Tiase Se4058

Réf.
: SE4058 V1
Évaluation de la probabilité de
Date de publication :
10 octobre 2009
défaillance d'un Système
Instrumenté de Sécurité (SIS)
Cet article est issu de : Archives
par Olivier IDDIR
Mots-clés Résumé Les normes IEC 61508 et 61511 permettent de caractériser la performance d'un
Système instrumenté de équipement de sécurité (61508) et d'une fonction instrumentée de sécurité (61511) en
sécurité (SIS) | Redondance |
Probabilité de défaillance à la évaluant son niveau de SIL (Safety Integrity Level). Il existe quatre niveaux de SIL, le
sollicitation (PFD) | IEC 61508 | niveau 4 renvoyant au niveau le plus « élevé », le niveau 1 au niveau le plus « faible ».
IEC 61511 | Mode commun de
défaillances Un système de SIL « n », a une probabilité de défaillance à la sollicitation comprise entre
10-n et 10-(n+1). Pour déterminer le niveau de SIL d'une fonction instrumentée de
sécurité, il est nécessaire de calculer la probabilité de défaillance. L'article explicite la
manière dont il est possible d'évaluer la probabilité de défaillances à la sollicitation à
l'aide de formules de calcul simplifiées ou à l'aide de la méthode arbre de défaillances.
Keywords Abstract Today IEC 61508 and IEC 61511 are the central standards for the specification,
Safety Instrumented Systems design and operation of Safety Instrumented Systems (SIS). There are four levels of risk
(SIS) | Redundancy | Probability
of Failure on Demand (PFD) | reduction, ranging from SIL 1, the lowest, to SIL 4, the highest. Safety Integrity Levels are
IEC 61508 | IEC 61511 | Common order-of-magnitude bands of risk reduction. IEC 61508 and IEC 61511 contain much
cause failure
useful information and guidance for safety improvement in the use of safety systems. This
paper discusses how to assess the probability of failure with simplified formulas or a fault
tree.
Pour toute question :

Service Relation clientèle
Techniques de l’Ingénieur
Immeuble Pleyad 1 Document téléchargé le : 13/10/2021
39, boulevard Ornano
93288 Saint-Denis Cedex Pour le compte : 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Par mail :
infos.clients@teching.com
Par téléphone :
00 33 (0)1 53 35 20 20 © Techniques de l'Ingénieur | tous droits réservés
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Évaluation de la probabilité
de défaillance d’un Système
Instrumenté de Sécurité (SIS)
par Olivier IDDIR

Ingénieur analyse de risques industriels
TECHNIP France
Parution : octobre 2009 - Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Service expertise et modélisation – Division procédés et technologie
1. Systèmes Instrumentés de Sécurité : un type de barrière SE 4 058 - 2

de sécurité ..................................................................................................
2. Quelques rappels sur les normes CEI 61508 et CEI 61511 .......... — 2
2.1 Champ d’application des normes ............................................................... — 2
2.2 Niveau de SIL d’un SIS ................................................................................ — 2
2.3 Procédure de calcul de la probabilité moyenne de défaillances
à la sollicitation (PFDavg) d’un SIS .............................................................. — 3
2.4 Redondance majoritaire KooN.................................................................... — 4
3. Évaluation de la probabilité moyenne de défaillances
d’un SIS ....................................................................................................... — 5
3.1 Formules de calcul de la PFD average issues
de la norme NF EN 61508............................................................................ — 5
3.2 Évaluation des probabilités de défaillances moyenne à la sollicitation
(PFD average) à partir des expressions de la fiabilité R (t)....................... — 7
3.3 Erreur à ne pas commettre lors d’une approche par arbres
de défaillances.............................................................................................. — 8
3.4 Notion d’architecture minimale d’un SIS................................................... — 10
3.5 Exemple d’évaluation de PFDavg d’un SIS ................................................. — 10
4. Conclusion.................................................................................................. — 11
Pour en savoir plus ........................................................................................... Doc. SE 4 058
fin d’éviter que des phénomènes dangereux tels que des incendies, des
A explosions ou encore des rejets de matières dangereuses, pouvant occa-
sionner des dommages sur les personnes, l’environnement ou les biens, les
industriels sont amenés à mettre en place des Mesures de Maîtrise des
Risques (MMR) dont le rôle est de prévenir l’apparition de tels phénomènes ou
d’en limiter les conséquences.
L’article [SE 4 057] présente les différentes couches de protection pouvant
être mises en œuvre afin de réduire les risques dans le but de les rendre
acceptables. Parmi ces couches de protection, se trouvent les Systèmes Instru-
mentés de Sécurité (SIS). L’article [SE 4 057] présente différentes méthodo-
logies qui permettent de définir la probabilité de défaillance maximale
admissible pour une MMR. D’une manière générale, ces méthodologies sont
basées sur des analyses quantitatives lorsque les risques sont importants et
sur des méthodes semi-quantitatives pour les risques moins importants.
Une fois la probabilité de défaillance maximale admissible déterminée, il est
nécessaire de définir l’architecture du SIS permettant d’atteindre cette valeur.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

est strictement interdite. – © Editions T.I. SE 4 058 – 1
tiwekacontentpdf_se4058 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE D’UN SYSTÈME INSTRUMENTÉ DE SÉCURITÉ (SIS) ______________________________________________
Pour ce faire, les normes CEI 61508 et CEI 61511 peuvent être utilisées. En
revanche, il est important de souligner que les formules de calcul présentées
dans ces normes ne sont pas les seuls outils pouvant être utilisés pour évaluer
la probabilité de défaillance d’un SIS.
Cet article a pour objectif de rappeler les principales formules de calculs pro-
posées dans ces normes et de les comparer à des formules simplifiées. Il est à
noter que les calculs présentés dans cet article ont pour vocation de permettre
une première évaluation des probabilités de défaillances. En aucun cas de telles
évaluations ne peuvent se substituer aux résultats d’une réelle analyse SIL.
1. Systèmes Instrumentés n’est pas récente puisque sa déclinaison en norme française date
de 1999 (NF EN 61508). Cette norme a donné naissance à plusieurs
de Sécurité : un type normes filles dont :
– la CEI 61511, qui est la norme sectorielle « process

