

 le risque peut être classé comme étant soit négligeable, acceptable ou


inacceptable. En effet, la fondation pour tout système de sécurité
moderne est de réduire le risque à un niveau acceptable ou niveau
tolérable. Dans ce contexte, la sécurité peut être définie comme
« Absence de risque inacceptable ».

 Deux approches permettent cette diminution du risque, la prévention


en minimisant la probabilité d’apparition d’un risque et la protection en
limitant les conséquences d’un dysfonctionnement.
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 7
Introduction générale

 Pour réduire la probabilité d’apparition du risque, les Systèmes

Instrumentés de Sécurité (SIS) sont utilisés pour réaliser des

Fonctions Instrumentées de Sécurité (SIF) dont le rôle est la

surveillance des paramètres de fonctionnement et la mise en œuvre

d’actions de mise en repli lorsque le système se place dans des

conditions d’exploitation dangereuses.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 8


Acronymes
• ALARP : As Low As Reasonably Practicable

• BPCS: Basic Process Control System

• CBA: Cost Benefit Analysis

• E/E/PE: Electriques/Electroniques/Electroniques Programmable

• EUC: Equipement Under Control

• ESD: Emergency Shut Down (système d’arrêt d’urgence)

• HAZOP: HAZard and OPerability study

• IEC: International Electrotechnical Comission (Commission International

d’Electrotechnique)

• IPL: Independent Protection Layers

• ISA: Instrument Society of America


F.BEKHSIS – DEPT IMT - IAP Novembre 2016 9
Acronymes
• MDT: Mean Down Time (Durée Moyenne de non Fonctionnement)

• MTTR: Mean Time To Restoration (Durée Moyenne de Réparation)

• PFD: Probability of Failure on Demand (Probabilité de Défaillance à la


Demande)

• PFH: Probability of Failure per Hour (Probabilité de Défaillance par Heure)

• PFDavg: Average Probability of Failure on Demand (Probabilité de Défaillance

moyenne à la Demande)

• PCS: Process Control System (système de contrôle de procédé)

• SIS: Safety Instrumented System (Système Instrumenté de Sécurité)

• SIF: Safety Instrumented Function (Fonction Instrumenté de Sécurité)

• SIL: Safety Integrity Level (Niveau d’Intégrité de Sécurité)

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 10


La sécurité fonctionnelle:
principe

et normes associées

F.BEKHSIS – DEPT IMT - IAP Novembre 2016


11
Sécurité fonctionnelle: principe
Réservoirs de stockage du pétrole brut
Salle de contrôle
Alarme: niveau élevé
LT

Le niveau du réservoir
continue de monter
malgré l'intervention
de l'opérateur du
tableau.

Le système de
contrôle de procédé
L'opérateur décide de fermer
(PCS) a échoué pour
la soupape de sécurité et va
une raison encore
sur le site pour vérifier
inconnue
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 12
Sécurité fonctionnelle: principe
Réservoirs de stockage du pétrole brut
Salle de contrôle
Alarme: niveau élevé
LT1

LT2

Le niveau du réservoir
continue de monter
Système malgré l'intervention
d'arrêt de l'opérateur du
tableau.

Le système PSS lance des actions Le système de


automatiques de sécurité : fermeture de la contrôle de procédé
(PCS) a échoué pour
soupape de sécurité, et renvoie également
une raison encore
des données à la salle de contrôle. inconnue
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 13
Sécurité fonctionnelle: principe

Sécurité fonctionnelle (SF)

Sécurité assurée par une fonction


instrumentée de sécurité (SIF)
implémentée par un système
instrumenté de sécurité (SIS)

Capteur(s) Solveur(s) Elément(s)


logique(s) Final(finaux

Détection Réalisation
Décision de l’action
de sécurité

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 14


Normes en sécurité fonctionnelle

 Toute la difficulté est d’estimer le risque que présente le process et d’évaluer la

diminution du risque que doit apporter le système instrumenté de sécurité.

 Pour concevoir les systèmes SIS, deux normes sont utilisées : l'ANSI/ISA

S84.01-1996 et l'IEC 61508s. Ces deux normes sont fondées sur le principe de

l'évaluation de la réduction du risque nécessaire pour atteindre un niveau de

risque acceptable.

 Les normes CEI 61508s établissent les prescriptions relatives à la spécification,

la conception, l'installation, l'exploitation et la maintenance du SIS, afin d'avoir

toute confiance dans sa capacité à amener et/ou à maintenir le procédé dans un

état de sécurité.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 15


Normes en sécurité fonctionnelle
IEC 61508
 La norme CEI 61508, publiée récemment (sa première édition : en décembre
1998) par la Commission Electrotechnique Internationale, est intitulée
« sécurité fonctionnelle des systèmes E/ E/ EP (électriques,
électroniques et électroniques programmables) relatifs à la sécurité ».

 Systèmes cibles de la norme:

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 16


Normes en sécurité fonctionnelle
IEC 61508
 Afin de couvrir les multiples aspects des systèmes E/E/PE, la norme comprend

7 parties :

 61508-1 : Prescriptions générales;

 61508-2 : Prescriptions propres aux systèmes E/E/PE relatifs à la sécurité;

 61508-3 : Prescriptions relatives au logiciel;

 61508-4 : Définitions et abréviations;

 61508-5 : Exemples de méthodes pour déterminer le niveau d’intégrité de la

sécurité;

 61508-6 : Guides pour l’application des parties 2 et 3 de la norme;

 61508-7 : Présentation de techniques et mesures.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 17


Normes en sécurité fonctionnelle
IEC 61508
 Les étapes de base commandées par la norme sont :

 Evaluer le risque existant et établir une cible de sécurité (risque acceptable);

 Identifier les fonctions de sécurité requises;

 Identifier les fonctions a confier a des systèmes E/E/EP et fixer leur objectif en

termes d’intégrité de sécurité;

 Implémenter les fonctions instrumentées de sécurité et en déterminer le SIL;

 Vérifier que le système instrumenté de sécurité permet d’atteindre la cible de

sécurité exigée au départ.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 18


Normes en sécurité fonctionnelle
IEC 61508/IEC 61511
 L’IEC 61508 est conçue comme base pour d’autres normes dédiées par
secteur.

 Relation entre les normes CEI 61508 et CEI 61511

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 19


Normes en sécurité fonctionnelle
IEC 61508/IEC 61511

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 20


Normes en sécurité fonctionnelle
IEC 61511

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 21


Normes en sécurité fonctionnelle
IEC 61511-cycle de vie de sécurité

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 22


L’analyse des risques:
démarche et méthodes

F.BEKHSIS – DEPT IMT - IAP Novembre 2016


23
L’analyse des risques
Vocabulaire
une fonction de sécurité instrumentée est inutile si elle n’est pas liée à un
danger ou à un évènement dangereux.

Qu’est ce qu’un danger?

 Le danger est lié à un état (ex: propriété intrinsèque d’un produit tel
que inflammables, explosif, toxique, corrosif, etc...) ou à une situation
(ex: pression, température, etc…).

 La définition de la norme est « source potentielle de blessure »

Qu’est ce qu’un risque?

 Le risque est la combinaison de la probabilité d’occurrence d’un


dommage et de sa gravité.

 Cela signifie que l’on a quantifie les effets su la santé et


l’environnement.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 24


L’analyse des risques
Démarche
 La démarche d’analyse des risques s’appuie sur une méthodologie
comportant trois phases:

1. Identifier tous les dangers et les évènements dangereuses;

2. Analyser les dangers et les évènements dangereuses;

3. Réduire les risques lorsque c’est nécessaire.

 Le but de cette démarche est de définir tous les dangers liés au


procédé, ou aux équipements, et de déterminer pour chaque scénario
le risque final en fonction des barrières installées.

 Cette démarche nécessite un travail de groupe d’experts: les


ingénieurs de processus, les spécialistes en danger et en risque, les
directeurs en sécurité ainsi que les ingénieurs instrumentistes.
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 25
L’analyse des risques
Méthodes
 Il existe plusieurs méthodes d’analyse de risque, ces méthodes se
déclinent en trois principaux types :

 Méthodes qualitatives: celles dans lesquelles les risques sont


exprimer par des mots;

 Méthodes quantitatives: celles dans lesquelles les risques sont


exprimer par des chiffres;

 Méthodes semi-quantitatives: dans lesquelles en trouve des mots


et des chiffres.

 Les principales méthodes utilisées sont: HAZOP, AMDEC, Arbre de


défaillance, le BOW TIE

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 26


L’analyse des risques
Méthodes
 L’application des méthodes d’analyse des risques fait appel à des
raisonnement de type:

 Inductif: CAUSES → EFFETS

Consiste, à partir des causes identifiées, à rechercher les évènements


indésirables pouvant conduire à des dommages;

Exemple: AMDEC, HAZOP, APR…

 Déductif: EFFETS → CAUSES

Consiste à rechercher tous les défaillances ou déviations pouvant être à


l’origine d’un évènement indésirables;

exemple;: arbre des causes, arbre des défaillances…

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 27


Méthodes d’analyse des risques
APR
 APR (Analyse Préliminaire des Risques)

 Consiste à recenser les dangers liés aux produits ou aux équipements


utilisés;

 Elle tire les enseignements des incidents et accidents séminaires


répertories;

 Elle tien comptes des interactions avec l’environnement (risque naturels…);

 recenser les paramètres importants du procédé avec leurs valeurs


nominales;

 Elle analyse ensuite les causes et les conséquences de leurs déviations par
rapport aux conditions optimales de fonctionnement;

 Elle permet enfin de mise à disposition d’éléments pour la conception des


systèmes de conduite et des systèmes de sécurité (en particuliers des
SIS).

