Se4059 Nouvelles Exigences de La Norme Iec 61511

Réf.
: SE4059 V1
Nouvelles exigences
Date de publication :
10 mai 2019 de la norme IEC 61511
Cet article est issu de : Environnement - Sécurité | Sécurité et gestion des risques
par Olivier IDDIR
Mots-clés Résumé En 2016 est parue une nouvelle version de la norme IEC 61511 qui constitue
Sécurité fonctionnelle | Niveau une référence internationale pour la sécurité fonctionnelle des systèmes instrumentés de
de SIL | Fonctions
instrumentées de sécurité | sécurité (SIS) dans l’industrie de procédés. Cette nouvelle version, attendue de longue
Systèmes instrumentés de date, introduit des modifications de fond. En fonction de la phase du cycle de vie
sécurité
concernée, les modifications introduites par cette nouvelle version sont plus ou moins
significatives. Cet article présente les principales modifications introduites par rapport à la
version précédente et explique leur impact sur la phase du cycle de vie concernée.
Keywords Abstract In 2016, the new version of the IEC 61511 standard, recognized as an
Functional safety | SIL level | international reference for the functional safety of safety instrumented systems (SIS) in
Safety instrumented functions |
Safety instrumented systems the process industry, was published. This new version introduces substantive changes.
Depending of the phase of the life cycle concerned, the changes introduced by this new
version are more or less significant. This article presents the main changes introduced
compared to the previous version and explains their impact on the phase of the life cycle
concerned.
Pour toute question :

Service Relation clientèle
Techniques de l’Ingénieur
Immeuble Pleyad 1 Document téléchargé le : 02/02/2021
39, boulevard Ornano
93288 Saint-Denis Cedex Pour le compte : 7200083552 - universite de liege // campus helha CENTRE DE DOCUMENTATION // 193.190.2
Par mail :
infos.clients@teching.com
Par téléphone :
00 33 (0)1 53 35 20 20 © Techniques de l'Ingénieur | tous droits réservés
Ce document a ete delivre pour le compte de 7200083552 - universite de liege // campus helha CENTRE DE DOCUMENTATION // 193.190.208.38
Nouvelles exigences de la norme

IEC 61511
par Olivier IDDIR

Ingénieur quantification des risques – Membre du réseau des experts de TechnipFMC
Département Expertise & Modélisation – TechnipFMC, La Défense, France
Parution : mai 2019 - Ce document a ete delivre pour le compte de 7200083552 - universite de liege // campus helha CENTRE DE DOCUMENTATION // 193.190.208.38
1. Sécurité fonctionnelle ................................................................... SE 4 059 – 2

1.1 Définition de la sécurité fonctionnelle .............................................. — 2
1.2 Rappels sur les risques industriels .................................................... — 2
1.3 Origine des défaillances des barrières de sécurité ........................... — 3
1.4 Rappels sur les normes de sécurité fonctionnelle ............................ — 3
1.4.1 Évolution des normes ............................................................. — 3
1.4.2 Cycle de vie .............................................................................. — 4
2. Nouvelles exigences de l’IEC 61511 ............................................ — 5
2.1 Principales évolutions ........................................................................ — 5
2.2 Valorisation de plusieurs couches de protection dans un BPCS ...... — 7
2.3 Réduction du risque d’un facteur supérieur à 10 000 ....................... — 9
2.4 Réduction du risque par plusieurs SIF passant par un même
automate............................................................................................. — 9
2.5 Exigences minimales en termes de redondance .............................. — 9
2.6 Exigence sur le choix des matériels .................................................. — 11
2.7 Mise en œuvre et évaluation de la sécurité fonctionnelle ................ — 11
2.7.1 Gestion des compétences ....................................................... — 11
2.7.2 Vérification ............................................................................... — 11
3. Nouvelles exigences sur les calculs ............................................ — 11
3.1 Rappels sur le SIL .............................................................................. — 11
3.2 Paramètres à prendre en considération ............................................ — 12
3.3 Prise en compte des incertitudes ...................................................... — 16
3.3.1 Enjeux liés à la prise en compte des incertitudes .................. — 16
3.3.2 Exigences relatives à la prise en compte des incertitudes .... — 16
4. Conclusion........................................................................................ — 17
5. Glossaire ........................................................................................... — 19
6. Sigles, notations et symboles ...................................................... — 19
Pour en savoir plus.................................................................................. Doc. SE 4 059
A fin d’éviter que des phénomènes dangereux tels que des incendies, des
explosions ou encore des rejets de matières dangereuses puissent occa-
sionner des dommages sur les personnes, l’environnement et les biens, les
industriels sont amenés à mettre en place des barrières de sécurité. Ces barriè-
res peuvent agir en prévention en réduisant la probabilité d’occurrence de ces
phénomènes (barrières de prévention), ou en mitigation en limitant leurs consé-
quences (barrières de mitigation).
Le retour d’expérience permet de mettre en évidence que les accidents indus-
triels majeurs sont généralement la conséquence d’un enchaı̂nement d’événe-
ments indésirables combiné à des défaillances de barrières de sécurité. Les fonc-
tions instrumentées de sécurité (SIF), assurées par des systèmes instrumentés de
sécurité (SIS), constituent un type de barrière de sécurité qui vient compléter les
autres types de barrières qui peuvent être mis en œuvre afin d’assurer la sécurité.
Copyright © - Techniques de l’Ingénieur - Tous droits réservés SE 4 059 – 1
tiwekacontentpdf_se4059 v1 Ce document a ete delivre pour le compte de 7200083552 - universite de liege // campus helha CENTRE DE DOCUMENTATION // 193.190.208.38
NOUVELLES EXIGENCES DE LA NORME IEC 61511 ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Les normes IEC 61508 (générique) et IEC 61511 (pour les industries de trans-
formation) constituent des référentiels normatifs sur lesquels il est possible de
s’appuyer lors de la conception, mais aussi tout au long du cycle de vie des SIF.
En effet, elles fournissent des prescriptions pour chaque activité du cycle de vie
de sécurité de ces systèmes. Des accidents tels que celui survenu à Buncefield
en 2005 confirment que pour une grande majorité des utilisateurs, certaines
prescriptions fondamentales de ces normes restaient mal interprétées ou mal
appliquées, voire pour certaines totalement méconnues.
Face à ce constat, une nouvelle version de la norme IEC 61511 est parue en
2016 avec pour objectifs de :
clarifier et/ou renforcer certaines exigences ;
fournir au travers de la partie 2 de la norme un guide plus pratique pour
décliner les prescriptions de la partie 1.
Cette nouvelle version reprend les principes fondamentaux de la précédente
version de 2003 tout en introduisant des modifications substantielles sur certai-
nes activités du cycle de vie de sécurité.
Après une première section de l’article dédiée à quelques rappels de base sur
la sécurité fonctionnelle, les modifications introduites dans la nouvelle version
de l’IEC 61511 sont présentées. La troisième et dernière section de l’article est
quant à elle consacrée aux nouvelles exigences relatives aux calculs des proba-
bilités de défaillances des SIF.
La méthode LOPA [2], [SE 4 075] introduit le concept de « couches

1. Sécurité fonctionnelle de protection » présenté en figure 1. Ce concept repose sur le prin-
cipe que les moyens mis en œuvre dans le but de réduire les ris-
ques sont nombreux et diversifiés. Ces différents moyens sont
1.1 Définition de la sécurité fonctionnelle prévus pour intervenir de manière graduelle dans le temps.
En d’autres termes, ces différentes couches vont être « sollicitées »
Dans son guide d’interprétation des normes IEC 61508 et tour à tour avec pour objectif de « stopper » le déroulement du scé-
61511 [1], la section ISA France définit la sécurité fonctionnelle nario d’accident ou d’en réduire les effets.
comme : « Sous-ensemble de la sécurité globale qui dépend du L’une des couches de protection (au sens de la LOPA) repose sur
bon fonctionnement d’un système ou d’un équipement en réponse les systèmes instrumentés de sécurité (SIS). Un SIS est un
à ses entrées ».
ensemble de matériels qui composent le système de sécurité.
L’IEC 61511:2016 définit la sécurité fonctionnelle comme : « Sous- Il comprend un ensemble de capteurs, logiques et actionneurs/élé-
ensemble de la sécurité globale se rapportant au processus et au ments finaux.
BPCS (basic process control system), qui dépend du fonctionne-
ment correct du système instrumenté de sécurité (SIS) et d’autres Un SIS a pour vocation de mettre en œuvre des fonctions ins-
couches de protection ». trumentées de sécurité (SIF) qui correspondent à des automatis-
mes de sécurité composés d’un ou de plusieurs capteurs, d’une
Au sens de la norme, la sécurité fonctionnelle a pour objectif logique et d’un ou de plusieurs actionneurs/éléments finaux
d’étudier la capacité des systèmes instrumentés de sécurité (SIS) dans le but de remplir une fonction de sécurité donnée. Comme
à accomplir comme prévu les fonctions de sécurité qui leur sont présenté en figure 2, une SIF est généralement composée de
assignées dans l’optique d’éviter la survenue d’accidents pouvant trois principaux blocs :
porter atteinte à la vie des personnes, à l’environnement ou à l’inté-
grité des biens matériels. un bloc détection assuré par des capteurs ou détecteurs char-
gés d’identifier une dérive de paramètre (pression, tempéra-
ture, niveau, etc.) par rapport à une valeur seuil ;
1.2 Rappels sur les risques industriels un bloc traitement de l’information assuré par un système de
traitement logique chargé de recevoir les informations issues
Par la nature de leurs activités, de nombreuses industries sont
des capteurs et de les traiter afin de générer des ordres de
génératrices de risques. Pour prévenir les accidents et tenter d’en
limiter les conséquences, les industriels sont amenés à mettre en commande vers les actionneurs (on peut aussi trouver des
place différentes barrières pour prévenir l’apparition d’un accident systèmes à relayage) ;
(barrière de prévention), ou pour en limiter les conséquences (bar- un bloc action assuré par des actionneurs/éléments finaux
rière de mitigation et de protection). chargé de mettre le système dans une position de sécurité.
SE 4 059 – 2 Copyright © - Techniques de l’Ingénieur - Tous droits réservés
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– NOUVELLES EXIGENCES DE LA NORME IEC 61511
Plans d’intervention (8)
Plans d’urgence site (7)
Protection post décharge

(cuvette de rétention, etc.) (6)
Sécurités physiques
(organe de décharge, etc.) (5)
Systèmes instrumentés
de sécurité (4)
Alarmes et interventions
humaines (3)
Conduite du procédé (2)

