Académique Documents
Professionnel Documents
Culture Documents
Lors de la réalisation d’analyses de risques, des barrières de sécurité sont valorisées dans le
but de justifier que les risques sont prévenus et maîtrisés. Dès lors, plusieurs questions
viennent spontanément à l’esprit :
ÉTAPES :
ÉTAPES :
juger de l’adéquation entre les barrières mises en œuvre et le niveau de risque visé ;
statuer sur le besoin de mise en œuvre de nouvelles barrières ;
définir les « exigences » minimales sur la probabilité de défaillance des barrières à
mettre en place dans le cas où les barrières existantes ne permettraient pas de justifier
d’un risque acceptable ;
évaluer la fréquence d’occurrence résiduelle d’un scénario d’accident.
Étape 2
ÉTAPES :
ÉTAPES :
Dans le cas présent, la fonction de sécurité est de stopper l’alimentation du bac de stockage en
cas d’atteinte d’un niveau haut (par fermeture de la vanne de sécurité). La SIF est donc
composée par un capteur de niveau, l’automate programmable de sécurité (APS) et de la
vanne de sécurité.
Étape 2
graphe de risque ;
matrice de criticité ;
LOPA.
Dans la pratique, ces trois méthodes ont des étapes communes, qui peuvent, suivant la
méthode, être explicites ou implicites :
ÉTAPES :
ÉTAPES :
Le tableau « Exemples de calibrage » présente des critères d’appréciation pour les quatre
paramètres (C, F, P et W). Ces critères sont fortement inspirés de ceux présentés dans la
norme CEI 61508-5.
Paramètre Hiérarchisation Critère d’évaluation
C1 Incident mineur.
W1 Faible probabilité.
Probabilité
W d’occurrence de W2 Probabilité moyenne.
l’événement
W3 Forte probabilité.
Glossaire
DC (Diagnostic Coverage)
Proportion de défaillances dangereuses détectées par rapport à l’ensemble des défaillances
dangereuses.
LOPA
Layer Of Protection Analysis.
MooN
Structure pour laquelle une fonction de sécurité est assurée lorsque M sur N dispositifs sont en
état de remplir leur fonction.
MTTR (Mean Time To Repair)
Temps moyen mis pour réparer un système.
Niveau de SIL
Niveau discret (parmi quatre possibles) permettant de spécifier les prescriptions concernant
l’intégrité de sécurité des fonctions de sécurité à allouer aux systèmes E/E/PE relatifs à la
sécurité. Le niveau 4 d’intégrité de sécurité possède le plus haut degré d’intégrité ; le niveau 1
possède le plus bas.
Période de test
Temps entre deux tests visant à s’assurer du bon fonctionnement d’un système.
Redondance
Existence, dans une entité, de plus d’un moyen pour accomplir une fonction requise (CEI-
271-1974).
SIS (Safety Instrumented System)
Un système instrumenté de sécurité est un système visant à mettre le procédé en position de
repli de sécurité (c’est-à-dire un état stable ne présentant pas de risque pour l’environnement
et les personnes), lorsque le procédé s’engage dans une voie comportant un risque réel pour le
personnel et l’environnement.
Niveau d’intégrité de sécurité (SIL)
Selon la norme appliquée, l’intégrité de sécurité (et donc le SIL) est un concept applicable aux
systèmes électriques/ électroniques/ électroniques programmables (E/E/PE) relatifs à la
sécurité (pour la CEI 61508 [CEI, 2010]) ou aux Systèmes Instrumentés de Sécurité (SIS)
(pour la CEI 61511 [CEI, 2004]). Néanmoins, ce concept est aisément transposable à
d’autres mesures de réduction du risque.
