Académique Documents
Professionnel Documents
Culture Documents
: SE4058 V1
Évaluation de la probabilité de
Date de publication :
10 octobre 2009
défaillance d'un Système
Instrumenté de Sécurité (SIS)
Mots-clés Résumé Les normes IEC 61508 et 61511 permettent de caractériser la performance d'un
Système instrumenté de équipement de sécurité (61508) et d'une fonction instrumentée de sécurité (61511) en
sécurité (SIS) | Redondance |
Probabilité de défaillance à la évaluant son niveau de SIL (Safety Integrity Level). Il existe quatre niveaux de SIL, le
sollicitation (PFD) | IEC 61508 | niveau 4 renvoyant au niveau le plus « élevé », le niveau 1 au niveau le plus « faible ».
IEC 61511 | Mode commun de
défaillances Un système de SIL « n », a une probabilité de défaillance à la sollicitation comprise entre
10-n et 10-(n+1). Pour déterminer le niveau de SIL d'une fonction instrumentée de
sécurité, il est nécessaire de calculer la probabilité de défaillance. L'article explicite la
manière dont il est possible d'évaluer la probabilité de défaillances à la sollicitation à
l'aide de formules de calcul simplifiées ou à l'aide de la méthode arbre de défaillances.
Keywords Abstract Today IEC 61508 and IEC 61511 are the central standards for the specification,
Safety Instrumented Systems design and operation of Safety Instrumented Systems (SIS). There are four levels of risk
(SIS) | Redundancy | Probability
of Failure on Demand (PFD) | reduction, ranging from SIL 1, the lowest, to SIL 4, the highest. Safety Integrity Levels are
IEC 61508 | IEC 61511 | Common order-of-magnitude bands of risk reduction. IEC 61508 and IEC 61511 contain much
cause failure
useful information and guidance for safety improvement in the use of safety systems. This
paper discusses how to assess the probability of failure with simplified formulas or a fault
tree.
Par mail :
infos.clients@teching.com
Par téléphone :
00 33 (0)1 53 35 20 20 © Techniques de l'Ingénieur | tous droits réservés
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Évaluation de la probabilité
de défaillance d’un Système
Instrumenté de Sécurité (SIS)
fin d’éviter que des phénomènes dangereux tels que des incendies, des
A explosions ou encore des rejets de matières dangereuses, pouvant occa-
sionner des dommages sur les personnes, l’environnement ou les biens, les
industriels sont amenés à mettre en place des Mesures de Maîtrise des
Risques (MMR) dont le rôle est de prévenir l’apparition de tels phénomènes ou
d’en limiter les conséquences.
L’article [SE 4 057] présente les différentes couches de protection pouvant
être mises en œuvre afin de réduire les risques dans le but de les rendre
acceptables. Parmi ces couches de protection, se trouvent les Systèmes Instru-
mentés de Sécurité (SIS). L’article [SE 4 057] présente différentes méthodo-
logies qui permettent de définir la probabilité de défaillance maximale
admissible pour une MMR. D’une manière générale, ces méthodologies sont
basées sur des analyses quantitatives lorsque les risques sont importants et
sur des méthodes semi-quantitatives pour les risques moins importants.
Une fois la probabilité de défaillance maximale admissible déterminée, il est
nécessaire de définir l’architecture du SIS permettant d’atteindre cette valeur.
tiwekacontentpdf_se4058 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Pour ce faire, les normes CEI 61508 et CEI 61511 peuvent être utilisées. En
revanche, il est important de souligner que les formules de calcul présentées
dans ces normes ne sont pas les seuls outils pouvant être utilisés pour évaluer
la probabilité de défaillance d’un SIS.
Cet article a pour objectif de rappeler les principales formules de calculs pro-
posées dans ces normes et de les comparer à des formules simplifiées. Il est à
noter que les calculs présentés dans cet article ont pour vocation de permettre
une première évaluation des probabilités de défaillances. En aucun cas de telles
évaluations ne peuvent se substituer aux résultats d’une réelle analyse SIL.
1. Systèmes Instrumentés n’est pas récente puisque sa déclinaison en norme française date
de 1999 (NF EN 61508). Cette norme a donné naissance à plusieurs
de Sécurité : un type normes filles dont :
Parution : octobre 2009 - Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
tiwekacontentpdf_se4058 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
tiwekacontentpdf_se4058 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
n
PFDglobale = ∑PFDi La défaillance dange- Deux défaillances dange-
i=1
reuse de deux éléments reuses sont nécessaires
L’application de ces formules au schéma-bloc de la figure 2 sur trois est nécessaire pour que le système ne
permet d’en déduire : 2oo3 pour observer un déclen- puisse pas remplir sa
chement intempestif : fonction :
PFDglobale = (PFD1 × PFD 2) + PFD 3 + PFD 4
Pdnds = 3 × (Pdnd) 2 Pdds = 3 × (Pdd) 2
Pour plus d’information concernant les calculs de fiabilité liés Note :
aux schémas-blocs, le lecteur pourra se référer à la norme Pdd : Probabilité de défaillance dangereuse d’un élément
CEI 61078. de l’architecture KooN.