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 28


Méthodes d’analyse des risques
APR
 Exemple de résultat APR
fonction ou système: déchargement camions date:01/01/2000
N produit ou
situation
équipement
de danger causes conséquences P G C sécurités existantes
Chauffeur habilité
collision d'un camion déconnexion ou
erreur du Signalisation des poste libres
1 en manœuvre sur arrachement d'un bras 3 4 7
chauffeur Sens de circulation clair
autre camion en poste articulé
Vitesse camions faible
collision d'un camion erreur du fuite au niveau d'un Structures de l'ilot protégées par barriéres
2 2 3 5
sur un ilot de pierre chauffeur bras articulé métalliques et par des bornes au sol
erreur du
camion- absence de serrage déplacement d'un Terrain plat
chauffeur
3 citerne d'un frein à main camion et risque de 2 3 5 Serrage frein à main conditione ouverture des
Déffaillance
déconnexion d'un bras clapets internes hydrauliques
mécanique
circuits électriques Chauffeur habilité
non actionnement du erreur du
4 sont sous tension. 4 4 8
coupe-batterie chauffeur Mode opératoire et consigne de sécurité
Risque d'inflammation
non raccordement de erreur du inflammation vapeurs Vannes et compresseur de transfert asservis à la
5 1 4 5
la citerne à la terre chauffeur par électricité statique mise à la terre de la citerne

3 niveaux de consignes déterminés

erreur humaine montée en pression Redondance sur la mesure de niveau et


(l'évaluation dans la sphère ou déclenchement de la mise en sécurité : sonde
6 surremplissage 2 4 6 LARCO (principe optique)+ jauge de niveau à
de la quantité débordement par les
sphère est fausse) soupapes principe électromécanique avec comme action
arrêt du compresseur+fermeture vannes
Emlpissages sphère par compresseur
flux thermique 2 soupapes tarées à 15,7bar
détérioration vone
7 mise en surpression à proximité 2 4 6 Capteur de pression reporté en salle de contrôle
BLEVE de la sphère
surremplissage Arrosage automatique sphère
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 29
Méthodes d’analyse des risques
AMDEC
 AMDEC (Analyse des Modes de Défaillances de leurs Effets et de
leur Criticité)

 AMDE : consiste à considérer systématiquement, l’un après l’autre,


chacun des composants du système étudié et à analyser les causes et
les effets de leurs défaillances potentielles

 AMDEC : équivalent à l’AMDE, en y ajoutant la criticité du mode de


défaillance, dont l’estimation nécessite la connaissance des probabilités
d’occurrence des défaillances, et les gravités de leurs effets.

 Elle consiste donc à analyser les défaillances de chaque élément du


procédé et d’en déduire les effets sur l’élément, puis sur les sous
systèmes qui l’utilisent(boucle) et enfin sur le procédé lui-même.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 30


Méthodes d’analyse des risques
AMDEC
 Exemple:
On considère une fonction de transfert de pièces réalisée par un manipulateur
pneumatique. Cette fonction est elle-même intégrée dans une fonction de
production.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 31


Méthodes d’analyse des risques
AMDEC
 Exemple:
Matériel ou sous- Mode de
fonction cause Effet G F D C Détection Action
ensemble défaillance

Le distributeur Bobine grillée 1 2 3 6


Distributeurs ne bascule pas Mauvaise Alarme
Cycle bloqué 1 1 3 3
électropneumatiques quand il est connexion automate
commandé Tiroir bloqué 1 1 3 3
Rupture ou
Tubes L'air passe mal Cycle ralenti 1 1 4 4
pliure
Contrôle
Vérin grippé 2 2 4 16
Le vérin ne périodique
Vérins(vértical et
bouge pas ou Cycle ralenti
horizontal) Vérin usé (perte Contrôle
très lentement 2 2 4 16
d'étanchéité) Visuel périodique

Limiteur bouché
L'air passe mal Cycle ralenti 1 1 4 4
ou mal réglé
Transfèrer Limiteurs de débit
les pièces Le débit n'est Course du vérin
mal réglé 1 1 4 4
pas réduit trop rapide

Mauvais réglage 1 3 2 6
Non détection de Cycle bloqué Alarme
Capteur grillé 1 3 2 6
la position Marche dégradée automate
Capteurs Mauvaise
1 1 2 2
connexion
Détection Capteur en Cycle Contrôle par
3 2 4 24
permanente court-circuit désordonné automate
ventouse
Pas de transfert 1 3 4 12
bouchée Visuel
Ventouse Pas d'aspiration
Contrôle
ventouse usée Pas de transfert 1 1 4 4
périodique
Venturi Pas d'aspiration Encassement Pas de transfert 1 2 4 8

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 32


Méthodes d’analyse des risques
AdD
 Arbre des défaillances: Permet de déterminer les diverses combinaisons
d’évènements qui génèrent une situation indésirable unique, dont le diagramme
logique est réalisé au moyen d’une structure arborescente

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 33


Méthodes d’analyse des risques
AdD

Exemple arbre des défaillances

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 34


Méthodes d’analyse des risques
BOW TIES
 BOW TIES (nœud papillon): correspond à un arbre des défaillances avant
l’évènement redouté, puis à un arbre des évènements après cette évènement
redouté.

 Elle consiste donc à analyser tous les évènements conduisant à l’évènement


redouté, puis jusqu’aux effets en y plaçant les diverses barrières existantes:

 Les barrières placées avant l’évènement redouté s’appellent « barrières


préventives »

 Les barrières placées après l’évènement redouté s’appellent « barrières


protectrices »

 Cette méthode est adaptée lorsque les scénarios sont complexes (combinaison
d’évènements pour aboutir à l’occurrence du risque notamment).

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 35


Méthodes d’analyse des risques
BOW TIES
 Schéma type méthode nœud papillon:

Arbre des défaillances Arbre des évènements

Évènements
redouté
central

Barrières
causes Évènements Phénomènes Évènements
indésirables dangereux majeurs

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 36


Méthodes d’analyse des risques
BOW TIES
 Exemple méthode nœud papillon:

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 37


Méthodes d’analyse des risques
HAZOP

 HAZOP (HAzard and OPerability analysis)

 Les études HAZOP servent à identifier des dangers potentiels et des problèmes
d’exploitabilité provoqués par des écarts vis-à-vis de l’intention de conception
des usines de procédés nouvelles ou existantes.

 elles sont généralement réalisées régulièrement pendant toute la durée de vie


de l’usine:

1. Une étude HAZOP initiale ou préliminaire doit assurément être réalisée très tôt
au cours de la phase de conception;

2. Le procédé doit être examiné pendant l’avancement du développement, à


chaque proposition de modifications majeures;

3. et, enfin, à la fin du développement, afin de garantir l’absence de risque


résiduel avant l’étape de construction.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 38


Méthodes d’analyse des risques
HAZOP

 La technique HAZOP

 Une étude HAZOP est réalisée au cours de réunions organisées entre les
parties concernées ayant une connaissance et une expérience suffisantes du
fonctionnement et de la maintenance de l’usine.

 La réunion est une session structurée de réflexion, au cours de laquelle des


mots-guides servent à stimuler la production d’idées sur les dangers
potentiels.

 Le procès-verbal de la réunion consigne les discussions et collecte les


informations sur les dangers potentiels, leurs causes et leurs conséquences.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 39


Méthodes d’analyse des risques
HAZOP
 Equipe d’étude HAZOP
Nom Rôle

Président Explique le processus HAZOP, dirige les discussions et facilite l’étude


HAZOP. Personne ayant une bonne expérience de la méthode HAZOP,
mais pas directement impliquée dans la conception, afin de garantir le
respect scrupuleux de la méthode.
Secrétaire Consigne les discussions de la réunion HAZOP et fournit un compte
rendu de celles-ci. Consigne les recommandations ou actions.
Ingénieur de Généralement l’ingénieur responsable de l’organigramme des
procédé opérations de procédé et de l’élaboration des diagrammes de
tuyauterie et d’instrumentation (P&ID).
Utilisateur/opérateur Fournit des conseils sur l’utilisation et l’opérabilité du procédé, ainsi
que sur l’incidence d’écarts.
Spécialiste C&I Personne ayant les connaissances techniques adaptées en commandes
et instrumentation.
Technicien de Personne chargée de la maintenance du procédé.
maintenance
Représentant de Fournit des détails relatifs à la conception ou des informations
l’équipe de supplémentaires.
conception

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 40


Méthodes d’analyse des risques
HAZOP

 Informations utilisées dans l’étude HAZOP

• Diagrammes de tuyauterie et d’instrumentation (P&ID) pour l’installation;

• Documentation de philosophie ou de description de procédé;

• Procédures de fonctionnement et de maintenance existantes;

• Diagrammes de causes et effets (C&E);

• Plans d’aménagement d’usine.

 Mots-guides

Le processus HAZOP utilise des mots-guides afin de focaliser l’attention de l’équipe


sur les écarts vis-à-vis de l’intention de conception, ainsi que sur leurs
éventuelles causes et conséquences. Il peuvent être:

 Mots-guides principaux: le débit, la température, la pression, le niveau, etc.

 Mots-guides secondaires: plus de température, moins de niveau, pas de


pression, écoulement inverse, etc.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 41


Méthodes d’analyse des risques
HAZOP
 Consignation des études HAZOP

• Il est recommandé de consigner tous les événements et toutes les


combinaisons de mots-guides envisagés. Des outils logiciels ou des feuilles de
calcul toute simple sont disponibles pour guider l’équipe tout au long du
processus HAZOP et afin de consigner les discussions et les conclusions.
 Éléments d’un rapport HAZOP

1. Référence: chaque entrée puisse être référencée à partir d’autres analyses et


fournisse aussi une traçabilité vers des analyses consécutives.

2. Mot-clé: des mots-guides principaux et secondaires doivent être employés

3. Écart: désigne une divergence par rapport à l’intention de conception, il


représente le danger identifié.

4. Cause: causes potentielles pouvant aboutir à l’apparition de l’écart

5. Conséquence: les conséquences qui découleraient de l’effet de l’écart.

6. Mesures de protection: tout équipement de protection existant qui évite la


cause ou protège des conséquences.
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 42
Méthodes d’analyse des risques
HAZOP

 Exemple d’étude HAZOP


 L’exemple suivant présente un schéma simplifié d’un récipient
séparateur de procédé. Le liquide de procédé arrive dans le récipient et
est chauffé par un brûleur à gaz.

 La vapeur est séparée du liquide de procédé et dirigée vers une sortie.


Le reste du liquide concentré est évacué par le fond du récipient une
fois la réaction terminée.