Cycle de vie de sécurité synthétique, suivant les normes CEI 61508 et CEI 61511
Basée sur l’analyse des dangers et des risques, la phase d’allocation des exigences de sécurité
permet d’attribuer une valeur cible de SIL à chaque fonction de sécurité requise, afin
d’obtenir les réductions de risque nécessaires. Le SIL est ensuite utilisé pour spécifier les
exigences liées à l’intégrité de sécurité. Ces exigences concernent :
des contraintes architecturales
S’il est commun de voir des « rapports SIL » ou « certificats SIL » qui considèrent l’intégrité
de sécurité du matériel, certaines autres exigences sont souvent omises, notamment celles
relatives à l’intégrité de sécurité systématiques et/ou du logiciel. Dans certains cas, il est
même observable qu’un SIL a été directement déduit d’un calcul de PFDavg ou de PFH ou
même (bien que plus rarement) d’une simple vérification de contraintes architecturales
(comme l'approche "Oméga 10" qui parle alors de "niveaux de confiance" (NC) et non de
SIL [INERIS, 2008]). Cette approche est erronée. En effet, pour un SIL donné, plusieurs
autres exigences doivent aussi être respectées. Tout « rapport SIL » devrait ainsi définir
précisément ces limites en termes d’exigences de sécurité. De plus, un « certificat SIL » ne
peut pas prétendre qu’un certain SIL est atteint si la totalité des exigences de sécurité n'est pas
respectée.
Enfin, il convient aussi de rappeler qu’un SIL se réfère toujours à une fonction de
sécurité et qu’il est donc inapproprié d’attribuer un SIL à un système relatif à la sécurité sans
définir explicitement et précisément la fonction considérée.
Sources :
CEI (2004), CEI 61511 : Sécurité fonctionnelle – Systèmes instrumentés de sécurité pour le
secteur des industries de transformation, 1ère édition, CEI, Genève
La norme comporte sept parties, les trois premières étant normatives alors que les quatre
suivantes sont des recommandations et des exemples2,3.
Le cycle de vie de la sécurité compte seize phases qui peuvent être regroupées en trois blocs :
Cette norme générique est déclinée par métier. L'ISO 26262 dans le secteur automobile hérite
ainsi des principes de la CEI 61508. Dans le secteur ferroviaire, les normes EN 50126, EN
50128, EN 50129 héritent de la CEI 61508, quand le secteur nucléaire dispose de la norme
CEI 61513. Des normes dites de 'secteur' sont dérivées dans l'industrie des procédés (chimie,
pétrochimie) CEI 61511 et dans l'industrie manufacturière, CEI 62061 et dans une moindre
manière ISO 13849 partie 1 et 2.
Sommaire
1Historique
2Analyse de risque
3Détermination du SIL
4Notes et références
5Liens externes
Historique[modifier | modifier le code]
Publié tout d'abord en version de travail (draft) sous le nom de IEC 1508 en 1995 puis
officiellement entre 1998 et 2000, la CEI 61508 est en partie fondée sur une norme en version
de travail (préparatoire, Vorschlag) allemande, la DIN V19250 publiée en 1994
(Grundlegende Sicherheitsbetrachtungen für MSRSchutzeinrichtungen : aspects
fondamentaux de la sécurité à considérer pour l'équipement de contrôle et mesure)3.
La CEI 61508 comprend un périmètre beaucoup plus large mais reprend en partie le principe
d'évaluation du risque et de classes de risques de la norme DIN V19250. Ensuite la norme
CEI 61508 a été reconnue dès 2002 par l'organisme européen CENELEC, sous la
dénomination IEC EN 61508.
Type de
Définition
conséquence
Type de conséquence
Probabilité Catastrophiqu
Critique Marginal Insignifiant
d’occurrence e
Fréquent I I I II
Probable I I II III
Invraisemblable IV IV IV IV
Classe II : non désiré. Tolérable seulement si la réduction du risque n'est pas faisable
ou si les coûts sont largement disproportionnés par rapport au gain de réduction du
risque ;
Le SIL (Safety Integrity Level) correspond à un niveau de fiabilité attendu par le système, ou
la sous-fonction concernée, déterminé par l'analyse de sécurité. En fonction du SIL et du
niveau de sollicitation du système (faible ou forte), les probabilités de défaillance sont plus
contraignantes, SIL 1 étant le plus faible niveau quand SIL 4 est le plus élevé. Un système à
faible sollicitation ou sur demande ne doit pas excéder plus d'une demande par an3.
Le respect du SIL garantit ainsi un « niveau de confiance » du système développé car le risque
zéro n'existe pas, la norme donnant les activités à effectuer pour atteindre le niveau de SIL
visé notamment la mise en place d'une gestion de la qualité et de la configuration. En termes
de qualité, la mise en place d'une norme type ISO 9000 est un prérequis dès le SIL 1. La mise
en place d'activités démontrant la sécurité est également requise et doit être démontrée à
travers un dossier de preuve, safety case, qui établit de manière indépendante de l'équipe de
développement que le système livré atteint le SIL requis3.