Pdds : Probabilité de défaillance dangereuse du système en KooN.
Pdnd : Probabilité de défaillance non dangereuse d’un élément de l’archi-
tecture KooN.
2.4 Redondance majoritaire KooN Pdnds : Probabilité de défaillance non dangereuse du système en KooN.
tiwekacontentpdf_se4058 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Sécurité Disponibilité
1oo2 2oo2
Tolérance à une Tolérance à une
défaillance dangereuse défaillance intempestive
2oo3 2oo3
1oo1 1oo2
2oo2 1oo1
La mise en place d’éléments redondants dans un système per- l’architecture KooN pour le « bloc-détection » du SIS qui constitue
met évidemment de diminuer sa probabilité de défaillance. En le meilleur compromis sécurité-disponibilité ? Dans ce cas de
revanche, il est nécessaire de prendre en compte la possibilité que figure, la réponse n’est pas aussi simple que dans le cas précédent.
certaines causes ont la faculté d’entraîner la « défaillance » simul- En effet, la probabilité de non-détection est composée de deux
tanée des éléments redondants. Ces défaillances de cause termes :
commune constituent souvent la principale cause de défaillance – la PFD du système de détection ;
des systèmes redondants, puisque l’existence d’une cause – la probabilité de non-détection liée à une implantation inadé-
commune rend le système « vulnérable ». Parmi ces causes, on quate des dispositifs de détection.
peut citer :
Ainsi, il apparaît qu’une architecture en 2oo3 puisse ne pas
– les erreurs logicielles ; constituer un choix judicieux car pour que le SIS soit activé, il est
– les agressions par le milieu naturel (mouvement de terrain, nécessaire que deux détecteurs sur les trois soient atteints par le
inondation, etc.) ; nuage de gaz. Or, en fonction de l’implantation des détecteurs, de
– les perturbations engendrées par le milieu (colmatage des l’orientation du vent et des caractéristiques de la fuite (débit,
prises d’impulsion de capteurs par exemple) ; orientation) il est possible que seul un détecteur soit atteint par le
– les erreurs de maintenance. nuage. Par conséquent, dans ce cas de figure, une architecture en
Ainsi, dans les calculs de PFD, la prise en compte des modes 1oo2 constituerait un meilleur choix (sous réserve que la probabi-
communs de défaillances permet de minimiser l’erreur commise lité de déclenchement intempestif du SIS soit acceptable).
lors de l’évaluation des PFD.
tiwekacontentpdf_se4058 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
TI
1oo1 PFDavg = λDU × + MTTR + λDD × MTTR
2
TI
1oo2 PFDavg = 2 × [(1 − βD ) × λDD + (1 − β ) × λDU]2 × tCE × tGE + βD × λDD × MTTR + β × λDU × + MTTR
2
TI
2oo3 PFDavg = 6 × [(1 − βD ) × λDD + (1 − β ) × λDU]2 × tCE × tGE + βD × λDD × MTTR + β × λDU × + MTTR
2
λDU TI λ
tGE = × + MTTR + DD × MTTR
λD 3 λD
λDU TI λ
Parution : octobre 2009 - Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
λ λ λ
β = 2 × βD ; λD = λDU + λDD = ; λDU = × (1 − DC ) ; λDD = × DC
2 2 2
Les différents termes utilisés dans les équations du tableau 4 Défaillances détectées par les tests de diagnostic
βD
sont définis dans le tableau 5. et ayant une cause commune
tiwekacontentpdf_se4058 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
2oo3 6,8 · 10–4 Les formules de PFDavg obtenues peuvent être simplifiées à
l’aide du développement en série entière des termes en exponen-
tielle. Après simplifications, les formules sont présentées dans le
Le tableau 6 présente les résultats obtenus par l’application des tableau 8.