Conception
du procédé (1)
Figure 1 – Différentes couches de protection suivant LOPA [2]
De la répartition des causes de défaillances présentée en figure 3,

il ressort que les causes de dysfonctionnement de systèmes de
sécurité sont liées pour :
SIF 44 % à des erreurs de spécification ;
20 % à des modifications après réception et installation ;
Entrée Sortie
15 % à des opérations de maintenance mal réalisées ou
inadéquates ;
Logique
15 % à des erreurs de conception ou à une mauvaise
implantation ;
6 % à une mauvaise réception ou installation.
Au regard de la nature des causes pouvant conduire à des dys-
fonctionnements des systèmes de sécurité, il apparaı̂t que celles-ci
Bloc détection Bloc traitement Bloc action trouvent leurs origines tout au long du cycle de vie des systèmes.
Ce cycle de vie couvre toutes les phases d’un système : sa concep-
tion, sa réception, son exploitation, sa maintenance et son déman-
tèlement. Encadrer ces différentes étapes pour guider les princi-
Figure 2 – Les différents blocs d’une fonction instrumentée
de sécurité (SIF)
paux acteurs qui interviennent à chacune des étapes du cycle de
vie d’un système permet de limiter la survenue d’erreurs pouvant
mener à des dysfonctionnements.
Une fonction instrumentée de sécurité (SIF) est réalisée par
un système instrumenté de sécurité (SIS). Un SIS contient géné- 1.4 Rappels sur les normes de sécurité
ralement plusieurs SIF.
fonctionnelle
Afin de s’assurer que les SIS permettent d’atteindre l’objectif de 1.4.1 Évolution des normes
sécurité visé (c’est-à-dire ramener le niveau de risque aussi bas que
possible), il est important qu’ils soient conçus, exploités et mainte- À la suite d’accidents industriels majeurs survenus dans les
nus correctement. Les normes IEC 61508 et 61511 en lien avec la années 1980, dont l’accident sur la plate-forme Piper Alpha en
sécurité fonctionnelle ont pour finalité d’encadrer les étapes du 1988, le rôle crucial des barrières de sécurité a été mis en lumière.
cycle de vie des SIS et ainsi d’atteindre cet objectif. Pour prévenir et limiter les conséquences de tels accidents, des nor-
mes internationales ont été élaborées dans le but d’encadrer toutes
les étapes du cycle de vie des SIS.
1.3 Origine des défaillances des barrières Dans les années 1990, plusieurs normes ont ainsi vu le jour dans
de sécurité le but de guider les concepteurs et les intégrateurs de barrières de
sécurité instrumentées avec pour objectif de réduire autant que
Le HSE (health and safety executive) dans un rapport [3] pointe faire se peut les erreurs aléatoires, mais aussi les erreurs systéma-
du doigt l’importance d’encadrer les différentes étapes du cycle de tiques. Parmi ces normes, les plus significatives sont :
vie des SIS. En effet, d’après ce rapport, une analyse des causes ISA S84:1996 ;
profondes de défaillances de systèmes de sécurité permet de
remonter à la répartition des causes de défaillances présentée en IEC 61508:1998 (édition 1), IEC 61508:2010 (édition 2) ;
figure 3. IEC 61511:2003 (édition 1), IEC 61511:2016 (édition 2).
Opérations de maintenance mal

réalisées ou inadéquates : 15 % Erreurs
de spécification : 44 %
Mauvaise réception
ou installation : 6 %
Erreur de conception
ou mauvaise
implantation : 15 %
Modifications après réception

et installation : 20 %
Figure 3 – Causes profondes des défaillances des systèmes de sécurité [3]
En particulier, la norme IEC 61508:1998 fournit une approche

générique pour les systèmes électriques et/ou électroniques Accident
et/ou électroniques programmables (E/E/EP) relatifs à la sécurité. Piper Alpha
Elle concerne les applications pour lesquelles un défaut des systè- 1 989 1 998 2 003 2 010 2 016
mes est susceptible d’avoir un impact considérable sur la sécurité
des personnes, de l’environnement et des installations. À ce jour,
cette norme constitue l’un des principaux textes de référence pour 1 988
la spécification, la conception et le fonctionnement opérationnel IEC 61508
des SIS. Cette norme a été par la suite déclinée suivant les secteurs (début des travaux)
d’activités donnant naissance à plusieurs normes filles dont : IEC 61508
Ed 1,0
l’IEC 61511 qui est la norme sectorielle « industries de
transformation » ; IEC 61511
Ed 1,0
l’IEC 62061 qui est la norme sectorielle « machine » ; COR 1 : 2 004
l’IEC 61513 qui est la norme sectorielle « nucléaire ». IEC 61508
Ed 2,0
L’IEC 61508 et l’IEC 61511 constituent des références incontourna- IEC 61511
bles dans le cadre de la mise en œuvre de la sécurité fonctionnelle. Ed 2,0
Elles permettent d’encadrer toutes les étapes du cycle de vie des
SIS depuis leurs conceptions jusqu’à leurs démantèlements.
Figure 4 – Évolution des normes IEC 61508 et 61511
L’IEC 61511 a pour finalités :
de faire la chasse aux erreurs systématiques en encadrant tou- 1.4.2 Cycle de vie
tes les étapes du cycle de vie des SIF (exemples : mauvaise
spécification du système, maintenance/tests inadaptés, etc.) ; L’IEC 61511:2016 définit le cycle de vie comme : « Activités néces-
saires à la mise en œuvre de SIF, se déroulant au cours d’une
de prendre en compte les défaillances aléatoires pouvant
période de temps, qui commence à la phase de conception d’un
empêcher les SIF de remplir leurs fonctions de sécurité.
projet et se termine lorsque toutes les SIF ne sont plus disponibles
à l’utilisation ».
L’IEC 61511 décrit les exigences relatives à la spécification, la Le 11 décembre 2005, un accident en Grande-Bretagne est survenu
conception, l’installation, au fonctionnement et à la mainte- sur le dépôt d’hydrocarbures de Buncefield. Cet accident, lié à l’explo-
nance d’un SIS de manière qu’il puisse être mis en œuvre en sion d’un nuage d’essence (UVCE), a provoqué par effet domino de
toute confiance pour établir ou maintenir le processus dans un nombreux incendies sur le dépôt (amenant à la quasi totale destruc-
état de sécurité convenable. tion des installations). Cet UVCE a fait suite à un débordement d’un
bac d’essence durant sa phase de remplissage. Ce débordement, a
pu être possible du fait de la défaillance des deux systèmes automa-
L’IEC 61511-1:2016 (édition 2) est composée de trois parties :
tiques de détection de niveau dans le réservoir.
partie 1 : cadre, définitions, exigences pour le système, le
matériel et la programmation d’application ; Suite à l’analyse des causes de cet accident, un rapport du
HSE [4] met en lumière les principales recommandations pour évi-
partie 2 : lignes directrices pour l’application de l’IEC 61511-1:2016 ; ter des dysfonctionnements similaires à ceux survenus lors de cet
partie 3 : conseils pour la détermination des niveaux exigés accident. Parmi ces recommandations, certaines sont liées aux
d’intégrité de sécurité. fonctions instrumentées de sécurité :
En 2016, la nouvelle version de l’IEC 61511 a vu le jour. Cette nou- définir les niveaux d’intégrité requis (SIL pour safety integrity
velle version, attendue de longue date, est venue renforcer et clari- level) en fonction de la criticité des risques ;
fier un certain nombre d’exigences. raisonner par fonctions de sécurité et non par équipements ;
prévoir une maintenance et des tests adaptés pour maintenir

le « SIL » ; 2. Nouvelles exigences
appliquer le cycle de vie dans sa totalité (conception, exploita- de l’IEC 61511
tion, maintenance, démantèlement).
Ce rapport fait ressortir l’importance à accorder à l’encadrement
du cycle de vie des SIS. Les différentes étapes du cycle de vie de
l’IEC 61511:2016 sont présentées en figure 5.
2.1 Principales évolutions
Il est important de bien comprendre que les différentes étapes La nouvelle version de la norme introduit des modifications de
du cycle de vie ne doivent pas être considérées comme des activi- forme et de fond. Tout d’abord, sur la forme, les volumes des par-
tés indépendantes à conduire en parallèle sans aucune interaction. ties 1, 2 et 3 de la norme ont été modifiées :
En effet, pour la majorité des étapes, les documents qui consti- la partie 1 est légèrement réduite ( ª 80 pages contre 84) ;
tuent les délivrables d’une étape correspondent aux données
d’entrée d’une autre. À titre d’exemple, lors de l’étape 3 (spécifica- la partie 2 est presque doublée ( ª 203 pages contre 71) ;
tion des exigences de sécurité du système instrumenté de sécu- la partie 3 est plus développée ( ª 102 pages contre 53).
rité), un document relatif aux spécifications des exigences de sécu-
rité (SRS pour safety requirements specification) doit être réalisé. Pour rappel, seule la partie 1 est « obligatoire » ; les parties 2 et 3
Ce document contient les spécifications relatives aux exigences sont informatives.
fonctionnelles pour les SIF et leurs niveaux d’intégrité de sécurité L’augmentation significative de la partie 2 qui fournit des recom-
associés. Ce délivrable de l’étape 3 constitue la donnée d’entrée de mandations d’application de la norme IEC 61511-1 partie 1 est liée
l’étape 4 (conception et ingénierie du système instrumenté de au retour d’expérience sur la précédente version de la norme.
sécurité) puisque c’est sur la base du SRS que sont conçues les En effet, sur de nombreux articles de la partie 1, les utilisateurs
différentes SIF. étaient parfois perdus face à certaines prescriptions peu claires pro-
pices à l’interprétation.
Comme suggéré par la figure 6, les différentes étapes du cycle
de vie doivent donc être perçues comme les pièces d’un puzzle. L’augmentation de la partie 3 qui fournit des recommandations
pour la détermination des niveaux d’intégrité de sécurité (SIL)
Au regard des différentes étapes présentées sur le cycle de vie en
s’explique en partie par :
figure 5, il est possible d’en conclure que l’IEC 61511 demande :
une place plus importante donnée à la présentation des autres
de réaliser une analyse des risques liés aux installations ;
approches que le graphe de risques pour déterminer les
de définir des facteurs de réduction du risque (RRF pour risk niveaux de SIL requis ;
reduction factor) attendus pour réduire les risques à un niveau
l’introduction des approches booléennes pour les calculs de
« tolérable » ;
probabilité de défaillance.
de spécifier dans un document (SRS) les spécifications atten-
dues pour les matériels (hardware) et le programme d’appli- Concernant le second point, la norme IEC 61511 via cette par-
cation (software) ; tie 3 tend vers les recommandations de l’ISO/TR 12489:2013 qui
de rédiger un manuel de sécurité pour le SIS ; pour le calcul de PFDavg et PFH favorise le recours à des approches
autres que l’utilisation de formules simplifiées (telles que celles
de mettre en place un système de gestion de la sécurité proposées dans l’annexe B de l’IEC 61508-6). Il est aussi abordé le
fonctionnelle ; calcul de la probabilité de défaillance associée dans le cas de plu-
de réaliser des vérifications et des audits de sécurité sieurs SIF valorisées vis-à-vis d’un même scénario d’accident.
fonctionnelle ;
Le tableau 1 indique pour le chapitre 1 de l’IEC 61511 si l’article a
de définir les opérations de test et de maintenance nécessai- été modifié de manière substantielle ou non.
res pour garantir du maintien dans le temps des performan-
ces des fonctions instrumentées de sécurité ; Sur le fond, les principales évolutions de la nouvelle version de
l’IEC 61511 sont :
de valider les systèmes avant leur utilisation (FAT pour factory
acceptance test et SAT pour site acceptance test) ; 1/ la valorisation possible sous conditions de plusieurs couches
de protection incluses dans un système de conduite (BPCS) (cf. arti-
d’encadrer les modifications du SIS. cles 9.3.2 à 9.3.5 de la norme) ;
Les principaux délivrables associés à l’application de l’IEC 61511 2/ de nouvelles exigences lorsque le facteur de réduction du
sont : risque visé est supérieur à 10 000 (cf. articles 9.2.5 à 9.2.7 de la
le plan de management de la sécurité fonctionnelle (functio- norme) ;
nal safety management plan) ; 3/ la limitation du facteur de réduction du risque associé à plu-
le (ou les) rapport(s) d’analyses de risques (exemple : rapports sieurs SIF passant par un même automate (cf. article 9.2.8 de la
HAZOP) ; norme) ;
la liste des SIF à traiter en revue SIL pour définir les facteurs 4/ la modification des exigences minimales en termes de redon-
de réduction du risque (RRF) attendus pour ces barrières ; dances en fonction du niveau de SIL visé (cf. article 11.4.5 de la
le (ou les) rapport(s) des revues SIL (niveau de SIL requis et norme) ;
RRF pour chaque SIF) ; 5/ le renforcement des exigences sur l’utilisation de matériels
le SRS (safety requirements specification) ; éprouvés (cf. article 11.9.3 de la norme) ;
le (ou les) rapport(s) de vérification des niveaux de SIL (calcul 6/ une clarification des exigences relatives aux calculs de proba-
de probabilité de défaillance des SIF : PFDavg (average proba- bilité de défaillance des SIF (cf. article 11.9.2 de la norme) ;
bility of failure on demand) ou PFH (probability of failure per
7/ une exigence relative à la prise en compte des incertitudes
hour) suivant le mode de fonctionnement de la SIF ;
dans les calculs de probabilité de défaillance des SIF (cf. arti-
le (ou les) rapport(s) de vérification ; cle 11.9.4 de la norme) ;
le (ou les) rapport(s) d’audit ; 8/ des exigences renforcées sur la mise en œuvre et l’évaluation
le (ou les) rapport(s) de validation. de la sécurité fonctionnelle.
Gestion, Structure Analyse de danger et de risque