de barrière de sécurité industriels » ;
– la CEI 62061, qui est la norme sectorielle « machine » ;
La maîtrise des risques générés par les activités industrielles – la CEI 61513, qui est la norme sectorielle « nucléaire ».
nécessite de mettre en place des Mesures de Maîtrise des Risques Un SIS se compose de trois sous fonctions :
aussi communément appelées barrières de sécurité. Ces barrières – une sous-fonction détection assurée par des capteurs ou
de sécurité ont pour objectif de réduire la criticité des risques. La détecteurs chargés d’identifier une dérive de paramètre (pression,
réduction des risques passe généralement par de la prévention, température, niveau, etc.) par atteinte d’une valeur seuil ;
dont le but est de minimiser la probabilité d’apparition d’une situa- – une sous-fonction traitement de l’information assurée par un
tion dangereuse, et par de la protection, dont le but est de limiter système de traitement logique chargé de recevoir les informations
les conséquences dans le cas où la situation dangereuse n’aurait issues des capteurs et de les traiter afin de générer des ordres de
pu être évitée. commande vers les actionneurs ;
Pour réduire la probabilité d’apparition d’une situation dange- – une sous-fonction actionneurs-éléments finaux chargée de
reuse, les industriels ont recours à différents types de barrières de mettre le système dans une position de sécurité.
sécurité parmi lesquels on retrouve les Systèmes Instrumentés de
Sécurité (SIS).
Pour concevoir ces SIS, il est nécessaire de fixer un niveau 2.2 Niveau de SIL d’un SIS
d’intégrité à atteindre, qui dépend de la criticité de la situation
dangereuse face à laquelle on positionne le SIS. Cette étape cor- Le SIL (Safety Integrity Level) ou niveau d’intégrité de sécurité,
respond à la phase d’allocation d’objectif et peut être réalisée par permet de spécifier les prescriptions concernant l’intégrité de
différentes méthodes [SE 4 057] ; on parle alors de niveau de SIL chaque fonction de sécurité exécutée par les systèmes électriques-
requis. Une fois cette première étape menée, il faut déterminer électroniques ou électroniques programmables. Quatre niveaux de
quelle architecture de SIS permet d’atteindre l’objectif en prenant SIL allant de 1 à 4 permettent de caractériser ces systèmes :
en compte les paramètres de fiabilité des éléments qui composent – SIL 4 renvoyant au niveau de sécurité le plus « élevé » ;
le SIS (taux de défaillances, facteur de mode commun de défail- – SIL 1 renvoyant au niveau de sécurité le plus « faible ».
lances, etc.) mais aussi la période de test du SIS.
La notion de SIL s’applique au système de sécurité dans sa glo-
Cet article propose de donner au lecteur les principales notions balité, et non pas à un élément ou sous-ensemble de celui-ci.
de base qui lui seront utiles afin d’évaluer la probabilité de Néanmoins, certains fournisseurs de matériel en font aujourd’hui
défaillance d’un SIS. un argument commercial.
Pour un mode de fonctionnement à faible sollicitation (ou à la
demande), la correspondance entre le niveau de SIL et la probabi-
lité de défaillance à la sollicitation (PFD) est présentée dans le
2. Quelques rappels tableau 1.
sur les normes CEI 61508 Ce mode de fonctionnement est typique des systèmes de sécu-
rité qui sont « activés » uniquement sur dépassement de valeurs
et CEI 61511 seuils (dérive du mode de fonctionnement normal d’une instal-
lation).
Lorsque la fréquence des demandes de fonctionnement sur un
2.1 Champ d’application des normes système relatif à la sécurité est plus grande qu’une par an, et au
La norme CEI 61508 s’applique aux systèmes de sécurité élec- plus égale à deux fois la fréquence des tests périodiques, ce
triques, électroniques ou électroniques programmables destinés à système est considéré répondre au critère de faible sollicitation. La
exécuter des fonctions de sécurité. Elle concerne les applications politique de test permet de mettre à jour les défaillances du
pour lesquelles un défaut des systèmes est susceptible d’avoir un système entre deux sollicitations.
impact considérable sur la sécurité des personnes, de l’environ- En général, le niveau SIL 4 nécessite un investissement
nement et des installations. À ce jour, cette norme constitue l’un important et une technologie spécifique. Lorsque le risque initial
des principaux textes de référence pour la spécification, la doit être réduit d’un tel facteur, il est alors conseillé de miser sur
conception et le fonctionnement opérationnel des Systèmes Instru- un SIS de niveau de SIL inférieur couplé à d’autres couches de
mentés de Sécurité (SIS). En revanche, l’apparition de cette norme protection.

SE 4 058 − 2 est strictement interdite. − © Editions T.I.
______________________________________________ ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE D’UN SYSTÈME INSTRUMENTÉ DE SÉCURITÉ (SIS)
L’atteinte du niveau de SIL requis est ensuite vérifié à l’aide de

Tableau 1 – Définition des niveaux SIL méthodes quantitatives qui permettent de calculer le PFD d’un SIS
pour un mode de fonctionnement à faible à partir des probabilités de défaillance des éléments qui le
sollicitation compose.
Probabilité Facteur Pour se faire, diverses techniques d’analyse peuvent être
Niveau d’intégrité utilisées :
de défaillance de réduction
de sécurité
dangereuse par an du risque – des équations simplifiées ;
– des arbres de défaillances ;
SIL 1 10–1 à 10–2 10 à 100 – des approches markoviennes.
SIL 2 10–2 à 10–3 100 à 1 000
SIL 3 10–3 à 10–4 1 000 à 10 000 À retenir : un système de sécurité possédant un niveau de
SIL « n » a une probabilité de défaillance à la sollicitation com-
SIL 4 10–4 à 10–5 10 000 à 100 000 prise entre 10–n et 10–(n+1) et permet donc de réduire la proba-
bilité de l’événement d’un facteur « 10n ».
Tableau 2 – Définition des niveaux SIL

pour un mode de fonctionnement à forte 2.3 Procédure de calcul de la probabilité
sollicitation moyenne de défaillance

Probabilité à la sollicitation (PFDavg) d’un SIS
Facteur
Niveau d’intégrité de défaillance
de réduction Pour rappel, la probabilité de défaillance moyenne à la sollicita-
de sécurité dangereuse
du risque tion notée PFDavg correspond à la valeur de la probabilité de
par heure
défaillance à la sollicitation PFD (t) moyennée sur la période de
SIL 1 10–5 à 10–6 10 à 100 temps séparant deux tests notée TI. Cette probabilité s’exprime
comme suit :
SIL 2 10–6 à 10–7 100 à 1 000
TI
SIL 3 10–7 à 10–8 1 000 à 10 000 1
TI ∫0
PFDavg = PFD (t ) dt
SIL 4 10–8 à 10–9 10 000 à 100 000
Un SIS peut être représenté sous la forme d’une combinaison de
plusieurs éléments. La PFDavg du SIS se déduit alors par la somme
Pour un mode de fonctionnement à forte sollicitation, la corres- des PFDavg des différents éléments qui le compose. D’une manière
pondance entre le niveau de SIL et la fréquence de défaillances générale, un SIS est composé des trois sous-systèmes présentés
dangereuses visée par heure est présentée dans le tableau 2. Ce sur la figure 1.
mode de fonctionnement est typique des systèmes qui agissent en
permanence pour réduire un risque. Lorsque la fréquence des Pour chaque sous-système, en fonction de son architecture et de
demandes de fonctionnement sur un système relatif à la sécurité la connaissance des données de fiabilité (λ, MTTR, TI, etc.), il est
est plus grande qu’une par an, ou supérieure à la fréquence des possible d’évaluer leurs PFDavg.
tests périodiques, ce système est considéré répondre au critère de La PFD du système présenté en figure 1 s’exprime comme suit :
forte sollicitation (demande élevée ou mode continu).Il existe prin-
cipalement deux types de méthodes qui permettent de déterminer PFDavg = PFDavg (SCC) + PFDavg (SSL) + PFDavg (SSEF)
le niveau de SIL requis d’un SIS :
Chaque sous-système peut être composé par plusieurs dispo-
– les méthodes qualitatives : le niveau de SIL est évalué à partir sitifs entrant dans une architecture en série et/ou parallèle. Il est
de la connaissance des risques associés au procédé ; alors possible de décomposer chaque sous-système sous la forme
– les méthodes semi-quantitatives : le niveau de SIL est évalué d’un schéma-bloc pour déterminer la PFDavg de chacun.
en fonction de la gravité de risque et de sa fréquence d’occurrence Supposons que la décomposition d’un SIS sous forme de
(voir article [SE 4 057]). schéma-bloc amène à la configuration présentée en figure 2.
Sous-Système Capteur Sous-Système Élément