formules du tableau 4. Ces valeurs, extraites de la norme
CEI 61508-6, correspondent aux probabilités moyennes de Au regard des expressions PFDavg qui figurent dans le tableau 7,
défaillance à la sollicitation en considérant : il apparaît que les formules ne prennent pas en compte les modes
– un taux de défaillances : λ = 5 · 10–6/h (soit un communs de défaillances, contrairement aux formules proposées
λDU = 2,5 · 10–6/h) ; dans la norme CEI 61508-6. Afin de prendre en compte de manière
– un intervalle entre tests périodiques de un an (TI = 8 760 h) ; simple les modes communs de défaillances, il est possible d’uti-
– une durée moyenne de rétablissement de 8 h (MTTR = 8 h) ; liser la formule approchée suivante [4] :
Parution : octobre 2009 - Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Tableau 7 – Expressions des PFD d’après [3] pour les architectures 1oo1, 1oo2, 2oo3
Architecture Fiabilité R (t) PFDavg
1
1oo1 exp (− λt ) 1− (1 − exp (− λDU TI))
λDU TI
2 1
1oo2 2 exp (− λt ) − exp (− 2λt ) 1− (1 − exp (− λDU TI)) + (1 − exp (− 2λDU TI))
λDU TI 2λDU TI
3 1
2oo3 3 exp (− 2λt ) − 2 exp (− 3λt ) 1− (1 − exp (− 2λDU TI)) + − 3λDU TI))
(1 − exp (−
2λDU TI 3λDU TI
tiwekacontentpdf_se4058 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
1.00E – 01
1.00E – 02
PFD
1.00E – 03
1.00E – 04
Parution : octobre 2009 - Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
1.00E – 05
0 2 000 4 000 6 000 8 000 10 000 12 000 14 000 16 000 18 000 20 000
Temps en heure
1oo1 1oo2 2oo3
Figure 5 – Évolution de la PFD en fonction de la période de test TI pour différentes redondances majoritaires KooN
Tableau 8 – Expressions simplifiées des PFD Tableau 11 – Comparaison des valeurs de PFDavg
du tableau 7 obtenues par application des formules
de la norme CEI 61508-6 et celles obtenues
Redondance majoritaire PFDavg par application de la formule proposée dans [4]
λ DU × TI PFDavg mode
1oo1 PFDavg avec
commun
2 mode
Architecture (norme Rapport (2)/(1)
commun
CEI 61508-6)
(d’après [4]) (2)
1 (1)
1oo2 × (λ DU × TI)2
3 1oo2 3,7 · 10–4 2,2 · 10–4 0,59
tiwekacontentpdf_se4058 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
évidence l’ensemble des combinaisons de causes dont la réalisa- composent le SIS, il est possible d’en déduire sa PFDavg . Les cal-
tion aboutit à la « défaillance » du SIS. culs sont présentés dans le tableau 12.
« Défaillance »
du SIS
@SIS-1
tiwekacontentpdf_se4058 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
1oo1
λ DU TI 1,1 · 10–2
λ DU TI 1,1 · 10–2 0
2 2
1oo2 λ DU
2 TI2
1,2 · 10–4 λ DU
2 TI2
1,6 · 10–4 33 %
4 3
3λ DU
2 TI2
3,6 · 10–4 4,8 · 10–4
2oo3 λ DU
2 TI2 33 %
4
λ DU= 5 ⋅ 10−6 / h
Parution : octobre 2009 - Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
TI = 4 380 heures
L’écart en % correspond à l’écart entre la valeur de PFDavg évaluée à l’aide de l’expression après intégration et celle calculée à l’aide de l’expression avant
intégration.
Tableau 14 – PFDavg après intégration de l’expression de la fiabilité dans le cas du SIS présenté
en figure 6
Expression de la PFD
Dispositif Redondance PFDavg(/sollicitation)
après intégration
Automate 1oo1 – 1 · 10–4
λ DU
2 TI2
Vanne 1oo2 1,6 · 10–4
3
Dans l’exemple précédent, les calculs ont été réalisés en 3.4 Notion d’architecture minimale
considérant la PFDavg de chacun des dispositifs puis en appliquant
les règles de calculs relatives aux portes ET et OU de l’arbre de
d’un SIS
défaillances. Cette manière de procéder revient en fait à évaluer la
Les calculs de PFD de SIS sont entachés d’une incertitude en par-
PFDavg d’une redondance majoritaire de type KooN avant l’intégra-
tie liée à l’incertitude sur les données de fiabilité utilisées (λ, etc.).
tion de l’expression de la fiabilité R (t).
Afin de rendre plus pragmatique cette démarche d’évaluation des
Par exemple, pour les deux vannes d’isolement V1 et V2 en PFD, la norme CEI 61511 fournit des prescriptions minimales en ter-
redondance majoritaire 1oo2, la PFDavg n’est pas égale au produit mes de redondances permettant de justifier d’un niveau de SIL.
des intégrales.
Les tableaux 15 et 16 présentent ces prescriptions pour des
TI
unités logiques programmables et pour des capteurs, éléments
1 terminaux et unités logiques non programmables.
TI ∫0
PFDavg (1oo2) vanne = 1 − 2R (t ) − R 2 (t ) dt
Concernant les Automates Programmable de Sécurité (APS), le
SFF est généralement supérieur à 90 % ; la redondance n’apparaît
Le tableau 13 présente les expressions de PFDavg obtenues pour donc nécessaire que dans le but de réaliser une fonction SIL 3. Les
différentes redondances majoritaires KooN suivant que les calculs éléments concernés par la mise en redondance sont principale-
soient réalisés avant ou après intégration de l’expression de la fia- ment les unités centrales (CPU) et les alimentations.
bilité R (t).