2. ↑ Revenir plus haut en :a et b « La norme CEI 61508 et ses dérivés » [archive], 10 décembre
2008 (consulté le 29 octobre 2014).
4. ↑ Pour 10−7, cela correspond à une défaillance dangereuse tous les 1 140 ans.
(en) Association 61508 [archive].
Produire plus, à moindre coût tout en garantissant une sécurité optimum pour les employés,
l’environnement et les installations est le challenge d’aujourd’hui pour les industries de
process. Sans compter la responsabilité croissante attribuée à l’employeur, les pressions
environnementales de plus en plus lourdes, l’augmentation du prix des matières premières et
le coût toujours plus important d’une immobilisation impromptue débouchent sur des
exigences de sécurité toujours plus sévères.
Les fonctions de sécurité (safety functions) des instruments de mesure sont destinées à réduire
les risques liés aux process, pouvant constituer des dangers pour les êtres humains,
l'environnement et les biens matériels. La certification SIL (safety integrity level = niveau
d’intégrité de sécurité) de ces instruments consiste à ramener les risques à un niveau tolérable
via la norme CEI 61508.
Avec les instruments Endress Hauser certifiés SIL, vos mesures comprennent une
«suppression des risques» (défauts systématiques) et une «maîtrise des risques» (défauts
aléatoires). Vous êtes sûr que vos process industriels répondent aux nouvelles exigences de
sécurité.
Parce que la sécurité est au coeur des préoccupations d’Endress Hauser, nous mettons tout en
œuvre pour vous fournir une instrumentation de process certifiée SIL2 en standard. Pour se
faire, chaque nouveau capteur ou famille de capteurs sera développé conformément à la
norme CEI 61508. Ainsi la nouvelle gamme de radars filoguidés Levelflex est la première à
être certifiée SIL2 selon l’édition 2010 de la norme qui tient compte des dernières
prérogatives en termes de sécurité fonctionnelle comme le fonctionnement éprouvé.
Pour les appareils déjà présents sur le marché et donc développés avant l’application de la
norme, la CEI 61511 par son approche « Proven in use » (évaluation statistique en
fonctionnement normal ou en sécurité) et la conformité à des exigences additionnelles de
CEI61508 permet une certification SIL des appareils. Evidemment quelle que soit l’approche,
la certification est toujours effectuée par un organisme externe et reconnu !
De fait, nous mettons à votre disposition la plus grande gamme d’instrumentation certifiée
SIL (SIL2 et/ou SIL3) qui peut être utilisée aussi bien en process que sur des installations de
sécurité fonctionnelle.
- Le calcul sûr de la valeur de pH et sa transmission aux 2 sorties courant (à l’aide des valeurs
de référence d’étalonnage)
- La surveillance des seuils
- La réalisation d’un étalonnage en 2 points et d’un ajustage avec des solutions tampons pH
accréditées.
L’étalonnage en 2 points fait partie de la fonction de sécurité étant donné que le processus de
référence sélectionné – ici étalonnage - joue un rôle clé dans le calcul des valeurs de pH. Pour
l’étalonnage en 2 points et le fonctionnement en mode sécurité, le transmetteur utilise des
méthodes brevetées spéciales pour visualiser ces processus sur l’afficheur tout en tenant
compte de l’interaction avec l’utilisateur.
Avec cette certification des instruments d’Endress Hauser, vous profitez d’une grande fiabilité
sur vos applications standards !
Contact :
M. Cédric FAGOT - Responsable Marché Environnement
Demande d'informations
Sécurité fonctionnelle - Niveau d'intégrité de sécurité (SIL) et niveau
de performance (PL)
Le matériel technique peut poser un risque de sécurité très élevé, au point qu'il peut être
déconseillé aux personnes de s'exposer aux équipements. Dans de tels cas, les risques
concernés doivent être réduits afin de garantir une utilisation sûre. Il doit être possible
de quantifier (et de mesurer) la réduction du risque en vue de satisfaire à ces exigences.
Ces pages vous donnent un aperçu des normes et méthodes qui sont appliquées pour parvenir
au fonctionnement sécurisé des machines et des usines. Découvrez le niveau d'intégrité de
sécurité (SIL) et le niveau de performance (PL), ainsi que les composants pour votre
application dans notre sélecteur de produits de sécurité. Des outils utiles et documents
supplémentaires complètent notre offre.