 Le récipient est équipé d’un système numérique de contrôle-


commande (SNCC), lequel contrôle le niveau de liquide dans le
récipient, la pression du gaz et la température.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 43


Méthodes d’analyse des risques
HAZOP

 Exemple d’étude HAZOP

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 44


Méthodes d’analyse des risques
HAZOP

 Exemple d’étude HAZOP


Référ Mot-guide Mot-guide
Écart Source de danger Conséquences
ence principal secondaire

Pression élevée
Rupture de récipient et Le gaz libéré s’enflamme sur le brûleur et au contact des
01.10 plus dans le
rejet de gaz. surfaces chaudes. Décès possible de deux techniciens de
récipient.
maintenance. Dommages aux équipements nécessitant
Pression
Pression faible le remplacement du récipient estimés à 10 millions € et
Rupture de récipient et
01.11 moins dans le arrêt de procédé pendant 1 année.
rejet de gaz.
récipient. Dégagement mineur dans l’environnement.

Le gaz libéré s’enflamme sur le brûleur et au contact des


La température élevée surfaces chaudes. Décès possible de deux techniciens de
Température
aboutit à une pression maintenance. Dommages aux équipements nécessitant
01.14 plus élevée dans le
élevée, à la rupture du le remplacement du récipient estimés à 10 millions € et
récipient.
récipient et au rejet de gaz. arrêt de procédé pendant 1 année.
Température Dégagement mineur dans l’environnement.

Gel potentiel de liquide Dommages aux équipements nécessitant le


Température
(solidification), rupture de remplacement du récipient estimés à 10 millions € et
01.15 moins basse dans le
récipient et perte de arrêt de procédé pendant 6 mois.
récipient.
confinement Rejet dans l’environnement nécessitant une déclaration.

Le niveau élevé dans le


Niveau élevé Dommages aux équipements en aval nécessitant le
récipient pourrait aboutir à
01.20 plus dans le remplacement du récipient estimés à 10 millions € et
un transfert de liquide dans
récipient. arrêt de procédé pendant 6 mois.
la sortie de gaz.
Niveau
Le niveau bas dans le
Dommages aux équipements en aval nécessitant le
Niveau bas dans récipient pourrait aboutir à
01.21 moins nettoyage du récipient estimés à 2 millions € et arrêt de
le récipient. une fuite de gaz dans la
procédé pendant 6 semaines.
sortie de liquide.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 45


Réduction des risques versus
les objectifs SIL

F.BEKHSIS – DEPT IMT - IAP Novembre 2016


46
Réduction des Risques
 Les principaux tests appliqués pour la régulation des risques industriels
consistent à déterminer si :

a) le risque est tellement élevé qu’il doit être refusé en bloc ;

b) le risque est ou a été rendu tellement faible qu’il est négligeable ;

c) le risque se situe entre les deux états (a et b) , risque tolérable (type ALARP)

RISQUE RISQUE
RÉSIDUEL RÉEL TOLÉRABLE RISQUE INITIAL

Réduction des risques nécessaire(exigée) Augmentation


des risque
Réduction des risques réelle

Risque partiel couvert Risque partiel couvert par


par un SIS un système non SIS

La réduction du risque est réalisée par des systèmes liés à la


sécurité et les installations externes de réduction des risques
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 47
Réduction des risques
Il est indispensable avant toutes études de définir le risque tolérable

Le risque tolérable: risque accepté dans certain contexte et fondé sur les valeurs
actuelles de la société. Ce risque tolérable est propre à chaque société, mais
les textes législatifs définissent des valeurs en fonction de l’impact sur les
populations avoisinantes

 Pour définir le risque tolérable d'une application spécifique, les points suivants
sont considérés:

 les lignes directrices émises par l'autorité réglementaire en matière de


sécurité;

 les discussions et accords avec les différentes parties impliquées dans


l'application;

 les normes et lignes directrices de l'industrie;

 les discussions et accords internationaux sur les critères de sécurité appropriés


pour les applications spécifiques.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 48


Réduction des risques
 Selon le document HSE intitulé Reducing Risks, Protecting People (R2P2) La
synthèse de la tolérance des risques peut être représentée come suite:

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 49


Réduction des risques
Principe ALARP
ALARP(As Low As Reasonably Practicable:aussi faible que raisonnablement possible).

Région Le risque ne peut être justifié,


inacceptable sauf dans des situations
extraordinaires

Le risque n’est tolérable que:


- si toute autre réduction du risque est
impossible ou si son coût est manifestement
Région tolérable: disproportionné par rapport à l’amélioration
zone ALARP obtenue et
- si la société tire un avantage de l’activité,
compte tenu du risque associé
Analyse coût-bénéfice (CBA)

Région généralement
Le niveau de risque résiduel est
acceptable considéré comme négligeable et d’autres
mesures pour réduire le risque ne sont
généralement pas requises. Aucun travail
Risque négligeable détaillé n’est nécessaire pour démontrer
l’ALARP.
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 50
Réduction des risques
Principe ALARP

 le principe ALARP nécessite que tout risque soit ramené au plus bas niveau
possible ou jusqu'à un niveau qui soit aussi faible que possible de manière
raisonnable. Autrement dit jusqu’à ce que toute autre réduction du risque ne
soit pas rentable.

 la démonstration selon laquelle les risques ont été réduits jusqu’au niveau
ALARP inclut une évaluation :

a. du risque à éviter ;

b. du sacrifice (argent, temps ou problèmes) résultant de l’adoption des


mesures visant à éviter ce risque ;

c. une comparaison des deux.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 51


Réduction des risques
Principe ALARP/CBA

 Une analyse coûts-bénéfices (CBA, Cost Benefit Analysis) peut aider à


déterminer si des mesures supplémentaires de réduction du risque sont
justifiées.

 Une analyse CBA doit uniquement servir à étayer des décisions ALARP. Elle ne
doit pas constituer le seul argument d’une décision ALARP.

 Constat: la réduction du risque est possible si:

 plus le risque est élevé, plus le FD l’est également;


• Le FD peut être considéré comme grossier à partir de 1;

• pour des risques faibles concernant le public, un facteur 2;

• un facteur jusqu’à 3 appliqués aux risques concernant les ouvriers ;

• un facteur de 10 pour les risques élevés.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 52


Réduction des risques
Principe ALARP/CBA
 Les coûts à prendre en compte dans une analyse CBA sont: coûts de
l’installation, du fonctionnement et de la formation, les couts de toute
maintenance supplémentaire et les couts de pertes d’activité consécutives à un
arrêt décidé exclusivement en vue de mettre la mesure en place.

 Les bénéfices doivent inclure toute réduction du risque pour le public, les
ouvriers et la société en général, et peuvent inclure : décès évités, blessures
évitées (graves à mineures), pathologies évitées et atteintes environnementales
évitées.

 Les coûts considérés doivent uniquement être ceux nécessaires à


l’implémentation de la mesure de réduction du risque (pas de mesures
superflues ou visant à réaliser un gain financier).

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 53


Réduction des risques
Principe ALARP/CBA

 Certains indicateurs financiers utilisables.

1 336 800€
Décès

Blessure entraînant une invalidité permanente. Certaines 207 200 €


restrictions permanentes pour les activités de loisir et peut-être
certaines activités professionnelles.

Blessure Grave. Certaines restrictions pour les activités professionnelles 20 500 €


et/ou les loisirs pendant plusieurs semaines/mois.

Blessure légère de type coupures mineures et ecchymoses, avec 300 €


rétablissement rapide et complet.

Maladie entraînant une invalidité permanente. Comme pour les 193 100 €
blessures.

Maladie Autres cas de maladie. Plus d’une semaine d’absence. Pas de 2300 € + 180
conséquences permanentes pour la santé. € par jour
d’absence

Affection Jusqu’à une semaine d’absence. Pas de conséquences 530 €


mineure permanentes pour la santé.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 54


Réduction des risques
Principe ALARP/CBA

Exemple: Considérons une usine dont une explosion d’un procédé


pourrait aboutir à :

 20 décès ;

 40 personnes souffrant de séquelles permanentes ;

 100 personnes gravement blessées ;

 200 personnes légèrement blessées.

 La fréquence de survenance de cette explosion est, après analyse,


d’environ 1E-5 par an, ce qui équivaut à 1 sur 100 000 par an. La
durée de vie estimée de l’usine est de 25 ans.

 Quel montant l’entreprise pourrait-elle raisonnablement investir afin


d’éliminer le risque d’explosion ?

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 55


Réduction des risques
Principe ALARP/CBA

Solution:

1. Décès : 20 x 1336 800 € x 1E-5 x 25 ans = 6 684 €

2. Personnes souffrant de séquelles permanentes : 40 x 207 200 € x 1E-5 x 25


ans = 2 072 €

3. Personnes gravement blessées : 100 x 20 500 € x 1E-5 x 25 ans = 512.5 €

4. Personnes légèrement blessées : 200 x 300 € x 1E-5 x 25 ans = 15 €

 Bénéfice total = 9 283.5 €.

Dans notre cas, le FD reflétera le fait que les conséquences de telles explosions
sont élevées, donc un FD supérieur à 10 est improbable et, par conséquent, il
peut être envisageable raisonnablement d’effectuer un investissement de l’ordre
de 93 000 € (9 283.5 € x 10) pour éliminer le risque d’explosion.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 56


Réduction des risques
Principe ALARP/CBA

Application du principe ALARP

 Un coût de 2 millions € par objectif de vie sauvée est employé dans un secteur
particulier.

 Une cible de risque tolérable maximum de 1E-5 pa a été établie pour un danger
particulier, lequel est susceptible de provoquer 2 décès.

 Le système de sécurité proposé a été évalué et un risque de 8,0 x 1E-6 pa a été


prévu.

 Comme le risque largement acceptable (négligeable) est 10-6 pa, l’application


du principe ALARP est nécessaire.

 Dans cet exemple, pour un coût de 10 000 €, des instruments supplémentaires


et des mesures de redondance abaisseront le risque à 2,0 x 10-6 pa (juste au-
dessus de la région négligeable) pendant la durée de vie de l’usine (à savoir 30
ans).