(capteur et interface Sous-Système Logique Final (interface de sortie
d’entrée) et élément final)
PFDavg (SSC) PFDavg (SSL) PFDavg (SSEF)
PFDavg (SSC) : probabilité de défaillance moyenne à la sollicitation du Sous-Système Capteur.
PFDavg (SSL) : probabilité de défaillance moyenne à la sollicitation du Sous-Système Logique.
PFDavg (SSEF) : probabilité de défaillance moyenne à la sollicitation du Sous-Système Élément Final.
Figure 1 – Décomposition d’un SIS en sous-systèmes

Tableau 3 – Comparaison des architectures 1oo2,

PFD 1 2oo2 et 2oo3
PFD 3 PFD 4 Architecture Disponibilité Sécurité
PFD 2 La défaillance non dan- Deux défaillances dan-
gereuse de l’un des deux gereuses sont néces-
Figure 2 – Décomposition sous forme de schéma-bloc éléments entraîne un saires pour que le
1oo2 déclenchement intem- système ne puisse pas
pestif : remplir sa fonction :
Les formules de calculs (relatives au schéma-bloc) permettant
Pdnds = 2 × Pdnd Pdds = (Pdd) 2
d’évaluer la PFD « globale » du système sont les suivantes :
Bloc en parallèle : La défaillance dange- La défaillance dange-
n reuse des deux éléments reuse de l’un des deux
PFDglobale = ∏PFDi est nécessaire pour éléments suffit pour que
i=1 2oo2 observer un déclenche- le système ne puisse pas
ment intempestif : remplir sa fonction :
Bloc en série :
Pdnds = (Pdnd) 2 Pdds = 2 × Pdd
n
PFDglobale = ∑PFDi La défaillance dange- Deux défaillances dange-
i=1
reuse de deux éléments reuses sont nécessaires
L’application de ces formules au schéma-bloc de la figure 2 sur trois est nécessaire pour que le système ne
permet d’en déduire : 2oo3 pour observer un déclen- puisse pas remplir sa
chement intempestif : fonction :
PFDglobale = (PFD1 × PFD 2) + PFD 3 + PFD 4
Pdnds = 3 × (Pdnd) 2 Pdds = 3 × (Pdd) 2
Pour plus d’information concernant les calculs de fiabilité liés Note :
aux schémas-blocs, le lecteur pourra se référer à la norme Pdd : Probabilité de défaillance dangereuse d’un élément
CEI 61078. de l’architecture KooN.
Pdds : Probabilité de défaillance dangereuse du système en KooN.
Pdnd : Probabilité de défaillance non dangereuse d’un élément de l’archi-
tecture KooN.
2.4 Redondance majoritaire KooN Pdnds : Probabilité de défaillance non dangereuse du système en KooN.
Par définition, la notion de redondance renvoie à l’existence, dans

une entité, de plus d’un moyen pour accomplir une fonction requise. Afin d’évaluer de manière très simple les performances d’une
Ainsi, afin de diminuer la probabilité qu’un système ne remplisse architecture KooN en termes de sécurité-disponibilité, il suffit de se
pas sa fonction de sécurité au moment où il est sollicité, une solu- poser les questions suivantes :
tion consiste à redonder certains éléments constitutifs du système.
Si l’amélioration de la sécurité est parfois nécessaire, il ne faut pas – combien de défaillances non dangereuses sont nécessaires
oublier que la disponibilité des installations se révèle dans la plupart pour que le système devienne indisponible ?
des cas aussi importante que la sécurité (ou du moins elle constitue – combien de défaillances dangereuses sont nécessaires pour
l’une des priorités des industriels). Afin de pouvoir réaliser un que le système ne soit pas en mesure de remplir sa fonction de
compromis entre la sécurité et la disponibilité des installations, un sécurité ?
certain nombre d’architectures KooN sont disponibles.
Le tableau 3 présente les réponses à ces deux questions pour
Une redondance de type KooN est une redondance dite majori- les architectures 1oo2, 2oo2 et 2oo3.
taire telle qu’une fonction n’est assurée que si au moins K des N
moyens existants sont en état de fonctionner ou en fonction- Les architectures 1oo2 et 2oo3 sont dites tolérantes à une
nement. défaillance dangereuse, car la défaillance d’un seul des éléments
ne remet pas en question le fonctionnement du système. En effet,
Exemple pour ces deux architectures, la défaillance dangereuse de deux élé-
ments est nécessaire pour que le système ne puisse pas remplir sa
Une redondance en 1oo2 comprend deux éléments connectés en fonction.
parallèle de façon à ce que chacun puisse traiter la fonction de sécu-
rité. Ainsi, la défaillance « dangereuse » des deux éléments est Les architectures 2oo2 et 2oo3 sont dites tolérantes à une
nécessaire pour qu’un signal d’alarme valide ne soit pas traité de défaillance intempestive, car en cas de défaillance intempestive de
manière adéquate. Les architectures les plus fréquemment rencon- l’un des éléments de la redondance, l’action n’est pas déclenchée.
trées sont les suivantes : En revanche, il est important de bien distinguer ces deux architec-
– 1oo1 : architecture constituée par un seul élément, toute tures. En effet, une architecture en 2oo2 permet d’assurer une
défaillance dangereuse de cet élément empêche le traitement correct bonne disponibilité de l’installation (réduction des déclenche-
de tout signal d’alarme valide ; ments intempestifs), mais cela se fait au détriment de la sécurité.
– 1oo2 : architecture constituée par deux éléments de façon à ce La figure 3 positionne ces quatre architectures sous un angle de
que chacun puisse traiter la fonction de sécurité ; compromis entre sécurité et disponibilité.
– 2oo2 : architecture constituée par deux éléments de sorte que la
fonction de sécurité est activée uniquement si les deux éléments en
font la demande. Dans ce schéma, la disponibilité de production est
assurée au détriment de la sécurité ; À retenir : une architecture en 2oo3 constitue un bon
– 2oo3 : architecture constituée par trois éléments de sorte que la compromis entre sécurité et disponibilité. Néanmoins, cette
fonction de sécurité est activée uniquement si deux éléments parmi architecture reste moins performante en termes de sécurité
les trois en font la demande. qu’une architecture 1oo2.

SE 4 058 – 4 est strictement interdite. – © Editions T.I.
Sécurité Disponibilité
1oo2 2oo2
Tolérance à une Tolérance à une
défaillance dangereuse défaillance intempestive
2oo3 2oo3
1oo1 1oo2
2oo2 1oo1
Figure 3 – Compromis sécurité-disponibilité