évaluation et audit et planification Article 8
1 Vérification
de la sécurité du cycle de vie
fonctionnelle de sécurité
Affectation des fonctions

de sécurité aux couches
de protection
Article 9
2
Spécification
des exigences de sécurité
du système
instrumenté de sécurité
Article 10
3 Conception
et développement
Stage 1 d’autres moyens
de réduction de risque
Article 9
Conception et ingénierie
du système instrumenté
de sécurité
Article 11, 12 et 13
4
Stage 2
Installation, mise en service

et validation
Articles 14 et 15
5
Stage 3
Fonctionnement et maintenance
Article 16
6
Stage 4
Modification
Article 17
Article 5 6,2 de l’article 6 7 Articles 7 et 12,5
Stage 5
Déclassement
Article 18
10 11 8 9
Sens des informations
Pas d’exigence détaillée dans la norme IEC 61511
Exigences détaillées dans la norme IEC 61511
Figure 5 – Cycle de vie extrait de l’IEC 61511:2016
Les nouvelles exigences de la norme IEC 61511 listées ci-avant En plus des principales modifications listées dans le tableau 1, la
sont détaillées une à une dans la suite de cette section, sauf les exi- nouvelle version de la norme IEC 61511 :
gences relatives au calcul de probabilité de défaillance des SIF et à introduit une vingtaine de nouvelles définitions, parmi
la prise en compte des incertitudes dans ces calculs qui font l’objet lesquelles :
de la section 3.
– dérivation (by-pass) : article 3.2.4 de la norme ;
– mesure compensatoire : article 3.2.7 de la norme ;
– temps moyen de dépannage (MRT) : article 3.2.37.1 de la
norme ;
– durée moyenne de rétablissement (MTTR) : article 3.2.37.2 de la
norme ;
Démantellement
– temps de dépannage maximal admis (MPRT) : article 3.2.37.3 de
la norme ;
Analyse des risques
– temps de sécurité du processus (process safety time) : arti-
cle 3.2.52.1 de la norme ;
– capacité systématique : article 3.2.80 de la norme.
différencie deux modes de fonctionnement pour une SIF à la
sollicitation (article 3.2.39 de la norme) :
Allocation
SIL requis
– faible sollicitation ;
Modification – sollicitation élevée.
La nouvelle version de l’IEC 61511 tend vers un alignement des

définitions et des concepts communs à l’IEC 61508 (entre
autres sur les modes de fonctionnement d’une SIF, la capacité
Maintenance
Operation
systématique et le temps de sécurité des processus).

Spécifications
&
2.2 Valorisation de plusieurs couches

de protection dans un BPCS
Conception
Les alarmes généralement inclues dans le système de conduite

Installation peuvent, sous certaines conditions, être valorisées comme des
barrières de sécurité. L’IEC 61511:2003 limitait le facteur de réduc-
tion du risque à 10 pour l’ensemble des couches de protection
gérées par le système de conduite (BPCS pour basic process
control system).
La nouvelle version de la norme IEC 61511 mentionne que le fac-
teur de réduction du risque alloué à une couche de protection
gérée par un BPCS doit être inférieur ou égal à 10. Si le facteur de
Figure 6 – Interdépendance des étapes du cycle de vie réduction du risque revendiqué pour une couche de protection
Tableau 1 – Analyse des modifications clause par clause

Article Modification Type de modification
Demande la mise en place de procédures pour gérer la

compétence des personnes, et que des évaluations périodiques
soient effectuées pour documenter cette compétence par rapport Substantielle
aux activités qu’elles exercent (article 5.2.2.3 de la norme).
5 : Management de la sécurité fonc- Nouvelles exigences pour les fournisseurs (article 5.2.5.2 de la norme).
tionnelle
Demande d’évaluation de la sécurité fonctionnelle durant les
étapes d’opération et de maintenance du cycle de vie Non substantielle
(article 5.2.6.1.10 de la norme).
6 : Exigences relatives au cycle de vie de Ajout des exigences relatives au cycle de vie de sécurité du SIS
Non substantielle
sécurité du programme d’application anciennement en article 12.
Quelques nouveaux points relatifs à la planification de la

vérification. Un nouveau sous-paragraphe stipule que, lorsque la
7 : Vérification vérification inclut des essais, la planification de la vérification doit Non substantielle
également traiter d’une douzaine de points énumérés
(article 7.2.2 de la norme).
8 : Analyse de danger et de risque du Une évaluation des risques pour identifier les failles de sécurité
Substantielle
processus du SIS doit être réalisée (article 8.2.4 de la norme).
Tableau 1 – Analyse des modifications clause par clause (suite)
Article Modification Type de modification
Valorisation possible sous conditions de plusieurs couches de

protection incluses dans un système de conduite (BPCS) Substantielle
(articles 9.3.2 à 9.3.5 de la norme).
9 : Affectation des fonctions de sécurité

De nouvelles exigences lorsque le facteur de réduction du risque
aux couches de protection Substantielle
visé est supérieur à 10 000 (articles 9.2.5 à 9.2.7 de la norme).
Limitation du facteur de réduction du risque associé à plusieurs

Substantielle
SIF passant par un même automate (article 9.2.8 de la norme).
Nouvelles exigences à spécifier pour concevoir le SIS

(article 10.3.2). Des éléments tels que les exigences relatives à la
mise en œuvre des tests périodiques de bon fonctionnement sont Non substantielle
10 : Spécification des exigences de
maintenant clairement énoncées (29 exigences contre 27 dans la

sécurité (SRS) du SIS version de 2003).
Ajout de parties de l’ancien article 12 sur les logiciels. Non substantielle
Modification des exigences minimales en termes de redondances

Substantielle
en fonction du niveau de SIL visé (article 11.4.5 de la norme).
Clarification des exigences relatives aux calculs de probabilité de

Substantielle
défaillance des SIF (article 11.9.2 de la norme).
11 : Conception et ingénierie du SIS
Renforcement des exigences sur l’utilisation de matériel éprouvés
Substantielle
Exigence de prendre en compte les incertitudes dans les calculs

Substantielle
de probabilité de défaillance des SIF (article 11.9.4 de la norme).
Le programme d’application et sa documentation doivent être

examinés par une personne compétente n’ayant pas participé au Non substantielle
développement initial.
12 : Développement du programme
L’approche utilisée pour l’examen du programme d’application et
d’application du SIS Non substantielle
les résultats de l’examen doivent être documentés.
L’ancien diagramme du modèle V pour le développement et les

Non substantielle
tests de logiciels n’apparaı̂t plus.
La clause est maintenant normative ; elle était informative

13 : Essai de réception en usine Non substantielle
auparavant.
14 : Installation et mise en service du SIS Aucun changement significatif. Non substantielle
15 : Validation de sécurité du SIS Aucun changement significatif. Non substantielle
Nécessité de prévoir des mesures compensatoires en cas de

Substantielle
by-pass (article 16.2.3 de la norme).
Nécessité d’enregistrer le statut de tous les by-pass dans un

Non substantielle
journal (article 16.2.7 de la norme).
16 : Fonctionnement et maintenance du
SIS Les taux de sollicitation des fonctions doivent être suivis
Substantielle
Les procédures de gestion doivent être appliquées pour examiner