 La proposition doit-elle être adoptée ?


F.BEKHSIS – DEPT IMT - IAP Novembre 2016 57
Réduction des risques
Principe ALARP/CBA

Le nombre de vies sauvées pendant la durée de vie de l’usine est donné par :

N = (réduction de la fréquence de décès) x nombre de décès par incident x durée


de vie de l’usine

= (8,0 x 10-6 – 2,0 x 10-6) x 2 x 30= 3,6 x 10-4

Par conséquent, le coût par vie sauvée est :

VPF = 10 000 €/3,6 x 10-4 = 27,8 millions €

La valeur VPF calculée est supérieure à 10 fois le critère de coût cible par vie
sauvée de 2 millions €. Par conséquent, la proposition doit être rejetée.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 58


Détermination des objectifs SIL
 L’analyse des risques (APR, AMDEC, HAZOP, …) permet d’identifier les sources
de danger et les événements redoutés inhérents à une installation bien définie.

 L’étape suivante est de déterminer les fonctions de sécurité (SIF) requises et de


déterminer à chaque SIF le SIL associé afin de réduire le risque identifié à un
niveau acceptable (tolérable).

 « Le SIL exigé d’une SIF doit être obtenu en tenant compte de la réduction du
risque requise, à fournir par cette fonction »

 C’est à partir de cette étape que l’on va définir les spécifications fonctionnelles
de sécurité et de performance de SIS. Pour ce faire, La CEI 61508 et la CEI
61511 décrivent deux types de méthodes :

 Méthodes qualitatives : graphe de risque, matrice de gravité des événements


dangereux, etc…

 Méthodes quantitatives : Analyse des couches de protection (LOPA), arbres des


Défaillances (AdD) et/ou Arbre d’Evénements (AdE),etc…

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 59


Détermination des objectifs SIL
 Lors de l’évaluation de la défaillance d’un système de sécurité, deux options
principales sont disponibles, selon le mode de fonctionnement:

1. Systèmes fonctionnent sur sollicitation;

2. Systèmes à fonctionnement en mode permanent ou continu.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 60


Détermination des objectifs SIL
1. Systèmes fonctionnent à faible sollicitation ou à la demande

 lorsqu’une action spécifiée est effectuée en réponse aux conditions du procédé


ou à d’autres sollicitations. « Dans l’éventualité d’une défaillance dangereuse de
la fonction instrumentée de sécurité, un danger potentiel n’apparaît qu’en cas
de défaillance dans le procédé ou dans le BPCS ».

 Elles se caractérisent par:

 généralement séparées du procédé ;

 la défaillance de la fonction de sécurité aboutit à la perte de protection,


mais n’est pas à proprement parler dangereuse ;

 la fréquence de sollicitations de la fonction est faible, à savoir moins d’une


fois par an.

 L’exigence quantitative de SIL est de PFD (Probability of Failure on Demand)

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 61


Détermination des objectifs SIL
2. Systèmes à fonctionnement continu ou permanent:

 travaillent en permanence pour maintenir un process dans un état non


dangereux. «lorsqu’en cas de défaillance dangereuse de la fonction
instrumentée de sécurité, un danger potentiel apparaît, sans autre défaillance,
sauf si une action est entreprise pour le prévenir ».

 Les caractéristiques clés d’une fonction de sécurité en mode continu sont :

 elle fournit généralement une fonction de régulation ;

 la défaillance de la fonction de sécurité aboutit généralement à une situation


dangereuse ;

 la fréquence de sollicitations de la fonction est élevée, à savoir plus d’une


fois par an, voire en continu;

 L’exigence quantitative de SIL est de PFH (Probability of Failure per Hour).

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 62


Détermination des objectifs SIL
 PFD/PFH

 Les objectifs quantifies associes au SIL, dependent du type de sollicitation de la


fonction.

 La frontière entre faible et forte sollicitation est fixée a 1 par an ou a 2 fois la


fréquence des tests périodiques.

 Pour les faibles sollicitations, on se réfère a la moyenne de la probabilité de


défaillance a la demande sur [0, t] : PFDavg (average Probability of Failure on
Demand).

 Pour les fortes sollicitations, on se réfère a la probabilite de défaillance


dangereuse par heure sur [0, t] : PFH (Probability of Failure per Hour).

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 63


Détermination des objectifs SIL
 PFD/PFH (exemple)

 Supposons usine a une moyenne de 1 incendie tous les 2 ans et que, si nous ne
faisons rien d’autre, cet incendie provoquera un décès. Donc on dit que la
fréquence de décès est de 0.5/an (le scénario le plus défavorable).

 Si on Installe un détecteur de fumée qui fonctionne 9 sur 10. Donc la fréquence


de décès diminuerait de 1 décès sur 2 ans à 1 décès sur 20 ans.

 Ainsi la probabilité de défaillance sur sollicitation (PFD) de ce détecteur est de 1


sur 10 (10 %), dans ce cas, PFD = 0,1.

 En résumé:

« le détecteur de fumée avec une valeur PFD de 0,1 réduirait la fréquence


de décès d’un facteur 10, soit un facteur de réduction de risque (RRF) de
10. PFD = 1/RRF. »

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 64


Détermination des objectifs SIL
 Exemple de détermination de SIL cible

Etape1: déterminer la fréquence de danger, si c’est pas maitriser, e.g. 1décés/an

Etape2: spécifier un risque tolérable maximum; e.g.10-4/an.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 65


Détermination des objectifs SIL
 Exemple de détermination de SIL cible

Etape3:inclure toutes les mesures de protection existantes pouvant réduire la


fréquence du risque.

Etape3-1: l’alarme réduit la fréquence du danger de sa valeur PFD.

 mais le risque résiduel global, reste supérieur au risque tolérable maximum.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 66


Détermination des objectifs SIL
 Exemple de détermination de SIL cible

Etape3-2: d’autres mesures de réduction des risques peuvent inclure des


appareils mécaniques (limiteur de pression),des commandes de procédé,
instruments de mesure ou procédures, et chacune peut réduire le risque résiduel
de leur valeur PFD respective.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 67


Détermination des objectifs SIL
 Exemple de détermination de SIL cible

Etape4: il faut encore une autre couche, avec PFD 0,1. C’est la tâche du SIS.

Ce calcul, bien qu’effectué ici sous forme graphique, fournit la valeur PFD cible
pour notre SIS et permet de déterminer le niveau SIL cible.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 68


Détermination des objectifs SIL
 Niveau d'intégrité de sécurité (SIL)

 Pour spécifier de tels systèmes de sécurité , il faut commencer par faire une
analyse approfondie des phénomènes dangereux et voir comment on va s’y
prendre pour amener le risque à un niveau acceptable. Le système instrumenté
de sécurité constitue un des moyens pour réduire ce risque.

 Pour définir le niveau de réduction du risque, l’IEC 61508 a défini le SIL


(Security Integrity Level), c’est-à-dire le niveau d’intégrité de la sécurité que
doit avoir le système de protection.

 Dans l’application de la norme IEC 61508 et de celles qui en sont issues, la


performance d’un équipement de sécurité est quantifiée par son SIL, c’est-à-
dire son niveau d’intégrité de la sécurité. Le SIL définit la probabilité de
défaillance dangereuse que l’on s’autorise.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 69


Détermination des objectifs SIL
 Niveau d'intégrité de sécurité (SIL)

 La norme CEI 61511-1, clause 9.2.4 regroupe les probabilités PFD cible en
bandes ou niveaux d’intégrité de sécurité (SIL).

 Le SIL ne peut prendre que 4 valeurs possibles (de 1 à 4), et on ne cherche


donc pas à définir des valeurs précises des probabilités de défaillance
dangereuses, mais il faut que la valeur obtenue se trouve à l’intérieur de la
fourchette définie par le SIL.

 Plus le SIL a une valeur élevée, plus la réduction du risque est importante, par
exemple, un système de sécurité SIL4 apporte une réduction de risque
comprise entre 10 000 à 100000 alors que pour un système SIL1, cette
réduction est comprise entre 10 à 100 seulement.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 70


Détermination des objectifs SIL
Niveau d'intégrité de sécurité (SIL)
 C'est un nombre allant de ① à ④:
o SIL ④ est le plus haut niveau de sécurité
o SIL ① le plus bas
 Il représente l'ordre de grandeur de réduction de risque obtenu par la
fonction instrumentée de sécurité pour rendre le risque acceptable
 Plus le niveau SIL d'une boucle de sécurité est élevé :
o plus l'impact d'une défaillance d'une boucle de sécurité est important
o plus le taux de défaillance acceptable est faible

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 71


Détermination des objectifs SIL
 Exemple d’application

 une zone de procédé est gérée par un opérateur 2 heures par jour. Une
surpression du procédé aboutira à une fuite de gaz et, selon les estimations, 1
fuite de gaz sur 10 entraînera une explosion et la mort de l’opérateur. L’analyse
indique que la condition de surpression se produira tous les 5 ans (taux de 0,2
pa).

 Supposons que la fréquence tolérable maximum pour le danger (décès de


l’opérateur suite à l’explosion) est 10-4 pa.

 Quelle est la probabilité PFD requise pour le SIS ?

 Réponse

 le taux de décès est : 0,2 pa x 2/24 x 1/10= 1,67 x 10-3 pa

 Par conséquent, le système de sécurité doit avoir une probabilité de défaillance


sur sollicitation := 10-4 pa/1,67 x 10-3 pa = 6,0 x 10-2, ce qui équivalant au
niveau SIL1
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 72
Méthodes d’allocation du
SIL cible

F.BEKHSIS – DEPT IMT - IAP Novembre 2016


73
Méthodes d’allocation du SIL cible
Graphe de risque

 Le graphique de risque est une technique rapide et utile, applicable lorsque les
dangers à évaluer sont trop nombreux. Consiste à hiérarchiser les niveaux de
sécurité à partir de quatre paramètres liés à:

1. C (conséquence du risque) impact (nombre de blessés/morts, intensité de


l’impact environnemental… ) pouvant résulter de l’occurrence de l’évènement
indésirable.