En reprenant le cas du SIS présenté en figure 6, l’erreur
commise sur la PFDavg du SIS en procédant par arbre de défail- 3.5 Exemple d’évaluation de PFDavg
lances est mise en évidence dans le tableau 14. d’un SIS
La figure 8 présente de manière simplifiée la mise en place d’un
À retenir : au regard des résultats présentés dans le SIS permettant de limiter la pression à l’intérieur d’un équipement
tableau 13, il apparaît qu’une évaluation de la PFDavg pour des sous pression. Ce type de dispositif est connu sous le nom de High
redondances majoritaires de type KooN avant intégration de Integrity Pressure Protection System (HIPPS). Ce type de système
l’expression de la fiabilité R (t ) aboutit à l’obtention de résultats peut être mis en place lorsque le débit de gaz destiné à brûler au
optimistes (PFDavg plus faible). niveau d’une torche suite à l’ouverture de soupapes nécessiterait
tiwekacontentpdf_se4058 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Sous-système
traitement logique
Sous-système
détection
Logique
P3
Rejet orienté vers P2
P1
une torchère
Équipement
Équipement
sous
sous
pression
pression
V1 V2
Sous-système isolement
tiwekacontentpdf_se4058 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Taux de Mode
défaillances commun de Le choix de la banque de données et la bonne interprétation des
(10–6/h) défaillances MTTR TI données qui y sont rapportées constituent donc des étapes pré-
Dispositif
(h) (h) pondérantes dans l’évaluation de la PFD d’un SIS.
D DU D De plus en l’absence de données spécifique à un matériel, l’ana-
lyste est souvent amené à faire certaines hypothèses sur des para-
Transmetteurs mètres, tels que le pourcentage de mode commun, le temps
analogiques 0,8 0,3 3% 1,5 % 8 4 380 moyen de réparation, etc. La PFD d’un SIS calculée, par exemple, à
(P1, P2, P3) l’aide des formules présentées dans cet article, ne saurait donc
être une valeur exacte, et il est nécessaire que l’analyste précise
Logique 1 0,1 2% 1% 8 4 380 les hypothèses et limites des calculs réalisés.
Enfin, le niveau SIL d’un SIS n’est pas une caractéristique intrin-
Vanne* (V1, V2) 4 2,9 2% 1% 8 4 380 sèque à un système et n’est donc pas garanti à vie. En effet, les
* Les électrovannes sont supposées inclues.
éléments qui le constituent vieillissent irrémédiablement au cours
du temps, et leurs performances viennent donc à se dégrader.
tiwekacontentpdf_se4058 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
P
O
U
Évaluation de la probabilité R
de défaillance d’un Système
E
Instrumenté de Sécurité (SIS) N
Sites Internet
Institut national de l’environnement industriel et des risques (INERIS) SINTEF
http://www.ineris.fr http://www.sintef.no
Instrumentation society of america (ISA) Institut pour la maîtrise des risques (IMdR)
http://www.isa-france.org http://www.imdr-sdf.asso.fr
Normes et standards
CEI 61078 Techniques d’analyse pour la sûreté de fonctionnement – CEI 61511 Sécurité Fonctionnelle des systèmes instrumentés de sécu-
Bloc diagramme de fiabilité et méthodes booléennes rité pour le secteur de l’industrie des procédés continus
CEI 61508 Sécurité fonctionnelle des systèmes électriques/électro-
niques/électroniques programmables relatifs à la sécurité –
Chapitre 1 à 7
tiwekacontentpdf_se4058 v1 Ce document a ete delivre pour le compte de 7200031704 - institut algerien du petrole // mouaadh HASSANI // 154.121.32.182
GAGNEZ DU TEMPS ET SÉCURISEZ VOS PROJETS
EN UTILISANT UNE SOURCE ACTUALISÉE ET FIABLE
RÉDIGÉE ET VALIDÉE MISE À JOUR 100 % COMPATIBLE SERVICES INCLUS
PAR DES EXPERTS PERMANENTE SUR TOUS SUPPORTS DANS CHAQUE OFFRE
NUMÉRIQUES
www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
LES AVANTAGES ET SERVICES
compris dans les offres Techniques de l’Ingénieur
ACCÈS
SERVICES ET OUTILS PRATIQUES
Archives Impression à la demande Alertes actualisations
Technologies anciennes et versions Commandez les éditions papier Recevez par email toutes les nouveautés
antérieures des articles de vos ressources documentaires de vos ressources documentaires
*Questions aux experts est un service réservé aux entreprises, non proposé dans les offres écoles, universités ou pour tout autre organisme de formation.
www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com