les reports et éviter les retards importants dans les tests de bon Non substantielle
fonctionnement (article 16.3.1.7 de la norme).
BPCS est supérieur à 10, alors, il doit être conçu et géré selon les Si après revue, l’exigence de réduction du risque supérieur à
exigences fournies dans l’IEC 61511. 10 000 ne peut pas être revue à la baisse, la norme conseille de
Si le BPCS ne satisfait pas à la norme IEC 61511, il est possible répartir le facteur de réduction du risque sur plusieurs couches de
sous conditions de valoriser deux couches de protection pour un sécurité. Pour les couches instrumentées, celles-ci peuvent être
même BPCS : prévues :
dans le cas où le BPCS est à l’origine de la sollicitation de la 1/ dans le même SIS ;
couche de protection et que la couche de protection est indé- 2/ dans des SIS différents ;
pendante des événements initiateurs, une seule couche de
protection peut être valorisée ; 3/ réparties entre SIS et BPCS.
dans le cas où le BPCS n’est pas à l’origine de la sollicitation Les propositions 2 et 3 visent à réduire les causes communes de
et que les barrières sont indépendantes des événements ini- défaillances. Il est à noter que la nouvelle version de l’IEC 61511-1
tiateurs et entres elles, deux couches de protection peuvent insiste sur la nécessité de conduire une analyse pour identifier les
être valorisées. causes pouvant conduire à l’indisponibilité de l’ensemble de cou-
ches de protection prévues.
Afin d’illustrer le point précédent, supposons un BPCS tel que
celui présenté en figure 7. Pour ce BPCS, deux cas de figure : Par ailleurs, si une réduction de risque supérieure à 10 000 est
nécessaire vis-à-vis d’un scénario d’accident, l’évaluation du risque
cas 1 : la défaillance du capteur A est à l’origine d’un scénario
d’accident. Si les conséquences de la défaillance du capteur A doit reposer sur une méthodologie quantitative visant à confirmer
peuvent être détectées par le capteur B, alors, la couche de que les exigences concernant l’intégrité de sécurité sont satisfaites.
protection associée au capteur B peut être valorisée vis-à-vis La norme précise que : « la méthodologie doit prendre en compte
du scénario ; les défaillances dépendantes et les défaillances de cause commune
entre le SIS et :
cas 2 : un événement initiateur indépendant d’une défaillance
d’un des composants appartenant aux deux couches de pro- une autre ou d’autres couches de protection dont la défail-
tection A et B peut conduire à un scénario d’accident. Si la lance entrainerait une sollicitation de celle-ci ;
manifestation de cet événement initiateur peut être détectée un autre ou d’autres SIS réduisant la probabilité d’occurrence
par le capteur A et/ou le capteur B, les deux couches de de l’événement dangereux ;
protection du BPCS associées à ces capteurs peuvent être un autre ou d’autres moyens de réduction de risque réduisant
valorisées. la probabilité d’occurrence de l’événement dangereux (par
exemple : alarmes de sécurité) ».
2.3 Réduction du risque d’un facteur Lorsque l’analyse de risque conduit à préconiser une réduction
supérieur à 10 000 de risque supérieure à 10 000, les approches simplifiées telles que
le graphe de risques sont donc déconseillées et il est nécessaire de
L’IEC 61511:2003 déconseillait de recourir à des SIF de SIL 4, recourir à des approches quantitatives plus détaillées (LOPA, nœud
c’est-à-dire de compter sur une SIF pour assurer une réduction du papillon ou autres).
risque d’un facteur supérieur à 10 000. La nouvelle version de
l’IEC 61511 est plus restrictive puisqu’elle déconseille de réduire
un risque d’un facteur supérieur à 10 000 en ayant recours unique- 2.4 Réduction du risque par plusieurs SIF
ment à des couches de protection instrumentées. Le facteur de
réduction de 10 000 ne porte donc plus sur une seule SIF, mais
passant par un même automate
sur l’ensemble des SIF valorisées vis-à-vis d’un même scénario L’article 9.2.8 de la nouvelle version de la norme IEC 61511-1 men-
d’accident. tionne : « Si la réduction de risque exigée pour un événement
En cas d’exigence de réduction du risque supérieur à 10 000, la dangereux est allouée à plusieurs SIF d’un même SIS, le SIS doit
nouvelle version de l’IEC 61511-1 recommande de conduire une satisfaire à l’exigence de réduction de risque globale. » Cette pres-
revue dans l’optique de confirmer cette exigence en s’assurant cription signifie que le facteur de réduction du risque associé à
qu’elle ne puisse pas être revue à la baisse sous réserve : l’automate ne peut pas être inférieur à celui obtenu par la combi-
d’améliorer la conception du procédé pour le « sécuriser » ; naison des deux SIF. Ainsi, pour un SIS avec un automate de
de réduire la gravité du scénario d’accident en réduisant les SIL 3, il n’est pas possible de valoriser deux SIF de niveau de
potentiels de dangers (exemple réduction des inventaires de SIL 2 vis-à-vis d’un même scénario d’accident. En effet, une SIF de
produits dangereux) ; SIL 2 assure un facteur de réduction de risque supérieur à 100.
Dès lors, la valorisation de deux SIF de SIL 2 peut donc permettre
de mettre en œuvre des couches de protection complémentai- d’atteindre un facteur de réduction a minima supérieur à 10 000.
res non instrumentées ; Ce facteur de réduction de risque est supérieur à celui alloué à un
de réduire la probabilité du scénario en réduisant l’occurrence niveau de SIL 3 (RRF strictement inférieur à 10 000).
des événements initiateurs.
Nota : cette prescription est en accord avec celle du DT 93 concernant la possibilité de
valoriser deux MMRIS vis-à-vis d’un même scénario sous réserve que la somme des
niveaux de confiance retenus pour ces MMRIS soit inférieure ou égale au niveau de
confiance de l’automate.
Couche A
Carte Carte Élément
Capteur A CPU
d’entrée de sortie final A 2.5 Exigences minimales en termes
de redondance
Carte Carte Élément Pour justifier d’un niveau de SIL, il faut satisfaire à :
Capteur B CPU
d’entrée de sortie final B
1/ une exigence de « disponibilité » qui se traduit par une valeur
Couche B
« cible » de probabilité de défaillance ;
BPCS
2/ une exigence architecturale qui se traduit par la nécessité
de redondance des équipements pour les niveaux de SIL les
Figure 7 – BPCS (basic process control system) plus élevés.
La norme IEC 61511 introduit le concept de tolérance aux anoma- sont pas susceptibles de l’empêcher de remplir sa fonction. Le SFF
lies matérielles (HFT pour hard fault tolerance) qui renvoie à la peut être estimé par l’équation (1).
capacité d’un système à remplir une fonction requise en présence
d’anomalies ou d’erreurs. D’après la norme IEC 61511-1 : « le SIS λSD + λSU + λDD
doit avoir une HFT minimale en ce qui concerne chaque SIF qu’il SFF = (1)
met en œuvre » (cf. article 11.4.1). λSD + λSU + λDD + λDU
Dire qu’une architecture KooN (K out of N) présente une tolé- Pour rappel, les défaillances sont soit dangereuses (lD) soit sûres
rance minimale aux anomalies du matériel de 1 signifie que la (lS). Parmi ces deux catégories, les défaillances se répartissent
fonction de sécurité peut être assurée même en cas de défaillance comme suit :
d’un dispositif parmi les N.
défaillances détectées (lSD ou lDD) ;
Une architecture composée de deux équipements 1oo2 (1 sur 2) défaillances non détectées (lSU ou lDU).
présente une tolérance aux anomalies matérielles égale à 1 puisque
le système peut remplir sa fonction si l’un des deux équipements est Les défaillances dangereuses non détectées (lDU) sont suscepti-
en état de fonctionner. bles d’empêcher un système de remplir sa fonction de sécurité.
Les défaillances sûres (lS) sont celles qui font passer un système
En fonction du type d’équipement, la norme IEC 61511:2003 liait d’un état normal vers un état dégradé sans pour autant inhiber la
la HFT à une exigence : fonction de sécurité. Ce type de défaillance est susceptible d’être à
sur le SFF (safe failure fraction) pour le traitement logique ; l’origine d’un déclenchement intempestif de la fonction de sécurité.
sur les « caractéristiques » des équipements pour les capteurs Pour les capteurs, les actionneurs et les logiques non program-
et les éléments terminaux. mables, la norme IEC 61511-1 introduisait la notion de « prior in
use » c’est-à-dire d’équipement validé ou éprouvé par l’usage.
Nota : la norme IEC 61508 propose suivant le type de composants (type A ou B) une
classification SIL en fonction du SFF.
D’après l’article 11.4.4, pour ces équipements, la tolérance minimale
aux anomalies de matériel pouvait être réduite de 1 si en parallèle :
Ces exigences sont retranscrites au travers des tableaux 2 et 3.
l’équipement ne permettait que le réglage des paramètres
Pour rappel, le SFF est un indicateur qui permet de mesurer la relatifs au procédé, par exemple la gamme de mesure ;
propension d’un équipement à présenter des défaillances qui ne
le réglage des paramètres était protégé par mot de passe ;
la fonction avait une prescription de SIL inférieure à 4.
Tableau 2 – Prescriptions minimales en termes de Dans la version de l’IEC 61511:2016, l’approche pour définir la
redondances d’après IEC 61511-1:2003 pour des unités tolérance aux anomalies matérielles, HFT, nécessaire pour préten-
logiques programmables dre à un niveau de SIL a été revue. En effet, l’approche proposée dif-
fère très significativement de celle retenue dans la version de 2003
Tolérance aux anomalies puisqu’elle :
SIL ne fait plus intervenir la SFF ;
SFF < 60 % 60 % < SFF < 90 % SFF > 90 % ne s’applique plus qu’aux équipements éprouvés par l’usage.
Les nouvelles prescriptions minimales en termes de redondan-
1 1 0 0 ces sont présentées dans le tableau 4.
2 2 1 0
Pour les prescriptions minimales en termes de redondances
en fonction du niveau de SIL visé, la version de l’IEC 61511-1
3 3 2 1 s’aligne donc sur la route 2 H de l’IEC 61508-2:2010.
4 Exigences spécifiques (cf. IEC 61508) Au regard du tableau 4, il est possible de constater que les nou-
velles prescriptions sont similaires à celles présentées dans le
tableau 3 pour des équipements qui vérifiaient les conditions de
Tableau 3 – Prescriptions minimales en termes de l’article 11.4.4 de l’IEC 61511-1.
redondances d’après IEC 61511-1:2003 pour les capteurs
et actionneurs Tableau 4 – Prescriptions minimales en termes de
redondances d’après IEC 61511-1:2016
Tolérance aux anomalies
SIL HFT minimale exigée
SIL Composants Composant Composant
respectant sécurité positive non à sécurité 1 (n’importe quel mode) 0
exigences ou avec positive et sans
11.4.4 autodiagnostic autodiagnostic
2 (mode sollicitation faible) 0
1 0 0 1
2 (mode à sollicitation élevée/mode
1
2 0 1 2 continu)
3 1 2 3 3 (n’importe quel mode) 1
4 Exigences spécifiques (cf. IEC 61508) 4 (n’importe quel mode) 2
Pour s’assurer de la compétence de tous les intervenants tout au