La mise en place d’éléments redondants dans un système per- l’architecture KooN pour le « bloc-détection » du SIS qui constitue
met évidemment de diminuer sa probabilité de défaillance. En le meilleur compromis sécurité-disponibilité ? Dans ce cas de
revanche, il est nécessaire de prendre en compte la possibilité que figure, la réponse n’est pas aussi simple que dans le cas précédent.
certaines causes ont la faculté d’entraîner la « défaillance » simul- En effet, la probabilité de non-détection est composée de deux
tanée des éléments redondants. Ces défaillances de cause termes :
commune constituent souvent la principale cause de défaillance – la PFD du système de détection ;
des systèmes redondants, puisque l’existence d’une cause – la probabilité de non-détection liée à une implantation inadé-
commune rend le système « vulnérable ». Parmi ces causes, on quate des dispositifs de détection.
peut citer :
Ainsi, il apparaît qu’une architecture en 2oo3 puisse ne pas
– les erreurs logicielles ; constituer un choix judicieux car pour que le SIS soit activé, il est
– les agressions par le milieu naturel (mouvement de terrain, nécessaire que deux détecteurs sur les trois soient atteints par le
inondation, etc.) ; nuage de gaz. Or, en fonction de l’implantation des détecteurs, de
– les perturbations engendrées par le milieu (colmatage des l’orientation du vent et des caractéristiques de la fuite (débit,
prises d’impulsion de capteurs par exemple) ; orientation) il est possible que seul un détecteur soit atteint par le
– les erreurs de maintenance. nuage. Par conséquent, dans ce cas de figure, une architecture en
Ainsi, dans les calculs de PFD, la prise en compte des modes 1oo2 constituerait un meilleur choix (sous réserve que la probabi-
communs de défaillances permet de minimiser l’erreur commise lité de déclenchement intempestif du SIS soit acceptable).
lors de l’évaluation des PFD.
Il est à noter que la prise en compte ou non d’un facteur de 3. Évaluation

mode commun de défaillance dans les calculs peut avoir un
impact significatif sur les résultats. de la probabilité moyenne
de défaillance d’un SIS
Le choix d’une architecture de type KooN doit se faire bien évi-
demment en fonction de la valeur de PFD souhaitée, mais aussi en
fonction du phénomène dangereux pour lequel le système est 3.1 Formules de calcul de la PFD average
prévu. Pour illustrer ces propos, considérons un réacteur dans
lequel une réaction exothermique est menée. Pour prévenir l’appa- issues la norme CEI 61508
rition de telles réactions, considérons que la MMR soit un SAMS
La norme CEI 61508-6 propose des formules calculs permettant
constitué par :
d’évaluer la PFD moyenne (PFDavg) à la sollicitation pour quelques
– des capteurs de température implantés au sein du réacteur ; redondances KooN. Le tableau 4 présente ces formules. Ces
– un automate de sécurité chargé de traiter les informations dernières font intervenir :
renvoyées par les capteurs ;
– des composantes du taux de défaillances dangereuses (λDD et
– un opérateur en salle de contrôle, qui, sur atteinte d’un seuil λDU) ;
haut de température, peut déclencher le noyage du réacteur (injec- – le type d’architecture ou redondance majoritaire (KooN) ;
tion d’eau dans le réacteur). – le taux de couverture des défaillances dangereuses (DC) ;
La MMR telle que décrite précédemment constitue donc un – la période de test (TI) ;
SAMS puisque c’est l’opérateur qui décide ou non d’activer le – du temps moyen de réparation (MTTR) ;
noyage du réacteur. Dans ce cas de figure, avoir recours pour la – des pourcentages de défaillance de mode commun pour les
détection à une architecture en 2oo3 semble un bon compromis. systèmes redondants (β, βD).
En effet, comme nous l’avons précédemment vu, ce type d’archi- Afin de mieux appréhender les notions de taux de défaillances
tecture permet de limiter le risque de déclenchement intempestif dangereuses détectées (λDD) ou encore le taux de défaillances
du système de noyage. dangereuses non détectées (λDU), la figure 4 présente la répar-
Considérons maintenant un SIS dont le but est d’assurer la fer- tition du taux de défaillances total (λT). Les défaillances dangereu-
meture d’organes d’isolement sur une canalisation (implantée en ses sont celles qui sont en mesure d’inhiber la fonction de
extérieur) consécutivement à une détection gaz. Quelle est alors sécurité.

Tableau 4 – Formules de calcul de PFDavg issues de la norme CEI 61508-6

Architecture PFD average
 TI 
1oo1 PFDavg = λDU ×  + MTTR + λDD × MTTR
2 
 TI 
1oo2 PFDavg = 2 × [(1 − βD ) × λDD + (1 − β ) × λDU]2 × tCE × tGE + βD × λDD × MTTR + β × λDU ×  + MTTR
2 
 TI 
2oo3 PFDavg = 6 × [(1 − βD ) × λDD + (1 − β ) × λDU]2 × tCE × tGE + βD × λDD × MTTR + β × λDU ×  + MTTR
2 
λDU  TI  λ
tGE = ×  + MTTR + DD × MTTR
λD  3  λD
λDU  TI  λ
tCE = ×  + MTTR + DD × MTTR

λD  2  λD
λ λ λ
β = 2 × βD ; λD = λDU + λDD = ; λDU = × (1 − DC ) ; λDD = × DC
2 2 2
Défaillances pouvant Taux de défaillances Taux de défaillances

inhiber la fonction dangereuses dangereuses non
de sécurité détectées (λDD) détectées (λDU)
Défaillances pouvant Taux de défaillances

Taux de défaillances
inhiber la fonction sures non détectées
sures détectées (λSD)
de sécurité (λSU)
Défaillances détectables Défaillances non détectables

par des tests périodiques par des tests périodiques
Figure 4 – Composantes du taux de défaillances total
En fait, seules les défaillances dangereuses non détectées sont

susceptibles d’empêcher un système de remplir sa fonction de
Tableau 5 – Formules de calcul de PFDavg issues
sécurité. Les défaillances sûres sont celles qui font passer un sys-
de la norme CEI 61508-6
tème d’un état normal vers un état dégradé, sans pour autant inhi- Terme Définition
ber la fonction de sécurité. En revanche, ce type de défaillance est
susceptible d’être à l’origine de déclenchement intempestif de la λD Taux de défaillances dangereuses (par heure)
fonction de sécurité. Taux de défaillances dangereuses détectées
λDD
Afin de bien caractériser les défaillances dangereuses, il est (par heure)
indispensable de bien définir au préalable la fonction de l’équipe- Taux de défaillances dangereuses non détectées
ment de sécurité. λDU
(par heure)
Exemple Intervalle de temps séparant deux tests de bon

TI
fonctionnement (en heure)
Si un capteur de température a pour fonction de détecter une aug-
mentation de température, alors une cause de défaillance dangereuse Durée moyenne de réparation du système
MTTR
est une dérive basse. Si une logique de sécurité est basée sur un sys- (en heure)
tème à relayage, alors un relais collé constitue une cause de Couverture de diagnostic (pourcentage
défaillance dangereuse pour un « relais dit à manque » (contact DC des défauts révélés par les diagnostics
s’ouvrant pour l’exécution de la sécurité). sur le nombre total de défauts)
Pourcentage de défaillances de cause commune
Pour simplifier les formules, lorsque le MTTR est faible devant la β
période séparant deux tests TI, le MTTR est parfois négligé. non détectées
Les différents termes utilisés dans les équations du tableau 4 Défaillances détectées par les tests de diagnostic
βD
sont définis dans le tableau 5. et ayant une cause commune