Calculez rapidement et facilement les probabilités de défaillances sur notre site Web !
Saisissez simplement vos paramètres et notre outil gratuit fait le travail pour vous. Toutes les
formules pertinentes sont enregistrées directement dans notre système. Choisissez parmi ces
deux options : un calcul PFD conformément aux normes VDI/VDE 2180 et EN 61508 ou
un calcul PFH selon la norme EN 61508.
Téléchargement gratuit du PDF : poster SIL
Bibliothèques SISTEMA
SISTEMA est un outil logiciel qui vous aide à calculer le niveau de performances (PL) de
toutes les pièces ou fonctions en rapport avec la sécurité qui équipent votre usine, en
comparant les paramètres de tous les composants. Pepperl+Fuchs vous aide en vous proposant
plusieurs bibliothèques contenant tous les paramètres de sécurité importants, que ce soit pour
les produits de sécurité ou les produits standards.
Une installation qui présente des risques fait l’objet d’analyses permettant de statuer sur
l’acceptabilité ou non de ces risques. Les risques pour lesquels l’exposition initiale (c’est à
dire, le couple probabilité / niveau d’impact) est jugée inacceptable font l’objet de mesures de
réduction, permettant d’amener leur exposition à un niveau cible jugé tolérable. Les fonctions
instrumentées de sécurité électriques, électroniques et électroniques programmables (E/E/PE)
viennent s’ajouter aux autres barrières de protection, pour amener le risque d’une exposition
initiale inacceptable à un niveau cible tolérable :
Les SIF : réalisées par des Systèmes Instrumentés de Sécurité (SIS). Une SIF est une
action automatique.
Une SIF ne se réduit pas à un automate seul. Elle est assurée par tout la chaîne de contrôle-
commande, depuis le capteur jusqu’à l’actionneur.
La confiance dans la réduction des risques de l’installation se traduit, au niveau des SIF,
par deux types d’exigences :
Sur l’intégrité de sécurité : probabilité qu’un système de sécurité assure les fonctions
de sécurité requises dans le temps spécifié
C’est la contribution nécessaire d’une SIF à la réduction du risque qui lui confère son
exigence « d’intégrité de sécurité » ou « disponibilité à la sollicitation » ou « SIL requis ». Le
niveau de réduction de risque nécessaire ainsi attribuée à une SIF est donc exprimé en niveau
SIL :
Remarque : La réduction de risque assurée par la SIF est bien une contribution à la
réduction globale du risque, assurée par l’ensemble des barrières de sécurité. Ainsi, il est
possible d’avoir un niveau SIL requis égal à 1 sur un site à haut risque, du fait que
l’ensemble des barrières de sécurité assure la réduction globale du risque suffisante. De
même, il est possible d’avoir un niveau SIL requis égal à 3 sur un site à faible risque, si le
reste des barrières de sécurité est quasiment inexistant.
La démarche à suivre pour déterminer le SIL requis pour une SIF est la suivante :
Recenser tous les risques (Analyse de Risque, Etude de Danger, AMDEC, HAZOP,
…)
Identifier par risque les moyens de réduction mis en place (les barrières de sécurité)
La norme NF EN 61511 impose 2 types de contraintes qui permettent d’évaluer le niveau SIL
d’une SIF : des contraintes architecturales et des contraintes probabilistes.
Exemple :
On dispose d’un capteur Tr. On veut vérifier qu’il est intégrable dans une chaîne
instrumentée assurant une SIF de niveau SIL2.
Si Tr est à logique positive ou doté d’autodiagnostic (colonne 2), le montage doit comporter 2
capteurs Tr redondants pour obtenir le SIL2 requis.
Si Tr est à logique positive ou doté d’auto-diagnostique, et si de plus Tr est dit « éprouvé par
l’usage » et la modification de ses paramètres est protégée (colonne 3), alors Tr seul est
suffisant pour obtenir le SIL2 requis.
Remarques :
Il est impossible d’obtenir un niveau SIL3 sans redondance. Le recours au SIL4 est fortement
déconseillé. Des exigences très lourdes doivent être prises en compte. Les contraintes
architecturales sont légèrement différentes en ce qui concerne les automates programmables
de sécurité. On s’intéresse à la proportion de défaillances sûres de l’automate pour évaluer
le niveau SIL :
L’évaluation du SIL d’une SIF est insuffisante pour garantir le maintien du niveau de sécurité
au cours du temps.
….