2. F (taux d’occupation) utilisé uniquement pour les conséquences en terme de


sécurité du personnel. Caractérise la probabilité que la partie de l’installation
exposée soit occupée au moment de l’évènement indésiré .

3. P (probabilité d’éviter le danger):Probabilité que les personnes exposées


puisent éviter le danger la possibilité d'éviter le danger.

4. W (taux de sollicitation) probabilité (en nombre de fois par an) que


l’évènement indésiré survienne.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 74


Méthodes d’allocation du SIL cible
Graphe de risque

La classification repose sur une hiérarchisation en 6 classes d'exigences graduées de "a" à "b" en
passant par SIL1 à SIL 4:
La catégorie "a" correspond alors à "aucune exigence particulière de sécurité »
Les numéros 1, 2, 3 et 4 représentent les quatre SIL.
la catégorie "b" correspond à une situation inacceptable (le système instrumenté est insuffisant).

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 75


Méthodes d’allocation du SIL cible
Graphe de risque

 Exemple de classification des paramètres du risque

CA Blessure mineure
CB Blessure sérieuse touchant une ou plusieurs
Gravité des conséquences personnes, mortel pour une personne
CC Mort de plusieurs personnes
CD Grand nombre de morts

Temps d’exposition au FA Rare


risque FB Fréquent

Probabilité d’éviter le PA Possible


phénomène dangereux PB Invraisemblable

Probabilité d’apparition W1 Très faible probabilité


d’un accident W2 Faible probabilité
W3 Forte probabilité

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 76


Méthodes d’allocation du SIL cible
Graphe de risque

 Exemple1: une cuve de stockage de pétrole peut déborder et dégager des


vapeurs susceptibles de s’enflammer, avec comme conséquence plusieurs décès
sur le site. La probabilité de la survenance du danger pourrait être W1
(probabilité très faible). Il n’y a aucun moyen pour les employés de l’usine
d’éviter le danger si celui-ci se concrétise. Le personnel de l’usine est sur site
très rarement pour les activités de maintenance, lesquelles durent
généralement moins d’une heure par jour.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 77


Méthodes d’allocation du SIL cible
Graphe de risque

 Exemple2: un danger peut aboutir à de nombreux décès, avec une exposition


rare et un taux de sollicitation de 0,05/an, le taux de sollicitation se trouve
quelque part entre les catégories ‘faible’ et ‘moyen’, et une décision doit être
prise concernant le choix de la colonne (w1/w2) .

 Une approche prudente résulterait en un niveau cible SIL3.

 Une interprétation moins prudente aurait donné un niveau cible SIL2.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 78


Méthodes d’allocation du SIL cible
Graphe de risque

 Une phase de calibration ou d'étalonnage du diagramme de risque est


nécessaire.

 Elle permet d'adapter les paramètres en prenant en compte les spécificités de


l'entreprise et la réglementation.

 La difficulté est alors de calibrer le graphe. L'étalonnage des paramètres doit


permettre de prendre en compte toutes les situations sans pour autant obtenir
une échelle trop large qui ne permettrai pas une précision suffisante.

 En effet, selon les choix de l'analyste, les résultats peuvent rapidement passer
d'un niveau d'intégrité à un autre.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 79


Méthodes d’allocation du SIL cible
Graphe de risque

 Exemple de calibrage

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 80


Méthodes d’allocation du SIL cible
Graphe de risque
 Exemple (fuite d’un gaz toxique):

• Phénomène dangereux :une importante fuite de gaz toxique provenant d’une


conduite de gaz. La réalisation de ce phénomène pourrait occasionner plusieurs
morts→(CC).

• Fréquence d’exposition :on suppose que la zone exposée au danger est


souvent occupée par le personnel de l’installation→(FB).

• Possibilité d’évitement :on considère que les effets du nuage toxique


s’observent après quelques minutes. On suppose donc que les gens ont la
possibilité de détecter ce nuage et sont bien préparés pour ce mettre dans un
endroit confiné→(PA).

• Fréquence d’occurrence de l’événement initiateur :la fuite de gaz peut


être due à deux causes principales : (1) erreur humaine (l’opérateur laisse la
vanne ouverte après une opération de maintenance), (2) endommagement de
la conduite par un projectile (suite à une explosion par exemple). La fréquence
de l’erreur humaine est estimée à 0.1/an, celle de la deuxième cause est
F.BEKHSIS
estimée à– 0.01/an→
DEPT IMT - IAP
W Novembre
= 0.1 + 0.01 = 0.11→(W 3). 2016 81
Méthodes d’allocation du SIL cible
Graphe de risque
 Exemple (fuite d’un gaz toxique):

Pour réduire le risque de dispersion du


nuage toxique à un niveau acceptable, il faut
installer un SIS exécutant une fonction de
sécurité (arrêter l’alimentation en gaz) qui
répond au moins aux prescriptions d’un SIL3.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 82


Méthodes d’allocation du SIL cible
Matrice de risque
 La formule de calcul de risque :

 Classiquement, la représentation graphique de cette mesure est une matrice


dont l’abscisse correspond à la gravité (ou impact) et l’ordonnée à la
vraisemblance (ou probabilité).

 La gravité des conséquences peut être classée au moyen de descriptions


génériques : négligeable, mineure, grave, catastrophique.

 La quantification de la vraisemblance de survenance peut être classée de


manière descriptive de très fréquente à très rare, et il est possible d’affecter des
plages de fréquence à chaque catégorie.

 Ainsi, le tableau résultant permet une classification des risques allant de très
faible (TF), à faible (F), moyen (M), Élevé (E) et très élevé (TE), en fonction de
la catégorie de gravité et de la fréquence.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 83


Méthodes d’allocation du SIL cible
Matrice de risque

fréquences < 0,001/an < 0,01/an > 1/an >2/an


A B C D

très rare rare fréquente très fréquence


conséquences

négligeable TF TF F M

mineure TF F M E

grave F M E TE

catastrophique M E TE TE

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 84


Méthodes d’allocation du SIL cible
Matrice de risque

 Exemple matrice de risque :


<
< 0,01/an < 0,25/an > 1/an > 2/an
0,05/an
A B C D E
Personnes Actif Environnement Réputation Jamais Jamais Déjà Se produit Se produit
entendu survenu survenu puslieurs puslieurs
parler dans dans le dans fois/an dans fois/an dans
le secteur secteur l’entreprise l’entreprise l’installation

Pas de pas de
pas d'effet pas d'effet SIL1
blessure dommage

Dommage
Blessure légère Effet Légère
léger (< 10 SIL1 SIL1
(< 1/an) léger incidence
000 $)
Blessure Dommage
Effet Incidence
mineure (< mineur SIL1 SIL1 SIL2
mineur mineure
1E-01/an) (< 100 000 $)
Blessure Dommage
Effet Incidence
majeure majeur SIL1 SIL1 SIL2 SIL3
localisé considérable
(< 1E-02/an) (< 500 000 $)
Dommage
Décès
majeur Effet Incidence
unique SIL1 SIL1 SIL2 SIL3 N/A
(< 10 millions majeur nationale
(< 1E-03/an)
$)
Dommages
Plusieurs
étendus Effet Incidence
décès SIL1 SIL2 SIL3 N/A N/A
(> 10 millions massif internationale
(< 1E-04/an)
$)
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 85
Méthodes d’allocation du SIL cible
Matrice de risque

1. les fréquences de survenance doivent être quantifiées d’une manière


que soit cohérente avec la description et qui aboutisse au niveau SIL
cible correct.

2. les fréquences de risque tolérable maximum doivent être appropriées.

3. pour que les niveaux SIL cible soient incrémentés par ligne et par
colonne, les fréquences de survenance doivent aussi augmenter
considérablement entre chaque colonne.

4. pour les catégories commerciales, la fréquence de survenance des


dommages aux actifs doit être réaliste et cohérente avec le coût
d’implémentation de la fonction instrumentée de sécurité (SIF) requise.

5. Aucune protection n’est nécessaire en l’absence d’événement


dangereux.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 86


Méthodes d’allocation du SIL cible
Matrice de risque

 la matrice de risque nécessite un étalonnage

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 87


Méthodes d’allocation du SIL cible
LOPA

 L’analyse des couches de protection ou LOPA(Layer of Protection Analysis) est

une méthode structurée, se déroule de manière similaire à une étude HAZOP,

pour calculer l’objectif de réduction du risque et les niveaux SIL cible.

 Elle évalue la réduction du risque en analysant la contribution de toutes les

couches de protection de l'entreprise en cas d'accident.

 Elle est utilisée pour déterminer quel SIL est assigné à chaque SIF et elle

permet de déterminer combien de couches de protection sont nécessaires pour

ramener le risque à un niveau tolérable.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 88


Méthodes d’allocation du SIL cible
LOPA
 LOPA: plusieurs couches de protection
Plan d’intervention (8)

Plan d’urgence site (7)

Protection post-décharge
(cuvette de rétention) (6)

Sécurités physiques (organes de


décharge (5)

Systèmes instrumentés de
sécurité (4)

Alarmes et intervention
humaines (3)

Conduite du procédé (2)


Conception
du procédé
(1)
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 89
Méthodes d’allocation du SIL cible
LOPA
 les couches de protection doivent satisfaire les conditions suivantes :

 Les couches de protection doivent être indépendantes (IPL : Independant


Protection Layers),

 Chaque couche de protection doit être capable à elle seule d’assurer la


protection contre l’événement dangereux en question.

 Les couches (barrières) peuvent être de:

 prévention (diminution de la fréquence de l’occurrence de l’événement


dangereux : double enveloppe sur une tuyauterie, système d’arrêt d’urgence
(SIS),…).

 protection (réduction des impactes de l’événement dangereux : cuvette de


rétention, accès limité, alarmes et procédures d’évacuation, rideaux d’eau pour
limiter la dispersion d’un gaz toxique,…).