Le graphique en figure 5 présente l’évolution de la PFDavg en

Tableau 6 – Exemple d’application des formules fonction de la période de test TI.
de la norme CEI 61508-6
Architecture PFDavg(/sollicitation) Le graphique de la figure 5 permet de mettre en évidence que si
l’objectif recherché est de minimiser la PFD d’un système, une
1oo1 1,1 · 10–2 redondance en 1oo2 est plus adaptée qu’une configuration en
1oo2 3,7 · 10–4 2oo3.
2oo3 6,8 · 10–4 Les formules de PFDavg obtenues peuvent être simplifiées à
l’aide du développement en série entière des termes en exponen-
tielle. Après simplifications, les formules sont présentées dans le
Le tableau 6 présente les résultats obtenus par l’application des tableau 8.
formules du tableau 4. Ces valeurs, extraites de la norme
CEI 61508-6, correspondent aux probabilités moyennes de Au regard des expressions PFDavg qui figurent dans le tableau 7,
défaillance à la sollicitation en considérant : il apparaît que les formules ne prennent pas en compte les modes
– un taux de défaillances : λ = 5 · 10–6/h (soit un communs de défaillances, contrairement aux formules proposées
λDU = 2,5 · 10–6/h) ; dans la norme CEI 61508-6. Afin de prendre en compte de manière
– un intervalle entre tests périodiques de un an (TI = 8 760 h) ; simple les modes communs de défaillances, il est possible d’uti-
– une durée moyenne de rétablissement de 8 h (MTTR = 8 h) ; liser la formule approchée suivante [4] :
– une couverture de diagnostic nulle (DC = 0) ;

– pourcentage de défaillances de causes communes non détec- λDU × TI
tées de 2 % (β = 2 %). PFDKooN = CKooN × β ×
2
Il est à noter que les formules proposées dans la norme
CEI 61508-6 le sont sans réelle justification (pas de démonstration Le tableau 9 présente les valeurs du coefficient CKooN en fonc-
quant à leurs origines) et seules les expressions littérales finales tion de l’architecture KooN.
sont exposées. Ainsi, certaines interrogations, voire de critiques
relatives à ces formules, sont à relever dans la littérature. Néan- Le tableau 10 présente les résultats obtenus en retenant les
moins, ces formules constituent un référentiel sur lequel il est pos- coefficients CKooN du tableau 9 et en considérant :
sible de s’appuyer. Dans les articles [1] et [2], il est argumenté que
dans le cadre des hypothèses restrictives proposées dans la – un taux de défaillances λDU = 2,5 · 10–6/h ;
norme, les résultats obtenus en appliquant ces formules et ceux
obtenus par des méthodes plus sophistiquées (modèle markovien – une période de test TI = 8 760 h ;
multiphases, réseau de Pétri ou arbre de défaillances) sont relati- – un facteur β = 2 %.
vement proches, les valeurs PFD obtenues par l’application de ces
formules s’avérant plutôt pessimistes. Au regard des valeurs présentées dans le tableau 10, il apparaît
que l’erreur commise en prenant en compte ou non les modes
communs de défaillances n’est pas trop pénalisante. Ainsi, en pre-
3.2 Évaluation des probabilités mière approche, il semble acceptable d’évaluer la PFDavg à l’aide
de défaillances moyenne à la des formules proposées dans le tableau 7 lorsque le facteur de
sollicitation (PFD average) à partir mode commun (β) n’est pas connu, ou si les besoins de l’étude ne
nécessitent qu’une évaluation de l’ordre de grandeur de la PFDavg .
des expressions de la fiabilité R (t)
Il est possible de comparer les valeurs de PFDavg avec prise en
Dans l’ouvrage System Reliability Theory [3], la relation suivante compte des modes communs de défaillances obtenues par appli-
permet de relier la probabilité de défaillance d’un système à sa fia- cation des formules de la norme CEI 61508-6, et celles obtenues à
bilité R (t ) : l’aide de la formule rapportée dans [4]. Le tableau 11 présente le
TI résultat de cette comparaison.
1
TI 0∫
PFDavg = 1− R (t ) dt
Au regard des rapports (2)/(1) du tableau 11, les valeurs obte-
nues par l’application des formules de la norme CEI 61508-6 et
À partir de cette formule, il est alors possible de déterminer les celles obtenues par application de la formule proposée dans [4]
équations présentées dans le tableau 7. sont du même ordre de grandeur.
Tableau 7 – Expressions des PFD d’après [3] pour les architectures 1oo1, 1oo2, 2oo3
Architecture Fiabilité R (t) PFDavg
1
1oo1 exp (− λt ) 1− (1 − exp (− λDU TI))
λDU TI
2 1
1oo2 2 exp (− λt ) − exp (− 2λt ) 1− (1 − exp (− λDU TI)) + (1 − exp (− 2λDU TI))
λDU TI 2λDU TI
3 1
2oo3 3 exp (− 2λt ) − 2 exp (− 3λt ) 1− (1 − exp (− 2λDU TI)) + − 3λDU TI))
(1 − exp (−
2λDU TI 3λDU TI

PFD pour différentes configuration KooN (pour λDU = 5.10–5/h)

1.00E + 00
1.00E – 01
1.00E – 02
PFD
1.00E – 03
1.00E – 04
1.00E – 05
0 2 000 4 000 6 000 8 000 10 000 12 000 14 000 16 000 18 000 20 000
Temps en heure
1oo1 1oo2 2oo3
Figure 5 – Évolution de la PFD en fonction de la période de test TI pour différentes redondances majoritaires KooN
Tableau 8 – Expressions simplifiées des PFD Tableau 11 – Comparaison des valeurs de PFDavg
du tableau 7 obtenues par application des formules
de la norme CEI 61508-6 et celles obtenues
Redondance majoritaire PFDavg par application de la formule proposée dans [4]
λ DU × TI PFDavg mode
1oo1 PFDavg avec
commun
2 mode
Architecture (norme Rapport (2)/(1)
commun
CEI 61508-6)
(d’après [4]) (2)
1 (1)
1oo2 × (λ DU × TI)2
3 1oo2 3,7 · 10–4 2,2 · 10–4 0,59
2oo3 (λ DU × TI)2 2oo3 0,68 · 10–3 0,52 · 10–3 0,77
3.3 Erreur à ne pas commettre

lors d’une approche par arbres
Tableau 9 – Coefficients CKooN d’après [4]
de défaillances
Architecture CKooN
Afin d’évaluer la PFDavg d’un SIS, il est possible, comme nous
1oo2 1 l’avons vu, de décomposer le SIS sous la forme d’un schéma-bloc,
2oo3 2,4 puis d’appliquer les formules de calculs exposées au
paragraphe 3.2. Une autre manière de procéder est d’utiliser un
arbre de défaillances. À titre d’exemple, considérons un SIS dont la
fonction de sécurité est de couper l’alimentation d’une capacité sur
détection de niveau haut.
Tableau 10 – Valeurs de PFDavg obtenues
Nous considérerons que :
par application de la formule proposée dans [4]
– la mesure de niveau est assurée à l’aide de trois capteurs ;
PFDavg sans mode PFDavg avec mode
Architecture commun commun – la ligne d’alimentation est équipée de deux vannes de section-
(/sollicitation) (/sollicitation) nement automatiques ;
– le traitement logique est assuré par un automate de sécurité pou-
1oo1 1,1 · 10–2 – vant entrer dans la composition de SIS de niveau SIL 3, pour lequel
1oo2 1,6 · 10–4 2,2 · 10–4 un calcul spécifique aboutit à une PFDavg de 10–4/sollicitation ;
– les vannes sont en redondance majoritaire 1oo2 et les capteurs
2oo3 4,8 · 10–4 5,2 · 10–4 de niveau en redondance majoritaire 2oo3.