Le tableau de l’IEC 61511-1, qui précise la HFT minimale exi- long du cycle de vie d’un SIS, la norme IEC 61511 demande :
gée en fonction du niveau de SIL requis, n’est valable que pour
des équipements éprouvés par l’usage. Pour des équipements la mise en place d’une procédure pour gérer les compétences
non éprouvés par l’usage, il faut se référer à l’IEC 61508. requises à chaque étape du cycle de vie ;
de justifier d’une évaluation périodique des compétences.
Justifier des compétences n’implique pas nécessairement
2.6 Exigence sur le choix des matériels d’attester d’une formation certifiante (telles que les formations déli-
La nouvelle version de la norme IEC 61511 insiste sur l’impor- vrées par le TÜV ou la certification QUALISIL). Même si ce type de
tance du choix des matériels qui entrent dans la composition de certification permet de répondre « simplement » à la demande de
SIF. Ainsi, l’article 11.5.3.1 demande : « Une preuve pertinente doit justification des compétences, il est nécessaire de rappeler que la
être disponible montrant que les appareils sont aptes à être utilisés norme ne les impose pas.
dans le SIS ». La note 3 associée à cet article indique : « L’évaluation
de l’utilisation antérieure implique la collecte d’informations docu- 2.7.2 Vérification
mentées concernant les performances des appareils dans un envi-
Le cycle de vie présenté en figure 5 fait apparaı̂tre tout au long
ronnement de fonctionnement similaire ».
des étapes du cycle une phase de vérification. L’article 7 de la
norme demande de « démontrer, par revue, analyse et/ou essais,
La norme IEC 61511 recommande donc d’utiliser des équipe-
que les sorties exigées satisfont aux exigences définies pour les
ments validés par une utilisation antérieure (prior in use).
phases appropriées (figure 7) identifiées par la planification de la
Elle incite donc les industriels à collecter et organiser leur

vérification ».
retour d’expérience sur les équipements mis en œuvre dans
leurs SIF. La version de l’IEC 61511:2016 est plus exigeante concernant la
nécessité de réaliser des vérifications. Dans l’article 7.2 de la
norme, les attentes relatives à la vérification sont précisées.
En lien direct, avec le concept du prior in use, la norme IEC 61511 La norme demande aussi que ces vérifications soient planifiées.
demande d’utiliser autant que faire se peut des données de fiabilité
provenant d’équipements utilisés dans un environnement de fonc-
tionnement similaire. En effet, pour justifier du niveau de SIL d’une
SIF, l’un des critères est la valeur de PFDavg ou PFH (suivant le mode
de fonctionnement de la SIF). L’évaluation de ces estimateurs 3. Nouvelles exigences
nécessite de réaliser des calculs qui font intervenir les données de
fiabilité des équipements qui composent les SIF.
sur les calculs
Ces données de fiabilité peuvent être issues :
1/ d’une exploitation du retour d’expérience d’industriel(s) ; 3.1 Rappels sur le SIL
2/ d’une exploitation du retour d’expérience des fournisseurs ;
Le SIL (safety integrity level) ou niveau d’intégrité de sécurité,
3/ de bases de données génériques. permet de spécifier les prescriptions concernant l’intégrité de
Quelle que soit l’origine des données de fiabilité, l’absence de chaque fonction de sécurité exécutée par les systèmes E/E/EP.
données de fiabilité représentatives de l’environnement de fonc- Quatre niveaux de SIL allant de 1 à 4 permettent de caractériser
tionnement est une limite récurrente des évaluations des probabili- ces systèmes :
tés de défaillances PFDavg ou PFH. SIL 4 renvoyant au niveau de sécurité le plus « élevé » ;
Indépendamment de l’origine des données de fiabilité, l’arti- SIL 1 renvoyant au niveau de sécurité le plus « faible ».
cle 11.9.3 de la norme IEC 61511:2016 précise les attentes relatives
aux données de fiabilité : « Les données de fiabilité utilisées lors de La notion de SIL s’applique à une SIF dans sa globalité et non
la quantification de l’effet des défaillances aléatoires doivent être pas à un élément ou sous-ensemble de celui-ci. Néanmoins, cer-
crédibles, traçables, documentées, justifiées et doivent s’appuyer tains fournisseurs de matériel en font aujourd’hui un argument
sur des informations de situation provenant d’appareils similaires commercial.
utilisés dans un environnement de fonctionnement similaire ». Les normes IEC 61508 et 61511 définissent différents modes de
fonctionnement d’une SIF. Cet article reprend celles rapportées
La version de la norme IEC 61511:2016 demande pour les cal- dans l’IEC 61511:2016. D’après cette norme, trois modes de fonc-
culs de probabilité de défaillance des SIF d’utiliser des don- tionnement sont à différencier :
nées de fiabilité représentatives des conditions de fonctionne-
ment des équipements. 1/ mode à faible sollicitation : mode de fonctionnement dans
lequel la SIF n’est réalisée que sur sollicitation, afin de faire passer
le processus dans un état de sécurité spécifié, et où la fréquence
des sollicitations n’est pas supérieure à une par an ;
2.7 Mise en œuvre et évaluation
de la sécurité fonctionnelle 2/ mode à sollicitation élevée : mode de fonctionnement dans
lequel la SIF n’est réalisée que sur sollicitation, afin de faire passer
le processus dans un état de sécurité spécifié, et où la fréquence
2.7.1 Gestion des compétences des sollicitations est supérieure à une par an ;
La version de l’IEC 61511:2016 insiste sur la nécessité que tous 3/ mode continu : mode de fonctionnement dans lequel la SIF
les intervenants qui participent à l’une des étapes du cycle de vie maintient le processus dans un état de sécurité en fonctionnement
d’un SIS (figure 5) puissent attester des compétences requises normal.
pour réaliser la (ou les) tâche(s) qui leur est (sont) confiée(s).
Nota : le mode sollicitation est typique des systèmes de sécurité qui sont « activés »
Ainsi, l’article 5.2.2.2 liste les compétences attendues pour les uniquement sur dépassement de valeurs seuils (dérive du mode de fonctionnement nor-
mal d’une installation).
personnes en charge de conduire des activités du cycle de vie
d’un SIS. Il est à noter que dans la précédente version de la En fonction du mode de fonctionnement à la sollicitation, l’indi-
norme, les compétences requises étaient listées dans une note, cateur de performance à calculer pour définir le niveau SIL est dif-
leur donnant un caractère facultatif. férent (tableau 5).
Tableau 5 – Définition des niveaux SIL en fonction du mode de fonctionnement d’après IEC 61511
Mode faible sollicitation Mode forte sollicitation ou continu
Niveau d’intégrité Probabilité de défaillance Probabilité de défaillance

Facteur de réduction du risque
de sécurité dangereuse moyenne dangereuse par heure (/h)
SIL 1 10−2 ≤ PFDavg < 10−1 10−6 ≤ PFH < 10−5 10 < FRR ≤ 100
SIL 2 10−3 ≤ PFDavg < 10−2 10−7 ≤ PFH < 10−6 100 < FRR ≤ 1000
SIL 3 10−4 ≤ PFDavg < 10−3 10−8 ≤ PFH < 10−7 1000 < FRR ≤ 10 000
SIL 4 10−5 ≤ PFDavg < 10−4 10−9 ≤ PFH < 10−8 10 000 < FRR ≤ 100 000
Pour un système à faible sollicitation, c’est la probabilité de 1/ prise en compte de la « susceptibilité du SIS aux défaillances
défaillance moyenne à la sollicitation notée PFDavg qui doit être cal- causées par les essais périodiques eux-mêmes » ;
culée. Elle correspond à la valeur moyenne de la probabilité de
2/ prise en compte de la couverture de tous les essais périodi-
défaillance à la sollicitation PFD(t) par rapport à la période de
ques, la procédure d’essai périodique associée, ainsi que la fiabilité
temps séparant deux tests notée TI.
de la procédure et des installations d’essai périodique ;
Pour un système à forte sollicitation ou continu, c’est la probabi-
3/ prise en compte de la probabilité que la réponse de l’opérateur
lité de défaillance dangereuse par heure notée PFH qui doit être cal-
provoque une défaillance dangereuse du SIS.
culée. La PFH n’est pas une probabilité mais une fréquence
moyenne de défaillance dangereuse par heure. En sûreté de fonc- Le premier point concerne la possibilité que le test périodique de
tionnement, la PFH correspond à une intensité inconditionnelle bon fonctionnement d’une SIF puisse être à l’origine de sa défail-
moyenne de défaillance. lance. Par exemple, dans le cas où le test d’un équipement néces-
site son isolement du reste de l’installation, il est possible que ce
Un système de sécurité à faible sollicitation de niveau de SIL dernier ne soit pas reconnecté au procédé en fin de test. Dans ce
« i » a une probabilité moyenne de défaillance à la sollicitation cas de figure, la réalisation du test périodique mène à l’indisponibi-
de 10− (i +1) ≤ PFDavg < 10−i . lité de l’équipement. La version de l’IEC 61511:2016 demande donc
Un système de sécurité à forte sollicitation ou continu de de prendre en compte une probabilité de défaillance « complémen-
niveau SIL « i » a une probabilité de défaillance dangereuse taire » à celle représentative des défaillances aléatoires des équipe-
par heure de 10− (i + 5) ≤ PFH < 10− (i + 4) . ments qui composent la SIF.
Le second point concerne la couverture du test périodique de
L’estimation de la probabilité de défaillance dangereuse d’un sys- bon fonctionnement. Cette couverture doit être prise en compte
tème peut reposer sur l’application de formules analytiques plus ou par l’intermédiaire d’un paramètre relatif à la profondeur du test
moins complexes ou sur l’application de méthodes de sûreté de (PTC pour proof test coverage). Cette profondeur de test corres-
fonctionnement (les arbres de défaillances, les blocs-diagrammes pond à la capacité du test à détecter les défaillances de l’équipe-
de fiabilité, etc.). ment. Ainsi, un test de bon fonctionnement qualifié par une valeur
Nota : les méthodes permettant d’estimer la probabilité de défaillance à la sollicitation de PTC = 100 % correspond à un test parfait. Considérer un test par-
d’une SIF sont présentées plus en détail dans l’article [SE 4 058]. fait correspond à l’hypothèse dite AGAN (as good as new), retenue
Vis-à-vis des calculs de probabilité de défaillance, l’IEC 61511:2016 dans les formules de calcul de PFDavg rapportées dans l’annexe B
introduit les nouvelles demandes suivantes : de l’IEC 61508-6. Cette hypothèse consiste à considérer que le test
périodique permet de ramener la probabilité de défaillance à la sol-
plus de paramètres doivent être pris en compte dans le cadre licitation à sa valeur initiale (remise à zéro). La version de
des calculs de probabilité de défaillance (profondeur du test
l’IEC 61511:2016 demande donc de s’assurer que l’hypothèse
périodique de bon fonctionnement, défaillances des opéra-
AGAN peut être appliquée et dans la négative, de prendre en
teurs, défaillances liées au test périodique de bon fonctionne-
compte la profondeur du test dans les calculs.
ment, etc.) ;
les données de fiabilité retenues doivent être crédibles, docu- Le troisième point concerne la prise en compte de l’opérateur
mentées et justifiables ; quand son action est nécessaire à la réalisation d’une fonction de
sécurité. Pour rappel, comme l’indique la note 3 de l’article 3.2.67
les incertitudes sur les données d’entrée pour le calcul de pro- de l’IEC 61511:2016 : « Un SIS peut inclure une action humaine
babilité de défaillance doivent être prises en compte. dans le cadre d’une SIF (voir l’ISA TR84.00.04:2015, Partie 1) ».
Nota : ces demandes étaient pour certaines déjà présentes dans la version de Dès lors, lorsque qu’une action humaine est un élément constitutif
2003 mais soit de manière beaucoup moins explicite, soit par l’intermédiaire de note lais- d’une SIF, une probabilité de défaillance associée à l’opérateur
sant leur application au bon vouloir des utilisateurs de la norme.
(erreur humaine) doit être considérée.
La version de l’IEC 61511:2016 demande donc de prendre en
3.2 Paramètres à prendre compte une probabilité de défaillance complémentaire dans le cal-
cul en plus de celles associées aux défaillances aléatoires et aux
en considération tests périodiques de bon fonctionnement.
L’article 11.9.2 de la norme IEC 61511:2016 est beaucoup plus Afin d’illustrer l’influence de ces trois paramètres et leurs poten-
exhaustif que celui de la version de 2003. Trois nouvelles deman- tiels impacts sur le calcul de la probabilité de défaillance d’une SIF,
des peuvent être soulignées : il est considéré l’exemple d’une SIF de prévention vis-à-vis du
débordement d’un bac de stockage. Cette SIF a pour fonction de La PFDavg de la SIF de niveau haut a été estimée pour les trois
sécurité de stopper l’alimentation du bac sur atteinte du niveau cas résumés dans le tableau 6.
haut. Comme présenté en figure 8, cette SIF est composée :
Le tableau 7 présente les hypothèses retenues pour le calcul de
d’un capteur de niveau ; la PFDavg de la SIF. Dans une optique de simplification, seul le taux
d’un automate programmable de sécurité (APS) ; de défaillances dangereuses non détectées (lDU) a été retenu.
d’un opérateur, qui sur alarme de niveau haut, se rend sur L’indisponibilité associée aux défaillances dangereuses détec-
place pour faire un constat ; tées (lDD) est donc négligée.
Nota : pour l’automate de sécurité, c’est directement une valeur de PFDavg qui est retenue.
Nota : suite au constat sur place, en cas de nécessité, l’opérateur peut (en local) com-
mander la fermeture automatique de la vanne.
Les figures 9, 10 et 11 présentent les courbes d’évolution de la
d’une vanne d’isolement automatique. PFD en fonction du temps respectivement pour les cas 1, 2 et 3.
Confirmation salle de commande fermeture vanne

Capteur
APS de niveau
Activation d’une
alarme sur zone
SIF
Vanne Canalisation d’alimentation du bac

de sécurité Bac de stockage
Figure 8 – Schéma de principe de la SIF de niveau en prévention du débordement de bac
Tableau 6 – Définition des cas de calcul

Prise en compte des défaillances Prise en compte de la défaillance de
Cas Hypothèse AGAN
causées par les tests périodiques la réponse de l’opérateur
1 OUI NON NON
2 NON NON NON
3 NON OUI OUI
Tableau 7 – Hypothèses retenues pour le calcul de la PFDavg de la SIF de niveau

Profondeur de test
lDU Période de test TI (%)
Équipement
(/h) (h)
Cas 1 Cas 2 et 3
Capteur de niveau 1,5E - 6 8 760 100 60
Automate de sécurité PFDavg = 5E - 4 – –
Vanne d’isolement 5E - 6 8 760 100 70
Opérateur Perreur = 5E - 2 – –
6E–2
5,5E–2
5E–2
4.5E–2
4E–2
SIL1
3,5E–2
3E–2
2,5E–2
2E–2
1,5E–2
1E–2
SIL2
5E–3
0
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Année (s)
PFD : Minimum = 5E – 4, Maximum = 5,5822E – 2, Moyenne = 2,8423E – 2, SIL1 = 83,2276 %,
SIL2 = 15,8936 %, SIL3 = 0,8788 %
PFD
Figure 9 – Évolution de la PFD en fonction du temps et PFDavg pour la SIF de niveau – Cas 1
0,12
SIL0
0,11
0,1
9E–2
8E–2
7E–2
6E–2
SIL1
5E–2
4E–2
3E–2
2E–2
1E–2
SIL2
0
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Année (s)
PFD : Minimum = 5E – 4, Maximum = 0,1228, Moyenne = 6,3203E – 2, SIL1 = 85,0785 %,
SIL2 = 3,1787 %, SIL3 = 0,1758 %
PFD
Les calculs ont été réalisés à l’aide du logiciel GRIF‚ version Pour les cas 2 et 3, le caractère « imparfait » des tests périodi-
2018. ques de bon fonctionnement ne permet plus de ramener la valeur
de la PFD à zéro. Dès lors, la valeur initiale de la PFD après chaque
Les résultats synthétisés dans le tableau 8 sont :
test augmente au cours du temps. Cette augmentation impacte
la valeur de PFDavg obtenue suivant les cas ; donc la valeur moyenne de la PFD (PFDavg). L’impact de l’hypothèse
le facteur de réduction du risque (RRF pour risk reduction AGAN sur la valeur de la PFDavg peut être jugé significatif puisque
factor) ; sa non-prise en compte conduit à multiplier par deux la valeur de la
PFDavg (cf. ratio des PFDavg entre le cas 2 et le cas 1).
le niveau de SIL correspondant ;
Une seconde différence est liée à la prise en compte que les tests
le temps passé dans chaque classe de SIL.
périodiques de bon fonctionnement peuvent être à l’origine d’une
Au regard des courbes d’évolution de la PFD en fonction du défaillance, suite par exemple à un oubli de reconfiguration des
temps présentées en figures 9, 10 et 11, il apparaı̂t que celles-ci installations après le test. L’influence de cette hypothèse est visible
sont très différentes pour les trois cas traités. en figure 11 sur laquelle en comparaison avec les figures 9 et 10, à
chaque test périodique de bon fonctionnement (TI = 1 an) un pic
Une première différence est liée à la prise en compte de l’hypo- d’indisponibilité est observé.
thèse AGAN dans le cas 1 (c’est-à-dire que le test est considéré
comme parfait) et à la prise en compte d’une profondeur de test Une troisième différence est liée à la prise en compte de l’erreur
pour le capteur et la vanne dans les cas 2 et 3. Dans le cas 1, l’hypo- opérateur qui se traduit en figure 11 par une valeur initiale PFD
thèse AGAN a pour conséquence une remise à zéro de la valeur de (t = 0) égale à la probabilité d’erreur opérateur (valeur de 5E - 2).
la PFD à chaque test périodique de bon fonctionnement (dans le Les valeurs présentées dans le tableau 8 illustrent le fort impact
cas traité pour exemple TI = 1 an). sur la valeur de la PFDavg des trois nouveaux points introduits dans
0,19
max : 1,9E – 1
0,18
0,17
0,16
0,15
SIL0
0,14
0,13
0,12
0,11
0,1
9E–2
8E–2
7E–2
SIL1
6E–2
5E–2
4E–2
0
0 0,25 0,5 0,75 1 1,25 1,5 1,75 2 2,25 2,5 2,75 3 3,25 3,5 3,75 4 4,25 4,5 3,75 5 5,25
Année (s)
PFD : Minimum = 5,0475E – 2, Maximum = 0,192, Moyenne = 0,1129, SIL1 = 40 %, SIL2 = 0 %, SIL3 = 0 %
PFD
Tableau 8 – Résultats des trois cas de calcul
Facteur Répartition du temps passé dans les classes de SIL (%)

Cas PFDavg de réduction Niveau de SIL
du risque (RRF) SIL 1 SIL 2 SIL 3 Non SIL
1 2,8E - 2 35 SIL 1 83 16 1 –
2 6,3E - 2 16 SIL 1 85 3 0,2 11,8
3 1,2E - 1 8 Non SIL 36 0 0 64
l’IEC 61511:2016. Le premier retour d’expérience quant à l’applica- 3.3.2 Exigences relatives à la prise en compte
tion de ces nouvelles recommandations est assez mitigé. En effet, des incertitudes
lorsque ces recommandations sont appliquées, les principales diffi-
cultés sont : Pour se prémunir d’une telle situation, l’IEC 61511:2016 précise
de définir la valeur de PTC à retenir lorsque les tests périodi- ses attentes. Ainsi l’article 11.9.4 de la norme indique : « Les incerti-
ques de bon fonctionnement ne sont pas considérés comme tudes concernant les données de fiabilité doivent être évaluées et
parfaits ; prises en compte lors du calcul des niveaux de défaillance ».
de prendre en compte dans le calcul que les tests périodiques La note 2 associé à cet article précise les deux approches qu’il est
de bon fonctionnement puissent être une cause d’indisponibi- possible d’utiliser : « L’utilisation d’une limite de confiance supé-
lité. Les formules simplifiées de calcul ne considérant pas ce rieure de 70 % pour chaque paramètre de fiabilité d’entrée au lieu
contributeur, l’analyste souhaitant prendre en compte ce para- de sa moyenne afin d’obtenir des estimations ponctuelles conser-
mètre doit alors se tourner vers d’autres approches ; vatrices des niveaux de défaillance ;
d’estimer les probabilités d’erreur opérateur avec suffisam- ou
ment de « finesse » pour ne pas biaiser l’analyse et faire per- L’utilisation des fonctions de distributions probabilistes des para-
dre l’intérêt d’affiner la partie du calcul relative à la partie ins- mètres de fiabilité d’entrée, la réalisation de simulations de Monte-
trumentée de la SIF. Carlo pour produire un histogramme représentant la distribution
du niveau de défaillance et l’évaluation d’une valeur conservatrice
de cette distribution (par exemple : pour vérifier qu’il existe un
3.3 Prise en compte des incertitudes
niveau de confiance de 90 % que le véritable niveau de défaillance

est meilleur que la valeur calculée) ».
3.3.1 Enjeux liés à la prise en compte La première approche proposée par la norme concerne l’utilisa-
des incertitudes tion d’une limite de confiance supérieure de 70 % pour les paramè-
tres de fiabilité. En d’autres termes, il est donc recommandé de
Pour déterminer le niveau de SIL d’une SIF et s’assurer que celui- remplacer la valeur moyenne calculée par l’estimateur du maxi-
ci est en accord avec le niveau de SIL requis nécessaire pour rendre mum de vraisemblance par la borne supérieure de l’intervalle de
le risque acceptable (ou a minima ALARP), en fonction du mode de confiance unilatéral à 70 %.
fonctionnement de la SIF (cf. section 3.1), un calcul de PFDavg ou de
PFH doit être réalisé. Une fois cet indicateur de performance cal- Les formules de calcul associées à ces deux estimateurs sont
culé, il suffit de se référer au tableau 5 pour statuer sur le niveau fournies par les équations (2) et (3) :
de SIL atteignable par le calcul. Pour rappel, des contraintes archi-
tecturales (imposées par le critère du HFT) sont aussi à prendre en n
λavg = (2)
compte pour définir le niveau de SIL d’une SIF (cf. section 2.5). T
Le retour d’expérience met en lumière que les résultats de calcul
sont souvent considérés avec une précision « diabolique » pouvant 1
conduire, à une décimale prêt, à l’annonce de niveaux de SIL λ 70 % = × χ02.3,2(n +1) (3)
2 ×T
différents.
La figure 12 extrait de l’IEC 61511:2016 permet de schématiser
Une SIF dont la PFDavg = 1E - 2 répond d’après le tableau 5 à l’exi- l’écart entre le taux de défaillance moyen calculé par l’estimateur
gence d’un niveau de SIL 1. du maximum de vraisemblance (noté lavg) et le taux de défaillance
Une SIF dont la PFDavg = 9,9E - 3 répond d’après le tableau 2 à correspondant à la borne supérieure de l’intervalle de confiance
l’exigence d’un niveau de SIL 2. unilatéral à 70 % (noté l70 %). Sur la figure 12, il ressort aussi que
plus la distribution est étalée, plus il y a d’enjeux à utiliser le lavg ou
De l’exemple précédent, il ressort que deux SIF avec des PFDavg le l70 %.
quasi identiques pourraient se retrouver dans deux classes de SIL
différentes. Bien que conforme au tableau 5, revendiquer un niveau L’utilisation de la borne haute de l’intervalle de confiance à
de SIL 2 en considérant une PFDavg de 9,9E - 3 peut être jugé hasar- 70 % est recommandée dans l’IEC 61511:2016 pour avoir un
deux. En effet, du fait de la proximité avec le niveau de SIL 1, la résultat « non optimiste ».
moindre modification d’une hypothèse de calcul remettrait en
question le niveau de SIL atteignable par le calcul.
Afin d’illustrer l’impact de l’utilisation du lavg ou le l70% dans le
La question relative à la prise en compte des incertitudes dans
calcul de PFDavg, ces deux estimateurs du taux de défaillance ont
les calculs de probabilité de défaillance est de ce fait légitime puis- été calculé pour un capteur à partir des données suivantes :
qu’elle s’inscrit dans la quête d’une démarche prudente visant à ne temps de fonctionnement cumulé = 500 000 heures ;
pas sous-estimer les risques. Par ailleurs, il est important de rappe-
ler que : nombre de défaillances observées = 1.
dans le cadre de phases avancées de projet, des calculs de λavg = 2E − 6 / h
probabilité de défaillance sont réalisés, alors que les choix
relatifs à certaines technologies et/ou fournisseurs de maté-
riels ne sont pas encore figés ; λ70% = 4,88E − 6 / h
les calculs de probabilité de défaillance reposent parfois sur
des taux de défaillances issus de banques de données « géné- Dans cet exemple, le l70% est environ 2,5 fois plus grand que
riques », donc propices à une certaine variabilité en fonction le lavg. En fonction de l’estimateur utilisé, la valeur de la probabilité
du contexte d’utilisation. de défaillance sera donc plus ou moins prudente. Ainsi, pour un sys-
tème en 1oo1, la PFDavg du capteur, calculée en retenant le l70%
Dans le cadre d’une approche prudente, il est nécessaire de serait 2,5 fois plus grande que celle calculée en retenant le lavg.
considérer une incertitude sur les données de fiabilité utilisées Un tel écart pourrait donc être de nature à biaiser l’évaluation du
dans les calculs de probabilité de défaillance. niveau de SIL de la SIF dans laquelle intervient ce capteur.
N N
λavg λ70 % λavg λ70 % λavg λ70 %

IEC
Figure 12 – Estimateur l70 % versus lavg d’après IEC 61511-1:2016

N N
λavg λavg λavg
λ5 % λ95 % λ5 % λ95 % λ5 % λ95 %

IEC
Figure 13 – Principe d’une distribution probabiliste d’après IEC 61511-1:2016
La seconde approche proposée par la norme concerne l’utilisa- d’une loi log normale pour le taux de défaillance en considérant
tion de distributions probabilistes des paramètres de fiabilité utili- 10 000 histoires (tirages de Monte Carlo).
sés dans le calcul de la probabilité de défaillance. Dans cette Le tableau 9 présente les valeurs de PFDavg en fonction de l’esti-
seconde approche, le taux de défaillance n’est plus une valeur mateur retenu pour le taux de défaillance.
unique, mais il doit être vu comme une variable aléatoire avec
une dispersion plus ou moins grande autour d’une valeur Au regard des valeurs présentées dans le tableau 9, il apparaı̂t
moyenne. que les deux approches proposées par la norme pour répondre à
la demande de prise en compte des incertitudes mènent à des
En figure 13, le l est évalué avec un intervalle de confiance à résultats plus conservatifs que celui obtenu par application du
90 %, c’est-à-dire que le l à 90 % de chance d’être dans la plage taux de défaillance moyen (lavg). Ces deux approches permettent
[l5 %, l95 %]. Ces bornes s’obtiennent à partir d’une loi du c2 (loi donc d’obtenir une estimation plus prudente de la probabilité de
du Chi - 2). défaillance que dans le cas d’une estimation en retenant le lavg.
Pour illustrer l’impact de la prise en compte des incertitudes lors Nota : concernant les deux approches l70 % ou application d’une distribution probabi-
des calculs de PFDavg, considérons une architecture 2oo2 composée liste pour le taux de défaillances, ces deux méthodes mènent dans l’exemple retenu à
de deux capteurs dont le lavg et le l70 % ont été estimés précédem- des résultats similaires. En revanche, cette convergence sur le cas traité ne doit pas
mener à la conclusion qu’elles sont nécessairement équivalentes.
ment. Pour les besoins du calcul, les capteurs sont supposés testés
tous les quatre mois. La PFDavg associée au bloc de deux capteurs
en 2oo2 a été estimée en considérant :
cas a : le taux de défaillance correspondant à l’estimateur du
maximum de vraisemblance : lavg ; 4. Conclusion
cas b : le taux de défaillance correspondant à la borne supé-
rieure de l’intervalle de confiance unilatéral à 70 % : l70 % ;
cas c : une distribution probabiliste du taux de défaillance de Attendue de longue date, la deuxième version de la norme
type loi log normale. IEC 61511:2016 introduit des modifications plus ou moins substan-
tielles suivant l’étape du cycle de vie de sécurité d’un SIS.
Les évolutions de la PFD en fonction du temps ainsi que les
Une analyse approfondie du contenu de cette nouvelle version
valeurs moyennes pour les cas a et b sont comparées sur le gra-
permet d’affirmer que les principes fondamentaux de la norme res-
phique de la figure 14.
tent inchangés. En revanche, cette nouvelle version tend sur cer-
Sur la figure 15, l’enveloppe de l’aire blanche fournit le quantile tains concepts et définitions à se rapprocher de la norme « mère »
à 90 % des valeurs instantanées de PFD obtenues par application IEC 61508:2010.
3E–2
2,75E–2
2,5E–2
2,25E–2
2E–2
1,75E–2
1,5E–2
1,25E–2
1E–2
7,5E–3
5E–3
2,5E–3
0
0 0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9 1
Année (s)
PFD pour lambda avg = 2E – 6 / h : Maximum = 1,1533E – 2, Moyenne = 5,7389E – 3
PFD pour lambda 70 % : Maximum = 2,7907E – 2, Moyenne = 1,3925E – 2
PFD pour lambda avg = 2E – 6 / h PFD pour lambda 70 %
Figure 14 – PFD pour un système en 2oo2 en fonction de l’estimateur du taux de défaillance retenu (lavg versus l70 %)
2,5E–2
2,25E–2
2E–2
1,75E–2
1,5E–2
1,25E–2
1E–2
7,5E–3
5E–3
2,5E–3
0
0 2,5 5 7,5 1E1 1,25E1
Mois
PFD avec loi log normale sur le taux de défaillance capteur
Figure 15 – PFD pour un système en 2oo2 par application d’une distribution probabiliste sur le taux de défaillance
Elle insiste aussi sur l’importance de la gestion de la sécurité base d’un processus limitant autant que possible l’introduction
fonctionnelle tout au long du cycle de vie. En effet, le retour d’expé- d’erreurs systématiques.
rience sur l’application de l’IEC 61511 mettait en évidence que les
Cette nouvelle version de la norme tend à favoriser l’utilisation
utilisateurs de cette norme se focalisaient sur la partie conception
dans les SIS de matériels éprouvés par l’usage avec pour consé-
des fonctions instrumentée et estimation des niveaux de SIL en
quence d’inciter les industriels à collecter et analyser leur retour
omettant souvent les prescriptions relatives à la gestion de la sécu-
d’expérience relatif aux défaillances observées sur leurs équipements.
rité fonctionnelle (planification des tâches, compétences des inter-
venants, phases d’audit et de vérification, etc.). Or, l’application de Enfin, au travers des recommandations relatives aux calculs de
ce pan de la norme est en réalité fondamentale pour garantir que probabilité de défaillance des fonctions instrumentées de sécurité,
les systèmes instrumentés de sécurité (SIS) ont été conçus sur la cette nouvelle version de la norme prône une approche plus
Tableau 9 – PFDavg du bloc de capteurs en architecture 2oo2 en fonction de l’estimateur retenu

pour le taux de défaillance
Estimateur du taux Facteur de réduction du risque Niveau de SIL pour le bloc de

Cas PFDavg
de défaillance l (RRF) deux capteurs (2oo2)
a lavg 5,7E - 3 175 SIL 2
b l70 % 1,39E - 2 72 SIL 1
c Loi log normale 1,2E - 2 83 SIL 1
prudente. En effet, elle demande explicitement de justifier des Redondance ; redundancy

hypothèses de calculs (profondeur de test, etc.) mais aussi de pren- Existence de plusieurs moyens pour accomplir une fonction exi-
dre en compte des incertitudes sur les données de fiabilité utilisées gée ou représenter des informations (IEC 61511:2016).
dans les calculs.
Comme pour la précédente version, plusieurs années de mise en
œuvre de cette nouvelle version de l’IEC 61511 seront nécessaires

avant de pouvoir statuer sur les apports des nouvelles prescrip-
tions sur la gestion de la sécurité fonctionnelle.
6. Sigles, notations
et symboles
5. Glossaire Symbole Description Unité
AGAN As good as new –

Aussi bon que neuf ; as good as new (AGAN)
CCF Common cause of failure –
Hypothèse de calcul retenue dans la norme IEC 61508-6. Après
chaque test périodique, il est considéré que la valeur de PFD(t) CPU Central processing unit –
revient à sa valeur initiale.
Danger ; hazard Électrique/ électronique et électronique
E/E/EP –
programmable
Source potentielle de dommage (EC 61511:2016).
Risque ; risk GRIF Graphiques interactifs pour la fiabilité –
Combinaison de la probabilité d’un dommage et de sa gravité
(IEC 61511:2016). HFT Hard fault tolerance –
Proportion de défaillance en sécurité ; safe failure fraction (SFF) HSE Health and safety executive –
Proportion du taux global des défaillances aléatoires de matériel
d’un dispositif qui a comme conséquence une défaillance en sécu- ISA International society of automation
rité ou une défaillance dangereuse détectée (IEC 61511:2003).
Taux de défaillances dangereuses non
Scénario d’accident ; scenario lDU (/h)
détectées
Enchaı̂nement d’événements conduisant d’un événement initia-
teur à un accident (majeur), dont la séquence et les liens logiques RRF Risk reduction factor –
découlent de l’analyse de risque. En général, plusieurs scénarios
peuvent mener à un même phénomène dangereux pouvant PTC Proof test coverage %
conduire à un accident (majeur) (définition issue de la circulaire
du 10 mai 2010). SFF Safe failure fraction –
Temps de sécurité du processus ; process safety time
Durée entre l’occurrence d’une défaillance se produisant dans le SIF Safety instrumented function –
processus ou le système de commande de processus de base
(avec risque de donner lieu à un événement dangereux) et l’occur- SIL Safety integrity level –
rence de l’événement dangereux si la SIF n’est pas exécutée
(IEC 61511:2016). SIS Safety instrumented system –
Niveau d’intégrité de sécurité ; SIL level Probability of failure on
PFDavg –
Niveau discret (parmi quatre possibles) affecté à la SIF permet- demand average
tant de spécifier les exigences concernant l’intégrité de sécurité
devant être réalisées par le SIS (IEC 61511:2016). PFD(t) Probability of failure on demand –
Probabilité de défaillance moyenne à la demande ; probability of
failure on demand average PFH Probability of failure per hour (/h)
Valeur moyenne de la probabilité de défaillance à la demande PFD TI Période de test de bon fonctionnement (/h)
(t) sur l’intervalle de temps séparant deux tests de fonctionnement.
P
O
U
Nouvelles exigences de la norme R
IEC 61511
E
N
par Olivier IDDIR
Ingénieur quantification des risques – Membre du réseau des experts de TechnipFMC
Département Expertise & Modélisation – TechnipFMC, La Défense, France
S
A
Sources bibliographiques
V
[1] ISA France. – Guide d’interprétation et d’ap- [3] HSE. – Out of control – Why control systems UIC & UFIP. – Guide méthodologique pour la
O
plication de la norme IEC 61508 et des nor-
mes dérivées IEC 61511 (ISA S84.01) et
IEC 62061 (2005). [4]
go wrong and how to prevent failure (2003).
HSE. – Safety and environmental standards

gestion et la maitrise des MMRI. DT 93
(2001). I
[2] CCPS. – Layer of protection analysis. Simpli-
fied Process Risk Assessment (2001).
for fuel storage sites – Buncefield Standards
Task Group (BSTG) Final report (2007). R
À lire également dans nos bases
IDDIR (O.). – Principes d’évaluation de la pro-
babilité de défaillance des mesures de maı̂-
MORTUREUX (Y.). – Arbre de défaillances,
des causes et d’événement. [SE 4 050]
ROYER (M.). – HAZOP : une méthode d’ana-
lyse des risques – Mise en œuvre. [SE 4 032]
P
trise des risques. [SE 4 057] (2009).
IDDIR (O.). – Méthode LOPA : principe et