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 90


Méthodes d’allocation du SIL cible
LOPA
 L'analyse comprend les étapes suivantes:

1. La définition de l'impact de l'événement redouté (gravité) ;

2. La détermination et l'énumération de tous les événements initiateurs;

3. La détermination et l' énumération de toutes les couches de protection qui


empêchent la propagation de l'événement initiateur conduisant à l'événement
redouté;

4. La détermination de l'efficacité des couches de protection en probabilité de


défaillance sur demande;

5. Le calcul de la fréquence de l'événement redouté.

6. La quantité totale de réduction du risque est ensuite déterminée, et le besoin


d’une réduction du risque supplémentaire est analysé.

7. Si une protection supplémentaire doit être fournie sous la forme d’un SIS, LOPA
déterminera le niveau SIL approprié et de la PFD requise.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 91


Méthodes d’allocation du SIL cible
LOPA

 Contenu des tableaux d’une revue LOPA:

 ID/réf. de danger: fournit un identifiant pour chaque danger;

 Description d’événement (danger);

 la conséquence du danger, en termes de sécurité du personnel, de risques pour


l’environnement et aussi de risques pour l’actif;

 Catégorie de gravité des conséquences, peut être classé se forme d’un tableau;
P1,P2,P3…,E1,E2,E3…..;

 Risque tolérable maximum (MTR): la fréquence tolérable maximum de la


conséquence du danger;

 Cause déclenchante du danger;

 Taux de survenance de la cause déclenchante, (/an);

 Modificateurs conditionnels, exemple: distribution de tailles de fuite;

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 92


Méthodes d’allocation du SIL cible
LOPA

 Contenu des tableaux d’une revue LOPA:

 Couches de protection indépendantes (IPL) avec ses PFD correspondantes,


exemples:
IPL PFD
Boucle de régulation standard ≥ 1E-1
Réponse opérateur (formé à des taches répétitives) 1E-2 à 1E-4

Réponse opérateur stressé 0,5 à 1


Soupape de sécurité /disque de rupture 1E-1 à 1E-3
 Vraisemblance d’événement de niveau intermédiaire, est calculée en multipliant
la vraisemblance de déclenchement par les probabilités PFD des couches de
protection;

 PFD nécessaire de SIL: le calcul est effectué en comparant le risque tolérable


maximum et la vraisemblance d’événement de niveau intermédiaire

 Exemple: la fréquence tolérable est établie à 1E-5/an ; la fréquence de


l’événement initiateur est estimée à 0.05/an: PFDmoy (SIS) ≤ 2E - 4 → SIL3
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 93
Méthodes d’allocation du SIL cible
LOPA

 Contenu des tableaux d’une revue LOPA:

 SIL nécessaire de SIS: est obtenu à partir du tableau suivant:

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 94


Méthodes d’allocation du SIL cible
LOPA
 Exemple

Vraisemblance
Vraisemblance de couches de protection indépendents
Causes d’événement de
déclenchement
déclenchantes niveau
(pa)
intermédiaire (pa)
1 2 3 4

A 0,1 1 0,01 1 0,1 0,0001


B 0,1 0,1 0,01 1 0,1 0,00001
C 0,5 0,1 0,01 1 1 0,0005
D
E

vraisemblance d'événement(pa) 0,00061


Risque tolérable maximum 0,00003
PFD requise 0,049180328
SIL requis 2

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 95


Méthodes d’allocation du SIL cible
LOPA
 Exercice LOPA

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 96


Méthodes d’allocation du SIL cible
noeud de papillon
 Démarche
 Arbre des défaillances (AdD) : à partir d’un événement sommet (accident,
événement initiateur,…), on cherche les combinaisons d’événements (via des
portes logiques: ET, OU, …) qui conduisent à cet événement sommet (méthode
déductive).

 Arbre des évènements (AdE) : à partir d’un événement initiateur, on établie


les scénarios d’accidents en fonction des réponses successives des couches de
protection (Succès/Echec) (méthode inductive).

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 97


Méthodes d’allocation du SIL cible
noued de papillon
 Démarche

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 98


Méthodes d’allocation du SIL cible
noeud de papillon
 Solution exersice AdD-adE

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 99


Méthodes d’allocation du SIL cible
Conclusion

 Méthodes qualitatives :

 Sont convenables lorsque la détermination du risque existant est basée sur un


jugement qualitatif (ou semi-quantitatif : rangs de valeurs numériques).

 Dépendent largement du degré d’expertise du groupe de travail.

 Difficiles à être appliquées convenablement dans le cas des installations neuves


ou trop complexes.

 La confiance accordée à leurs résultats (SIL requis) dépend du calibrage des


paramètres utilisés pour apprécier le risque).

 Sont plus adaptées pour un SIS fonctionnant en faible demande

 Néanmoins, leur mise en œuvre est simple et nécessite peu de temps et de


moyens.

 Constituent un point de départ pour une éventuelle utilisation d’une méthode


quantitative.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 10


Méthodes d’allocation du SIL cible
Conclusion

 Méthodes quantitatives :

 Sont convenables lorsque l’on dispose des valeurs numériques relatives à la


fréquence tolérable (Ft), à la fréquence de l’événement initiateur (FIE) et aux
données permettant de calculer les probabilités moyennes de défaillances des
couches de protection.

 Sont plus précises : la confiance accordée à leurs résultats dépend de la fiabilité


des données numériques. Dans tous les cas, cette confiance est plus élevée que
celle liée à une approche qualitative.

 Sont adaptées pour les deux modes de fonctionnement du SIS.

 Sont très gourmandes en termes de temps et de ressources.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 10


Systèmes instrumentés
de sécurité

F.BEKHSIS – DEPT IMT - IAP Novembre 2016


102
Systèmes instrumentés de sécurité
définition
 un système E/E/PE utilisé pour mettre en œuvre une ou plusieurs fonctions
instrumentées de sécurité. Il se compose de n’importe quelle combinaison de
capteur(s), d’unités logique(s) et d’élément(s) terminal (aux).

 un système visant à mettre le procédé en état stable ne présentant pas de risque


pour l’environnement et les personnes lorsque le procédé s’engage dans une voie
comportant un risque réel (explosion, feu…).

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 10


Systèmes instrumentés de sécurité
définition
 La fonction de sécurité « SIF » est la fonction qui doit être réalisée par un SIS
pour but de maintenir un état sécurisé du process.

 Exemple: un réservoir sous pression contenant un liquide inflammable


lorsqu’une haute pression a lieu à l’intérieur du réservoir, la fonction SIF dans
ce cas agira selon deux procédures :

 Fermeture de la vanne pour arrêter l’alimentation du liquide.

 Arrêt de la pompe qui injecte le liquide dans le réservoir.

Les composants intervenant à la réalisation de cette fonction instrumentée de


sécurité sont: transmetteur de pression, solveur, vanne et pompe.
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 10
Systèmes instrumentés de sécurité
architecture minimale
 Les SIS sont constitués de différents éléments unitaires reliés entre eux par des
moyens de transmissions. Au minimum, on retrouve en série un capteur, une
unité de traitement et un actionneur.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 10


Systèmes instrumentés de sécurité
architecture minimale
1. Sous-système « Eléments d’entrée (S) » : constitué d’un ensemble
d’éléments d’entrée (capteurs, transmetteurs, détecteurs) qui surveillent
l’évolution des paramètres représentatifs du comportement de l’EUC
(température, pression, débit, niveau…).
2. Sous-système « Unité Logique (LS) » : comprend un ensemble d’éléments
logiques ( APIds, eg: S7-400FH, triconex, ABB800/A) qui récoltent l’information
en provenance du sous-système S et réalisent le processus de prise de décision
qui s’achève éventuellement, si l’un des paramètres dévié au-delà d’une valeur-
seuil, par l’activation du sous-système FE.
3. Sous-système « Eléments Finaux (FE) » : agit directement (vanne d’arrêt
d’urgence) ou indirectement (alarme) sur le procédé pour neutraliser sa dérivée
en le mettant, en général, dans un état sûr.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 10


Systèmes instrumentés de sécurité
SIS vs SIF
 Un seul SIS peut implémenter une ou plusieurs SIF.

Les prescriptions d’intégrité de sécurité (en termes de SIL) doivent être


affectées au SIS vis-à-vis de la fonction de sécurité (SIF) qu’il doit réaliser.
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 10
Systèmes instrumentés de sécurité
Principes généraux
 Lorsque le SIS doit aussi contenir des fonctions non de sécurités(besoin de
production) celles-ci ne doivent pas affecter le fonctionnement normale des SIF.

 Les parties communes du SIS doit être conçues avec le niveau de SIL le plus
élevé.

 Le désigne du SIS doit prendre en compte les besoins d’opérabilité, de


maintenabilité et de testabilité.

 Un bouton d’arrêt d’urgence indépendant de la logique doit être prévu pour


activer les actionneurs sans action du SIS.

 Lorsqu’un élément de SIF ne prend pas la position de sécurité par manque


d’énergie, toutes les exigences suivantes doivent être satisfaites:
 La perte d’intégrité de circuit est détectée
 L’intégrité de l’alimentation en énergie est assurée
 La perte d’alimentation au niveau du sous-système est détectée
 Le système doit prévoir des actions spécifiée en cas de détection de
défaut pour maintenir la sécurité ou pour réparation

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 10


Redondance au sein d'un SIS
 Pour améliorer le niveau de confiance d'un SIS, il est possible, de doubler une
partie de ses composants (redondance partielle) ou de la doubler totalement
(redondance totale)

 la redondance peut être réalisée avec du matériel identique ou avec du


matériel de technologie différente, ce dernier type permet de limiter les modes
communs de défaillance.

 Tous les éléments constituant un système instrumenté de sécurité peuvent être


redondés : capteurs, unité de traitement, actionneurs et même les moyens de
transmission.

 Convention de notation : KooN (K out of N): La notation « KooN » est utilisée


pour caractériser l’architecture d’un système pour laquelle il est nécessaire que
N canaux (sur les K que compte le système) fonctionnent correctement pour
que la fonction de sécurité soit exécutée (lorsqu’elle est sollicitée)

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 10


Redondance au sein d'un SIS
1. Architecture 1oo1:

 Architecture à 1 seul canal, pour lequel


toute défaillance dangereuse empêche le
traitement de signal d’alarme valide.
 Les diagnostics ne sont présents que pour assurer une détection de fautes en
vue de réparer le système

 Exemple d’un schéma électrique de


principe relatif à l’architecture 1oo1.
L’exécution de la fonction de sécurité
nécessite l’ouverture des relais
(coupure de l’alimentation de la
charge)

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 11


Redondance au sein d'un SIS
2. Architecture 1oo2:

 2 canaux réalisent la fonction de sécurité

 La fonction de sécurité est exécutée dès qu’un canal en fait la demande

 Il faut une défaillance dangereuse dans les 2 canaux pour conduire à la


défaillance de la fonction de sécurité

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 11


Redondance au sein d'un SIS
3. Architecture 1oo3:

 Cette architecture est composée de trois canaux connectés en


parallèle,

 ce système restera opérationnel, vis-à-vis des défaillances


dangereuses, tant qu’au moins un de ces canaux le sera.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 11


Redondance au sein d'un SIS
4. Architecture 2oo2:

 Cette architecture consiste en deux canaux en parallèle de sorte que les deux
canaux doivent demander la fonction de sécurité pour que celle-ci soit activée
: fonctionnement série au sens fiabiliste.

 Le système a donc un comportement dangereux dès qu’une défaillance


dangereuse survient dans un des deux canaux.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 11


Redondance au sein d'un SIS
5. Architecture 2oo3:

 Cette architecture comprend trois canaux connectés en parallèle avec un


dispositif à logique majoritaire pour les signaux de sortie, de telle sorte que
l’état de sortie n’est pas modifié lorsqu’un seul canal donne un résultat
différent des deux autres.

 le nombre de défaillances nécessaires aussi bien à l’empêchement de


l’exécution de la fonction de sécurité qu’au déclenchement intempestif du SIS
s’élève à deux.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 11


Redondance au sein d'un SIS
 D’une manière générale, pour une architecture KooN ces deux
nombres sont établis ainsi :

 (N–K+1) représente le nombre de défaillances dangereuses dont


l’occurrence induit la perte de la fonction de sécurité.

 K représente le nombre de défaillances sûres dont l’occurrence


conduit à l’activation intempestive de cette même fonction.

 La configuration optimale parmi celles présentées précédemment est


l’architecture 2oo3, car en effet le nombre de défaillances nécessaires
à l’inhibition de la fonction de sécurité est celui nécessaire à son
déclenchement intempestif : N-K+1=2=K. Ce fait est confirmé par
l’utilisation courante de cette architecture dans le domaine industriel.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 11


Evaluation du SIL des
SIF

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 116


Evaluation du SIL des SIF
généralités
 l’IEC 61508 s’applique à l’ensemble du système E/E/PE de sécurité,
c’est-à-dire à la boucle complète, avec le capteur, l’automate et la
vanne. Le SIL concerne donc le système dans son ensemble, pas les
éléments qui le composent. Cela n’a pas empêché les fabricants de
produits entrant dans la conception de ces systèmes d’attribuer un SIL
à leurs produits. Cela n’a pas de sens à proprement parler mais ça
peut permettre de faciliter la sélection des éléments de sécurité.

 la PFD de l’ensemble est obtenu en additionnant les PFD des différents

éléments. Par exemple, pour un système comportant un capteur, un

automate et une vanne, on aura :

PFDSIS = PFDcapteur + PFDautomate + PFDvanne

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 11


Evaluation du SIL des SIF
généralités
 Si on utilise un capteur donné avec un PFD de 0,005 (SIL2), un
automate avec un PFD de 0,0005 (SIL3) et une vanne avec un PFD de
0,05 (SIL1), on obtient un PFDSIS égal à 0,0555, ce qui correspond à
SIL1.

 C’est le maillon le plus faible de la boucle qui a le plus d’incidence sur


la valeur du SIL.

 si tous les éléments de la boucle ont le même niveau SIL, ce n’est pas
pour autant que l’ensemble de la boucle a le même niveau de SIL.

 Prenons le cas d’un capteur avec un PFD de 0,006 (SIL2), un automate


avec un PFD de 0,0015 (SIL2) une vanne avec un PFD de 0,008
(SIL2), l’addition des trois donne un PDF de 0,0155,ce qui correspond
à un SIL1.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 11


Evaluation du SIL des SIF
généralités
 L’évaluation du niveau de SIL d’une SIF comporte plusieurs étapes :

 Étape 1 : Choisir une méthode de calcul ;

 Étape 2 : Collecter et estimer les données nécessaires aux calculs ;

 Étape 3 : Vérifier que le SIL calculé est compatible avec les exigences
architecturales de la norme IEC 61511.

 Pour ce faire, différentes méthodes peuvent être appliquées :

 formules de calcul « approchées » ;

 arbre de défaillances ;

 graphes de Markov ;

 réseaux de Pétri.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 11


Evaluation du SIL des SIF
généralités
 Pour une meilleure compréhension des formules analytiques liées aux
différentes grandeurs probabilistes , une clarification des différentes
paramètres fiabilistes, caractérisant les éléments constitutifs des SIS,
s’impose. Cette clarification concerne:

 La classification des défaillances des SIS selon leurs causes;

 La classification des défaillances selon leurs effets sur la fonction de


sécurité;

 Défaillances de cause commune;

 Tests de système instrumenté de sécurité.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 12


Classification des défaillances des SIS
selon leurs causes
 Défaillances aléatoires du matériel (physiques)

 défaillances survenant de manière aléatoire et résultant de divers


mécanismes de dégradations au sein du matériel et dont l'instant exact
d'occurrence n'est pas prévisible.

 Une telle défaillance rend donc le système incapable de remplir sa


fonction suite à sa dégradation physique (ex.vanne bloqué fermée suite
à l’usure).

 La dégradation physique du système à deux causes principales:

 Vieillissement du matériel.

 Exposition aux contraintes excessives, ces contraintes peuvent être


induites par des facteurs externes ou par des erreurs humaines.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 12


Classification des défaillances des SIS
selon leurs causes
 Défaillances systématiques (fonctionnelles)

 défaillances reliées de façon déterministe à une certaine cause, ne


pouvant être éliminée que par une modification de la conception ou du
processus de fabrication, des procédures d'exploitation, de la
documentation ou d’autres facteurs appropriés.

 Une telle défaillance rend le SIS incapable de remplir sa fonction de


sécurité, mais sans aucune dégradation physique.

 Les défaillances systématiques peuvent être divisées en deux


catégories :
 Défaillances de conception : sont introduites lors des phases du cycle de vie du
SIS. Elles existent à l’état latent et se révèlent lors du fonctionnement du SIS.

 Défaillances d'interactions : sont initiées par les erreurs humaines pendant les
phases d’exploitation, de maintenance,…(ex. l’opérateur ferme une vanne par
erreur).
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 12
Classification des défaillances des SIS
selon leurs effets
Toutes les défaillances (aléatoires du matériel et systématiques), selon
leurs effets sur la fonction de sécurité, peuvent être classées dans l’une
des deux catégories suivantes :

 Défaillances dangereuses (dangerous failure: D) : «défaillance qui


a la potentialité de mettre le système relatif à la sécurité (SIS) dans un
état dangereux ou dans l’impossibilité d’exécuter sa fonction».

Une autre partition résulte du fait que ces défaillances peuvent être:
 défaillances dangereuses détectées (dangerous detected failures: DD) :
défaillances détectées immédiatement après leur occurrence par des tests en
ligne.

 défaillances dangereuses non détectées (dangerous undetected


failures: DU): défaillances qui ne peuvent être révélées que lors de tests
périodiques hors ligne (de période égale à T1 ).

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 12


Classification des défaillances des SIS
selon leurs effets
 Défaillance en sécurité (safe failure: S) : «défaillance qui n’a pas la
potentialité de mettre le système relatif à la sécurité (SIS) dans un état
dangereux ou dans l’impossibilité d’exécuter sa fonction».

 ces défaillances peuvent être:

 défaillances en sécurité détectées (safe detected failures: SD):


défaillances détectées immédiatement après leur occurrence par des
tests en ligne.

 défaillances en sécurité non détectées (safe undetected


failures: SU): défaillances qui ne peuvent être révélées que lors de tests
périodiques hors ligne.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 12


Classification des défaillances des SIS
Quantification des défaillances

Détectées Non détectées


Défaillances

DD DU
Dangereuses
Sûres
SD SU

𝑵𝒃𝒓𝒆 𝒑𝒂𝒏𝒏𝒆𝒔
Où: ʎ = 𝒕𝒂𝒖𝒙 𝒅𝒆 𝒅é𝒇𝒂𝒊𝒍𝒍𝒂𝒏𝒄𝒆 =
𝑫𝒖𝒓é𝒆 𝒅𝒆 𝒕𝒆𝒔𝒕 ∗𝑵𝒃𝒓𝒆 𝒅′ é𝒍é𝒎𝒆𝒏𝒕𝒔 𝒕𝒆𝒔𝒕é𝒔

Exemple: si pendant le test de 5000 composants durant 400 heures, on


obtient deux défaillances: ʎ=2/5000*400=1E-6/h

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 12


Classification des défaillances des SIS
Quantification des défaillances
Chaque catégorie de défaillances aléatoires du matériel est appréciée à travers son
taux de défaillance :

Taux de défaillance aléatoires du matériel : λ = λD + λS

1) Taux de défaillance aléatoire dangereuse : λD = λDD + λDU

 Taux de défaillance aléatoire dangereuse détectée : λDD = DC × λD

 Taux de défaillance aléatoire dangereuse non détectée : λDU = (1-DC) × λD

DC (Couverture de Diagnostic) : la capacité d’un canal à la détection « en ligne »

des défaillances dangereuses, exprimée par un nombre allant de 0 à 1(e.g : 0.6).

Taux de défaillance aléatoire en sécurité : λS = λSD + λSU

 Taux de défaillance aléatoire en sécurité détectée : λSD = DCS × λS

 Taux de défaillance aléatoire en sécurité non détectée : λSU = (1- DCS) × λS

DCS: la capacité d’un canal à la détection « en ligne » des défaillances en sécurité.

La norme introduit également la notion de Safe Failure Fraction (SFF) qui


caractérise l’impact des défaillances sécuritaires
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 12
Classification des défaillances des SIS
défaillance de cause commune

 Mais, on doit tenir compte de certains événements :

• alimentation électrique commune

• agression de l’environnement (inondation, foudre,…)

• incendie, explosion,…

• Composants électroniques de même origine.

• erreurs de fabrication, d’exploitation,…

 Défaillance de cause commune (CCF): Une contrainte aléatoire qui provoque la


défaillance de deux composants ou plus en même temps, pour la même raison.
Elle diffère d’une défaillance systématique, en ce sens où elle est aléatoire et
probabiliste, mais n’est pas du type cause et effet fixe et prévisible.
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 12
Classification des défaillances des SIS
défaillance de cause commune
La contribution des CCF sur des canaux redondants parallèles est prise
en compte en incluant un facteur β.

Taux de défaillances Taux de défaillances


de cause commune indépendentes

λ = (1 – β) × λ + β × λ

Le modèle du facteur β doit être appliqué à l’ensemble des catégories

de défaillances (voir DU,DD,SU,SD) :

λx= λxind + λxDCC = (1-βx) λx+ βx λx

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 12


Evaluation du SIL des SIF
Tests de SIS
 Les normes mentionnent clairement les tests en ligne et hors ligne
comme une condition pour maintenir le niveau de SIL pour les
systèmes de sécurité.

 Généralement ces tests sont établis pour vérifier et contrôler le bon


fonctionnement de SIS.

 Deux types de tests qui sont faits au niveau de SIS :

 Tests de diagnostic :

Tests en ligne (en fonctionnement) pour détecter des défauts, ce sont


effectués périodiquement et automatiquement pour détecter les
défauts latents cachés qui empêchent le SIS de répondre à une
demande. comme un WatchDog , un test de la mémoire vive (RAM) ou
de la mémoire programme.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 129


Evaluation du SIL des SIF
Tests de SIS
 Il existe 2 types de tests de diagnostics :

 les diagnostics de référence : comparaison par rapport à une valeur


prédéterminée comme la mesure de la période de temps (watch dog),
le calcul de la somme de contrôle d’une mémoire programme
(checksum), le rebouclage de toutes les sorties sur une entrée
(détection des pannes des préactionneurs en cas de discordance).

 Selon Goble4 (p.86), le taux de couverture de ces tests est


généralement bon (entre 0.9 et 0.999);

 les diagnostics par comparaison à une unité opérationnelle (


comparaison de tables de données logiques entre 2 ou plusieurs
canaux).

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 130


Evaluation du SIL des SIF
Tests de SIS
 Proof Test :

Test périodique hors ligne réalisé pour détecter des pannes dans un
système de telle sorte que le système puisse être réparé afin de
revenir dans un état équivalent à son état initial.

 L’impact des tests périodiques sur la disponibilité:

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 13


Evaluation du SIL des SIF
Tests de SIS
 Il faut savoir aussi qu’un niveau SIL n’est pas garanti à vie. Les
éléments du système de sécurité vieillissent, leurs performances se
dégradent. C’est la raison pour laquelle le niveau SIL est considéré
comme valable tant que l’on ne dépasse pas une durée bien définie.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 13


Evaluation du SIL des SIF
Les formules de calcul « approchées »
Deux sources reconnues internationalement peuvent être utilisées :

1. les formules du guide ISA (ISA-TR84.00.02-2002 - Part 2) ;

2. les formules proposées dans la norme IEC 61508-6.

 Les formules de l’IEC 61508-6

 La norme IEC 61508-6 propose des formules de calcul permettant


d’évaluer la PFD moyenne (PFDavg) à la sollicitation pour quelques
redondances KooN. La norme ne traite que quelques architectures
couramment répandues dans l’industrie.

 Les architectures couvertes par les formules sont : 1oo1, 1oo2, 2oo2
et 2oo3. Pour les autres architectures KooN, il faut recourir à
l’utilisation de formules provenant d’autres sources (formules
proposées par l’ISA par exemple).

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 13


Evaluation du SIL des SIF
Les formules de calcul « approchées »
 Formules de calcul de la probabilité moyenne de défaillance sur demande (pour mode
de fonctionnement faible demande: PFD) d’après la norme « IEC 61508-6 »:

 1oo1

 1oo2

 2oo2

 2oo3
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 13
Evaluation du SIL des SIF
Les formules de calcul « approchées »
 Formules de calcul de la Probabilité de défaillance par heure (pour un mode de
fonctionnement demande élevée ou continu: PFH) d’après la norme « IEC 61508-6 »:

 1oo1

 1oo2

 2oo2

 2oo3
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 13
Evaluation du SIL des SIF
Les formules de calcul « approchées »
 Définitions des termes intervenant dans les formules de calcul de la
PFD/PFH de la norme IEC 61508-6

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 13


Evaluation du SIL des SIF
Les formules de calcul « approchées »
 Définitions des termes intervenant dans les formules de calcul de la
PFD/PFH de la norme IEC 61508-6
Terme Définition
λD Taux de défaillances dangereuses (par heure)
λDD Taux de défaillances dangereuses détectées (par heure)

λDU Taux de défaillances dangereuses non détectées (par heure)

TI Intervalle de temps séparant deux tests de bon fonctionnement (en heure)

MTTR Durée moyenne de réparation du système (en heure)


Couverture de Diagnostic (pourcentage des défauts révélés par les diagnostics sur le
DC
nombre total de défauts)
β Pourcentage de défaillances de cause commune non détectées

βD Pourcentage de défaillances de cause commune détectées

Temps moyen d'indisponibilité équivalent du canal (en heures) pour les architecture
tCE 1oo1, 1oo2, 2oo2 et 2oo3 (temps d’indisponibilité combiné pour tous les composants
dans le canal du sous-système)

Temps moyen d'indisponibilité équivalent du groupe à logique majoritaire (en heures)


tGE pour les architectures 1oo2 et 2oo3 (temps d'indisponibilité combiné pour tous les
canaux du groupe à logique majoritaire)

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 13


Evaluation du SIL des SIF
Les formules de calcul « approchées »

Exemple de calcul de PFD architecture 1oo1:

 Un SIS est doté d’un capteur, d’un réseau et d’un circuit électronique
qui coupe l’alimentation moteur par l’intermédiaire d’un contacteur.

 Le mode de fonctionnement du système est à faible sollicitation.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 13


Evaluation du SIL des SIF
Les formules de calcul « approchées »

Exemple de calcul de PFD architecture 1oo2:

 Le concepteur envisage une autre configuration pour le SIS (2


contacteurs câblés en série)

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 13


Evaluation du SIL des SIF
les contraintes architecturales
La tolérance aux pannes matérielles (HFT):

 IEC61508-4 définit "tolérance de panne" comme «la capacité d'une unité


fonctionnelle de continuer à accomplir une fonction requise en présence de
fautes ou d'erreurs ».

 Une tolérance de 0 de panne matérielle signifie que si il ya une faute,


l‘élément ne sera pas capable de remplir sa fonction.

 Une tolérance de N de panne matérielle signifie que N + 1 défauts pourraient


entraîner une perte de la fonction de sécurité.

 lorsqu’un défaut aboutit directement à la survenance d’un ou de plusieurs


défauts consécutifs, ces derniers sont considérés comme un seul défaut ;

 lors de la détermination de la tolérance aux pannes matérielles, certains


défauts peuvent être exclus, à condition que la vraisemblance de leur
survenance soit très faible par rapport aux exigences d’intégrité de sécurité du
sous-système. Une telle exclusion de défaut quelle que soit doit être justifiée
et documentée.
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 14
Evaluation du SIL des SIF
les contraintes architecturales
La tolérance aux pannes matérielles (HFT):

 Pour chaque élément de la fonction de sécurité, la proportion SFF doit être


calculée.

 La valeur doit ensuite être employée dans le tableau afin de déterminer la


conformité SIL pour le niveau de tolérance aux pannes matérielles.

 les sous-systèmes sont classés en tant que type A ou type B.

 En général, si les modes de défaillances sont parfaitement définis, si le

 comportement dans des conditions de défaut peut être entièrement déterminé


et s’il y a suffisamment de données de terrain appropriées, le sous-système
peut être considéré comme de type A.

 Si une de ces conditions n’est peut-être pas vraie, le sous-système doit être
considéré comme de type B.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 14


Evaluation du SIL des SIF
les contraintes architecturales
La tolérance aux pannes matérielles (HFT):

 Les équipements mécaniques simples tels que les vannes sont généralement
considérés comme de type A.

 Les analyseurs logiques sont habituellement de type B car ils contiennent


certaines capacités de traitement et, en tant que tels, leur comportement dans
des conditions de défaut peut ne pas être complètement déterminé.

 Les capteurs peuvent être de type A ou de type B selon la technologie et la


complexité de l’équipement.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 14


Evaluation du SIL des SIF
les contraintes architecturales
La tolérance aux pannes matérielles (HFT):

 Sous-système de type A:

 Sous-système de type B:

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 14


Evaluation du SIL des SIF
les contraintes architecturales
La tolérance aux pannes matérielles (HFT):

 Exemple

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 14


Evaluation du SIL des SIF
Combinaison des SIL pour des canaux hétérogènes
Selon la norme IEC 61508-2, le SIL des combinaisons des canaux
différents (hétérogènes) peuvent être estimer comme suit:
 Pour une architecture série (NooN):
SIL (sous-fonction) = MIN (SIL (canal i))
avec i = 1,…, N SIL3 SIL1 SIL2
SIL=MIN(SIL3,SIL1,SIL2)=SIL 1
 Pour une architecture de type KooN:
SIL (sous-fonction) = MIN (MAX (SIL (canal i )) + N–K, SIL 4)
SIL3 SIL2
SIL1

SIL1

SIL3
SIL3 SIL2

SIL (SIS) = MIN (SIL (s-s capteurs), SIL (s-s unités logiques), SIL (s-s vannes))
= MIN (SIL 4, SIL 4, SIL 3) = SIL 3 (SIL3 est le SIL maximum autorisé pour ce SIS)
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 145
www.themegallery.com

F.BEKHSIS – DEPT IMT - IAP Novembre 2016