L’analyse des coupes minimales de l’arbre permet de conclure que

le SIS ne remplira pas sa fonction de sécurité dans les cas suivant :
Capteurs Automate Vannes d’isolement – défaillance concomitante de deux capteurs de niveau parmi les
de niveau en 2oo3 de sécurité en 1oo2 trois ;
– défaillance de l’automate de sécurité ;
– défaillance concomitante des deux vannes d’isolement auto-
Figure 6 – Schéma de principe du SIS matiques.
En considérant que :
– les taux de défaillances dangereuses non détectées (λDU) des
vannes et des capteurs de niveau soient de 5 · 10–6/h ;
Note : dans cet exemple, les modes communs de défail-
– la période de test TI du SIS soit de six mois.
lances ne seront pas retenus dans le but de simplifier les
démonstrations. Il est possible d’en déduire que la PFDavg de chacun de ces dis-
positifs de sécurité est de l’ordre de 1,1 · 10–2/sollicitation
λ TI
Le schéma en figure 6 présente le SIS permettant de prévenir le (PFDavg ≈ DU ) .
suremplissage de la capacité. 2
À partir de la connaissance des coupes minimales de l’arbre de
L’arbre de défaillances présenté en figure 7 permet de mettre en défaillances et des PFDavg pour chacun des dispositifs qui
évidence l’ensemble des combinaisons de causes dont la réalisa- composent le SIS, il est possible d’en déduire sa PFDavg . Les cal-
tion aboutit à la « défaillance » du SIS. culs sont présentés dans le tableau 12.
« Défaillance »
du SIS
@SIS-1
Défaillance Défaillance Défaillance

des capteurs de l’automate des vannes
de niveau de sécurité d'isolement
@SIS-2 AS @SIS-3
Défaillance Défaillance Défaillance

des capteurs Défaillance Défaillance
des capteurs des capteurs
C1 et C3 de la vanne V1 de la vanne V2
C1 et C2 C2 et C3
@SIS-4 @SIS-5 @SIS-6 V1 V2
Défaillance Défaillance Défaillance Défaillance Défaillance Défaillance

du capteur C1 du capteur C2 du capteur C1 du capteur C3 du capteur C2 du capteur C3
C1 C2 C1 C3 C2 C3
Figure 7 – Arbre de défaillances du SIS de la figure 6
Tableau 12 – Évaluation de la PFDavg du SIS à l’aide de l’arbre de défaillances présenté

en figure 7
Réf. Composition de la coupe minimale Probabilité de la coupe minimale
1 AS P (1) = P (AS) = 1 ⋅ 10−4
2 C1 · C2 , ⋅ 10−2 ) 2 = 1, 2 ⋅ 10−4
P (2) = P (C1) × P (C2) = (11
3 C1 · C3 , ⋅ 10−2 ) 2 = 1, 2 ⋅ 10−4
P (3) = P (C1) × P (C2) = (11
4 C2 · C3 , ⋅ 10−2 ) 2 = 1, 2 ⋅ 10−4
P (4) = P (C2) × P (C3) = (11
5 V1 · V2 , ⋅ 10−2 ) 2 = 1, 2 ⋅ 10−4
P (5) = P (V1) × P (V2) = (11
La PFDavg du SIS s’exprime comme suit :
PFDavg (SIS) = P(1) + P(2) + P(3) + P(4) + P(5) ≈ 5,8 ⋅ 10−4

Tableau 13 – PFDavg avant et après intégration de l’expression de la fiabilité

Expression de la PFD Expression de la PFD Écart
Redondance PFDavg PFDavg
avant intégration après intégration (%)
1oo1
λ DU TI 1,1 · 10–2
λ DU TI 1,1 · 10–2 0
2 2
1oo2 λ DU
2 TI2
1,2 · 10–4 λ DU
2 TI2
1,6 · 10–4 33 %
4 3
3λ DU
2 TI2
3,6 · 10–4 4,8 · 10–4
2oo3 λ DU
2 TI2 33 %
4
Les valeurs de PFDavg sont évaluées en considérant les valeurs suivantes :
λ DU= 5 ⋅ 10−6 / h
TI = 4 380 heures
L’écart en % correspond à l’écart entre la valeur de PFDavg évaluée à l’aide de l’expression après intégration et celle calculée à l’aide de l’expression avant
intégration.
Tableau 14 – PFDavg après intégration de l’expression de la fiabilité dans le cas du SIS présenté
en figure 6
Expression de la PFD
Dispositif Redondance PFDavg(/sollicitation)
après intégration
Automate 1oo1 – 1 · 10–4
λ DU
2 TI2
Vanne 1oo2 1,6 · 10–4
3
Capteurs de niveau 2oo3 λ DU

2 TI2 4,8 · 10–4
SIS – – 7,4 · 10–4
Dans l’exemple précédent, les calculs ont été réalisés en 3.4 Notion d’architecture minimale
considérant la PFDavg de chacun des dispositifs puis en appliquant
les règles de calculs relatives aux portes ET et OU de l’arbre de
d’un SIS
défaillances. Cette manière de procéder revient en fait à évaluer la
Les calculs de PFD de SIS sont entachés d’une incertitude en par-
PFDavg d’une redondance majoritaire de type KooN avant l’intégra-
tie liée à l’incertitude sur les données de fiabilité utilisées (λ, etc.).
tion de l’expression de la fiabilité R (t).
Afin de rendre plus pragmatique cette démarche d’évaluation des
Par exemple, pour les deux vannes d’isolement V1 et V2 en PFD, la norme CEI 61511 fournit des prescriptions minimales en ter-
redondance majoritaire 1oo2, la PFDavg n’est pas égale au produit mes de redondances permettant de justifier d’un niveau de SIL.
des intégrales.
Les tableaux 15 et 16 présentent ces prescriptions pour des
TI
unités logiques programmables et pour des capteurs, éléments
1 terminaux et unités logiques non programmables.
TI ∫0
PFDavg (1oo2) vanne = 1 − 2R (t ) − R 2 (t ) dt
Concernant les Automates Programmable de Sécurité (APS), le
SFF est généralement supérieur à 90 % ; la redondance n’apparaît
Le tableau 13 présente les expressions de PFDavg obtenues pour donc nécessaire que dans le but de réaliser une fonction SIL 3. Les
différentes redondances majoritaires KooN suivant que les calculs éléments concernés par la mise en redondance sont principale-
soient réalisés avant ou après intégration de l’expression de la fia- ment les unités centrales (CPU) et les alimentations.
bilité R (t).
En reprenant le cas du SIS présenté en figure 6, l’erreur
commise sur la PFDavg du SIS en procédant par arbre de défail- 3.5 Exemple d’évaluation de PFDavg
lances est mise en évidence dans le tableau 14. d’un SIS
La figure 8 présente de manière simplifiée la mise en place d’un
À retenir : au regard des résultats présentés dans le SIS permettant de limiter la pression à l’intérieur d’un équipement
tableau 13, il apparaît qu’une évaluation de la PFDavg pour des sous pression. Ce type de dispositif est connu sous le nom de High
redondances majoritaires de type KooN avant intégration de Integrity Pressure Protection System (HIPPS). Ce type de système
l’expression de la fiabilité R (t ) aboutit à l’obtention de résultats peut être mis en place lorsque le débit de gaz destiné à brûler au
optimistes (PFDavg plus faible). niveau d’une torche suite à l’ouverture de soupapes nécessiterait