(2002).
MORTUREUX (Y.). – La sûreté de fonctionne-

(2009).
L
exemple d’application. [SE 4 075] (2012).
IDDIR (O.). – Probabilité de défaillance à la
ment : méthode pour maı̂triser les risques.
[AG 4 670] (2001). U
sollicitation d’une fonction instrumentée de
sécurité. [SE 4 058] (2015).
ROYER (M.). – HAZOP : une méthode d’ana-
lyse des risques – Principe. [SE 4 031] (2009). S
Normes et standards
IEC 61508:1998 1998 Sécurité fonctionnelle des systè- IEC 61511:2016 2016 Sécurité fonctionnelle – Systèmes ins-
mes électriques/électroniques/élec- trumentés de sécurité pour le secteur
troniques programmables relatifs à des industries de transformation.
la sécurité. IEC 61511-1 2017 Sécurité fonctionnelle – Systèmes ins-
IEC 61508:2010 2010 Sécurité fonctionnelle des systèmes trumentés de sécurité pour le secteur
électriques/électroniques/électroniques des industries de transformation –
programmables relatifs à la sécurité. Partie 1 : cadre, définitions, exigences
pour le système, le matériel et la pro-
IEC 61508-2 2011 Sécurité fonctionnelle des systè- grammation d’application.
mes électriques/électroniques/élec- ISA S84:1996 1996 Application of Safety Instrumented
troniques programmables relatifs à Systems for Process Industries.
la sécurité – Partie 2 : exigences
pour les systèmes électriques/élec- IEC 62061/A2 2015 Sécurité des machines – Sécurité
troniques/électroniques programma- fonctionnelle des systèmes de com-
bles relatifs à la sécurité. mande électriques, électroniques et
électroniques programmables relatifs
IEC 61508-6 2011 Sécurité fonctionnelle des systèmes à la sécurité.
électriques/électroniques/électroniques IEC 61513 2013 Centrales nucléaires de puissance –
programmables relatifs à la sécurité – Instrumentation et contrôle-com-
Partie 6 : lignes directrices pour l’appli- mande importants pour la sûreté –
cation de la IEC 61508-2 et de la Exigences générales pour les
IEC 61508-3. systèmes.
IIEC 61511:2003 2003 Systèmes instrumentés de sécurité ISO/TR 12489:2013 2013 Pétrole, pétrochimie et gaz naturel –
pour le domaine de la production par Modélisation et calcul fiabilistes des
processus. systèmes de sécurité.
Copyright © - Techniques de l’Ingénieur - Tous droits réservés Doc. SE 4 059 – 1
P NOUVELLES EXIGENCES DE LA NORME IEC 61511 ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
O
U Annuaire
R Organismes – Fédérations – Associations (liste non ISO
exhaustive) http://www.iso.org
Commission électrotechnique internationale CEI (IEC) Constructeurs – Fournisseurs – Distributeurs (liste non
E http://www.iec.ch
Association des exploitants d’équipements de mesure, de régulation et
exhaustive)
Progiciel GRIF-Workshop (graphiques interactifs pour la fiabilité), logiciel
N d’automatisme (EXERA).
http://www.exera.com
développé par ELF puis pour TOTAL par SATODEV
exSILentia suite de logiciel développé par Exida.
S
A
V
O
I
R
P
L
U
S
Doc. SE 4 059 – 2 Copyright © - Techniques de l’Ingénieur - Tous droits réservés
GAGNEZ DU TEMPS ET SÉCURISEZ VOS PROJETS
EN UTILISANT UNE SOURCE ACTUALISÉE ET FIABLE
Techniques de l’Ingénieur propose la plus importante

collection documentaire technique et scientifique
en français !
Grâce à vos droits d’accès, retrouvez l’ensemble
des articles et fiches pratiques de votre offre,
leurs compléments et mises à jour,
et bénéficiez des services inclus.
   
RÉDIGÉE ET VALIDÉE MISE À JOUR 100 % COMPATIBLE SERVICES INCLUS
PAR DES EXPERTS PERMANENTE SUR TOUS SUPPORTS DANS CHAQUE OFFRE
NUMÉRIQUES
 + de 350 000 utilisateurs

 + de 10 000 articles de référence
 + de 80 offres
 15 domaines d’expertise
Automatique - Robotique Innovation
Biomédical - Pharma Matériaux
Construction et travaux publics Mécanique
Électronique - Photonique Mesures - Analyses
Énergies Procédés chimie - Bio - Agro
Environnement - Sécurité Sciences fondamentales
Génie industriel Technologies de l’information
Ingénierie des transports
Pour des offres toujours plus adaptées à votre métier,

découvrez les offres dédiées à votre secteur d’activité
Depuis plus de 70 ans, Techniques de l’Ingénieur est la source

d’informations de référence des bureaux d’études,
de la R&D et de l’innovation.
www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
LES AVANTAGES ET SERVICES
compris dans les offres Techniques de l’Ingénieur
  
ACCÈS
Accès illimité Téléchargement des articles Consultation sur tous

aux articles en HTML au format PDF les supports numériques
Enrichis et mis à jour pendant Pour un usage en toute liberté Des contenus optimisés
toute la durée de la souscription pour ordinateurs, tablettes et mobiles
 
SERVICES ET OUTILS PRATIQUES
Questions aux experts* Articles Découverte Dictionnaire technique multilingue

Les meilleurs experts techniques La possibilité de consulter des articles 45 000 termes en français, anglais,
et scientifiques vous répondent en dehors de votre offre espagnol et allemand
 
Archives Impression à la demande Alertes actualisations
Technologies anciennes et versions Commandez les éditions papier Recevez par email toutes les nouveautés
antérieures des articles de vos ressources documentaires de vos ressources documentaires
*Questions aux experts est un service réservé aux entreprises, non proposé dans les offres écoles, universités ou pour tout autre organisme de formation.
ILS NOUS FONT CONFIANCE
www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com

Se4059 Nouvelles Exigences de La Norme Iec 61511

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Se4059 Nouvelles Exigences de La Norme Iec 61511

Transféré par

Droits d'auteur :

Formats disponibles

Réf.

par Olivier IDDIR

Pour toute question :

Nouvelles exigences de la norme

par Olivier IDDIR

1. Sécurité fonctionnelle ................................................................... SE 4 059 – 2

Copyright © - Techniques de l’Ingénieur - Tous droits réservés SE 4 059 – 1

La méthode LOPA [2], [SE 4 075] introduit le concept de « couches

SE 4 059 – 2 Copyright © - Techniques de l’Ingénieur - Tous droits réservés

Plans d’intervention (8)

Plans d’urgence site (7)

Protection post décharge

Conduite du procédé (2)

Figure 1 – Différentes couches de protection suivant LOPA [2]

De la répartition des causes de défaillances présentée en figure 3,

Copyright © - Techniques de l’Ingénieur - Tous droits réservés SE 4 059 – 3

Opérations de maintenance mal

Modifications après réception

Figure 3 – Causes profondes des défaillances des systèmes de sécurité [3]

En particulier, la norme IEC 61508:1998 fournit une approche

SE 4 059 – 4 Copyright © - Techniques de l’Ingénieur - Tous droits réservés

 prévoir une maintenance et des tests adaptés pour maintenir

Copyright © - Techniques de l’Ingénieur - Tous droits réservés SE 4 059 – 5

Gestion, Structure Analyse de danger et de risque

Affectation des fonctions

Installation, mise en service

Sens des informations

Pas d’exigence détaillée dans la norme IEC 61511

Exigences détaillées dans la norme IEC 61511

Figure 5 – Cycle de vie extrait de l’IEC 61511:2016

SE 4 059 – 6 Copyright © - Techniques de l’Ingénieur - Tous droits réservés

Modification – sollicitation élevée.

La nouvelle version de l’IEC 61511 tend vers un alignement des

systématique et le temps de sécurité des processus).

2.2 Valorisation de plusieurs couches

Les alarmes généralement inclues dans le système de conduite

Tableau 1 – Analyse des modifications clause par clause

Demande la mise en place de procédures pour gérer la

Quelques nouveaux points relatifs à la planification de la

Copyright © - Techniques de l’Ingénieur - Tous droits réservés SE 4 059 – 7

Tableau 1 – Analyse des modifications clause par clause (suite)

Article Modification Type de modification

Valorisation possible sous conditions de plusieurs couches de

9 : Affectation des fonctions de sécurité

Limitation du facteur de réduction du risque associé à plusieurs

Nouvelles exigences à spécifier pour concevoir le SIS

maintenant clairement énoncées (29 exigences contre 27 dans la

Ajout de parties de l’ancien article 12 sur les logiciels. Non substantielle

Modification des exigences minimales en termes de redondances

Clarification des exigences relatives aux calculs de probabilité de

Exigence de prendre en compte les incertitudes dans les calculs

Le programme d’application et sa documentation doivent être

L’ancien diagramme du modèle V pour le développement et les

La clause est maintenant normative ; elle était informative

14 : Installation et mise en service du SIS Aucun changement significatif. Non substantielle

15 : Validation de sécurité du SIS Aucun changement significatif. Non substantielle

Nécessité de prévoir des mesures compensatoires en cas de

Nécessité d’enregistrer le statut de tous les by-pass dans un

Les procédures de gestion doivent être appliquées pour examiner

SE 4 059 – 8 Copyright © - Techniques de l’Ingénieur - Tous droits réservés

Copyright © - Techniques de l’Ingénieur - Tous droits réservés SE 4 059 – 9

3 1 2 3 3 (n’importe quel mode) 1

4 Exigences spécifiques (cf. IEC 61508) 4 (n’importe quel mode) 2

prévoir une maintenance et des tests adaptés pour maintenir