une torche dont les dimensions sont trop contraignantes en ter-

Tableau 15 – Prescriptions minimales en termes mes de dimensionnement.
de redondances d’après la CEI 61511
pour des unités logiques programmables Ce cas d’étude a pour objectif d’évaluer la probabilité moyenne
de défaillances à la sollicitation (PFDavg) du SIS tel que présenté en
Tolérance minimale aux anomalies du matériel figure 9.
SIL
SFF < 60 % SFF 60 % à 90 % SFF > 90 % La PFD du SIS présenté en figure 9 s’exprime comme suit :
1 Redondance = 1 Redondance = 0 Redondance = 0
PFD (SIS) = PFD (bloc détection) + PFD (bloc traitement log ique)
2 Redondance = 2 Redondance = 1 Redondance = 0 + PFD (isolement)
3 Redondance = 3 Redondance = 2 Redondance = 1
PFD (SIS) = PFD (2oo 3)détection + PFD (1oo 2)log ique + PFD (1oo2)isolement
4 Des exigences particulières s’appliquent – se référer
Pour le calcul de la PFD (SIS), les données de fiabilité du
à la norme CEI 61508
tableau 17 sont retenues.
Note :
SFF (Safe Failure Fraction) : proportion de défaillance en sécurité, Le tableau 18 présente pour chacun des blocs (détection, traite-
capacité du système à détecter des défaillances. ment logique et isolement) les valeurs de PFD obtenues en
Pour un système sans autotest : considérant ou non les modes communs de défaillances, et en
retenant les formules du tableau et la formule [4].
∑ λT −∑ λD
SFF = Au regard des valeurs rapportées dans le tableau 18, il apparaît

∑ λT que la prise en compte des modes communs de défaillances a une
Pour un système avec autotest : influence significative sur les résultats puisque l’évaluation de la
PFDavg du SIS sans les prendre en compte amène, sur cet
SFF =
∑ λT −∑ λDU exemple, à minimiser la PFDavg d’environ un facteur 3.
∑ λT Dans notre cas d’étude, la probabilité moyenne de défaillances à
λT : taux de défaillances total (somme des défaillances dangereuses et la sollicitation du SIS présenté en figure 9 est de
non dangereuses). 1,8 · 10–4/sollicitation. Cette faible valeur s’explique en partie par
les redondances sur chacun des blocs fonctionnels composant le
SIS. Au regard de valeur de la PFDavg , ce SIS pourrait être
considéré de niveau SIL 3.
Tableau 16 – Prescriptions minimales en termes
de redondances d’après la CEI 61511
pour des capteurs, éléments terminaux et unités
logiques non programmables 4. Conclusion
SIL Tolérance minimale aux anomalies du matériel
Il est important de conserver à l’esprit que les probabilités de
1 Redondance = 0
défaillances évaluées pour les SIS sont nécessairement entachées
2 Redondance = 1 d’une incertitude. En effet, pour réaliser les calculs, l’analyste a
besoin de recourir entre autre à des taux de défaillances. Pour se
3 Redondance = 2 faire, l’utilisation de banques de données constitue la manière la
4 Des exigences particulières s’appliquent – plus répandue d’alimenter les calculs de fiabilité. Or, en fonction
se référer à la norme CEI 61508 des banques de données consultées, des écarts pouvant être supé-
rieurs à un facteur 10 sont parfois observés.
Sous-système
traitement logique
Sous-système
détection
Logique
P3
Rejet orienté vers P2
P1
une torchère
Équipement
Équipement
sous
sous
pression
pression
V1 V2
Sous-système isolement
Sécurité basée sur un dispositif

Sécurité basée sur un SIS (HIPPS)
de sécurité actif (soupape)
Figure 8 – Schéma de principe du cas étudié

Tableau 18 – Évaluation de la PFDavg du SIS

présenté en figure 9
P1
PFDavg PFDavg
sans mode sans mode Rapport
P2 2oo3 Logique 1oo2 V1 V2 Bloc Architecture
commun commun (2)/(1)
(1) (2)
P3
Détection 2oo3 1,7 · 10–6 4,7 · 10–5 28
Traitement
Bloc fonctionnel Bloc fonctionnel Bloc fonctionnel 1oo2 6 · 10–8 4,4 · 10–6 74
détection traitement logique isolement logique
Isolement 1oo2 5,4 · 10–5 1,27 · 10–4 2,4
Figure 9 – Décomposition du SIS sous forme de schéma-bloc
SIS – 5,6 · 10–5 1,8 · 10–4 3
(1) Valeur de la PFDavg sans prise en compte des modes communs de
défaillances.
(2) Valeur de la PFDavg avec prise en compte des modes communs de
Tableau 17 – Données de fiabilité défaillances.
caractérisant le SIS présenté en figure 9
Taux de Mode
défaillances commun de Le choix de la banque de données et la bonne interprétation des
(10–6/h) défaillances MTTR TI données qui y sont rapportées constituent donc des étapes pré-
Dispositif
(h) (h) pondérantes dans l’évaluation de la PFD d’un SIS.
D DU D De plus en l’absence de données spécifique à un matériel, l’ana-
lyste est souvent amené à faire certaines hypothèses sur des para-
Transmetteurs mètres, tels que le pourcentage de mode commun, le temps
analogiques 0,8 0,3 3% 1,5 % 8 4 380 moyen de réparation, etc. La PFD d’un SIS calculée, par exemple, à
(P1, P2, P3) l’aide des formules présentées dans cet article, ne saurait donc
être une valeur exacte, et il est nécessaire que l’analyste précise
Logique 1 0,1 2% 1% 8 4 380 les hypothèses et limites des calculs réalisés.
Enfin, le niveau SIL d’un SIS n’est pas une caractéristique intrin-
Vanne* (V1, V2) 4 2,9 2% 1% 8 4 380 sèque à un système et n’est donc pas garanti à vie. En effet, les
* Les électrovannes sont supposées inclues.
éléments qui le constituent vieillissent irrémédiablement au cours
du temps, et leurs performances viennent donc à se dégrader.

P
O
U
Évaluation de la probabilité R
de défaillance d’un Système
E
Instrumenté de Sécurité (SIS) N
par Olivier IDDIR

S
Ingénieur analyse de risques industriels
TECHNIP France
A
Service expertise & modélisation – Division procédés et technologie V

O
I
À lire également dans nos bases
R
ZWINGELSTEIN (G.). – Sûreté de fonctionnement CHAPOUILLE (P.). – Fiabilité et maintenabilité. IDDIR (O.). – Principe d’évaluation de la probabilité
des systèmes industriels complexes. [S 8 250] [T 4 300]. de défaillances des mesures de maîtrise des ris-
Sécurité et gestion des risques (1999). ques. [SE 4 057] Sécurité et gestion des risques
(2009).
P
Sources bibliographiques
L
[1] INNAL (F.), DUTUIT (Y.), RAUZY (A.) et SI- [2] INNAL (F.), DUTUIT (Y.), RAUZY (A.) et SI- Methods and Applications. Second edition –
GNORET (J.P.). – An attempt to better un-
derstand and to better apply some recom-
GNORET (J.P.). – New insight into PFDavg
and PFH. Communication acceptée pour [4]
WILEY – INTERSCIENCE.
SINTEF. – Reliability Prediction Method for
U
mendations of IEC 61508 standard. ESREL 2008 Conference, Valencia, Spain, 22- Safety Instrumented Systems. PDS Method
Proceedings of the 30th ESReDA Seminar on
Reliability of Safety Critical Systems – SIN- [3]
25 sept. 2008.
RAUSAND (M.) et HØYLAND (A.). – System
handbook, 2006 edition, avr. 2006. S
TEF/NTU (Organizers), Trondheim, Norway, Reliability Theory Models, Statistical
7-8 juin 2006.
Sites Internet
Institut national de l’environnement industriel et des risques (INERIS) SINTEF
http://www.ineris.fr http://www.sintef.no
Instrumentation society of america (ISA) Institut pour la maîtrise des risques (IMdR)
http://www.isa-france.org http://www.imdr-sdf.asso.fr
Normes et standards
CEI 61078 Techniques d’analyse pour la sûreté de fonctionnement – CEI 61511 Sécurité Fonctionnelle des systèmes instrumentés de sécu-
Bloc diagramme de fiabilité et méthodes booléennes rité pour le secteur de l’industrie des procédés continus
CEI 61508 Sécurité fonctionnelle des systèmes électriques/électro-
niques/électroniques programmables relatifs à la sécurité –
Chapitre 1 à 7

est strictement interdite. – © Editions T.I. Doc. SE 4 058 – 1
GAGNEZ DU TEMPS ET SÉCURISEZ VOS PROJETS
EN UTILISANT UNE SOURCE ACTUALISÉE ET FIABLE
Techniques de l’Ingénieur propose la plus importante

collection documentaire technique et scientifique
en français !
Grâce à vos droits d’accès, retrouvez l’ensemble
des articles et fiches pratiques de votre offre,
leurs compléments et mises à jour,
et bénéficiez des services inclus.
   
RÉDIGÉE ET VALIDÉE MISE À JOUR 100 % COMPATIBLE SERVICES INCLUS
PAR DES EXPERTS PERMANENTE SUR TOUS SUPPORTS DANS CHAQUE OFFRE
NUMÉRIQUES
 + de 350 000 utilisateurs

 + de 10 000 articles de référence
 + de 80 offres
 15 domaines d’expertise
Automatique - Robotique Innovation
Biomédical - Pharma Matériaux
Construction et travaux publics Mécanique
Électronique - Photonique Mesures - Analyses
Énergies Procédés chimie - Bio - Agro
Environnement - Sécurité Sciences fondamentales
Génie industriel Technologies de l’information
Ingénierie des transports
Pour des offres toujours plus adaptées à votre métier,

découvrez les offres dédiées à votre secteur d’activité
Depuis plus de 70 ans, Techniques de l’Ingénieur est la source

d’informations de référence des bureaux d’études,
de la R&D et de l’innovation.
www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
LES AVANTAGES ET SERVICES
compris dans les offres Techniques de l’Ingénieur
  
ACCÈS
Accès illimité Téléchargement des articles Consultation sur tous

aux articles en HTML au format PDF les supports numériques
Enrichis et mis à jour pendant Pour un usage en toute liberté Des contenus optimisés
toute la durée de la souscription pour ordinateurs, tablettes et mobiles
 
SERVICES ET OUTILS PRATIQUES
Questions aux experts* Articles Découverte Dictionnaire technique multilingue

Les meilleurs experts techniques La possibilité de consulter des articles 45 000 termes en français, anglais,
et scientifiques vous répondent en dehors de votre offre espagnol et allemand
 
Archives Impression à la demande Alertes actualisations
Technologies anciennes et versions Commandez les éditions papier Recevez par email toutes les nouveautés
antérieures des articles de vos ressources documentaires de vos ressources documentaires
*Questions aux experts est un service réservé aux entreprises, non proposé dans les offres écoles, universités ou pour tout autre organisme de formation.
ILS NOUS FONT CONFIANCE
www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com

Tiase Se4058

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Tiase Se4058

Transféré par

Droits d'auteur :

Formats disponibles

Réf.

Cet article est issu de : Archives

par Olivier IDDIR

Pour toute question :

par Olivier IDDIR

Service expertise et modélisation – Division procédés et technologie

1. Systèmes Instrumentés de Sécurité : un type de barrière SE 4 058 - 2

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE D’UN SYSTÈME INSTRUMENTÉ DE SÉCURITÉ (SIS) ______________________________________________

– la CEI 61511, qui est la norme sectorielle « process

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

______________________________________________ ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE D’UN SYSTÈME INSTRUMENTÉ DE SÉCURITÉ (SIS)

L’atteinte du niveau de SIL requis est ensuite vérifié à l’aide de

Tableau 2 – Définition des niveaux SIL

sollicitation moyenne de défaillance

Sous-Système Capteur Sous-Système Élément

PFDavg (SSC) PFDavg (SSL) PFDavg (SSEF)

PFDavg (SSC) : probabilité de défaillance moyenne à la sollicitation du Sous-Système Capteur.

PFDavg (SSL) : probabilité de défaillance moyenne à la sollicitation du Sous-Système Logique.

PFDavg (SSEF) : probabilité de défaillance moyenne à la sollicitation du Sous-Système Élément Final.

Figure 1 – Décomposition d’un SIS en sous-systèmes

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE D’UN SYSTÈME INSTRUMENTÉ DE SÉCURITÉ (SIS) ______________________________________________

Tableau 3 – Comparaison des architectures 1oo2,

Par définition, la notion de redondance renvoie à l’existence, dans

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

______________________________________________ ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE D’UN SYSTÈME INSTRUMENTÉ DE SÉCURITÉ (SIS)

Figure 3 – Compromis sécurité-disponibilité

Il est à noter que la prise en compte ou non d’un facteur de 3. Évaluation

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE D’UN SYSTÈME INSTRUMENTÉ DE SÉCURITÉ (SIS) ______________________________________________

Tableau 4 – Formules de calcul de PFDavg issues de la norme CEI 61508-6

tCE = ×  + MTTR + DD × MTTR

Défaillances pouvant Taux de défaillances Taux de défaillances

Défaillances pouvant Taux de défaillances

Défaillances détectables Défaillances non détectables

Figure 4 – Composantes du taux de défaillances total

En fait, seules les défaillances dangereuses non détectées sont

Exemple Intervalle de temps séparant deux tests de bon

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

______________________________________________ ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE D’UN SYSTÈME INSTRUMENTÉ DE SÉCURITÉ (SIS)

Le graphique en figure 5 présente l’évolution de la PFDavg en

– une couverture de diagnostic nulle (DC = 0) ;

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE D’UN SYSTÈME INSTRUMENTÉ DE SÉCURITÉ (SIS) ______________________________________________

PFD pour différentes configuration KooN (pour λDU = 5.10–5/h)

2oo3 (λ DU × TI)2 2oo3 0,68 · 10–3 0,52 · 10–3 0,77

3.3 Erreur à ne pas commettre

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

______________________________________________ ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE D’UN SYSTÈME INSTRUMENTÉ DE SÉCURITÉ (SIS)

L’analyse des coupes minimales de l’arbre permet de conclure que

Défaillance Défaillance Défaillance

Défaillance Défaillance Défaillance

Défaillance Défaillance Défaillance Défaillance Défaillance Défaillance

Figure 7 – Arbre de défaillances du SIS de la figure 6

Tableau 12 – Évaluation de la PFDavg du SIS à l’aide de l’arbre de défaillances présenté

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

ÉVALUATION DE LA PROBABILITÉ DE DÉFAILLANCE D’UN SYSTÈME INSTRUMENTÉ DE SÉCURITÉ (SIS) ______________________________________________

Tableau 13 – PFDavg avant et après intégration de l’expression de la fiabilité

Les valeurs de PFDavg sont évaluées en considérant les valeurs suivantes :

Capteurs de niveau 2oo3 λ DU

SIS – – 7,4 · 10–4

Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie