Académique Documents
Professionnel Documents
Culture Documents
PROCESS SAFEBOOK 1 – Sécurité fonctionnelle dans l’industrie des procédés/Principes, normes et mise en œuvre
Également disponible :
Safebook 4 – Systèmes de commande de sécurité pour
machines.
Ce guide pratique aborde les principes de la sécurité, la
législation, la théorie et la pratique relatives aux machines.
Numéro de publication : SAFEBK-RM002B
www.rockwel lautomation.com
Canada : Rockwell Automation, 3043 rue Joseph A. Bombardier, Laval, Québec, H7P 6C5, Tél: +1 (450) 781-5100, Fax: +1 (450) 781-5101, www.rockwellautomation.ca
France : Rockwell Automation SAS – 2, rue René Caudron, Bât. A, F-78960 Voisins-le-Bretonneux, Tél: +33 1 61 08 77 00, Fax : +33 1 30 44 03 09
Suisse : Rockwell Automation AG, Av. des Baumettes 3, 1020 Renens, Tél: 021 631 32 32, Fax: 021 631 32 31, Customer Service Tél: 0848 000 278
Publication : SAFEBK-RM003A-FR-P – Mars 2013 © 2013 Rockwell Automation, Inc. Tous droits réservés.
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
1
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Avant-propos
La norme CEI 61508 traite de la gestion de la sécurité des systèmes électriques,
électroniques et électroniques programmables tout au long de leur durée de vie, du
concept jusqu’à la mise hors service. Elle introduit des principes de sécurité dans la gestion
des systèmes et des principes d’ingénierie de la sécurité dans leur développement.
Le principe fondamental de la norme prévoit que des objectifs de sécurité basés sur
une évaluation des risques doivent être définis dans la planification de la sécurité, puis
que la rigueur de la gestion et des procédés mis en œuvre doit être adaptée à leur
réalisation. Autrement dit, cette norme est plus axée sur des objectifs et est moins
prescriptive. D’autre part, la conformité à cette norme n’exonère pas les utilisateurs de
toute responsabilité en cas de problème de sécurité.
La norme vise à servir de base pour la préparation de normes plus spécifiques et aussi
pour une utilisation autonome. Toutefois, la première application est préférée. La
deuxième application nécessitera une adaptation de la norme, une compréhension
poussée de cette dernière par la direction et une planification considérable de son
introduction et de son utilisation.
La norme se révèle ardue à lire et à comprendre pour nombre de personnes. Quoi qu’il en
soit, son influence est déjà particulièrement prépondérante. Elle forme et continuera de
former la base des normes de sécurité modernes et des cadres légaux. Il est donc essentiel
que toutes les personnes assumant des responsabilités à un stade ou un autre de la vie d’un
système lié à la sécurité fassent un effort de compréhension exhaustive de cette norme.
La finalité de ce document est de fournir des informations et directives, afin que le lecteur
acquière une meilleure compréhension des normes et de leurs exigences et prescriptions.
Le document est rédigé dans un langage simple. Il est illustré par des exemples pratiques
basés sur des projets réels, afin d’expliquer les principes et exigences de base, ainsi que les
techniques permettant de respecter ces exigences.
Clause de non-responsabilité
Même si les techniques présentées ici ont été employées avec succès afin de démontrer la
conformité de projets réels, il convient de noter que la conformité, les techniques servant
2
PROCESS SAFEBOOK 1
Introduction à la norme CEI 61511
L’utilisation de crochets [ ] signale une référence croisée à une section dans ce document.
CEI 61508 désigne une norme internationale publiée par la Commission électrotechnique
internationale (CEI). Elle traite principalement des aspects à considérer lors de l’utilisation
de systèmes électriques, électroniques ou électroniques programmables (E/E/PE) pour
assurer des fonctions de sécurité.
CEI 61508 [19.1] est une norme générique qui s’applique à tous les systèmes E/E/PE liés
à la sécurité, indépendamment de leur utilisation ou de leur application. L’intitulé de la
norme est le suivant :
La norme repose sur le principe principal selon lequel un procédé peut présenter un
risque pour la sécurité ou l’environnement en cas d’anomalie liée au procédé ou à
l’équipement. Par conséquent, la norme concerne les problèmes de procédé et les
défaillances de système, par opposition aux dangers pour la santé et la sécurité tels que
les faux pas et les chutes, et permet une gestion systématique de la sécurité des procédés
basée sur les risques.
La norme part du principe que des fonctions de sécurité doivent être fournies afin de
réduire ces risques. Ensemble, les fonctions de sécurité peuvent constituer un système
instrumenté de sécurité (SIS), et leur conception ainsi que leur fonctionnement doivent
reposer sur une évaluation et une compréhension des risques présents.
La norme CEI 61511 n’est pas une norme de conception, mais porte plutôt sur la gestion
de la sécurité pendant la durée de vie d’un système, de la conception jusqu’à la mise hors
3
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Pour faire plus simple, la sécurité fonctionnelle est la réduction des risques fournie par les
fonctions mises en œuvre afin de garantir l’exploitation sécurisée du procédé.
La norme et toutes les autres publications de la CEI sont protégées et sont soumises à
certaines conditions dans le cadre des droits d’auteur, mais peuvent être achetées ou
téléchargées à partir du site Internet de la CEI [http://www.iec.ch].
4
PROCESS SAFEBOOK 1
Introduction à la norme CEI 61511
Exigences techniques
Partie 1
CEI 61511-1, 8 : Développement des exigences globales de sécurité
(concept, définition du domaine d’application, analyse de danger et de risque)
Partie 1
CEI 61511-1, 9, 10 : Allocation des exigences de sécurité aux fonctions instrumentées
de sécurité et développement de la spécification des exigences de sécurité
Partie 1
CEI 61511-1, 11, 12 :
Phase de conception pour les Phase de conception pour les logiciels
systèmes instrumentés de sécurité des systèmes instrumentés de sécurité
Partie 1
CEI 61511-1, 13, 14, 15 : Essais de recette en usine, installation et mise en
service, et validation de la sécurité des systèmes instrumentés de sécurité
Partie 1
CEI 61511-1, 16, 17, 18 : Exploitation et maintenance, modification et remise
à niveau, mise hors service ou au rebut des systèmes instrumentés de sécurité
Parties annexes
Partie 1
CEI 61511-1, 2 : Références
CEI 61511-1, 3 : Définitions et abréviations
CEI 61511-1, 4 : Conformité
CEI 61511-1, 5 : Gestion de la sécurité fonctionnelle
CEI 61511-1, 6 : Exigences du cycle de vie de sécurité
CEI 61511-1, 7 : Vérification
CEI 61511-1, 19 : Exigences d’informations
CEI 61511-1, Annexe A : Différences
Partie 2
CEI 61511-2 : Lignes directives pour l’application de la partie 1
Partie 3
CEI 61511-3 : Conseils pour la détermination des
niveaux exigés d’intégrité de sécurité
Figure 1 : structure de la norme
5
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
En règle générale, la partie 1 est « normative », car elle définit des exigences spécifiques
pour la conformité et adopte une structure cohérente permettant une démonstration par
clauses de la conformité.
Les parties 2 et 3 ont un caractère ‘informatif’ et fournissent des directives sur les
exigences normatives.
1.5.1. Prescriptions de la loi britannique Health and Safety at Work Act etc. de 1974
La loi Health and Safety at Work Act etc. 1974 (HASAW ou HSW) constitue la principale
législation au Royaume-Uni pour la santé et à la sécurité au travail. Le bureau pour la
santé et la sécurité HSE (Health and Safety Executive) est chargé de l’application de la
loi et d’autres lois et textes réglementaires pertinents pour l’environnement de travail.
Remarque : d'autres pays dans le monde entier ont des réglementations ou directives
similaires à la loi britannique sur la santé et la sécurité au travail de 1974. Pour des raisons
de simplicité dans ce document, veuillez considérer lorsque la loi sur la santé et la sécurité
au travail est mentionnée, que cela concerne également des lois et directives apparentées
qui pourraient exister dans votre pays.
Le texte complet de la loi est disponible auprès de l’Office of Public Sector Information
(OPSI) ou en téléchargement gratuit. Les utilisateurs d’informations juridiques doivent faire
preuve de prudence. Les documents imprimés ou en ligne peuvent ne pas être à jour. Par
conséquent, les utilisateurs doivent obtenir un avis juridique indépendant ou consulter la
ligne d’informations du bureau HSE, [http://www.hse.gov.uk/contact/index.htm].
Pour faire simple, selon la loi britannique sur la santé et la sécurité, il incombe à chaque
employeur de veiller, dans la mesure du raisonnable, à la santé, à la sécurité et au bien-
être de tous ses employés sur le lieu de travail. Cela inclut la fourniture et la maintenance
de l’usine et des systèmes de travail qui sont, dans la mesure du raisonnable, sûrs et sans
risque pour la santé.
6
PROCESS SAFEBOOK 1
Introduction à la norme CEI 61511
Par ailleurs, il incombe à chaque employeur de diriger son entreprise de telle sorte que,
dans la mesure du raisonnable, les personnes autres que ses employés susceptibles d’être
affectées ne soient pas ainsi exposées à des risques pour leur santé ou leur sécurité.
La norme CEI 61511 stipule que la revendication de conformité doit démontrer que les
exigences de la norme ont été respectées concernant les critères requis et que, pour toute
clause ou sous-clause, l’ensemble des objectifs ont été atteints.
En d’autres termes, la décision à prendre doit être basée sur le risque. En cas de manque
d’expérience, une intervention extérieure donnera plus de crédibilité à la revendication.
La norme n’a pas valeur de loi. Par conséquent, que vous respectiez ou non ses prescriptions,
vous devez avoir connaissance des conséquences d’une non-conformité. En tant qu’employeur,
titulaire d’obligations ou propriétaire d’un risque, vous avez l’obligation de gérer le risque sur
votre lieu de travail, en vertu de la loi britannique sur la santé et la sécurité au travail.
La norme propose une approche systématique pour la gestion de toutes les activités du
cycle de vie de la sécurité servant à accomplir des fonctions de sécurité et, à ce titre,
constitue une bonne source d’informations et de techniques. S’il se produit une situation
entraînant des blessures corporelles ou une maladie et si vous n’avez pas exploité
les meilleures informations à votre disposition pour gérer le risque concerné, vous vous
exposerez à une procédure d’enquête et à des poursuites pénales en vertu de la loi
britannique sur la santé et la sécurité au travail.
Les informations que vous collectez et l’analyse que vous fournissez dans le cadre du
respect des prescriptions de la norme CEI 61511 deviennent en effet votre défense devant
un tribunal en cas de survenance d’un incident.
7
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Si vous êtes concerné par une partie ou une autre du cycle de vie de la sécurité, il est
clairement raisonnable d’attendre de votre part que vous appliquiez les meilleures
informations disponibles afin d’assurer une gestion des risques de votre usine à un niveau
tolérable. Il pourrait être avancé que les meilleures informations disponibles sont la
norme CEI 61511 et, donc, en cas d’incident, que toute inobservation de celle-ci pourrait
être assimilé à une négligence.
En réalité, vous éprouverez peut-être le besoin de revenir aux premières parties du cycle de
vie de la sécurité pour l’usine existante et de revisiter, voire de conduire une toute nouvelle
étude HAZOP (Hazard and Operability). En menant le processus jusqu’à sa conclusion, vous
identifierez peut-être des risques non couverts par des fonctions de sécurité existantes et il
vous incombera de gérer ces risques d’une manière ou d’une autre.
Au minimum, vous avez l’obligation de documenter le procédé : afin d’être certain que
tous les dangers ont été identifiés, que les risques ont été évalués et que l’efficacité des
fonctions ou mesures de protection actuellement en place a été analysée. Dans ce cas,
vous avez suffisamment de recul et vous pouvez quantifier les fréquences de danger plus
précisément, au moyen de vos propres enregistrements d’historique, que vous pourriez le
8
PROCESS SAFEBOOK 1
Introduction à la norme CEI 61511
faire avec une nouvelle installation. Par conséquent, vous devez démontrer, par le biais de
l’analyse, que les risques identifiés par vos soins sont tolérables.
Dans le pire des cas, si vous vous retrouvez dans une situation où des dangers ne sont pas
couverts ou que des mesures supplémentaires de réduction du risque sont nécessaires,
vous devez le savoir et prendre les mesures qui s’imposent alors.
Hormis les obligations juridiques implicites découlant de la loi britannique sur la santé et
la sécurité au travail, d’autres raisons peuvent imposer une conformité à la norme :
• exigences contractuelles ;
• optimisation de l’architecture de conception ;
• atout marketing possible.
Certains pourraient arguer que la fonction première d’une entreprise est sa survie et que
son objectif ne doit pas être la maximisation du profit, mais la prévention des pertes. À
partir de là, vous devez vous demander si vous préférez apprendre des erreurs des autres
ou les commettre vous-même.
Par conséquent, lorsqu’un fabricant affirme, par exemple, que son produit est un capteur
de pression SIL2 ou un API SIL3, cela signifie en fait que le capteur de pression est adapté
à une utilisation au sein d’une fonction de sécurité SIL2 ou que l’API convient pour une
fonction de sécurité SIL3.
Les revendications du fabricant peuvent même être étayées par un certificat SIL délivré
par une instance indépendante, mais cela ne signifie pas que la fonction de sécurité
standard sera conforme à la norme SIL. Le certificat SIL ne remplace pas la démonstration
de la conformité et le titulaire d’une obligation ne peut pas utiliser les affirmations
concernant les produits pour se décharger de ses responsabilités au regard de la loi
britannique sur la santé et la sécurité au travail.
9
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Concernant les usines existantes, la loi britannique sur la santé et la sécurité au travail
continue de s’appliquer et, par conséquent, les risques doivent là aussi être identifiés et
gérés comme il se doit, [1.5.5]. La norme CEI 61511 continue de proposer un modèle
applicable à la gestion des risques des usines existantes conçues et exploitées avant sa
publication.
10
PROCESS SAFEBOOK 1
Cycle de vie de la sécurité globale
2
rité aux couches de protection
évaluation et audit de la sécurité fonctionnelle
3
de sécurité pour le SIS élaboration
d’autres moyens
Conception et ingénierie de réduction
4 du risque
du SIS
5
Installation, mise en service Vérification
et validation
6 Fonctionnement et maintenance
7 Modification
11
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
risque. Cet aspect est fondamental pour appréhender les dangers et risques associés au
procédé.
Une fois la réduction nécessaire du risque déterminée, les moyens d’y parvenir sont
spécifiés pendant la phase 2 d’allocation et la phase 3 des prescriptions de sécurité globale.
Les phases 5 à 10 montrent que la norme n’est pas limitée au développement des
systèmes, mais qu’elle couvre la gestion de la sécurité fonctionnelle tout au long de
la durée de vie d’un système.
Dans la mesure où la norme n’est pas prescriptive, la conformité n’est jamais simple et
directe. La quantité de travail plus ou moins conséquente accomplie pour revendiquer
votre conformité constitue un choix personnel, mais vous devez éprouver la satisfaction
d’en avoir fait suffisamment. Une approche de conformité par clauses est recommandée
afin d’être certain d’avoir pris en compte tout ce que l’on peut raisonnablement attendre
de votre part. En d’autres termes, vous devez montrer toute la rigueur de votre approche.
La conformité à la norme impose que vous démontriez, preuve à l’appui, qu’une approche
systématique a été adoptée pour gérer les risques et que ladite approche a été appliquée
aux parties appropriées du cycle de vie. L’approche systématique est fournie par la norme
et est basée sur le cycle de vie de la sécurité.
12
PROCESS SAFEBOOK 1
Cycle de vie de la sécurité globale
Chaque phase du cycle de vie décrit une activité et chaque activité est assortie de besoins
d’informations en entrée. Chaque phase est constituée d’une activité, pour laquelle vous
devez avoir des procédures documentées produisant en sortie des informations
utilisables au cours des phases suivantes.
La figure 3 présente les activités et besoins d’informations pour la phase 1 (Évaluation des
dangers et des risques) et la phase 2 (Allocation des prescriptions de sécurité). La figure
montre les informations requises en entrée (Entrée) de l’activité, ainsi que les informations
produites par l’activité en vue de leur utilisation au cours de la phase suivante.
Vous remarquerez que même si la norme décrit les phases du cycle de vie et les besoins
d’informations de chaque phase, dans la pratique, certaines des phases et leurs
documents associés peuvent, le cas échéant, être combinés. La clarté et la simplicité sont
importantes, et il convient de réaliser les activités et de présenter les informations de la
manière la plus efficace possible.
La sortie de la phase 3 sera généralement une étude HAZOP et une analyse des risques,
lesquelles viseront à identifier les prescriptions de fonction de sécurité et les objectifs de
réduction du risque.
La phase 4 traite de l’allocation des fonctions de sécurité sur la base des prescriptions de
sécurité identifiées au cours de la phase précédente. L’allocation des prescriptions de
sécurité est le processus qui consiste à traiter chacune des prescriptions de sécurité et à
allouer les fonctions instrumentées de sécurité. Ce processus itératif doit prendre en
compte le procédé et d’autres mesures de réduction du risque éventuellement disponibles
pour respecter les exigences d’intégrité de la sécurité globale.
13
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Entrée 1. Analyse
des dangers et
Sortie des risques
14
PROCESS SAFEBOOK 1
Cycle de vie de la sécurité globale
Entrée 3. Spécification
des prescriptions
Sortie de sécurité
Entrée 4. Conception
et ingénierie du
Sortie SIS
15
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Votre organisation dispose peut-être d’une liste de contrôle qui doit être incluse dans
une spécification de conception. Ce faisant, chaque projet produira une spécification
complète et exhaustive, et contribuera à réduire au minimum les défaillances de la
fonction de sécurité imputables à des erreurs de spécification.
La phase 4 peut être traitée de manière adaptée dans une spécification fonctionnelle
(FDS) ou un document similaire, qui définit l’implantation, le procédé, ainsi que les aspects
environnementaux et opérationnels, puis établit le périmètre des phases suivantes.
16
PROCESS SAFEBOOK 1
Cycle de vie de la sécurité globale
17
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Entrée 7. Modification
8. Mise hors service
Sortie
18
PROCESS SAFEBOOK 1
Dangers et leur identification
3
de sécurité pour le SIS élaboration
d’autres moyens
Conception et ingénierie de réduction
4 du risque
du SIS
Vérification
Installation, mise en service
5
et validation
6 Fonctionnement et maintenance
7 Modification
L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, clause 8.1, consiste
à déterminer :
19
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
3.2. Dangers
La signification du terme danger peut prêter à confusion. Bien souvent, les dictionnaires
ne donnent pas de définitions spécifiques ou ils l’associent au terme « risque », par
exemple sous la forme « un danger ou un risque », d’où l’utilisation indifférenciée des
termes par nombre de personnes.
• Bris de glace, car ils peuvent provoquer des blessures par entaille ;
• Bassins et étangs, car il est possible de glisser et de tomber ;
• Trop de fiches sur une multiprise pourraient entraîner une surcharge et
provoquer un incendie.
À l’origine, les études HAZOP ont été mises au point au Royaume-Uni par ICI, après la
catastrophe de Flixborough en 1974, et elles ont commencé à se généraliser dans
l’industrie des procédés.
20
PROCESS SAFEBOOK 1
Dangers et leur identification
Le samedi 1er juin 1974, le site Nypro (Royaume-Uni) de Flixborough a été gravement
endommagé par une explosion importante qui a tué 28 ouvriers et blessé 36 autres. Il a
été admis que le nombre de victimes aurait été nettement plus important si l’incident
s’était produit un jour de semaine, car la tour de bureaux principale était inoccupée. Selon
les rapports, 53 personnes extérieures au site ont été blessées et des propriétés
avoisinantes ont aussi été endommagées.
Les 18 décès dans la salle de contrôle ont été provoqués par les vitres qui ont volé en éclat
et par l’effondrement du toit. Il n’y a eu aucun survivant. Il a fallu plusieurs jours pour
éteindre les incendies et ceux-ci ont entravé les opérations de secours pendant 10 jours.
Les études HAZOP ont d’abord été adoptées par l’industrie chimique puis, via des échanges
généraux d’idées et de personnel, elles ont ensuite été adoptées par l’industrie pétrolière,
laquelle présente un potentiel similaire de catastrophes majeures. Les secteurs de l’alimen-
taire et de l’eau ont suivi, car les dangers potentiels y sont aussi grands, quoique plus axés sur
les problèmes de contamination que les explosions et les rejets de produits chimiques.
Bien que la conception de l’usine se fonde sur les réglementations et normes applicables,
le processus HAZOP a offert la possibilité de les compléter par une anticipation ingénieuse
des écarts susceptibles de se produire en raison, par exemple, de conditions ou problèmes
de procédé, du dysfonctionnement d’un équipement ou d’une erreur humaine.
Par ailleurs, les pressions imposées par les calendriers des projets peuvent aboutir à des
erreurs ou des omissions, et les études HAZOP permettent de les corriger avant que de
tels changements deviennent trop onéreux. Comme elles sont faciles à comprendre
et peuvent être adaptées à n’importe quel procédé ou activité, les études HAZOP sont
devenues la méthode la plus employée pour l’identification des dangers.
Tous les procédés, équipements commandés ou usines de production ont une intention de
conception. Il peut s’agir d’atteindre une capacité de production cible en termes de tonnage
annuel d’un produit chimique particulier ou un nombre spécifié d’objets manufacturés.
Par exemple, dans le cadre des exigences de production de notre usine, nous avons peut-
être besoin d’une installation d’eau de refroidissement contenant un circuit d’eau de
refroidissement avec une pompe de circulation et un échangeur de chaleur, comme
illustré sur la figure 8.
21
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Ventilateur de
refroidissement
Échangeur de chaleur
Alimentation en
liquide de
refroidissement
Réservoir
Pompe
L’intention de conception de cette petite section de l’usine pourra être une circulation
permanente de l’eau de refroidissement à une température de x ºC et à un débit de
xxx litres par heure. L’étude HAZOP s’adresse généralement à ce niveau détaillé
d’intention de conception. L’utilisation du terme écart devient désormais plus facile à
comprendre. Un écart ou une divergence par rapport à l’intention de conception
dans notre exemple d’installation d’eau de refroidissement pourra être une réduction du
débit de circulation ou une augmentation de la température de l’eau.
Notez la différence entre un écart et sa cause. Dans le cas ci-dessus, une défaillance de la
pompe constituera une cause, pas un écart.
Les études HAZOP servent à identifier des dangers potentiels et des problèmes
d’exploitabilité provoqués par des écarts vis-à-vis de l’intention de conception des usines
de procédés nouvelles ou existantes, et elles sont généralement réalisées régulièrement
pendant toute la durée de vie de l’usine. Une étude HAZOP initiale ou préliminaire doit
assurément être réalisée très tôt au cours de la phase de conception. Le procédé doit être
examiné pendant l’avancement du développement, à chaque proposition de modifications
majeures et, enfin, à la fin du développement, afin de garantir l’absence de risque résiduel
avant l’étape de construction.
22
PROCESS SAFEBOOK 1
Dangers et leur identification
Une étude HAZOP est réalisée au cours de réunions organisées entre les parties
concernées ayant une connaissance et une expérience suffisantes du fonctionnement
et de la maintenance de l’usine. La réunion est une session structurée de réflexion, au
cours de laquelle des mots-guides servent à stimuler la production d’idées sur les dangers
potentiels. Le procès-verbal de la réunion consigne les discussions et collecte les
informations sur les dangers potentiels, leurs causes et leurs conséquences.
Il est important qu’une équipe HAZOP soit constituée de personnes qui apportent à
l’étude le meilleur équilibre possible entre les connaissances et l’expérience sur le type
d’usine envisagé. Une équipe HAZOP type sera constituée comme suit :
Nom Rôle
23
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
La procédure est appliquée de manière structurée par l’équipe HAZOP et repose sur
l’utilisation de l’imagination de ses membres en vue d’identifier des dangers crédibles.
3.6.4. Mots-guides
Le processus HAZOP utilise des mots-guides afin de focaliser l’attention de l’équipe sur
les écarts vis-à-vis de l’intention de conception, ainsi que sur leurs éventuelles causes et
conséquences. Ces mots-guides sont répartis en sous-ensembles :
Toute la technique dépend de l’utilisation efficace de ces mots-guides, de sorte que leur
signification et leur utilisation doivent être parfaitement comprises par l’équipe.
Puisqu’une étude HAZOP met l’accent sur les dangers et l’exploitabilité, il est important
de considérer non seulement le fonctionnement normal du procédé, mais aussi d’autres
modes anormaux, tels que la mise en route, l’arrêt, le remplissage, la vidange, la
dérivation et les tests de validité.
24
PROCESS SAFEBOOK 1
Dangers et leur identification
Pour ce faire, il est possible d’envisager chaque mode de fonctionnement spécifié dans le
périmètre comme un exercice distinct et de produire des analyses HAZOP séparées pour
chacun. Pour les systèmes relativement simples, une autre possibilité consiste à inclure
une colonne supplémentaire dans les fiches afin d’identifier le mode. Une analyse HAZOP
unique peut ainsi prendre en considération tous les modes de fonctionnement.
Des outils logiciels sont disponibles pour vous guider tout au long du processus HAZOP.
Autre possibilité, une feuille de calcul toute simple peut être élaborée afin de consigner
les discussions et les conclusions. Les feuilles de calcul facilitent les opérations de tri et de
classement. Elles fournissent aussi une visibilité et une traçabilité entre les entrées, d’où
une gestion possible des références croisées avec d’autres analyses.
Il est recommandé de consigner tous les événements et toutes les combinaisons de mots-
guides envisagés. Le cas échéant, il est possible de consigner les éléments suivants : Pas
de cause crédible, Pas de conséquence ou Pas de danger. L’ensemble est classé comme
un enregistrement complet, qui aboutit à un rapport HAZOP démontrant qu’une étude
exhaustive et rigoureuse a été effectuée. Son utilité sera incalculable pour évaluer la
sécurité et l’exploitabilité de modifications ultérieures de l’usine.
Outre ce qui précède, les mots secondaires « Tout » et « Reste » sont souvent employés.
Par exemple, certaines combinaisons de mots-guides principaux peuvent être identifiées
comme ayant des causes crédibles, par ex., Débit/Aucun, Débit/Inverse. Pour d’autres
combinaisons (Débit/Moins, Débit/Plus, Débit/Autre), où aucune cause crédible ne peut
être identifiée, la combinaison « Débit/Reste » peut être employée.
Référence
Il est toujours utile d’inclure une colonne de référence, afin que chaque entrée puisse être
référencée à partir d’autres analyses et fournisse aussi une traçabilité vers des analyses
consécutives, par ex., LOPA [8].
Mots-guides
Des mots-guides principaux et secondaires doivent être employés. Internet peut fournir
différentes listes de mots-guides qui s’appliquent à différents secteurs d’activité et
industries.
25
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Écart
L’écart désigne une divergence par rapport à l’intention de conception définie par les
mots-guides principaux et secondaires, et il représente le danger identifié.
Cause
Conséquence
Les conséquences qui découleraient de l’effet de l’écart et, le cas échéant, de la cause
proprement dite. Il convient d’être toujours explicite dans la consignation des conséquences.
Ne partez pas du principe qu’à une date ultérieure le lecteur comprendra la nature du danger
ou ses conséquences.
Lors de la documentation des conséquences, il est important d’avoir à l’esprit que l’étude
HAZOP peut servir à déterminer un risque. Par conséquent, une description complète des
évolutions possibles du danger et des conséquences associées est essentielle. Par
exemple, les conséquences peuvent être décrites comme suit :
Mesures de protection
Tout équipement de protection existant qui évite la cause ou protège des conséquences
sera consigné dans cette colonne. Les mesures de protection ne doivent pas être limitées
au matériel et, le cas échéant, il est possible de prendre en considération des aspects de
procédure tels les inspections régulières de l’usine (si vous êtes certain qu’elles sont
effectuées ET qu’elles peuvent avoir un rôle de prévention ou de protection).
26
PROCESS SAFEBOOK 1
Dangers et leur identification
3.7.1. Séparateur
PT102
P
Arrivée de
liquide
XV102 Sortie de
gaz
FCV102
LH
LH101
TT100
T LL
LL101 Sortie de
liquide
XV101
FCV100 XV100
Brûleur
Arrivée de
gaz combustible
FCV100
Figure 9 : séparateur
Un exemple d’étude HAZOP pour ce séparateur est illustré sur le schéma suivant.
27
Réf. Mot-guide principal Mot-guide secondaire Écart Source de danger Conséquence
01.01 Écoulement Plus Débit élevé de liquide de procédé Le débit élevé en entrée de récipient pourrait Dommages aux équipements en aval nécessitant le remplacement du
en entrée de récipient. aboutir à un niveau élevé, transfert de liquide dans récipient estimés à 10 millions € et arrêt de procédé pendant 6 mois.
la sortie de gaz.
01.02 Débit élevé de liquide de procédé Le débit élevé en sortie de récipient pourrait aboutir à un Dommages aux équipements en aval nécessitant le nettoyage du récipient
en sortie de récipient. niveau bas, fuite de gaz dans la sortie de liquide. estimés à 2 millions € et arrêt de procédé pendant 6 semaines.
01.11 Moins Pression faible dans le récipient. Rupture de récipient et rejet de gaz. Le gaz libéré s’enflamme sur le brûleur et au contact des surfaces chaudes.
Décès possible de deux techniciens de maintenance. Dommages aux
28
équipements nécessitant le remplacement du récipient estimés à 10 millions €
et arrêt de procédé pendant 1 année. Dégagement mineur dans l’environnement.
01.16 Moins Température basse dans le Gel potentiel de liquide (solidification), rupture de Dommages aux équipements nécessitant le remplacement du
récipient. récipient et perte de confinement. récipient estimés à 10 millions € et arrêt de procédé pendant 6 mois.
Rejet dans l’environnement nécessitant une déclaration.
01.17 Inverse Pas crédible. Pas de danger crédible Aucun.
01.18 Aussi Pas crédible. Pas de danger crédible Aucun.
01.19 Autre Pas crédible. Pas de danger crédible Aucun.
01.20 Niveau Plus Niveau élevé dans le récipient. Le niveau élevé dans le récipient pourrait aboutir Dommages aux équipements en aval nécessitant le remplacement du
à un transfert de liquide dans la sortie de gaz. récipient estimés à 10 millions € et arrêt de procédé pendant 6 mois.
01.21 Moins Niveau bas dans le récipient. Le niveau bas dans le récipient pourrait aboutir Dommages aux équipements en aval nécessitant le nettoyage du récipient
à une fuite de gaz dans la sortie de liquide. estimés à 2 millions € et arrêt de procédé pendant 6 semaines.
01.22 Inverse Pas crédible. Pas de danger crédible Aucun.
01.23 Aussi Pas crédible. Pas de danger crédible Aucun.
01.24 Autre Pas crédible. Pas de danger crédible Aucun.
Sécurité fonctionnelle dans l’industrie des procédés
PROCESS SAFEBOOK 1
Dangers et leur identification
Danger Conséquence
La température élevée Le gaz libéré s’enflamme sur le brûleur et au contact des surfaces
aboutit à une pression chaudes. Décès possible de deux techniciens de maintenance.
élevée, à la rupture du Dommages aux équipements nécessitant le remplacement du
récipient et au rejet de récipient estimés à 10 millions € et arrêt de procédé pendant
gaz. 1 année. Dégagement mineur dans l’environnement.
La pression faible Le gaz libéré s’enflamme sur le brûleur et au contact des surfaces
provoque une rupture du chaudes. Décès possible de deux techniciens de maintenance.
récipient et un rejet de Dommages aux équipements nécessitant le remplacement du
gaz. récipient estimés à 10 millions € et arrêt de procédé pendant
1 année. Dégagement mineur dans l’environnement.
La liste des dangers identifiés forme un journal des dangers pour le système. Ce journal
doit demeurer un document dynamique pendant toute la durée de vie du système et
peut faire l’objet d’ajouts ou de révisions après la réalisation d’autres études.
29
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Le risque annuel d’un accident mortel pour un employé [effet] au travail lors d’un contact
avec des machines ou pièces de machine en mouvement [danger] est inférieur à un pour
100 000 [vraisemblance].
Par conséquent, le risque doit être quantifié selon deux dimensions. L’incidence ou
les conséquences du danger doivent être évaluées, de même que la probabilité de
survenance de celui-ci. Pour faire simple, évaluez chacune sur une échelle de 1 à 4,
comme illustré sur la figure 10, où plus la valeur est élevée, plus l’incidence ou la
probabilité de survenance l’est également. En guise de principe général, l’utilisation
d’une matrice de risque telle que celle-ci permet d’établir des priorités et d’évaluer le
risque.
4
Probabilité de
Moyenne Critique
survenance
2
Faible Élevée
1
1 2 3 4
Gravité des conséquences
Figure 10 : matrice de risque
30
PROCESS SAFEBOOK 1
Risque et réduction du risque
L’exemple HAZOP [3.7.2] peut être développé et la multiplication des catégories de gravité
et de fréquence fournit une mesure préliminaire sous forme d’un nombre de priorité de
risque (NPR), lequel peut servir à hiérarchiser les actions de réduction du risque, [4.3].
Les fiches HAZOP identifient aussi les actions aux fins d’investigation supplémentaire.
Dans cet exemple, les actions suivantes ont été identifiées.
31
Réf. Écart Source de danger Conséquence Mesures de Action
Cat. grav. Cat. fréq. NPR
protection
01.01 Débit élevé de liquide de procédé Le débit élevé en entrée de récipient Dommages aux équipements en aval nécessitant le remplacement du Contrôle de niveau. Envisager l’installation
en entrée de récipient. pourrait aboutir à un niveau élevé, récipient estimés à 10 millions € et arrêt de procédé pendant 6 mois. 3 2 6 d’une alarme de niveau
transfert de liquide dans la sortie de gaz. haut.
01.02 Débit élevé de liquide de procédé Le débit élevé en sortie de récipient pourrait aboutir à Dommages aux équipements en aval nécessitant le nettoyage du récipient Contrôle de niveau. Envisager l’installation d’une
en sortie de récipient. un niveau bas, fuite de gaz dans le liquide estimés à 2 millions € et arrêt de procédé pendant 6 semaines. 2 1 2 alarme de niveau bas.
01.03 Débit élevé de gaz en sortie du Pas de danger crédible Aucun. Aucun.
récipient.
01.04 Débit faible de liquide de procédé Le débit faible en entrée de récipient pourrait aboutir à Dommages aux équipements en aval nécessitant le nettoyage du récipient Contrôle de niveau. Envisager l’installation d’une
en entrée de récipient. un niveau bas, fuite de gaz dans le liquide estimés à 2 millions € et arrêt de procédé pendant 6 semaines. 2 2 4 alarme de niveau bas.
01.05 Débit faible de liquide de procédé Le débit faible en sortie de récipient Dommages aux équipements en aval nécessitant le remplacement du Contrôle de niveau. Envisager l’installation
PROCESS SAFEBOOK 1
en sortie de récipient. pourrait aboutir à un niveau élevé, récipient estimés à 10 millions € et arrêt de procédé pendant 6 mois. 3 1 3 d’une alarme de niveau
transfert de liquide dans la sortie de gaz. haut.
01.06 Débit faible de gaz en sortie du Pas de danger crédible Aucun. Aucun.
récipient.
01.07 Pas crédible. Pas de danger crédible Aucun. Aucun.
01.08 Pas crédible. Pas de danger crédible Aucun. Aucun.
01.09 Pas crédible. Pas de danger crédible Aucun. Aucun.
01.10 Pression élevée dans le récipient. Rupture de récipient et rejet de gaz. Le gaz libéré s’enflamme sur le brûleur et au contact des surfaces chaudes. Décès Contrôle de pression. Envisager l’installation
possible de deux techniciens de maintenance. Dommages aux équipements d’une alarme de niveau
nécessitant le remplacement du récipient estimés à 10 millions € et arrêt de 4 2 8 haut.
procédé pendant 1 année. Dégagement mineur dans l’environnement.
32
01.11 Pression faible dans le récipient. Rupture de récipient et rejet de gaz. Le gaz libéré s’enflamme sur le brûleur et au contact des surfaces chaudes. Décès Contrôle de pression. Envisager l’installation
possible de deux techniciens de maintenance. Dommages aux équipements d’une alarme de niveau
nécessitant le remplacement du récipient estimés à 10 millions € et arrêt de 4 1 4 bas.
procédé pendant 1 année. Dégagement mineur dans l’environnement.
01.16 Température basse dans le Gel potentiel de liquide (solidification), Dommages aux équipements nécessitant le remplacement du Contrôle de Envisager l’installation
récipient. rupture de récipient et perte de récipient estimés à 10 millions € et arrêt de procédé pendant 6 mois. 3 1 3 température. d’une alarme de
confinement. Rejet dans l’environnement nécessitant une déclaration. température basse.
01.17 Pas crédible. Pas de danger crédible Aucun. Aucun.
01.18 Pas crédible. Pas de danger crédible Aucun. Aucun.
01.19 Pas crédible. Pas de danger crédible Aucun. Aucun.
01.20 Niveau élevé dans le récipient. Le niveau élevé dans le récipient Dommages aux équipements en aval nécessitant le remplacement du Contrôle de niveau. Envisager l’installation
pourrait aboutir à un transfert de récipient estimés à 10 millions € et arrêt de procédé pendant 6 mois. 3 2 6 d’une alarme de niveau
liquide dans la sortie de gaz. haut.
01.21 Niveau bas dans le récipient. Le niveau bas dans le récipient pourrait aboutir Dommages aux équipements en aval nécessitant le nettoyage du récipient Contrôle de niveau. Envisager l’installation d’une
à une fuite de gaz dans la sortie de liquide. estimés à 2 millions € et arrêt de procédé pendant 6 semaines. 2 1 2 alarme de niveau bas.
01.01 Le débit élevé en entrée Dommages aux Envisager S Smith Dépt C&I 14 avril 12
de récipient pourrait équipements en aval. l’installation d’une
aboutir à un niveau alarme de niveau
élevé, transfert de liquide haut.
dans la sortie de gaz.
01.02 Le débit élevé en sortie Dommages aux Envisager S Smith Dépt C&I 14 avril 12
de récipient pourrait équipements en aval. l’installation d’une
aboutir à un niveau bas, alarme de niveau
fuite de gaz dans la sortie bas.
de liquide.
01.04 Le débit faible en entrée Dommages aux Envisager S Smith Dépt C&I 14 avril 12
de récipient pourrait équipements en aval. l’installation d’une
aboutir à un niveau bas, alarme de niveau
fuite de gaz dans la sortie bas.
de liquide.
01.05 Le débit faible en sortie Dommages aux Envisager S Smith Dépt C&I 14 avril 12
de récipient pourrait équipements en aval. l’installation d’une
aboutir à un niveau alarme de niveau
élevé, transfert de liquide haut.
dans la sortie de gaz.
01.15 La température élevée Décès possibles de Envisager V White Dépt C&I 21 avril 12
aboutit à une pression techniciens de l’installation d’une
élevée, à la rupture du maintenance. Dommages alarme de
récipient et au rejet de aux équipements. Rejet température élevée.
gaz. dans l’environnement.
01.16 Gel potentiel de liquide, Dommages aux Envisager V White Dépt C&I 21 avril 12
rupture de récipient et équipements. Rejet dans l’installation d’une
perte de confinement. l’environnement. alarme de
température basse.
01.20 Le niveau élevé dans le Dommages aux Envisager S Smith Dépt C&I 14 avril 12
récipient pourrait aboutir équipements en aval. l’installation d’une
à un transfert de liquide alarme de niveau
dans la sortie de gaz. haut.
01.21 Le niveau bas dans le Dommages aux Envisager S Smith Dépt C&I 14 avril 12
récipient pourrait aboutir équipements en aval. l’installation d’une
à une fuite de gaz dans la alarme de niveau
sortie de liquide. bas.
33
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Ainsi, le tableau résultant permet une classification des risques allant de très faible (TF), à
faible (F), moyen (M), Élevé (E) et très élevé (TE), en fonction de la catégorie de gravité et
de la fréquence.
34
Vraisemblance
Gravité A B C D E F G H
Catastrophique
6 TF F M E TE TE TE TE
10 -6 /an
Grave
5 TF F M E TE TE TE
10 -5 /an
Majeure
35
4 TF F M E TE TE
10 -4 /an
Moyenne
3 TF F M E TE
10 -3 /an
Mineure
2 TF F M E
10 -2 /an
Négligeable
1 TF F M
10 -1 /an
< 10-6 /an 10 -6 – 10 -5 /an 10 -5 – 10 -4 /an 10 -4 – 10 -3 /an 10 -3 – 10 -2 /an 10 -2 – 10 -1 /an 10 -1 – 1/an > 1/an
Risque et réduction du risque
PROCESS SAFEBOOK 1
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Évidemment, certains risques sont tellement élevés qu’ils sont clairement inacceptables
(par ex., le fait de fumer pendant la grossesse) et d’autres sont tellement faibles qu’ils en
deviennent négligeables (par ex., le fait de faire bouillir une casserole de lait).
Naturellement, la partie la plus intéressante pour les discussions est la zone de risque
tolérable floue entre les deux. La tâche consiste, par conséquent, à définir les deux
conditions limites :
Selon le document HSE intitulé Reducing Risks, Protecting People (R2P2) [19.3], un
risque individuel de décès d’un sur un million par an, pour les employés et le public
correspond à un niveau de risque très faible et doit être employé comme la limite de
risque largement acceptable (négligeable).
Le R2P2 poursuit en suggérant qu’un risque individuel de décès de 1 sur 1000 par
an doit représenter la condition limite entre ce qui est simplement tolérable pour une
catégorie substantielle d’ouvriers pendant une part importante de leur vie professionnelle
et ce qui est inacceptable pour tous les groupes hormis des groupes relativement
exceptionnels. Au Royaume-Uni, l’objectif de la santé et de la sécurité au travail est
d’atteindre un niveau où quasiment toute la population pourrait être exposée
quotidiennement sans effet dommageable.
Pour le public exposé malgré lui à un risque, cette limite est considérée comme
nettement inférieure à 1 sur 10 000 par an.
Les critères adoptés par le HSE peuvent être illustrés dans un cadre appelé tolérance
des risques (TOR, tolerability of risk), figure 12. Les critères du risque individuel tolérable
maximum et du risque largement acceptable ont été délimités.
36
PROCESS SAFEBOOK 1
Risque et réduction du risque
Région Région
inacceptable inacceptable
Augmentation du risque
Augmentation du risque
10-3 pa 10-4 pa
Région Région
tolérable tolérable
10-6 pa 10-6 pa
Région Région
largement largement
acceptable acceptable
Lors de la détermination du risque quantitatif lié aux dangers identifiés par exemple lors
d’une étude HAZOP, il est nécessaire de définir des critères de risque quantitatif et de
prendre en compte d’autres dangers professionnels auxquels une personne peut être
exposée pendant sa journée de travail. Il n’est pas déraisonnable de partir du postulat
qu’une personne sera exposée à une dizaine de dangers de ce type. Les critères de
tolérance des risques (cf. la figure 12) peuvent ensuite être répartis entre ces 10 dangers,
ce qui donne un risque individuel tolérable maximum de décès de 1 sur 10 000 par an,
comme le montre la figure 13.
37
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
À partir du risque individuel tolérable maximum de décès de 1 sur 10 000 par an, d’autres
valeurs de risque tolérable maximum peuvent être déterminées selon la gravité et
l’implication ou non de tiers (cf. la figure 15).
38
PROCESS SAFEBOOK 1
Risque et réduction du risque
La synthèse de la tolérance des risques [figure 15] peut être représentée sous forme
graphique comme illustré sur la figure 16.
Plusieurs
décès
Risque tolérable
maximum
employées
Gravité des conséquences
Risque tolérable
maximum
public
Décès
unique
Blessures
Risque négligeable
39
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Les exigences concernant les niveaux d’intégrité de sécurité découlent des fréquences
probables d’événements dangereux. Selon les conséquences d’un danger, une fréquence
tolérable maximum sera déterminée et une fonction de sécurité sera élaborée afin
d’abaisser la fréquence à un niveau tolérable.
La présentation ci-dessus de l’analyse des dangers et des risques illustre la manière dont
les risques de procédé peuvent être déterminés et la manière dont le risque tolérable
maximum est atteint. Toutefois, dans le cadre de la loi britannique HSAWA, des efforts
supplémentaires doivent encore être réalisés afin de réduire plus avant le risque. En
d’autres termes, il faut poursuivre jusqu’à ce que le risque soit aussi faible que
raisonnablement envisageable (principe ALARP (As Low As Reasonably Practicable)),
autrement dit jusqu’à ce que toute autre réduction du risque ne soit pas rentable, [5].
40
PROCESS SAFEBOOK 1
Le principe ALARP
5. Le principe ALARP
5.1. Avantages et sacrifices
Les principaux tests appliqués pour la régulation des risques industriels consistent à
déterminer si :
Ce faisant, la démonstration selon laquelle les risques ont été réduits jusqu’au niveau
ALARP inclut une évaluation :
• du risque à éviter ;
• du sacrifice (en termes d’argent, de temps ou de problèmes) résultant de
l’adoption des mesures visant à éviter ce risque ;
• une comparaison des deux.
• la nature du danger ;
• l’étendue du risque ;
• des mesures de maîtrise à adopter.
Toutefois, les titulaires d’obligations (et le régulateur) ne doivent pas être surchargés
si une telle rigueur n’est pas garantie. Plus le niveau initial de risque pris en compte est
élevé, plus le degré de rigueur doit l’être également.
41
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
5.2. Disproportionnalité
Une analyse coûts-bénéfices (CBA, Cost Benefit Analysis) peut aussi aider un titulaire
d’obligations à déterminer si des mesures supplémentaires de réduction du risque
sont justifiées. De telles mesures peuvent être considérées comme raisonnablement
envisageables, à moins que les coûts de leur mise en œuvre présentent une disproportion
grossière par rapport aux bénéfices retirés. Pour faire simple, si coûts/bénéfices > FD, où
FD est le ‘facteur de disproportion’, la mesure peut être considérée comme inutile par
rapport à la réduction du risque obtenue.
Le FD qui peut être considéré comme grossier à partir de 1, selon un nombre de facteurs
incluant la gravité des conséquences et la fréquence de leur concrétisation. Autrement
dit, plus le risque est élevé, plus le FD l’est également.
À partir de l’enquête de 1987 concernant la centrale de Sizewell B, les FD suivants ont été
employés :
Pour de nombreuses décisions ALARP, le HSE n’escompte pas que les titulaires
d’obligations effectuent une analyse coûts-bénéfices (CBA) détaillée. Une simple
comparaison des coûts et des bénéfices peut suffire.
Une analyse CBA doit uniquement servir à étayer des décisions ALARP. Elle ne doit pas
constituer le seul argument d’une décision ALARP, ni servir à saper des normes et
pratiques d’excellence existantes. Une analyse CBA seule ne constitue pas un cas ALARP
et ne peut pas servir d’argument contre des obligations statutaires, ni justifier des risques
intolérables ou une ingénierie à l’évidence médiocre.
42
PROCESS SAFEBOOK 1
Le principe ALARP
Les coûts justifiables suivants sont susceptibles d’être pris en compte dans une analyse
CBA :
• Installation ;
• Fonctionnement ;
• Formation ;
• Toute maintenance supplémentaire ;
• Pertes d’activité consécutives à un arrêt décidé exclusivement en vue de mettre
la mesure en place ;
• Intérêt d’un report de production, par ex. pétrole ou gaz non extrait pendant
des travaux sur une plate-forme ;
• Tous les coûts revendiqués doivent être ceux contractés par le titulaire des
obligations (les coûts supportés par d’autres parties, par ex. des particuliers,
ne doivent pas être comptabilisés) ;
• Les coûts considérés doivent uniquement être ceux nécessaires à
l’implémentation de la mesure de réduction du risque (pas de mesures
superflues ou visant à réaliser un gain financier).
Les bénéfices justifiables susceptibles d’être revendiqués dans une analyse CBA peuvent
inclure les avantages d’une implémentation complète d’une mesure d’amélioration de la
sécurité, à condition qu’ils ne soient en aucune manière sous-estimés. Les bénéfices
doivent inclure toute réduction du risque pour le public, les ouvriers et la société en
général, et peuvent inclure les éléments suivants :
• Décès évités ;
• Blessures évitées (graves à mineures) ;
• Pathologies évitées ;
• Atteintes environnementales évitées, si cela s’applique (par ex., COMAH).
43
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Autres cas de maladie. Plus d’une semaine 2300 € + 180 € par jour
d’absence. Pas de conséquences permanentes d’absence
pour la santé.
Affection mineure Jusqu’à une semaine d’absence. Pas de 530 €
conséquences permanentes pour la santé.
5.5. Exemple
Question : Considérons une usine dont une explosion d’un procédé pourrait aboutir à :
• 20 décès ;
• 40 personnes souffrant de séquelles permanentes ;
• 100 personnes gravement blessées ;
• 200 personnes légèrement blessées.
La fréquence de survenance de cette explosion est, après analyse, d’environ 10-5 par an, ce
qui équivaut à 1 sur 100 000 par an. La durée de vie estimée de l’usine est de 25 ans. Quel
montant l’entreprise pourrait-elle raisonnablement investir afin d’éliminer le risque
d’explosion ?
44
PROCESS SAFEBOOK 1
Le principe ALARP
Réponses : Si le risque d’explosion devait être éliminé, les bénéfices pourraient être
évalués comme suit :
Pour qu’une mesure soit considérée comme raisonnablement envisageable, le coût doit
présenter une disproportion grossière par rapport au bénéfice. Dans notre cas, le FD
reflétera le fait que les conséquences de telles explosions sont élevées. Un FD supérieur
à 10 est improbable et, par conséquent, il peut être envisageable raisonnablement
d’effectuer un investissement de l’ordre de 93 000 € (9300 € x 10) pour éliminer le risque
d’explosion. Le titulaire des obligations devra justifier l’utilisation d’un FD plus bas.
Ce type d’analyse toute simple peut servir à éliminer ou inclure certaines mesures en
calculant les coûts de différentes méthodes d’élimination ou de réduction des risques.
Approche alternative
En règle générale, les entreprises appliquent un objectif de coût par vie sauvée (ou une
valeur de prévention d’un décès statistique ou VPF (Value of Preventing a statistical Fatality)).
Le coût de prévention des décès sur la durée de vie de l’usine est rapprochée de la valeur
VPF cible.
Les améliorations seront mises en œuvre, à moins que les coûts soient grossièrement
disproportionnés.
45
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
5.6. Exemple
Un coût de 2 millions € par objectif de vie sauvée est employé dans un secteur particulier.
Une cible de risque tolérable maximum de 10-5 pa a été établie pour un danger particulier,
lequel est susceptible de provoquer 2 décès.
Le système de sécurité proposé a été évalué et un risque de 8,0 x 10-6 pa a été prévu.
Comme le risque largement acceptable (négligeable) est 10-6 pa, l’application du principe
ALARP est nécessaire.
Dans cet exemple, pour un coût de 10 000 €, des instruments supplémentaires et des
mesures de redondance abaisseront le risque à 2,0 x 10-6 pa (juste au-dessus de la région
négligeable) pendant la durée de vie de l’usine (à savoir 30 ans).
Réponse : Le nombre de vies sauvées pendant la durée de vie de l’usine est donné par :
La valeur VPF calculée est supérieure à 10 fois le critère de coût cible par vie sauvée de
2 millions €. Par conséquent, la proposition doit être rejetée.
46
PROCESS SAFEBOOK 1
Détermination des objectifs SIL
Les freins d’une voiture sont un exemple de système de sécurité en mode continu : ils sont
employés (quasiment) en continu. Pour les systèmes de sécurité en mode de sollicitation, il
est courant de calculer la probabilité moyenne de défaillance sur sollicitation (PFD), alors
que la probabilité de défaillance dangereuse par heure (PFH) est employée pour les
systèmes de sécurité fonctionnant en mode continu.
Supposons dans notre usine que nous ayons en moyenne 1 incendie tous les deux ans et
que, si nous ne faisons rien d’autre, cet incendie provoquera des décès. Nous pourrions
tracer un graphique de notre fréquence de décès (cf. la figure 17), laquelle est de 0,5/an.
Entraîne
des décès
Risque inhérent
au procédé
Incendie d’usine
Fréquence
de danger
Une fois tous les 2 ans
Fréquence de décès
Figure 17 : fréquence de décès
47
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Dans ce cas, il est vital, lors de l’examen des conséquences de l’incendie, que nous ne
prenions pas en considération d’éventuelles mesures de sécurité en place. Nous
souhaitons examiner les conséquences dans le scénario le plus défavorable.
Si nous installions un détecteur de fumée capable, par exemple, de fonctionner 9 fois sur
10, nous pourrions escompter un décès dans le cas sur 10 incendies où le détecteur de
fumée ne se déclenche pas. Dans notre exemple, notre fréquence de décès diminuerait
de 1 décès sur 2 ans à 1 décès sur 20 ans.
Entraîne
des décès
Risque inhérent
au procédé
Le détecteur de fumée
fonctionne 9 fois sur 10
Incendie d’usine
Fréquence
de danger
Une fois tous les 20 ans Une fois tous les 2 ans
Fréquence de décès
Figure 18 : fréquence de décès réduite
Ainsi, si le détecteur de fumée fonctionne 9 fois sur 10, la probabilité de défaillance sur
sollicitation (PFD) sera de 1 sur 10, soit 10 %. Dans ce cas, PFD = 0,1. Le détecteur de
fumée avec une valeur PFD de 0,1 réduirait la fréquence de décès d’un facteur 10, soit
un facteur de réduction de risque (RRF) de 10.
Il est utile de rappeler que, mathématiquement parlant, la valeur PFD est une probabilité
et, par conséquent, une quantité sans dimension ayant une valeur entre zéro et 1.
48
PROCESS SAFEBOOK 1
Détermination des objectifs SIL
Si notre danger peut entraîner le décès d’un employé, alors selon la tolérance et
l’acceptabilité des critères de risque [4.6], nous pouvons allouer une fréquence tolérable
maximum pour le danger. En d’autres termes, pour le danger identifié, nous pouvons
spécifier un risque tolérable maximum de 10-4 par an.
Entraîne
des décès
Niveau de Risque inhérent
risque tolérable au procédé
Écart de risque
Danger de procédé
10-4/an 1/an
Fréquence de danger
Figure 19 : écart de risque
Nous pouvons alors inclure toutes les mesures de protection existantes pouvant réduire la
fréquence du risque, par exemple une alarme (figure 20). Dans ce cas, l’alarme réduit la
fréquence de la conséquence du danger de sa valeur PFD. Ainsi, l’écart de risque est réduit,
mais le risque résiduel global, bien que plus petit, reste supérieur au risque tolérable
maximum.
49
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Entraîne
des décès
Niveau de Risque inhérent
risque tolérable au procédé
PFD = 0,1
Alarmes
Écart de risque
Danger de procédé
Entraîne
des décès
Niveau de Risque Risque inhérent
risque tolérable intermédiaire au procédé
PFD < 0,1 PFD = 0,1 PFD = 0,1 PFD = 0,1
Danger de procédé
50
PROCESS SAFEBOOK 1
Détermination des objectifs SIL
La prise en compte d’autres couches de protection peut réduire encore le risque résiduel.
Il peut y avoir des appareils mécaniques, tels qu’un limiteur de pression, un mur anti-
souffle ou un bac de rétention. D’autres mesures de réduction des risques peuvent inclure
des commandes de procédé, instruments de mesure ou procédures, et chacune peut
réduire le risque résiduel (cf. la figure 21) de leur valeur PFD respective. Dans cet exemple,
nous avons intégré les différentes mesures de protection existantes dans l’usine et il reste
un écart de risque résiduel. Nous pouvons voir que pour réduire la fréquence de danger
en dessous de la fréquence tolérable maximum, il faut une autre couche, avec une valeur
PFD inférieure à 0,1. C’est la tâche du SIS (cf. la figure 22). Ce calcul, bien qu’effectué ici
sous forme graphique, fournit la valeur PFD cible pour notre SIS et permet de déterminer
le niveau SIL cible. Il s’agit d’un exemple de fonction de sécurité en mode de sollicitation.
Entraîne
des décès
Risque Niveau de Risque Risque inhérent
résiduel risque tolérable intermédiaire au procédé
PFD < 0,1 PFD = 0,1 PFD = 0,1 PFD = 0,1
Danger de procédé
51
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
En général, l’implantation d’un SIS et son procédé sont exposés comme à la figure 23.
SIS
Système instrumenté
de sécurité
Procédé
Alimentation
hydraulique Logique
ESD
Électro-
Mise à l’air libre Transmetteur de
vanne
circuit hydraulique pression
S
PT
Pressostat
PC
Entrée Sortie
gazoduc gazoduc
Vanne Régulateur de
d’arrêt pression
52
PROCESS SAFEBOOK 1
Détermination des objectifs SIL
La figure montre un gazoduc qui alimente une centrale électrique. Le gaz s’écoule de la
gauche vers la droite, à travers une vanne d’arrêt, puis arrive au régulateur de pression
(PCV). Le PCV est commandé par un pressostat (PC), lequel maintient la pression du gaz
au-dessous de 48 bars, qui est la capacité nominale de sécurité du gazoduc d’exportation.
La défaillance de cette fonction de régulation de pression pourrait entraîner une
surpression dans le gazoduc aval, avec un risque de rupture, d’inflammation et de décès.
Par conséquent, une fonction de sécurité a été mise en place afin d’éviter ce scénario. La
fonction de sécurité est constituée d’un transmetteur de pression (PT), d’une logique
d’arrêt d’urgence (ESD) et d’une vanne d’arrêt (SDV), laquelle est commandée par un
électrovanne (SOV) hydraulique, qui interrompt l’alimentation en gaz lorsque la pression
aval dépasse un niveau de déclenchement prédéfini.
PC
Entrée Sortie
gazoduc gazoduc
Vanne Régulateur de
d’arrêt pression
53
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Les fonctions de sécurité en mode de sollicitation incluent l’arrêt du procédé (PSD), l’arrêt
d’urgence (ESD) et les systèmes de protection contre les pressions à haute intégrité (HIPPS).
Bien souvent, la confusion suivante consiste à croire que le transmetteur de pression (PT),
qui fait partie de la fonction de sécurité, assure une surveillance continue de la pression
du procédé, mais cela ne l’empêche pas d’être en mode de sollicitation. Le terme de
demande de sollicitation fait référence à la fréquence de demandes d’action, par ex. à la
fréquence de phases de haute pression.
Système de
gestion de
brûleur (BMS)
TT TE TE TT
001 002 003 004
TE TT TE XY
S
405 406 405 101
TY
Air de combustion
S
102
XY
S
Volet 101
HC
201
HC
202
Arrivée principale gaz Combustible
XY
S
104
54
PROCESS SAFEBOOK 1
Détermination des objectifs SIL
Elle présente un système de gestion de brûleur (BMS) type servant à réguler un four. Le
système commande l’arrivée du gaz et de l’air de combustion, puis surveille la flamme du
brûleur avec des détecteurs de flamme.
Lors d’une condition d’extinction de flamme, le système BMS doit couper l’arrivée du gaz
afin d’éviter une accumulation et un risque d’explosion. De même, avant l’inflammation, le
brûleur doit être purgé, afin d’éviter toute accumulation de gaz dans le four pouvant
résulter d’une fuite en aval des vannes ou de défaillances de régulation.
Par conséquent, le système BMS doit assurer la régulation via la séquence de mise en
marche, avec une purge appropriée, et doit aussi surveiller le fonctionnement après
l’inflammation. Dans cet exemple, le système BMS, ainsi que les capteurs et vannes
associés, constituent une fonction de sécurité en mode continu.
Les caractéristiques clés d’une fonction de sécurité en mode continu sont les suivantes :
La norme CEI 61511-1, clause 9.2.4 regroupe les probabilités PFD cible en bandes ou
niveaux d’intégrité de sécurité (SIL). Dans l’exemple ci-dessus [6.3], nous avons une
probabilité PFD cible < 10-1 pour notre fonction de sécurité, ce qui donne une exigence
SIL1 comme illustré dans le tableau 2.
55
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Remarque : la probabilité PFD cible est regroupée en bandes SIL car la norme exige un
degré approprié de rigueur dans les techniques et mesures qui sont appliquées au niveau
de la régulation et de la prévention des défaillances systématiques. Ces exigences sont
traitées plus en détail dans la section [12.15].
La norme CEI 61511-1, clause 9.2.4 fournit aussi des niveaux SIL cible pour le mode
continu (cf. le tableau 3).
Remarque : la mesure de défaillance cible pour les cibles en mode continu est la
probabilité de défaillance dangereuse par heure (PFH) ou le taux de défaillances.
Pied de page.
De prime abord, ces taux de défaillance cible peuvent sembler plus onéreux que les
niveaux cible pour les systèmes en mode de sollicitation, par ex. le niveau SIL1 (mode de
sollicitation) doit avoir une probabilité PFD < 10-1, alors que le niveau SIL1 (mode continu)
a une probabilité PFH < 10-5 défaillances/heure.
Les tableaux peuvent être alignés, mais à condition de convertir les valeurs cible de mode
continu de défaillances/heure en défaillances/an. Cela représente approximativement
10 4 heures dans une année (en fait 8760), de sorte que le tableau de mode continu peut
être modifié comme illustré au tableau 4.
Mode de sollicitation
Mode continu
Une bonne règle empirique pour décider si votre fonction de sécurité a un niveau élevé
ou est en mode de sollicitation, consiste à identifier la valeur significative ou la mesure de
fiabilité.
Par exemple, les airbags d’un véhicule fournissent une fonction de sécurité très utile et,
en tant que conducteur, je serai intéressé par leur probabilité de défaillance en cas de
sollicitation, ce qui indique qu’il s’agit d’une fonction en mode de sollicitation. En se
référant à la section [6.5], les caractéristiques clés d’une fonction en mode de sollicitation
sont les suivantes :
Par conséquent, le tableau 2 confirme que les valeurs cible pour les fonctions en mode de
sollicitation sont la probabilité de défaillance sur sollicitation.
Autre possibilité, pour les freins d’une voiture, la valeur significative sera un taux de
défaillances ou une probabilité de défaillances par heure. En tant que conducteur, je serai
très intéressé par le taux de défaillances de la fonction de sécurité. Par conséquent, cela
indique bien qu’il s’agit d’une fonction en mode continu.
Pour étayer ce fait, les caractéristiques clés d’une fonction en mode continu sont les
suivantes :
57
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Le tableau 3 confirme que les valeurs cible de mode continu sont la probabilité d’une
défaillance dangereuse par heure.
6.10.1. Exemple
Question : une zone de procédé est gérée par un opérateur 2 heures par jour. Une
surpression du procédé aboutira à une fuite de gaz et, selon les estimations, 1 fuite de gaz
sur 10 entraînera une explosion et la mort de l’opérateur.
L’analyse indique que la condition de surpression se produira tous les 5 ans (taux de 0,2 pa).
Par conséquent, le système de sécurité doit avoir une probabilité de défaillance sur
sollicitation :
Il s’agit d’un exemple de SIS en mode de sollicitation qui intervient uniquement à une
fréquence déterminée par le taux de défaillances de l’équipement régulé.
Nous pouvons confirmer que le résultat est réellement une probabilité PFD, car nous
avons divisé un taux par un taux afin d’obtenir une quantité sans dimension, autrement
dit une probabilité.
58
PROCESS SAFEBOOK 1
Détermination des objectifs SIL
Régulateur de
Alimentation température
résistance TT
de chaudière
Sortie de
Résistance procédé
Entrée de
Chaudière
procédé
6.11.1. Exemple
Réponse : comme le taux 1 défaillance sur 400 doit être inférieur ou égal au risque
tolérable maximum, nous pouvons dire :
10-5 pa ≥ λB x 1/400
Par conséquent :
λB = 400 x 10-5 pa
= 4,0 x 10-3, ce qui équivaut au niveau SIL2.
Il s’agit d’un exemple d’un SIS en mode continu exposé à un risque continu, autrement dit
fonctionnant en permanence. La chaudière a une fréquence de défaillances 400 fois plus
élevée que le taux de défaillances tolérable maximum car seulement 1 défaillance sur 400
aboutit au décès.
59
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Dans cet exemple, nous devrions concevoir et mettre en place le procédé, à savoir la
chaudière, la résistance chauffante et la sonde de température conformément au niveau
SIL2, et le taux de défaillances devrait être inférieur à 4,0 x 10-3 pa. Cela constituerait un
véritable défi, mais une autre approche est possible.
6.11.2. Exemple
Supposons que vous ayez construit votre procédé de chaudière et calculé un taux de
défaillances de 5,0 x 10-2 pa, ce qui dépasse largement la cible de 4,0 x 10-3 pa.
Si c’était le cas et si 1 défaillance sur 400 aboutit à un décès, la fréquence de décès serait la
suivante :
ESD
Relais
Régulateur de
Alimentation température
Transmetteur de
résistance TT TT
température
de chaudière
Sortie de
Résistance procédé
Entrée de
Alimentation
procédé
60
PROCESS SAFEBOOK 1
Détermination des objectifs SIL
10-5 pa ≥ λB x PFDT
Par conséquent :
Remarque : ces deux exemples offrent l’option d’une conception SIL2 du système de
chaudière complet et des équipements régulés ou nous pouvons aussi permettre la
défaillance du système de chaudière et le protéger avec une fonction de sécurité en
mode de sollicitation SIL1. Les deux options respectent le risque tolérable maximum
ciblé, mais la mise en place d’un petit système SIL1 en mode de sollicitation est plus
rentable que l’approche de système de commande de chaudière SIL2.
61
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
7. Graphiques de risque
7.1. Introduction
Les sections [6.10] et [6.11] présentent une méthode de détermination des niveaux
SIL cible par le calcul, mais les graphiques de risque offrent une alternative utile, en
particulier s’il faut analyser de nombreux dangers. Le graphique de risque est une
technique rapide et utile, applicable lorsque les dangers à évaluer sont trop nombreux.
W3 W2 W1
Ca a -- --
Blessure grave
Pa Prévention 1 a --
possible
Fa Exposition
rare
Cb Pb Prévention
Blessure grave, peu probable
un décès 2 1 a
Fb Exposition Pa Prévention
fréquente possible
Fa Exposition
Démarrage rare
Pb Prévention
Cc peu probable
Plusieurs 3 2 1
Pa Prévention
décès
Fb Exposition possible
fréquente
Pb Prévention
Fa Exposition
peu probable
rare 4 3 2
Cd
Pa Prévention
Nombreux
possible
décès Fb Exposition
fréquente
Pb Prévention 5 4 3
peu probable
Dès le début, les conséquences des dangers sont déterminées en premier lieu, à savoir Ca,
Cb, Cc ou Cd.
62
PROCESS SAFEBOOK 1
Graphiques de risque
du principe qu’il sera peu probable d’éviter le danger et, à un moment donné, nous
arriverons à l’une des lignes des colonnes à droite du graphique de risque.
7.2. Exemple
Prenons l’exemple suivant : une cuve de stockage de pétrole peut déborder et dégager
des vapeurs susceptibles de s’enflammer, avec comme conséquence plusieurs décès sur
le site. Nous avons évalué la fréquence des opérations de remplissage et décidé que la
probabilité de la survenance du danger pourrait être W1 (probabilité très faible). Il n’y a
aucun moyen pour les employés de l’usine d’éviter le danger si celui-ci se concrétise.
Le personnel de l’usine est sur site très rarement pour les activités de maintenance,
lesquelles durent généralement moins d’une heure par jour. La figure 30 montre une
possibilité d’utilisation du graphique de risque pour obtenir un niveau SIL1 cible.
W3 W2 W1
Ca a -- --
Blessure grave
Pa Prévention 1 a --
possible
Fa Exposition
rare
Cb Pb Prévention
Blessure grave, peu probable
un décès 2 1 a
Fb Exposition Pa Prévention
fréquente possible
Fa Exposition
Démarrage rare
Pb Prévention
Cc peu probable
Plusieurs 3 2 1
Pa Prévention
décès
Fb Exposition possible
fréquente
Pb Prévention
Fa Exposition
peu probable
rare 4 3 2
Cd
Pa Prévention
Nombreux
possible
décès Fb Exposition
fréquente
Pb Prévention 5 4 3
peu probable
Dans cet exemple, la fonction de sécurité pourrait être un système de coupure sur niveau
haut, lequel ferme la vanne d’arrivée de la cuve. Son niveau cible serait SIL1.
63
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Toutefois, le graphique de risque conventionnel peut être subjectif et pourrait être grevé
par un problème d’interprétation des paramètres de risque. Ainsi, il peut aboutir à des
résultats incohérents et donc à des niveaux SIL cible pessimistes.
Sur le graphique de risque illustré, certaines des cases de niveau SIL cible ont le libellé
« a » et « b ». Les termes SILa et SILb sont parfois employés dans le secteur industriel,
même s’ils ne figurent pas dans la norme. SILa signifie généralement qu’une certaine
réduction du risque doit être fournie, mais que le facteur de réduction du risque ne
doit pas nécessairement être aussi élevé que SIL1. En d’autres termes, avec une
probabilité PFD entre 1 (pas de réduction du risque) et 0,1, le niveau SIL1 est requis. Notez
que certaines organisations peuvent faire référence à « SILa » comme « (SIL1) ».
SILb est affiché au-dessus de SIL4. En général, si vous avez une prescription SIL4, il est
recommandé de passer en revue le procédé car il est tout simplement trop dangereux.
Une prescription SILb indique un danger encore plus élevé.
7.3. Exemple
Taux de sollicitation
Gravité des Exposition du Alternatives à la
Moyen
Faible
Élevé
Blessure mineure
-- -- --
Prévention possible
Faible exposition 1 -- --
Prévention peu
Blessure grave ou probable
un décès 2 1 --
Prévention possible
Exposition élevée 2 1 1
Prévention peu
probable
3 2 1
Faible exposition
Plusieurs décès 3 3 2
Exposition élevée
NR 3 3
Catastrophique
NR NR NR
-- = Pas de caractéristiques spéciales requises
NR = Non recommandé Catégories de prescription
Élevé = 0,5 – 5 pa
Moyen = 0,05 – 0,5 pa
Faible < 0,05 pa
Figure 31 : graphique de risque de l’industrie des procédés
64
PROCESS SAFEBOOK 1
Graphiques de risque
Le principe d’utilisation est exactement le même que pour le graphique de risque illustré
sur la figure 29 mais, dans ce cas, certaines directives sont fournies pour l’estimation du
taux de sollicitation.
Si, par exemple, un danger peut aboutir à de nombreux décès, avec une exposition rare
et un taux de sollicitation de 0,05/an, le taux de sollicitation se trouve quelque part entre
les catégories ‘faible’ et ‘moyen’, et une décision doit être prise concernant le choix de la
colonne. Une approche prudente résulterait en un niveau cible SIL3 (cf. la figure 32).
Taux de sollicitation
Gravité des Exposition du Alternatives à la
Moyen
Faible
Élevé
conséquences personnel prévention du danger
Blessure mineure
-- -- --
Prévention possible
Faible exposition 1 -- --
Prévention peu
Blessure grave ou probable
un décès 2 1 --
Prévention possible
Exposition élevée 2 1 1
Prévention peu
probable
3 2 1
Faible exposition
Multiple Fatalities 3 3 2
Exposition élevée
NR 3 3
Catastrophique
NR NR NR
Catégories de prescription
Figure 32 : exemple d’utilisation de graphique de risque
7.4. Exemple
65
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
A D
P A E R < 0,01/an < 0,05/an < 0,25/an > 2/an > 2/an
Personnes Actif Environne- Réputation
ment A B C D E
Jamais Jamais Déjà survenu Se produit Se produit
entendu survenu dans puslieurs puslieurs
parler dans dans l’entreprise fois/an fois/an
le secteur le secteur dans dans
l’entreprise l’installation
Pas de Pas de Pas d’effet Pas d’effet
blessure dommage (SIL1)
E
Blessure Dommage Effet Légère
légère léger léger incidence (SIL1) SIL1
(< 1/an) (< 10 000 $) F
Blessure Dommage Effet Incidence
mineure mineur mineur mineure (SIL1) SIL1 SIL2
(< 1E-01/an) (< 100 000 $)
Blessure Dommage Effet Incidence
majeure majeur localisé considérable (SIL1) SIL1 SIL2 SIL3
(< 1E-02/an) (< 500 000 $)
Décès Dommage Effet Incidence
unique majeur majeur nationale (SIL1) SIL1 SIL2 SIL3 N/A
B
(< 1E-03/an) (< 10 millions $)
Plusieurs Dommages Effet Incidence
décès C étendus massif inter- SIL1 SIL2 SIL3 N/A N/A
(< 1E-04/an) (> 10 millions $) nationale
Cette approche semble simple et utile, mais elle recèle des problèmes potentiels si
certaines précautions ne sont pas prises.
A : les fréquences de survenance doivent être quantifiées d’une manière qui soit
non seulement cohérente avec la description, mais aussi qui aboutisse au
niveau SIL cible correct.
B : « Jamais entendu parler dans le domaine » peut être évalué en supposant par
exemple 5000 usines fonctionnant plus de 20 ans, lesquelles pourraient avoir
une fréquence de < 10-5/an et non de < 10-2/an comme illustré. Avec un risque
tolérable maximum < 10-4/an, il n’y aurait pas de niveau SIL cible.
D : pour que les niveaux SIL cible soient incrémentés par ligne et par colonne,
comme illustré sur la figure 33, les fréquences de survenance doivent aussi
augmenter considérablement entre chaque colonne.
66
PROCESS SAFEBOOK 1
Graphiques de risque
E : le niveau SIL cible (SIL1) signifie qu’une certaine réduction du risque est
nécessaire, mais qu’il n’y a pas de conséquence. Aucune protection n’est
nécessaire en l’absence d’événement dangereux.
P A E R < 1E-04/an < 1E-03/an < 1E-02/an < 0,1/an > 0,1 /an
Personnes Actif Environne- Réputation
ment A B C D E
Jamais Jamais Déjà survenu Se produit Se produit
entendu survenu dans plusieurs plusieurs
parler dans dans l’entreprise fois/an fois/an
le secteur le secteur dans dans
l’entreprise l’installation
Pas de Pas de Pas d’effet Pas d’effet
blessure dommage
7.5. Résumé
Les graphiques de risque et les matrices de risque peuvent être très utiles, en particulier
comme technique rapide initiale de filtrage de tous les niveaux SIL à l’exception des
niveaux les plus élevés, à savoir SIL2 et au-dessus. Néanmoins, un étalonnage soigneux
des techniques employées doit éviter des résultats incorrects découlant de certains des
chausse-trappes illustrés ici.
67
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
L’analyse des couches de protection ou LOPA (Layer of Protection Analysis) est une
méthode structurée pour calculer l’objectif de réduction du risque et les niveaux SIL cible.
L’analyse LOPA se déroule de manière similaire à une étude HAZOP.
Les dangers potentiels sont généralement identifiés au moyen de l’approche HAZOP [3]
et sont importés dans les fiches LOPA, afin de maintenir un lien traçable entre les deux
analyses allant de l’identification des risques jusqu’à la prescription de réduction du
risque et au niveau SIL cible. L’analyse LOPA peut être réalisée sous forme d’extension de
la réunion HAZOP car il existe une progression naturelle de l’une à l’autre.
Il est important que l’équipe LOPA soit constituée de personnes qui apportent à l’étude
le meilleur équilibre possible entre les connaissances et l’expérience sur le type d’usine
envisagé. Une équipe LOPA type sera constituée comme suit :
Nom Rôle
68
PROCESS SAFEBOOK 1
Méthode LOPA (Layer of Protection Analysis)
La technique LOPA, telle que décrite dans le document AIChE Centre for Chemical Process
Safety, Layer of Protection Analysis, 2001 [19.4], peut servir à établir les niveaux SIL cibles.
L’analyse LOPA considère les dangers identifiés par d’autres moyens, par ex. étude HAZOP,
mais elle peut être réalisée dans le cadre d’une réunion HAZOP, afin d’évaluer chaque
danger au fur et à mesure de leur identification.
L’équipe LOPA passe en revue chaque danger identifié et documente les causes
déclenchantes ainsi que les couches de protection qui préviennent ou atténuent le
danger. La quantité totale de réduction du risque est ensuite déterminée, et le besoin
d’une réduction du risque supplémentaire est analysé. Si une protection supplémentaire
doit être fournie sous la forme d’un SIS, la méthodologie doit permettre la détermination
du niveau SIL approprié et de la probabilité PFD requise.
Le processus LOPA est enregistré sur les fiches LOPA, lesquelles permettent de quantifier
les événements déclencheurs et leurs fréquences, ainsi que de revendiquer la réduction
du risque fournie par les couches de protection indépendantes. Les intitulés de fiche sont
décrits dans les sections suivantes et un exemple d’analyse LOPA est fourni [8.5].
En considérant l’exemple de récipient sous pression [3.7], il est possible d’importer les
dangers identifiés dans la fiche LOPA et d’analyser les risques.
8.6.1. Introduction
Les sections suivantes présentent les intitulés des fiches et fournissent des directives
concernant la quantification.
69
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Fournit un identifiant pour chaque danger. Dans l’exemple, le danger envisagé pour
l’analyse a la réf. 1.10 : Pression élevée dans le récipient. Cette référence fournit une
traçabilité ascendante avec d’autres études, dans notre cas, l’étude HAZOP, et à mesure
de l’avancement du projet, elle fournira une traçabilité descendante avec l’allocation
de fonction SIF et la vérification SIL.
8.6.4. Conséquence
Décrit la conséquence du danger. Dans l’exemple LOPA, nous avons analysé les
conséquences du danger en termes de sécurité du personnel, de risques pour
l’environnement et aussi de risques pour l’actif, à savoir de risques commerciaux.
La gravité des conséquences documentées peut être classée et dérivée à partir d’un
tableau de classification des risques, par exemple le tableau 5.
Toutefois, les fréquences tolérables maximum pour les risques touchant à l’environnement,
à la réputation et aux aspects commerciaux doivent être une décision de l’entreprise. Le
tableau 5 présente des valeurs types utilisables.
70
PROCESS SAFEBOOK 1
Méthode LOPA (Layer of Protection Analysis)
Personnes P1 1,0E-01 Traitement médical ou blessures entraînant Traitement médical ou blessures entraînant
(sécurité) des limitations dans le travail pour un employé des limitations dans le travail (tiers)
P2 1,0E-02 Accident entraînant des jours d’absence Accident entraînant des jours d’absence de
d’employé, mais sans effet permanent tiers, mais sans effet permanent
P4 1,0E-04 Décès d’un employé et/ou plusieurs invalidités Effets permanents (tiers)
permanentes
P5 1,0E-05 Plusieurs décès d’employés (2 – 10) Décès d’un tiers et/ou de nombreuses
invalidités permanentes
Environnement E1 1,0E-01 Pas de déclaration aux autorités, mais Pas de déclaration aux autorités, mais
nettoyage nécessaire nettoyage mineur nécessaire. (par ex.,
déversement de 1 – 100 litres avec
déploiement de kit)
E2 1,0E-02 Déclaration aux autorités, mais pas de Déclaration aux autorités, mais pas de
conséquences environnementales conséquences environnementales. (Par ex.
déversement de > 100 litres dans les locaux de
client avec bac de rétention/enceinte)
E3 1,0E-03 Pollution modérée dans les limites du site Pollution modérée nécessitant des travaux
d’assainissement (par ex. site avec panache de
fumée, mais restant opérationnel)
E4 1,0E-04 Pollution importante dans les limites du site. Pollution importante extérieure au site.
Évacuation des personnes/fermeture temp. du Évacuation des personnes. (par ex.,
site OU pollution importante extérieure au site. déversement hors site au niveau d’une
Évacuation des personnes. (par ex., déversement station-service)
hors site au niveau d’une station-service)
E5 1,0E-05 Voir les conséquences hors site Pollution importante avec conséquences
environnementales réversibles extérieures
au site. (par ex., accident environnemental
majeur)
E6 1,0E-06 Voir les conséquences hors site Pollution majeure durable extérieure au site
et/ou perte complète de la vie aquatique
(par ex., perte de cargaison de navire)
71
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Répertorie les causes identifiées du danger. Ces causes sont déterminées pendant la
réunion LOPA à partir de l’expérience des personnes présentes. Dans l’exemple de danger
de surpression, les causes déclenchantes potentielles, leurs fréquences de survenance et
la source des données sont présentées au tableau 6. L’analyse LOPA doit ainsi fournir une
visibilité concernant toutes les données en présentant l’ensemble des événements
déclencheurs et fréquences, avec la référence aux sources de données.
Le SNCC ne parvient pas à réguler la pression. 1,65E-02 Exida 2007, élément x.x.x
Le détecteur de niveau de liquide LL101 subit une défaillance et lit un 1,10E-02 Exida 2007, élément x.x.x
niveau bas.
Le transmetteur TT100 subit une défaillance et lit une température basse. 2,68E-03 Exida 2007, élément x.x.x
Le transmetteur PT102 subit une défaillance et lit une pression faible. 8,58E-04 Exida 2007, élément x.x.x
Défaillance de vanne FCV102 de sortie de gaz en position fermée. 1,01E-02 Oreda 2002, élément x.x.x
Défaillance de vanne FCV100 de gaz combustible en position ouverte. 1,01E-02 Oreda 2002, élément x.x.x
Défaillance de vanne XV102 de sortie de liquide en position fermée. 2,89E-03 Oreda 2002, élément x.x.x
Défaillance de vanne XV102 d’arrivée de liquide en position ouverte. 2,89E-03 Oreda 2002, élément x.x.x
Lorsque les vraisemblances de déclenchement sont basées sur des facteurs humains tels
qu’une erreur d’un opérateur, l’estimation peut devenir un défi. Une technique consiste à
baser l’estimation sur la fréquence d’opportunités d’erreurs d’un opérateur et de factoriser
cet aspect par la probabilité qu’il commette une erreur dangereuse.
72
PROCESS SAFEBOOK 1
Méthode LOPA (Layer of Protection Analysis)
Par exemple, supposons qu’un opérateur déclenche une surpression dans un gazoduc en
fermant une vanne. Normalement, l’opérateur ouvre une vanne de dérivation avant de
fermer la vanne principale et il le fait chaque mois. La fréquence de base λB pour cette
activité est, par conséquent, 12 par an (une fois par mois).
Nous pouvons partir du principe que l’opérateur est bien formé, qu’il accomplit une tâche
de routine et qu’il n’est pas soumis à un stress. Par conséquent, nous pouvons estimer la
probabilité qu’il commette une erreur, PE, par ex. qu’il omette d’ouvrir la vanne de dérivation,
à 1 %. La fréquence d’événement déclencheur λINIT peut être estimée comme suit :
λINIT = λB x PE
λINIT = 12 x 1 %/an
λINIT = 0,12/an
73
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Un exemple de conception à usage général sera un tuyau gainé capable de fournir une
certaine protection en matière de perte de confinement. Dans l’exemple, la conception
à usage général n’a pas été prise en compte car il n’existe pas de caractéristiques de
conception spécifiques fournissant une réduction du risque.
Dans l’exemple, les couches IPL revendiquées dans les colonnes [e] à [h] peuvent être
personnalisées en fonction de l’application. Des couches IPL types ont été présentées.
Une prise en compte peut être revendiquée si une boucle de contrôle dans le système
BPCS (SNCC) empêche la concrétisation du danger découlant d’une cause déclenchante
potentielle. Dans l’exemple, pour certaines causes déclenchantes, par ex. défaillance de
vanne d’arrivée de liquide XV102 en position ouverte, le système BPCS (SNCC) peut
compenser ce défaut en ouvrant la vanne de sortie de liquide et en empêchant la montée
du niveau. Une probabilité PFD de 0,1 a été revendiquée, ce qui signifie que le SNCC
empêchera la survenance des conséquences pour 9 événements sur 10.
Une probabilité PFD de 0,1 est généralement la réduction du risque la plus grande
pouvant être revendiquée pour un système sans niveau SIL. Cela tient au fait que le SNCC
peut être réglé manuellement, qu’il n’y a généralement pas de contrôle strict des réglages
de point de déclenchement et que les tests ne sont pas aussi rigoureux que pour un SIS.
74
PROCESS SAFEBOOK 1
Méthode LOPA (Layer of Protection Analysis)
En général, une probabilité PFD de 0,1 peut être revendiquée pour les alarmes
indépendantes. Dans cet exemple, aucune prise en compte n’a été revendiquée.
PFD = λMTR/λHAZ
75
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Il convient de noter que la probabilité PFD et le taux de défaillances pour chaque SIL
dépendent du mode de fonctionnement prévu du SIS, par rapport à la fréquence des
sollicitations de celui-ci [8.6.12].
76
ID/Réf. Description Description Conséquence Catégorie Risque Cause déclenchante Vraisem- Distribution Probabilité Conception Couches de protection indépendantes Vraisem- PFD SIL Commentaires/hypothèses
de zone d’événement de gravité tolérable blance de tailles d’inflam- à usage blance requise requis
BPCS Alarmes Atténuation Atténuation
(danger) maximum de déclen- de fuite mation général supplémentaire, d’événement SRS SRS
[SNCC] indépendan- supplémen-
(pa) chement (conception par ex. murs de niveau
tes taire : coupe-feu/
(pa) nominale) intermédiaire
Occupation procédures
opérationnelles/ (pa)
(Niveaux
limiteurs de
d’effectifs) pression
Le transmetteur PT102
subit une défaillance et 8,58E-04 0,10 0,75 0,33 2,15E-05 Comme ci-dessus.
Sécurité :
La pression lit une pression faible
Le gaz libéré
77
élevée provoque s’enflamme
1,10 Récipient une rupture du P5 1,00E-05
sur le brûleur Défaillance de vanne 1,87E-02 SIL1 Comme ci-dessus sauf :
récipient et un et au contact [e] Le SNCC peut compenser
XV102 d’arrivée de
rejet de gaz. des surfaces 2,89E-03 0,10 0,75 0,10 0,33 7,23E-06 les défaillances de vanne
liquide en position
chaudes. ouverte. d’arrivée. PFD estimée = 0,1.
Décès possible
de deux
techniciens de Défaillance de vanne
maintenance. FCV102 de sortie de gaz 1,01E-02 0,10 0,75 0,10 0,33 2,52E-05 Comme ci-dessus.
en position fermée.
Défaillance de vanne
XV102 de sortie de 2,89E-03 0,10 0,75 0,10 0,33 7,23E-06 Comme ci-dessus.
liquide en position
fermée.
Le transmetteur TT100
subit une défaillance et 2,68E-03 0,10 0,75 0,10 0,33 6,70E-06 Comme ci-dessus.
lit une température basse
Défaillance de vanne
FCV100 de gaz
1,01E-02 0,10 0,75 0,10 0,33 2,52E-05 Comme ci-dessus.
combustible en position
ouverte.
Le détecteur de niveau
de liquide LL101 subit
1,10E-02 0,10 0,75 0,10 0,33 2,74E-05 Comme ci-dessus.
une défaillance et lit
un niveau bas.
5,34E-04
Méthode LOPA (Layer of Protection Analysis)
PROCESS SAFEBOOK 1
ID/Réf. Description Description Conséquence Catégorie Risque Cause déclenchante Vraisem- Distribution Probabilité Conception Couches de protection indépendantes Vraisem- PFD SIL Commentaires/hypothèses
de zone d’événement de tolérable blance de tailles d’inflam- à usage blance requise requis
BPCS Alarmes Atténuation Atténuation
(danger) gravité maximum de déclen- de fuite mation général supplémentaire, d’événement SRS SRS
[SNCC] indépendan- supplémen-
(pa) chement (conception par ex. murs de niveau
tes taire : coupe-feu/
(pa) nominale) intermédiaire
Occupation procédures
opérationnelles/ (pa)
(Niveaux
limiteurs de
d’effectifs) pression
78
Le transmetteur PT102
subit une défaillance et 8,58E-04 0,10 8,58E-05 Comme ci-dessus.
Environnement :
La pression lit une pression faible
Rupture de
élevée provoque récipient, rejet
1,10 Récipient une rupture du E2 1,00E-02
de gaz, pas Aucune Aucune
récipient et un Défaillance de vanne Comme ci-dessus sauf :
d’inflammation.
rejet de gaz. XV102 d’arrivée de 2,89E-03 0,10 0,10 2,89E-05 [e] Le SNCC peut compenser
Rejet sur
liquide en position les défaillances de vanne
site. Nettoyage
ouverte. d’arrivée. PFD estimée = 0,1.
et déclaration
aux autorités
nécessaire, mais Défaillance de vanne
pas de FCV102 de sortie de gaz 1,01E-02 0,10 0,10 1,01E-04 Comme ci-dessus.
conséquence en position fermée.
environnemen-
tale. Défaillance de vanne
XV102 de sortie de
2,89E-03 0,10 0,10 2,89E-05 Comme ci-dessus.
liquide en position
fermée.
Le transmetteur TT100
subit une défaillance et 2,68E-03 0,10 0,10 2,68E-05 Comme ci-dessus.
lit une température basse
Défaillance de vanne
FCV100 de gaz
1,01E-02 0,10 0,10 1,01E-04 Comme ci-dessus.
combustible en position
ouverte.
Le détecteur de niveau
de liquide LL101 subit
1,10E-02 0,10 0,10 1,10E-04 Comme ci-dessus.
une défaillance et lit un
niveau bas.
Sécurité fonctionnelle dans l’industrie des procédés
2,14E-03
ID/Réf. Description Description Conséquence Catégorie Risque Cause déclenchante Vraisem- Distribution Probabilité Conception Couches de protection indépendantes Vraisemblance PFD SIL Commentaires/hypothèses
de zone d’événement de tolérable blance de de tailles d’inflamm- à usage d’événement requise requis
BPCS Alarmes Atténuation Atténuation de niveau
(danger) gravité maximum déclenche- de fuite ation général supplémentaire, SRS SRS
[SNCC] indépendan- supplémen- intermédiaire
(pa) ment (conception par ex. murs
tes taire : coupe-feu/ (pa)
(pa) nominale)
Occupation procédures
(Niveaux opérationnelles/
limiteurs de
d’effectifs) pression
Le transmetteur PT102
subit une défaillance et 8,58E-04 0,10 0,75 6,44E-05 Comme ci-dessus.
Commercial :
79
La pression lit une pression faible
Rupture de
élevée provoque récipient, rejet
1,10 Récipient une rupture du C5 1,00E-05
de gaz, Défaillance de vanne 6,24E-03 SIL2
récipient et un Comme ci-dessus sauf :
inflammation et XV102 d’arrivée de
rejet de gaz. 2,89E-03 0,10 0,75 0,10 2,17E-05 [e] Le SNCC peut compenser
endommage- liquide en position les défaillances de vanne
ment de l’actif. ouverte. d’arrivée. PFD estimée = 0,1.
Dommages
aux équipe- Défaillance de vanne
ments FCV102 de sortie de gaz 1,01E-02 0,10 0,75 0,10 7,56E-05 Comme ci-dessus.
nécessitant en position fermée.
le remplacement
du récipient Défaillance de vanne
estimés XV102 de sortie de
à 10 millions € 2,89E-03 0,10 0,75 0,10 2,17E-05 Comme ci-dessus.
liquide en position
et arrêt de fermée.
production
pendant 1 année Le transmetteur TT100
subit une défaillance et 2,68E-03 0,10 0,75 0,10 2,01E-05 Comme ci-dessus.
lit une température basse
Défaillance de vanne
FCV100 de gaz
1,01E-02 0,10 0,75 0,10 7,56E-05 Comme ci-dessus.
combustible en position
ouverte.
Le détecteur de niveau
de liquide LL101 subit
1,10E-02 0,10 0,75 0,10 8,21E-05 Comme ci-dessus.
une défaillance et lit
un niveau bas.
1,60E-03
Méthode LOPA (Layer of Protection Analysis)
PROCESS SAFEBOOK 1
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Il n’est pas rare que des dangers non liés à la sécurité soient prédominants. Dans cet
exemple, l’actif est toujours exposé au risque lié au danger et, en termes de sécurité, le
personnel court un risque uniquement à temps partiel.
La fonction SIF qui doit être mise en place pour assurer la protection contre la surpression
doit, par conséquent, être conforme aux objectifs commerciaux et la même fonction SIF
fournira en conséquence une protection adéquate pour le personnel.
80
PROCESS SAFEBOOK 1
Allocation des fonctions de sécurité
3
de sécurité pour le SIS élaboration
d’autres moyens
Conception et ingénierie de réduction
4 du risque
du SIS
Vérification
Installation, mise en service
5
et validation
6 Fonctionnement et maintenance
7 Modification
L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, clause 9.1, consiste
à allouer les fonctions de sécurité aux couches de protection.
En sortie, la phase doit fournir des informations sur l’allocation des fonctions de sécurité
globale, leurs mesures de défaillance cible et les niveaux d’intégrité de sécurité associés.
Des hypothèses concernant d’autres mesures de réduction du risque à gérer tout au long
de la durée de vie du procédé/de l’usine seront aussi définies.
81
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
1.01 La pression élevée Le gaz libéré s’enflamme sur le brûleur et au SIL2 6,24E-03
provoque une rupture du contact des surfaces chaudes. Décès possible
récipient et un rejet de de deux techniciens de maintenance.
gaz. Dommages aux équipements nécessitant le
remplacement du récipient estimés à 10
millions € et arrêt de procédé pendant 1 année.
Dégagement mineur dans l’environnement.
1.11 La pression faible Le gaz libéré s’enflamme sur le brûleur et au Aucun Aucun
provoque une rupture du contact des surfaces chaudes. Décès possible
récipient et un rejet de de deux techniciens de maintenance.
gaz. Dommages aux équipements nécessitant le
remplacement du récipient estimés à 10
millions € et arrêt de procédé pendant 1 année.
Dégagement mineur dans l’environnement.
1.15 La température élevée Le gaz libéré s’enflamme sur le brûleur et au Aucun Aucun
aboutit à une pression contact des surfaces chaudes. Décès possible
élevée, à la rupture du de deux techniciens de maintenance.
récipient et au rejet de Dommages aux équipements nécessitant le
gaz. remplacement du récipient estimés à 10
millions € et arrêt de procédé pendant 1 année.
Dégagement mineur dans l’environnement.
1.16 Température basse, gel Dommages aux équipements nécessitant le Aucun Aucun
potentiel de liquide remplacement du récipient estimés à 10
(solidification), rupture de millions € et arrêt de procédé pendant 6 mois.
récipient et perte de Rejet dans l’environnement nécessitant une
confinement. déclaration.
1.20 Le niveau élevé dans le Dommages aux équipements en aval SIL1 8,10E-02
récipient pourrait aboutir nécessitant le remplacement du récipient
à un transfert de liquide estimés à 10 millions € et arrêt de procédé
dans la sortie de gaz. pendant 6 mois.
1.21 Le niveau bas dans le Dommages aux équipements en aval SIL1 6,22E-02
récipient pourrait aboutir nécessitant le nettoyage du récipient estimés à
à une fuite de gaz dans la 2 millions € et arrêt de procédé pendant 6
sortie de liquide. semaines.
82
PROCESS SAFEBOOK 1
Allocation des fonctions de sécurité
Les niveaux SIL1 cibles ont été établis pour le niveau élevé et le niveau faible, d’où la
proposition des fonctions SIF suivantes. Pour atténuer la pression élevée, un limiteur de
pression a été mis en œuvre en tant que bonne pratique d’ingénierie et une fonction SIF a
été établie comme illustré ci-dessous.
Fonction
instrumentée
de sécurité
L
LHH102 ESDV102
Fonction
instrumentée
de sécurité
L
LHH101 ESDV101
Fonction
instrumentée
de sécurité
P
PHH100 ESDV100
Figure 35a : phase 2 du cycle de vie
P
PHH100 ESDV100
Système
L instrumenté
de sécurité
LHH101 ESDV101
L
LHH102 ESDV102
83
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
PRV102 PT102
P
ESDV102 Sortie de
gaz
Arrivée XV102
de FCV102
L
liquide
SIS LHH102 LH
LH101
P
PHH100 LL
T LL101
TT100 LL
Sortie de
LLL101 SIS liquide
ESDV101 XV101
FCV100 XV100 ESDV100
Brûleur
Arrivée
de gaz
combustible
FCV100
SIS
84
PROCESS SAFEBOOK 1
Spécification des prescriptions de sécurité pour le SIS
3
de sécurité pour le SIS élaboration
d’autres moyens
Conception et ingénierie de réduction
4 du risque
du SIS
Vérification
Installation, mise en service
5
et validation
6 Fonctionnement et maintenance
7 Modification
L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, clause 10.1, consiste
à spécifier les prescriptions pour les fonctions instrumentées de sécurité (SIF).
Le niveau SIL de chaque fonction SIF a été sélectionné pendant l’étude de détermination
SIL au moyen du graphique de risque, de l’analyse LOPA ou de la matrice de risque.
85
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Avant d’entamer des travaux de conception, la spécification SRS doit être préparée sur
la base des directives de la norme CEI 61511-1/2, clauses 10 et 12. La spécification SRS
contient les prescriptions fonctionnelles et d’intégrité relatives à chaque fonction SIF et
doit fournir suffisamment d’informations pour la conception et l’ingénierie du SIS. Elle
doit être exprimée et structurée sous une forme claire, précise, vérifiable, gérable et
faisable, en vue de faciliter la compréhension des personnes susceptibles d’employer
les informations à n’importe quelle phase du cycle de vie.
La spécification SRS doit inclure des déclarations sur les aspects suivants de chaque
fonction SIF :
Les fonctions instrumentées non liées à la sécurité peuvent être réalisées par le SIS, afin de
garantir un arrêt en bonne et due forme ou un démarrage accéléré.
86
PROCESS SAFEBOOK 1
Conception et ingénierie du SIS
3
de sécurité pour le SIS élaboration
d’autres moyens
Conception et ingénierie de réduction
4 du risque
du SIS
Vérification
Installation, mise en service
5
et validation
6 Fonctionnement et maintenance
7 Modification
L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, clause 11.1,
consiste à :
87
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
88
PROCESS SAFEBOOK 1
Techniques de fiabilité
Cette section propose une brève introduction aux techniques de fiabilité. Elle ne
constitue en aucun cas une étude complète des méthodes d’ingénierie de fiabilité, et
n’est pas non plus nouvelle ou non conventionnelle. Les méthodes décrites ici sont
employées couramment par les ingénieurs en fiabilité.
12.2. Définitions
À des fins pratiques, une version abrégée des termes clés et définitions est fournie.
Des définitions plus complètes des termes et nomenclatures sont disponibles dans de
nombreux textes de norme sur le sujet.
Capacité – Mesure de l’aptitude d’un élément à atteindre les objectifs de la mission dans
les conditions présentes pendant celle-ci.
89
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Maintenance corrective – Toutes les actions effectuées à la suite d’une défaillance, afin
de restaurer l’état spécifié d’un élément. La maintenance corrective peut inclure tout ou
partie des étapes suivantes : localisation, isolation, démontage, interversion, remontage,
alignement et contrôle.
Maintenance préventive – Toutes les actions effectuées dans une tentative de conserver
un élément dans un état spécifié en assurant une inspection, une détection et une
prévention systématiques des défaillances imminentes.
Temps moyen entre pannes (MTBF, Mean time between failure) – Mesure de base de
la fiabilité des éléments réparables : le nombre moyen d’unités de vie pendant lesquelles
toutes les parties d’un élément fonctionnent dans leurs limites spécifiées, pendant un
intervalle de mesure déterminé et dans les conditions stipulées.
90
PROCESS SAFEBOOK 1
Techniques de fiabilité
L’objectif des mesures de fiabilité quantitatives est de définir le taux de défaillances par
rapport au temps et de modéliser ce taux de défaillances dans une distribution
mathématique afin d’appréhender les aspects quantitatifs de la défaillance. Le bloc le plus
élémentaire est le taux de défaillances, lequel est estimé au moyen de l’équation suivante :
λ= F/T
Par exemple, si cinq moteurs électriques fonctionnent pendant une durée collective
totale de 50 ans avec cinq défaillances fonctionnelles pendant cette période, le taux de
défaillances sera 0,1 défaillance par an.
Un autre concept très basique est le temps moyen entre pannes/de fonctionnement
avant pannes (MTBF/MTTF). La seule différence entre les temps moyens MTBF et MTTF
est le fait que MTBF fait référence aux éléments réparés en cas de défaillance. Pour les
éléments simplement mis au rebut et remplacés, nous employons le terme MTTF. Les
calculs sont identiques. Le calcul élémentaire pour estimer le temps moyen entre pannes
(MTBF) et le temps moyen de fonctionnement avant pannes (MTTF) utilise la réciproque
de la fonction de taux de défaillances. L’équation suivante est utilisée.
θ = T/F
91
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Le MTBF pour notre exemple de moteur électrique industriel est de 10 ans, ce qui est la
réciproque du taux de défaillances des moteurs. À ce propos, nous évaluons le MTBF pour
les moteurs électriques reconditionnés après une défaillance. Concernant les moteurs
relativement petits considérés comme jetables, nous fournissons le MTTF.
Il existe une notion selon laquelle la courbe en baignoire est constituée de plusieurs
distributions de défaillances (cf. la figure 38).
L’augmentation des défaillances pour usure peut être due à des raisons systématiques
similaires. Les mécanismes de défaillance peuvent être la résultante d’une résistance
92
PROCESS SAFEBOOK 1
Techniques de fiabilité
Courbe en baignoire
1
0,9
0,8
Taux de défaillances
0,7
0,6
0,5
0,4
0,3
0,2
0,1
0
0 10 20 30 40 50 60
Temps
Décroissant
Constant
Croissant
Total
Figure 38 : courbe en baignoire
Vous trouverez ci-dessous l’équation de base servant à estimer la fiabilité d’une machine
qui suit la loi exponentielle, où le taux de défaillances est constant et est une fonction du
temps.
93
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
R(t) = exp { -λ . t }
Où : R(t) = Estimation de fiabilité pour une période de temps, des cycles, kilomètres, etc. (t) ;
Une fois que la fiabilité des composants ou machines a été établie par rapport au
contexte de fonctionnement et à la durée de mission requise, les ingénieurs de l’usine
doivent évaluer la fiabilité d’un système ou procédé. Encore une fois, afin de faire court et
simple, nous allons aborder les estimations de fiabilité pour les systèmes série, parallèles
et redondants à charge partagée (M sur N) (systèmes MooN).
Avant d’aborder les systèmes série, il faut parler des diagrammes de fiabilité ou RBD
(Reliability Block Diagram). Leur rôle consiste simplement à cartographier un procédé du
début jusqu’à la fin. Pour un système série, le sous-système 1 est suivi du sous-système 2,
etc. Dans le système série, la capacité d’employer le sous-système 2 dépend de l’état
opérationnel du sous-système 1. Si ce dernier ne fonctionne pas, le système est arrêté
indépendamment de la condition du sous-système 2 [figure 39].
94
PROCESS SAFEBOOK 1
Techniques de fiabilité
Pour calculer la fiabilité du système d’un procédé sériel, il suffit de multiplier la fiabilité
estimée du sous-système 1 au temps (t) par la fiabilité estimée du sous-système 2 au
temps (t). L’équation de base pour le calcul de la fiabilité d’un système série s’écrit comme
suit :
Bien souvent, les ingénieurs de conception intègrent de la redondance dans les machines
critiques. Les ingénieurs en fiabilité qualifient ces systèmes de parallèles. Ces systèmes
peuvent être conçus en tant que systèmes parallèles actifs ou systèmes parallèles de
secours. Le schéma de principe pour un simple système parallèle à deux composants est
illustré sur la figure 40.
R1(t)
R2(t)
95
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Pour calculer la fiabilité d’un système parallèle actif, où les deux machines fonctionnent,
utilisons l’équation toute simple suivante :
Le système simple de notre exemple avec deux composants en parallèle, chacun ayant
une fiabilité de 0,90, a une fiabilité totale de 1 – (0,1 X 0,1) = 0,99. Par conséquent, la
fiabilité du système a été considérablement améliorée.
Le concept de systèmes MooN est important pour les ingénieurs chargés de la fiabilité
de l’usine. Ces systèmes nécessitent que M unités d’une population totale N soient
disponibles aux fins d’utilisation. Les broyeurs à charbon d’une centrale électrique
constituent un bon exemple industriel. Bien souvent, les ingénieurs conçoivent cette
fonction au moyen d’une approche MooN. Par exemple, une unité comporte quatre
broyeurs et trois d’entre eux doivent être opérationnels lorsque l’unité fonctionne à
pleine charge [figure 41].
Pour que les calculs de fiabilité soient significatifs, nous nous intéressons au taux de
défaillances du système, mais aussi à la manière dont se produit la défaillance, autrement
dit au mode de défaillance.
Les modes de défaillance peuvent être classés comme non dangereux et dangereux. La
figure 42 présente un gazoduc. Si le gazoduc alimente une centrale électrique et si la
vanne d’arrêt subit une défaillance provoquant sa fermeture intempestive, l’alimentation
en combustible sera coupée et il y aura peut-être une perte de revenu, mais le mode
correspond à une défaillance non dangereuse (défaillance en position fermée).
96
PROCESS SAFEBOOK 1
Techniques de fiabilité
R1(t)
R2(t)
R3(t)
R4(t)
Alimentation
hydraulique Logique
ESD
Électro-
Mise à l’air libre Transmetteur de
vanne
circuit hydraulique pression
S
PT
Pressostat
PC
Entrée Sortie
gazoduc gazoduc
Vanne Régulateur de
d’arrêt pression
Dans cet exemple, la défaillance dangereuse en position ouverte ne sera pas révélée tant
qu’il n’y aura pas une sollicitation correspondante, autrement dit tant que la fermeture de
la vanne ne sera pas demandée. Il s’agit donc d’une défaillance non détectée dangereuse.
97
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Une défaillance dangereuse d’un composant dans une fonction instrumentée de sécurité
empêche cette fonction d’obtenir un état de sécurité lorsqu’elle doit le faire. Le taux de
défaillances dangereuses est signalé par le symbole : λD.
Une défaillance non dangereuse ne peut pas placer le système instrumenté de sécurité
dans un état dangereux ou d’incapacité de fonctionner, mais survient de manière telle
qu’elle demande l’arrêt du système ou l’activation de la fonction instrumentée de sécurité
lorsqu’aucun danger n’est présent. Le taux de défaillances non dangereuses est signalé
par le symbole : λS.
Il peut y avoir des modes de défaillance qui n’affectent absolument pas la fonction de
sécurité. Ceux-ci peuvent inclure des fonctions de maintenance, des voyants, une
journalisation des données ou d’autres fonctions non liées à la sécurité (non-SR). Le taux
de défaillances non liées à la sécurité est signalé par le symbole : λnon-SR.
Le taux de défaillances total d’un élément, λ, est égal à la somme des taux de défaillances
liées à la sécurité et de défaillances non liées à la sécurité. En général, seuls λD et λS sont
inclus dans les calculs de fiabilité.
λ = λD + λS + λnon-SR
Conformément à la norme CEI 61508-6, Annexe B.3.1, l’analyse peut considérer que pour
chaque fonction de sécurité, il existe un test de validité et une réparation optimums, à
savoir que toutes les défaillances non détectées sont révélées par le test de validité.
98
PROCESS SAFEBOOK 1
Techniques de fiabilité
S’il se produit une défaillance, il est supposé qu’en moyenne elle interviendra au point
médian de l’intervalle de tests. En d’autres termes, le défaut restera non détecté pendant
50 % de la période de test.
Pour les défaillances détectées et non détectées, le temps moyen d’indisponibilité (MDT,
Mean Down Time) dépend de l’intervalle de tests et aussi du délai de réparation ou MTTR.
Le taux de défaillances d’un système redondant λsys peut être calculé en considérant le
nombre d’approches par lesquelles la défaillance du système peut se produire. Dans un
système 3oo4, 3 canaux sur les 4 doivent fonctionner afin que le système soit opérationnel.
Par conséquent, deux défaillances quelles qu’elles soient provoqueront une défaillance du
système.
99
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Le taux de survenance possible de deux défaillances, λ2, est donné par le taux de
défaillances d’un élément, λ, multiplié par la probabilité d’une seconde défaillance
pendant le temps d’arrêt, à savoir le MDT de la première défaillance ou λ.MDT.
Par conséquent :
λ2 = λ.( λ.MDT )
λSYS = 12.λ2.MDT
Pour être exact, nous devrions inclure toutes les permutations de 3 et 4 défaillances
simultanées, ainsi que les défaillances dues à des causes communes, car elles aboutiront
aussi à une défaillance du système. Néanmoins, pour avoir une première idée, ces termes
d’ordre supérieur peuvent être ignorés. Le taux de défaillances pour le système 3oo4 et
d’autres configurations est présenté dans le tableau 10. Notez qu’il s’agit d’approxima-
tions qui ignorent aussi les termes d’ordre supérieur.
Configuration λsys
1oo1 λ
1oo2 2.λ2.MDT
2oo2 2.λ
1oo3 3.λ3.MDT2
2oo3 6.λ2.MDT
3oo3 3.λ
1oo4 λ4.MDT3
2oo4 12.λ3.MDT2
3oo4 12.λ2.MDT
4oo4 4.λ
Notez que la contribution des défaillances de cause commune est traitée plus loin [12.17].
100
PROCESS SAFEBOOK 1
Techniques de fiabilité
En utilisant λDD et λDU à la place de λ dans le tableau 10, et en employant le MDT ou Tp/2
selon le cas, il est possible de dériver le taux de défaillances du système dû à des
défaillances dangereuses détectées ou non détectées (cf. le tableau 11).
λsys λsys
Comme les taux de défaillances non dangereuses sont généralement supposés être tous
détectés, dans une configuration redondante, les canaux défaillants seront réparés, sous
réserve que le système ne se déclenche pas. Par conséquent, l’approche employée pour
les défaillances dangereuses détectées s’applique, excepté que le nombre de défaillances
requis pour un déclenchement intempestif peut différer de celui nécessaire pour une
défaillance dangereuse.
Le tableau 12 résume les taux de déclenchements intempestifs pour les défaillances non
dangereuses.
101
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Configuration Intempestif
λstr
1oo1 λS
1oo2 2.λS
2oo2 2.λS2.MDT
1oo3 3.λS
2oo3 6.λS2.MDT
3oo3 3.λS3.MDT2
1oo4 4.λS
2oo4 12.λS2.MDT
3oo4 12.λS3.MDT2
4oo4 λS4.MDT3
Pour les défaillances dangereuses non détectées, ADU est donné par :
AS = 1/( 1 + .λS(SYS).MDT )
102
PROCESS SAFEBOOK 1
Techniques de fiabilité
La disponibilité du système est, par conséquent, le produit des disponibilités dues à des
défaillances dangereuses détectées, dangereuses non détectées et non dangereuses :
Cette méthode peut servir à modéliser des systèmes série (simplex) et aussi des systèmes
redondants.
Lorsque la méthode est appliquée aux systèmes de sécurité en mode continu, l’analyste
doit comprendre la nature des sollicitations de la fonction de sécurité. Certaines fonctions
de sécurité en mode continu sont activées sur sollicitation (à l’instar d’une fonction de
sécurité en mode de sollicitation), mais elles sont répertoriées comme en mode continu
du fait de la fréquence des sollicitations, à savoir supérieure à une fois par an. Dans ce cas,
la disponibilité peut être calculée comme pour la fonction de sécurité en mode de
sollicitation, excepté que l’intervalle de tests de validité TP doit être remplacé par
l’intervalle de sollicitation TD. Les défaillances dangereuses non détectées demeureront
cachées (non révélées) jusqu’à ce que la fonction de sécurité soit sollicitée.
103
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
où λSYS est le taux de défaillances du système total découlant de toutes les défaillances
[tableau 10].
Les formules PFH et PFD simplifiées concernant les configurations courantes sont
présentées au tableau 13 pour les défaillances détectées et au tableau 14, pour les
défaillances non détectées.
1oo2 2
2.λDD .MDT 2.λDD2.MDT2
104
PROCESS SAFEBOOK 1
Techniques de fiabilité
1oo3 3
λDU .TP 2 λDD3.TP3/4
1oo4 4
λDU .TP 3 λDD4.TP4/5
Les défaillances de cause commune (CCF) peuvent résulter d’une seule cause, mais
celle-ci affecte simultanément plusieurs canaux. Elles peuvent résulter d’un défaut
systématique, par exemple, une erreur de spécification de conception ou une contrainte
extérieure telle qu’une température excessive pouvant provoquer une défaillance de
composant dans les deux canaux redondants. Il incombe au concepteur du système de
prendre des mesures afin de réduire au minimum la vraisemblance de défaillances de
cause commune en adoptant des pratiques de conception appropriées.
La contribution des CCF sur des canaux redondants parallèles est prise en compte en
incluant un facteur β. Le taux de défaillances CCF inclus dans le calcul est égal à β x le taux
de défaillances total d’un des canaux redondants.
105
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Deux colonnes sont employées pour contrôler les scores. La colonne A contient les scores
des fonctionnalités de la protection CCF qui sont perçues comme étant améliorées par
une augmentation de la fréquence de diagnostic (autotest ou test de validité). La colonne
B contient les scores pour les fonctionnalités considérées comme non améliorées par une
amélioration de la fréquence de diagnostic.
Le modèle permet de modifier les scores par la fréquence et la couverture des tests de
diagnostic. Les scores de la colonne A sont multipliés par un facteur C, lequel est dérivé
des considérations liées au diagnostic. Le facteur β final est ensuite estimé à partir du
score brut total :
Score brut = (A * C) + B
La liste suivante présente les contraintes types pouvant être considérées aux fins
d’évaluation de la contribution des CCF :
Lors de la prise en compte des CCF dans les formules PFD et PFH [cf. le tableau 13 et le
tableau 14], l’approche suivante peut être employée. Les équations employées sont des
simplifications des équations standard et sont dérivées à la section [19.6].
106
PROCESS SAFEBOOK 1
Techniques de fiabilité
Où λDD est le taux de défaillances détectées dangereuses, λDU est le taux de défaillances
non détectées dangereuses et β est la contribution des défaillances de cause commune.
TP est l’intervalle de tests de validité et MDT est le temps moyen d’indisponibilité.
Les formes génériques de ces équations pour les différentes configurations des systèmes
en mode continu et en mode de sollicitation sont examinées à la section [19.7].
Lors du calcul des PFD et SFF, l’analyse utilise l’hypothèse sous-jacente de la norme
CEI 61508-6, Annexe B.3, dans le sens où les taux de défaillances de composants sont
constants sur toute la durée de vie du système.
Les taux de défaillances employés dans les calculs peuvent être obtenus par l’analyse
des modes de défaillances, de leurs effets et de leur criticité (AMDEC), quantifiée par
les données de terrain ou par référence aux données publiées à partir de sources de
l’industrie. Les taux de défaillances employés doivent être comparés aux données
disponibles pour les modules de complexité et technologie similaires. Cette approche
garantit une approche prudente en termes de modélisation de fiabilité et incite à être
confiant dans le fait que les performances de fiabilité doivent être réalisables en service.
Les exemples suivants montrent les diagrammes de fiabilité (RBD) modélisant certaines
configurations de système courantes.
1oo2
Un système 1oo2 est une architecture 1 sur 2, où chacun des deux canaux peut assurer la
fonction de sécurité. Il s’agit d’une configuration à tolérance de panne où la défaillance
d’un canal est autorisée.
107
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Si la défaillance du canal est du type dangereuse non révélée, elle ne sera pas détectée
par le diagnostic et il n’y aura pas d’indication de défaut. Toutefois, la fonction de sécurité
continuera de fonctionner car le canal restant peut effectuer le déclenchement. Si la
défaillance de canal est du type dangereuse détectée, un défaut sera généralement indiqué.
1oo2D
Une seule défaillance de canal dangereuse non détectée dans un système 1oo2D
empêchera le fonctionnement du système, de sorte que le taux de défaillances du
système et la probabilité PFD doivent être modélisés comme 2oo2 pour les défaillances
non détectées. En d’autres termes, les deux canaux doivent être opérationnels.
Hot standby
Une architecture de système de secours à chaud ou hot standby possède deux canaux
connectés en parallèle, de sorte qu’un canal est désigné comme maître et contrôle la
fonction de sécurité. L’autre canal fait office de solution de secours à chaud, de sorte que
si une défaillance dangereuse est détectée sur le canal maître, le canal de secours prend
le contrôle de la fonction de sécurité.
Une seule défaillance de canal dangereuse non détectée sur un système empêchera le
fonctionnement du système, de sorte que le taux de défaillances du système et la
probabilité PFD doivent être modélisés comme 1oo1 pour les défaillances non détectées.
En d’autres termes, la fonction de sécurité ne peut pas tolérer une défaillance non
détectée sur le canal maître et il n’y a pas de redondance pour les défaillances non
détectées. Un exemple de diagramme de fiabilité est présenté à la section 12.22.
108
Entrée Sortie
CNB CPU
analogique TOR
Transmetteur Charge de Charge de
de pression ventilateur ventilateur CCF
Entrée Sortie
CNB CPU
analogique TOR
λDD (diagnostic) 1,16E-06 0,00E+00 0,00E+00 8,19E-08 2,95E-07 2,03E-07 1,38E-07 5,25E-08
λDD*Qté 1,16E-06 0,00E+00 0,00E+00 8,19E-08 5,90E-07 2,03E-07 1,38E-07 5,25E-08
λDD pour branche 1,16E-06 1,01E-06 5,25E-08
MDT 24 24 24
Total λDD 1,16E-06 4,93E-11 5,25E-08
109
λDU (tests de validité) 3,66E-07 2,00E-07 2,00E-07 9,10E-09 3,28E-08 2,26E-08 1,54E-08 5,84E-09
λDU*Qté 3,66E-07 2,00E-07 2,00E-07 9,10E-09 6,56E-08 2,26E-08 1,54E-08 5,84E-09
λDU pour branche 7,66E-07 1,13E-07 5,84E-09
Période de tests de validité, T 8760 8760 8760
Total λDU 7,66E-07 1,11E-10 5,84E-09
Entrée Sortie
CNB CPU
analogique TOR
CCF 5%
Qté 1 1 1 1 2 1 1 2 4 2 2
Configuration 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2 2oo2 2oo2 2oo2 2oo2
λDD (diagnostic) 1,16E-06 0,00E+00 0,00E+00 8,19E-08 2,95E-07 2,03E-07 1,38E-07 5,25E-08
λDD*Qté 1,16E-06 0,00E+00 0,00E+00 8,19E-08 5,90E-07 2,03E-07 1,38E-07 5,25E-08
λDD pour branche 1,16E-06 1,01E-06 5,25E-08
MDT 24 24 24
Total λDD 1,16E-06 4,93E-11 5,25E-08
110
λDU (tests de validité) 3,66E-07 2,00E-07 2,00E-07 9,10E-09 3,28E-08 2,26E-08 1,54E-08
λDU*Qté 3,66E-07 2,00E-07 2,00E-07 1,82E-08 1,31E-07 4,52E-08 3,07E-08
λDU pour branche 7,66E-07 2,25E-07
Période de tests de validité, T 8760 8760
Total λDU 7,66E-07 9,87E-04
Entrée Sortie
CNB CPU TOR
analogique
λDD (diagnostic) 1,16E-06 0,00E+00 0,00E+00 8,19E-08 2,95E-07 2,03E-07 1,38E-07 5,25E-08
λDD*Qté 1,16E-06 0,00E+00 0,00E+00 8,19E-08 5,90E-07 2,03E-07 1,38E-07 5,25E-08
λDD pour branche 1,16E-06 1,01E-06 5,25E-08
MDT 24 24 24
Total λDD 1,16E-06 4,93E-11 5,25E-08
111
λDU (tests de validité) 3,66E-07 2,00E-07 2,00E-07 9,10E-09 3,28E-08 2,26E-08 1,54E-08
λDU*Qté 3,66E-07 2,00E-07 2,00E-07 9,10E-09 6,56E-08 2,26E-08 1,54E-08
λDU pour branche 7,66E-07 1,13E-07
Période de tests de validité, T 8760 8760
Total λDU 7,66E-07 4,93E-04
Disponibilité d’un
Charge de Charge de
système complexe
Transmetteur
de pression ventilateur ventilateur CCF
PT-xxx FL-xxx FL-xxx
Entrée Sortie
CNB CPU
analogique TOR
PROCESS SAFEBOOK 1
CCF 5%
Qté 1 1 1 1 2 1 1
Configuration 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2
λDD (diagnostic) 1,16E-06 0,00E+00 0,00E+00 8,19E-08 2,95E-07 2,03E-07 1,38E-07 5,25E-08
λDD*Qté 1,16E-06 0,00E+00 0,00E+00 8,19E-08 5,90E-07 2,03E-07 1,38E-07 5,25E-08
λDD pour branche 1,16E-06 1,01E-06 5,25E-08
MDT 24 24 24
Total λDD 1,16E-06 4,93E-11 5,25E-08
112
λDU (tests de validité) 3,66E-07 2,00E-07 2,00E-07 9,10E-09 3,28E-08 2,26E-08 1,54E-08 5,84E-09
λDU*Qté 3,66E-07 2,00E-07 2,00E-07 9,10E-09 6,56E-08 2,26E-08 1,54E-08 5,84E-09
λDU pour branche 7,66E-07 1,13E-07 5,84E-09
Période de tests de validité, T 8760 8760 8760
Total λDU 7,66E-07 1,11E-10 5,84E-09
Les données de taux de défaillances employées dans les diagrammes de fiabilité (RBD)
précédents doivent être visibles dans le rapport et indiquer la traçabilité à la source. La
source, lorsqu’elle désigne les données publiées, doit afficher suffisamment de détails afin
que des tiers puissent vérifier en toute indépendance les données employées. Cela peut
inclure l’identifiant de document, l’éventuel numéro ISBN, ainsi que le numéro de page et
d’élément.
113
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Lors de la modélisation des systèmes F&G, il est important de fournir certaines directives
sur la tolérance de pannes. La modélisation de système d’arrêt d’urgence (ESD) ou de
systèmes similaires suit généralement la même configuration que celle du vote de
l’analyseur logique. Par exemple, la fiabilité des transmetteurs de pression (PT) qui font
l’objet d’un vote un sur deux (1oo2) par un système ESD en cas de pression élevée sera
modélisée comme 1oo2. Il n’en va pas toujours de même pour les systèmes F&G.
En général, une analyse prudente est effectuée sans s’appuyer sur les hypothèses de
couverture de détecteur et de redondance dans la configuration des alarmes, mais dans
la pratique, cela peut aboutir à une analyse pessimiste et à une impossibilité de respecter
les objectifs. Lorsque de telles difficultés se produisent, une connaissance détaillée des
dangers permet l’élaboration d’un modèle plus ciblé et, donc, l’exécution d’une analyse
de fiabilité plus réaliste.
Les systèmes F&G protègent non seulement les personnes, mais peuvent aussi servir à
protéger un actif contre un risque commercial ou un site contre un risque environnemental,
et l’action pratique exigée par la fonction SIF afin de fournir cette protection déterminera le
modèle de fiabilité approprié à employer.
Lors de la modélisation d’une fonction SIF F&G, afin de déterminer la conformité à des
objectifs de fiabilité du matériel, par ex. une probabilité PFD, des décisions doivent être
prises afin de déterminer précisément la configuration du matériel à modéliser.
Par exemple, des données C&E pour une fonction SIF F&G spécifieront généralement ce
qui suit :
a) un détecteur de gaz sur six (1oo6) en état d’alarme est qualifié de « Gaz
unique » et active une alarme de salle de contrôle ;
b) deux détecteurs de gaz sur six (2oo6) en état d’alarme sont qualifiés de « Gaz
confirmé » et activeront les alarmes et gyrophares de site, et généreront aussi
un arrêt d’urgence (ESD) de l’usine.
Toutefois, pour une modélisation correcte, il faut comprendre la fonction SIF et le danger
contre lequel elle assure une protection. L’action pratique exigée par la fonction SIF
déterminera le modèle approprié à employer.
Dans la pratique, une alarme de type Gaz unique fera l’objet d’une investigation par un
opérateur, afin de déterminer si elle est réelle, intempestive ou due à un défaut de
détecteur. L’action pratique est prise uniquement suite à une alarme de type Gaz confirmé
et elle veillera à une évacuation en lieu sûr du personnel de l’usine. C’est la fonction de
sécurité qui a suscité l’objectif SIL cible et, par conséquent, le cas b) ci-dessus doit
114
PROCESS SAFEBOOK 1
Techniques de fiabilité
constituer notre point de départ pour la modélisation de fiabilité : une alarme de type Gaz
confirmé veillera à une évacuation en lieu sûr du personnel.
La configuration de la figure 44 présente six détecteurs de gaz implantés dans une zone et
l’analyseur logique de vote 2oo6 est configuré afin d’agir si 2 détecteurs sur 6 détectent du gaz.
G G G
F&G
Action pratique lors de la
réception d’une alarme de
2 des 6 détecteurs.
Logique de vote 2oo6
Figure 44 : configuration du système F&G
Néanmoins, la modélisation de fonctions SIF par rapport à des probabilités PFD cible revient
à calculer la probabilité de non-réaction au gaz si cela s’avère nécessaire. Un dégagement de
gaz suffisamment important pour être dangereux sera peut-être uniquement dans la plage
de couverture de, par exemple, la moitié des 6 détecteurs (cf. la figure 45).
Gaz
G G G
F&G
Action pratique lors de la
réception d’une alarme de
2 des 6 détecteurs.
Logique de vote 2oo6
Figure 45 : couverture du système F&G
115
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
objectifs sont réalisés avec une configuration non redondante, cela doit représenter une
approche prudente, car elle ne se fonde pas sur la justification de toute hypothèse de
couverture des détecteurs.
Dans cet exemple, si nous autorisons une taille de nuage de gaz suffisante pour englober
3 capteurs avant de déclencher une action pratique, avec la logique de vote 2 sur 6, nous
pouvons tolérer une défaillance de capteur. En d’autres termes, la fiabilité de la détection
de gaz pourrait être modélisée comme 2oo3, à savoir 2 sur 3.
Dans l’exemple ci-dessus, comme la logique de vote des détecteurs de gaz est 2oo6,
certains analystes succombent à la tentation de modéliser la fiabilité du système comme
2oo6 au lieu de 2oo3, voire 2oo2. À l’évidence, l’écart résultant au niveau de la PFD
globale de la fonction de sécurité et de ses performances par rapport aux objectifs SIL
cibles entre les configurations redondante et non redondante peut être significatif.
Toutefois, si la tolérance aux pannes ne peut pas être assurée en raison du positionnement
des détecteurs ou de la taille du nuage de gaz tolérable lorsqu’une action pratique est
nécessaire, l’écart résultant entre les configurations redondante et non redondante peut
être significatif (cf. la figure 46).
Remarque : la probabilité PFD est calculée pour les taux de défaillance de capteur et les
délais de réparation types, et elle suppose une contribution des causes communes pour
les configurations redondantes. Dans cet exemple, une valeur nulle de tolérance aux
pannes représente une configuration 2oo2, une valeur 1 représente une configuration
2oo3, une valeur 2 représente une configuration 2oo4, etc.
116
PROCESS SAFEBOOK 1
Techniques de fiabilité
Les résultats montrent que, selon l’architecture ou la valeur HFT sélectionnée pour la
modélisation, la probabilité PFD calculée pourrait entrer dans la bande SIL1, SIL2 ou SIL3.
1,00E-01
2oo2 SIL1
PFD
1,00E-02
SIL2
2oo3
1,00E-04
0 1 2 3 4
Tolérance aux pannes du matériel (HFT)
Figure 46 : calcul de PFD du système F&G
Une modélisation incorrecte aura un effet plus significatif sur les performances
architecturales de la fonction de sécurité. Pour une proportion de défaillances non
dangereuses ou SFF (Safe Failure Fraction) donnée, les performances SIL du sous-système
de détecteur dépendent de sa tolérance HFT.
Par exemple, pour un détecteur de type B avec une SFF entre 60 % et 90 %, les possibilités
SIL architecturales suivantes peuvent être revendiquées :
117
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Le personnel est protégé des dangers liés au feu et au gaz par une alarme confirmée. Les
alarmes visuelles et sonores suffisent pour garantir l’évacuation du personnel vers un lieu
sûr. Par conséquent, pour les dangers liés à la sécurité, il suffit à la configuration des
sorties de prendre en compte la disponibilité d’avertisseurs visuels et sonores.
Pour les systèmes F&G, une action pratique peut généralement être spécifiée par
l’activation d’alarmes visuelles 6oo6 ET d’alarmes sonores 4oo4. La modélisation de telles
configurations provoque généralement un problème pour faire mieux qu’une PFD SIL1
cible, en raison du nombre d’équipements à inclure. Par ailleurs, comme les alarmes et
gyrophares ont une proportion SFF très faible, leurs performances architecturales ne
peuvent généralement pas faire mieux qu’un niveau SIL1 dans les configurations simplex.
En ayant à l’esprit qu’une zone peut contenir des équipements bruyants susceptibles de
masquer un gyrophare ou d’empêcher d’entendre une alarme sonore, une bonne
pratique doit viser à positionner les alarmes de telle sorte que le personnel situé dans la
zone dangereuse puisse voir ou entendre systématiquement plusieurs avertisseurs en
même temps. Si cette hypothèse peut être vérifiée, l’analyste peut tirer partie d’une telle
tolérance aux pannes dans la modélisation de fiabilité de la configuration d’alarmes.
Une configuration d’avertisseurs 6oo6 peut couvrir 2 ou 3 zones séparées avec peut-
être 2 ou 3 avertisseurs par zone. De ce fait, l’analyste doit décider à partir des plans
d’aménagement d’usine quelle tolérance aux pannes peut être revendiquée pour
chaque zone, puis la modéliser en conséquence (cf. la figure 47).
Zone 01 Zone 02
Gyrophare Gyrophare
Gyrophare
Gyrophare
Gyrophare
Gyrophare
Analyseur
logique F&G
Sorties 6oo6
118
PROCESS SAFEBOOK 1
Techniques de fiabilité
Dans une telle configuration, une approche raisonnable consistera à modéliser chaque
zone 1 comme 1oo2, car il suffit de voir un gyrophare. Toutefois, comme les deux zones
doivent être protégées, elles devraient être incluses dans le modèle, à savoir 1oo2 + 1oo2.
Zone 01
Gyrophare Gyrophare Gyrophare
Analyseur
logique F&G
Sorties 6oo6
Jusqu’à présent, il n’a nullement été fait mention de l’exigence de générer un arrêt
d’urgence (ESD) de l’usine lors d’une confirmation d’incendie ou de gaz. L’inclusion ou
non d’un déclenchement d’arrêt d’urgence (ESD) en tant que partie intégrante de la
fonction SIF F&G dépendra des conséquences du danger et de la protection requise.
Lorsque le danger aboutit à un risque individuel lié à la sécurité, il peut être invoqué que
les alarmes suffisent pour assurer la protection. En général, les déclenchements F&G
génèrent aussi une entrée vers le système ESD, mais dans de nombreux processus, cela
sert à éviter une escalade du danger et à protéger l’actif. Un déclenchement ESD peut
aussi être généré en tant que mesure de bonne conduite, afin de permettre un démarrage
mieux maîtrisé après la résolution du danger. Le rôle du système F&G est de fournir une
119
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
protection contre l’incendie ou le gaz, tandis que le système ESD protège d’autres
dangers. Sous réserve que le système F&G atteigne ses objectifs en termes de réduction
du risque, il ne doit pas y avoir d’autres raisons que celle exposée ci-dessus de déclencher
le système ESD. Par conséquent, le système ESD sera normalement inclus dans la fonction
SIF F&G.
Il existe toutefois des exceptions. Lorsque le danger aboutit à des dommages pour
l’environnement ou des actifs, les alarmes seules ne fourniront aucune protection et, par
conséquent, il sera peut-être nécessaire d’isoler l’usine en cas de détection d’un incendie
ou d’un gaz. Dans de tels cas, un système d’arrêt et d’isolation doit, le cas échéant, être
inclus dans la modélisation de fiabilité des fonctions SIF F&G.
12.31. Résumé
Il peut être constaté que la modélisation du sous-système d’entrées peut fournir des
résultats optimistes si la configuration de logique de vote est modélisée au lieu de la
tolérance aux pannes des détecteurs. La même approche donnera des résultats très
pessimistes lors de la modélisation du sous-système de sorties. Entre les deux sous-
systèmes, l’approche de modélisation adoptée peut aboutir à un écart important de la
probabilité PFD calculée et des performances architecturales, d’où la possibilité d’un
écart également important dans le niveau SIL revendiqué.
Il est, par conséquent, important d’adopter une approche réfléchie pour la modélisation
des systèmes F&G et d’acquérir une compréhension claire des techniques de
modélisation, ainsi que des dangers et systèmes analysés. Cela garantira une évaluation
précise de la réduction du risque fournie par un système F&G et évitera un problème
d’information erronée des utilisateurs finaux par des revendications optimistes.
120
PROCESS SAFEBOOK 1
Vérification SIL
Lorsque ces clauses sont en outre subdivisées en exigences plus détaillées, elles sont aussi
affichées.
121
CEI 61511-1
Évaluation SIL –
exigences pour la
conformité
122
d’application
CEI 61511-1, 11.2 CEI 61511-1, 11.3 CEI 61511-1, 11.4 CEI 61511-1, 11.5 CEI 61511-1, 11.6 CEI 61511-1, 11.7 CEI 61511-1, 11.8 CEI 61511-1, 11.9 CEI 61511-1, 12.4
Exigences générales Exigences concernant Exigences Exigences pour Équipements de Interfaces d’opéra- Exigences de Probabilité de Conception et
le comportement du concernant la sélection des terrain teur, de technicien conception pour défaillance de développement
système lors de la
détection d’un défaut
la tolérance aux composants et de maintenance et les tests ou la fonction SIF de logiciels
pannes matérielles sous-systèmes de communication maintenance d’application
CEI 61511-1, 11.5.2 CEI 61511-1, 11.5.3 CEI 61511-1, 11.5.4 CEI 61511-1, 11.5.5 CEI 61511-1, 11.5.6
Exigences générales Exigences Exigences pour les Exigences pour les Exigences pour
basées sur les équipements program- équipements program- les équipements
mables FPL basées mables LVL basées
utilisations sur les utilisations sur les utilisations
programmables FVL
antérieures antérieures antérieures
Sécurité fonctionnelle dans l’industrie des procédés
PROCESS SAFEBOOK 1
Vérification SIL
Le comportement du système à la détection d’un défaut doit être spécifié. Cet aspect doit
être détaillé dans la spécification SRS ou la spécification de conception par exemple.
La liste suivante présente des exemples types des paramètres qu’il est envisageable
d’inclure :
1. Tous les blocs de sortie votent 1oo2 lors des sollicitations d’API et reviennent
à 1oo1 lors de la détection d’une perte de communication d’un API.
2. La spécification de conception stipule qu’un principe à arrêt de sécurité
s’applique. Tous les éléments d’arrêt du SIS respectent un principe de
défaillance en mode sécurisé.
3. En cas de système ESD, une fonction de coupure par mise hors tension a été
mise en œuvre.
4. En cas de système F&G, un déclenchement par mise sous tension pour l’agent
extincteur a été mis en œuvre. La détection d’un seul défaut dangereux dans
une configuration redondante est signalée par une condition d’alarme. Le
système F&G continue de fonctionner en toute sécurité pour la durée autorisée
de la réparation et d’autres mesures de réduction du risque ont été mises en
œuvre telles que la fourniture d’un déclenchement manuel filaire de l’agent
extincteur.
13.3. Exigences concernant la tolérance aux pannes matérielles, CEI 61511-1, 11.4
13.3.1. Approche
Pour traiter les exigences concernant la tolérance aux pannes matérielles (HFT), une
évaluation quantitative est nécessaire par rapport à la proportion de défaillances non
dangereuses (SFF) et aux contraintes architecturales.
Dans le contexte d’une intégrité de sécurité du matériel, le plus haut niveau SIL pouvant
être revendiqué pour une fonction de sécurité est limité par les valeurs HFT et SFF des
sous-systèmes qui assurent la fonction de sécurité.
Une tolérance aux pannes matérielles 1 indique que l’architecture du sous-système est
telle qu’une défaillance dangereuse d’un des sous-systèmes n’empêche pas l’exécution
de l’action de sécurité, à savoir la tolérance HFT serait 1 pour une configuration 1oo2 ou
2oo3, ou serait 2 pour une configuration 1oo3 ou 2oo4.
123
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Concernant ces exigences, la norme CEI 61508 [19.1] fournit les directives supplémentaires
suivantes :
• une tolérance aux pannes matérielles de N signifie que N+1 défauts pourraient
entraîner la perte de la fonction de sécurité. Lors de la détermination de la
tolérance aux pannes matérielles, il ne faut pas prendre en compte d’autres
mesures susceptibles de contrôler les effets des défauts telles que le diagnostic ;
• lorsqu’un défaut aboutit directement à la survenance d’un ou de plusieurs
défauts consécutifs, ces derniers sont considérés comme un seul défaut ;
• lors de la détermination de la tolérance aux pannes matérielles, certains défauts
peuvent être exclus, à condition que la vraisemblance de leur survenance soit
très faible par rapport aux exigences d’intégrité de sécurité du sous-système.
Une telle exclusion de défaut quelle qu’elle soit doit être justifiée et
documentée.
Où :
λD = λDU + λDD
Pour chaque élément de la fonction de sécurité, la proportion SFF doit être calculée. La
valeur doit ensuite être employée dans le tableau 16 afin de déterminer la conformité SIL
pour le niveau de tolérance aux pannes matérielles.
La norme CEI 61511-1, clause 11.4.5 permet l’évaluation de la tolérance aux pannes
matérielles au moyen des exigences de la norme CEI 61508-2, tableaux 2 et 3.
Dans le cadre de la norme CEI 61508 [19.1], les sous-systèmes sont classés en tant que
type A ou type B. En général, si les modes de défaillances sont parfaitement définis, si le
comportement dans des conditions de défaut peut être entièrement déterminé et s’il y a
suffisamment de données de terrain appropriées, le sous-système peut être considéré
comme de type A. Si une de ces conditions n’est peut-être pas vraie, le sous-système doit
être considéré comme de type B.
Les équipements mécaniques simples tels que les vannes sont généralement considérés
comme de type A. Les analyseurs logiques sont habituellement de type B car ils
contiennent certaines capacités de traitement et, en tant que tels, leur comportement
dans des conditions de défaut peut ne pas être complètement déterminé. Les capteurs
peuvent être de type A ou de type B selon la technologie et la complexité de l’équipement.
124
PROCESS SAFEBOOK 1
Vérification SIL
Les contraintes architecturales d’une fonction de sécurité sont résumées dans le tableau 16.
Remarque : une tolérance aux pannes matérielles de N signifie que N+1 défauts
pourraient entraîner la perte de la fonction de sécurité.
13.3.4. Exemple
125
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
des définitions du tableau 16. En règle générale, vous devez, être certain des modes de
défaillances et du comportement en cas de défaillance d’un élément, et avoir de très
bonnes données de défaillance afin de le considérer comme de type A. Autrement,
l’élément doit être considéré comme de type B.
Nos données de défaillance pour chaque élément nous permettent ensuite de calculer
la proportion SFF. Le type d’élément et la proportion SFF sont présentés sous forme
tabulaire au-dessous de chaque élément de la figure 50.
La tolérance HFT fait référence au niveau de tolérance aux pannes de chaque élément. Les
transmetteurs de niveau fonctionnant en configuration 1oo2 ont une tolérance HFT de 1.
Tous les autres éléments n’ont aucune tolérance aux pannes et leur valeur HFT doit donc
être 0.
Enfin, le niveau SIL pouvant être revendiqué pour les performances architecturales de
chaque élément peut être déterminé au moyen des informations du tableau 16.
Détecteur
de niveau
Détecteur
de niveau
Type A B A A
SFF 0,40 0,95 0,72 0,25
HFT 1 0 0 0
SIL architectural 2 2 2 1
SIL autorisé (Arch) 1
SIL autorisé global SIL1
Les détecteurs de niveau sont de type A, d’où l’application des critères du type A. Avec
une proportion SFF de 0,40 et une tolérance aux pannes de 1, les transmetteurs de niveau
sont conformes aux contraintes architecturales de niveau SIL2.
De même, l’électrovanne (SOV) et la vanne d’arrêt d’urgence (ESD) peuvent aussi être
évaluées. L’électrovanne, aussi de type A, présente une tolérance aux pannes de 0 et une
proportion SFF de 0,72, ce qui donne un niveau SIL2. La vanne ESD, aussi de type A,
présente une tolérance aux pannes de 0 et une proportion SFF de 0,25, ce qui donne un
niveau SIL1.
126
PROCESS SAFEBOOK 1
Vérification SIL
L’API est considéré comme un équipement de type B. C’est vrai pour la majorité des
automates programmables industriels (API) car, comme ils sont contrôlés par un logiciel,
il existe une incertitude concernant leur comportement en cas de défaillance. Par
conséquent, toutes les conditions requises pour le type A ne sont pas réunies.
L’évaluation de l’API doit donc être réalisée par rapport aux exigences du type B (cf. la
figure 52).
Pour résumer, les performances SIL architecturales de chaque élément sont affichées sur
la figure 50 et le niveau SIL pouvant être revendiqué pour la fonction de sécurité globale
est SIL1. Les performances SIL architecturales concernant la fonction de sécurité globale
sont limitées par le niveau SIL le plus bas revendiqué.
127
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
13.4. Exigences pour la sélection des composants et sous-systèmes, CEI 61511-1, 11.5
13.4.1. Approche
Pour les applications de l’industrie des procédés, la sélection des composants et sous-
systèmes peut être basée sur une évaluation d’adéquation. Les objectifs visent à spécifier
les exigences :
Cette procédure ne doit pas être employée pour les applications SIL4, mais pour tous les
autres composants et sous-systèmes, il convient de traiter les aspects suivants.
128
PROCESS SAFEBOOK 1
Vérification SIL
Pour tous les composants et sous-systèmes sélectionnés, la spécification FDS doit aussi
fournir des justifications d’utilisation cumulée. Les preuves peuvent reposer au choix sur :
Concernant les applications d’analyseur logique SIL3, une certification est requise.
1 000 000
0 défaillance
X 1 défaillance
5 défaillances
10 000
Années d’équipement nécessaires
10 défaillances
X 15 défaillances
1000
X
100
X
10
1
1,00E-07 1,00E-06 1,00E-05 1,00E-04
Taux de défaillances cible (/h)
Figure 53 : directives sur l’utilisation requise
Par exemple, si le taux de défaillances cible est 1,00E-06/h et si aucune défaillance n’a été
signalée, selon la figure 53, la justification doit porter sur 137 années d’équipement, ce
qu’il est possible d’atteindre avec 14 équipements fonctionnant sans défaillance pendant
10 ans. Si des défaillances dans la population sur le terrain sont rapportées, le taux de
défaillances d’équipements réel sera supérieur. Par conséquent, il faudra plus d’heures de
fonctionnement sans défaillance pour démontrer le même taux de défaillances cible.
129
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
La figure est basée sur une distribution Χ2 avec une limite de confiance de 70 %, et doit
uniquement servir de conseil et pour savoir à quel moment un nombre suffisant d’années
d’équipement a été cumulé.
La norme CEI 61511 requiert aussi une surveillance documentée des données de retour,
ainsi qu’un processus de modification par le fabricant, afin d’évaluer l’impact des
défaillances signalées.
13.4.4. Équipements programmables FPL (Fixed Programme Language), CEI 61511-1, 11.5.4
Par ailleurs, pour chaque composant sélectionné, la spécification FDS doit justifier la
sélection des composants FPL en stipulant que le composant respecte les exigences
spécifiées en termes de fonctionnalité, notamment ce qui suit :
Concernant les applications SIL3, une évaluation formelle doit être réalisée.
Les justifications doivent montrer que l’équipement est apte à exécuter la fonction requise et
que la probabilité de défaillance dangereuse est suffisamment faible en cas de défaillances
130
PROCESS SAFEBOOK 1
Vérification SIL
13.4.5. Équipements programmables LVL (Limited Variability Language), CEI 61511-1, 11.5.5
Pour les applications d’analyseur logique SIL2, la spécification FDS doit confirmer la
technique de protection employée contre les défauts suivants pendant l’exécution du
programme :
131
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
g) le système a été testé dans des configurations types, avec des jeux de tests
représentatifs des profils de fonctionnement escomptés ;
h) des modules logiciels et composants vérifiés et de confiance ont été
employés ;
i) le système a fait l’objet d’analyses et de tests dynamiques ;
j) le système n’utilise pas d’intelligence artificielle ni de reconfiguration
dynamique ;
k) des tests d’insertion de défaut documentés ont été réalisés.
Pour les applications SIL2, la spécification FDS doit identifier les contraintes relatives
au fonctionnement, à la maintenance et à la détection des défauts couvrant les
configurations de l’analyseur logique PE et les profils de fonctionnement escomptés.
Pour les applications SIL3, la documentation doit présenter une certification SIL
concernant tout analyseur logique LVL.
13.4.6. Équipements programmables FVL (Full Variability Language), CEI 61511-1, 11.5.6
La documentation doit présenter une certification SIL concernant tout analyseur logique FVL.
Pour la sélection des équipements de terrain, les exigences générales [13.4.2], les
exigences avant l’utilisation [13.4.3] et les exigences suivantes pour les équipements de
terrain doivent toutes être respectées. Le cas échéant, les exigences concernant les
équipements programmables FPL doivent aussi être respectées.
132
PROCESS SAFEBOOK 1
Vérification SIL
Les capteurs intelligents doivent être protégés en écriture afin d’empêcher des
modifications accidentelles à partir d’un lieu distant, à moins qu’une revue de sécurité
appropriée autorise le mode lecture/écriture.
Pour toutes les interfaces de communication, les exigences suivantes doivent être
respectées.
13.7. Exigences de conception pour les tests ou la maintenance, CEI 61511-1, 11.8
La conception du SIS doit permettre d’effectuer des tests de bout en bout ou partiels. Les
aspects suivants doivent être pris en compte selon leur pertinence :
133
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
La norme CEI 61511-1, clause 12 répertorie les exigences applicables à tout logiciel
constitutif d’un SIS, ou employé pour développer un SIS. L’exigence définit les
prescriptions de cycle de vie de la sécurité de logiciel d’application, afin de s’assurer que :
L’exigence générale consiste à définir les phases applicables du cycle de vie de la sécurité
du logiciel d’application à prendre en compte et à documenter toutes les informations
pertinentes. Cela inclut les aspects suivants :
134
PROCESS SAFEBOOK 1
Probabilité de défaillance de la fonction SIF
Jusqu’à présent, nous avons identifié la nécessité d’établir des mesures de fiabilité cible
afin de garantir que le risque global n’excède pas le risque tolérable maximum.
Nous avons aussi vu que la mesure de fiabilité cible peut être exprimée en niveaux SIL et
que pour se conformer à la norme, nous devons non seulement démontrer que la fonction
de sécurité respecte des objectifs quantitatifs mais que nous appliquons aussi les contrôles
appropriés.
La conformité à la norme requiert que les mesures de fiabilité cible soient réalisées de
manière appropriée par rapport au niveau SIL appliqué.
La probabilité PFD pour chaque niveau SIL dépend du mode de fonctionnement prévu
pour un SIS, ce par rapport à la fréquence des sollicitations de ce dernier. Ces exigences
sont définies à la section [6.9] et peuvent être les suivantes :
Mode de sollicitations, lorsqu’une action spécifiée est mise en œuvre en réponse à une
des conditions de procédé ou d’autres sollicitations. En cas de défaillance dangereuse de
la fonction instrumentée de sécurité (SIF), un danger potentiel se concrétise uniquement
s’il y a défaillance du procédé de système de contrôle de procédé de base (BPCS) ;
Mode continu, lorsqu’en cas de défaillance dangereuse de la fonction SIF, un danger potentiel
se concrétise sans autre défaillance, à moins qu’une action soit prise pour le prévenir.
Sur la base de ces critères, les objectifs appropriés présentés dans le tableau 17 peuvent
être appliqués.
135
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
14.3. Calcul de la probabilité PFD pour une fonction de sécurité en mode de sollicitation
Lors de la réalisation de calculs de fiabilité, nous supposons que les défaillances se produisent
de manière aléatoire avec un taux constant et lorsqu’une défaillance se produit, l’élément
défaillant sera indisponible jusqu’à la détection et la réparation de la défaillance.
Les relations générales suivantes peuvent être employées dans le calcul de la probabilité
PFD. Les équations employées sont des simplifications des équations standard et sont
dérivées à la section [19.6].
Où λDD est le taux de défaillances détectées dangereuses, λDU est le taux de défaillances
non détectées dangereuses et β est la contribution des défaillances de cause commune,
section [12.17]. TP est l’intervalle de tests de validité et MDT est le temps moyen
d’indisponibilité.
Les formes génériques de ces équations pour les différentes configurations des systèmes
en mode continu et en mode de sollicitation sont examinées à la section [12.9].
Lors du calcul des PFD et SFF, l’analyse utilise l’hypothèse sous-jacente de la norme
CEI 61508-6, Annexe B.3, dans le sens où les taux de défaillances de composants sont
constants sur toute la durée de vie du système.
Les taux de défaillances employés dans les calculs peuvent être obtenus par l’AMDEC,
quantifiée par les données de terrain ou par référence aux données publiées à partir de
sources de l’industrie. Les taux de défaillances employés doivent être comparés aux données
disponibles pour les modules de complexité et technologie similaires. Cette approche
136
PROCESS SAFEBOOK 1
Probabilité de défaillance de la fonction SIF
Dans cet exemple de la section [6.5], le procédé et la fonction SIF sont mis en évidence
(cf. la figure 54).
PC
Entrée Sortie
gazoduc gazoduc
Vanne Régulateur de
d’arrêt pression
137
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Il montre le calcul de la probabilité PFD. Sous chaque élément figurent les valeurs pour le
taux de défaillances dangereuses détectées λDD, le taux de défaillances dangereuses non
détectées λDU, le temps moyen d’indisponibilité (MDT) et la période de tests de validité T.
L’exemple suivant décrit une évaluation SIL de la probabilité PFD et des performances
architecturales d’une fonction SIF.
Périmètre
La fonction d’arrêt d’urgence (ESD), S-005 prévient une réaction incontrôlable dans
39-R-050 et, par conséquent, assure la protection contre une perte de confinement du
réacteur, laquelle pourrait aboutir à des blessures d’opérateurs et aussi à des dommages
environnementaux. Actuellement, la fonction de sécurité S-005 est déclenchée par
détection d’une température ou d’une pression élevée dans le réacteur, et le limiteur
ROV0503 s’ouvre pour décharger la pression.
Il est apparu qu’il y avait des préoccupations selon lesquelles le limiteur ROV0503 n’aurait
pas une capacité suffisante pour la décharge de pression. Par conséquent, l’action d’arrêt
d’urgence de S-005 a été modifiée afin d’inclure l’activation d’un limiteur de pression
supplémentaire ROV0501.
138
PROCESS SAFEBOOK 1
Probabilité de défaillance de la fonction SIF
Objectifs
Le client gère un grand nombre de capteurs dans le cadre du SIS et cherche à réduire le
travail associé. Cette analyse a donc l’objectif suivant :
Remarque : le client a indiqué que les intervalles de tests de validité pour n’importe quel
élément ne doivent pas excéder 36 mois. Du point de vue ingénierie, le client n’est pas à
l’aise avec l’idée que des parties SIS ne sont pas testées pendant de longues périodes.
Il est apparu que l’interrupteur HS0900 est employé afin d’acheminer le catalyseur vers le
réacteur. Par conséquent, une mauvaise position de l’interrupteur ou une défaillance de
celui-ci dans l’état erroné empêche la concrétisation du danger. L’interrupteur HS2004 est
employé pour forcer le déclenchement de la fonction S-005. Si l’interrupteur HS2004 reste
accidentellement en position de forçage à la suite d’une intervention de maintenance, ou
s’il subit une défaillance dans l’état de forçage, la fonction de sécurité S-005 sera
désactivée.
Configuration matérielle
L’analyseur logique est basé sur une configuration à redondance modulaire triple ou TMR
(Triple Modular Redundant) avec vote 2 sur 3 (2oo3). La figure 56 présente un schéma de
la configuration du matériel.
139
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Logique (2oo3)
S-005
Transmetteur Barrière IS ROV0501
de pression
PT0500H
Transmetteur ROV0503
de temp.
PT0500H
Interrupteur
manuel
Interrupteur
manuel
Couverture de diagnostic
Il a été supposé que tous les modes de défaillances non détectées seront révélés par le
test de validité, autrement dit par l’exécution complète de la fonction de SIS.
Les intervalles de tests de validité doivent être sélectionnés afin de réaliser les objectifs
tout en maximisant l’intervalle de tests des capteurs.
140
PROCESS SAFEBOOK 1
Probabilité de défaillance de la fonction SIF
Les défaillances de cause commune (CCF) peuvent résulter d’une seule cause, mais
celle-ci affecte simultanément plusieurs canaux. Elles peuvent résulter d’un défaut
systématique, par exemple, une erreur de spécification de conception ou une contrainte
extérieure telle qu’une température excessive pouvant provoquer une défaillance de
composant dans les deux canaux redondants.
La contribution des CCF sur des canaux redondants parallèles doit être prise en compte
dans le modèle en incluant un facteur β. Le taux de défaillances CCF inclus dans le calcul
est égal à β x le taux de défaillances total d’un des canaux redondants. Les facteurs β à
employer dans l’analyse sont récapitulés dans le tableau 19.
Logique TMR d’API 5% Les défaillances de cause commune dans une configuration
TMR redondante sont réduites. Toutefois, une valeur de 5 % a
été employée afin de maintenir une approche prudente.
Tableau 19 : Facteurs β
Composants de type A
Composants de type B
141
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
L’analyse doit supposer des taux de défaillances constants car les effets de défaillances
prématurées sont censés être éliminés par des processus appropriés. Ces processus
incluent l’utilisation de produits à maturité de sources homologuées, des tests internes
avant la fourniture et des tests fonctionnels et d’exploitation étendus dans le cadre de
l’installation et de la mise en service. Les données de terrain retournées sur des projets
similaires indiquent que les défaillances en début de vie n’aboutissent pas à un nombre
significatif de retours et, par conséquent, les techniques employées sont jugées
suffisantes.
Il est également supposé que les composants ne sont pas employés au-delà de leur durée
de vie utile, afin d’écarter tout risque de défaillance due à des mécanismes d’usure. Les
taux de défaillances (en défaillances/heure) susceptibles d’être employés dans le calcul de
la probabilité PFD, λDD et λDU, sont résumés dans le tableau 20. Les taux de défaillances ont
été obtenus à partir d’une combinaison de sources.
142
PROCESS SAFEBOOK 1
Probabilité de défaillance de la fonction SIF
Dispositifs d’entrée
FT 0041 Débitmètre à effet Coriolis 2,6E-06 2,2E-06 9,0E-07 1,3E-06 4,0E-07 0,65
TT 0504 Module RTD 3 fils avec 2,0E-06 1,4E-06 4,0E-07 1,0E-06 6,0E-07 0,80
transmetteur en tête
Dispositifs logiques
Dispositifs de sortie
ROV 0501 AOV (FO), vanne de 5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734
décharge avec SOV
ROV 0503 AOV (FO), vanne de 5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734
décharge avec SOV
ROV 0404 AOV (FC) avec SOV 9,72E-06 3,03E-06 3,03E-06 0,00E+00 6,69E-06 0,688
ROV 0405 AOV (FO), vanne de 5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734
décharge avec SOV
ROV 0406 AOV (FO), vanne de 5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734
décharge avec SOV
143
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Le diagramme de fiabilité (RBD) présenté à la figure 57 montre les éléments requis dans le
cadre de la fonction de sécurité. Il n’est pas nécessaire d’inclure l’interrupteur HS0900 dans
l’évaluation de la fonction de sécurité, car sa défaillance n’empêche pas l’utilisation de
la fonction de sécurité. Si l’interrupteur HS0900 connaît une défaillance ou reste dans la
position erronée, le danger ne peut pas se concrétiser.
L’interrupteur HS2004 doit être inclus, car s’il reste accidentellement en position de
forçage à la suite d’une intervention de maintenance, ou s’il subit une défaillance dans
l’état de forçage, la fonction de sécurité S-005 sera désactivée.
Ces intervalles de tests de validité fournissent une probabilité PFD calculée 4,91E-03
par rapport à une valeur cible de 5,56E-03, de sorte que la probabilité PFD et les
performances architecturales sont toutes les deux conformes au niveau SIL2.
144
Module AI Module DI Module DO
PT 0500 PB 0500 CPU
32 pt 32 pt 16 pt
Branche A
Branche B
Contribution CCF 3% 5%
Qté 1 1 1 1 1 1 1 1
Configuration 1oo2 2oo3
λDD [branche A] 7,50E-07 0,00E+00 2,25E-08 0,00E+00 6,90E-09 5,09E-07 1,08E-08 1,46E-08 2,71E-08
λDD [branche B] 1,00E-06 0,00E+00
145
λDU [branche A] 6,00E-07 6,30E-08 1,99E-08 8,00E-07 9,86E-11 6,42E-09 9,91E-11 9,93E-11 3,36E-10
λDU [branche B] 4,00E-07 0,00E+00
λDU pour branche 1,99E-08 8,00E-07 6,72E-09 3,36E-10
Période de tests de validité, T 17 520 17 520 4380 26 280 26 280
Configuration PFD 2,71E-05 1,74E-04 1,75E-03 3,11E-08 4,41E-06
PFD 4,92E-03
SIL autorisé (PFD) 2
Type B A A B B B
SFF 0,60 0,70 0,60 > 99 > 99 > 99
Redondance 1 0 0 1 1 1
SIL architectural 2 2 2 3 3 3
SIL autorisé (Arch) 2
Probabilité de défaillance de la fonction SIF
PROCESS SAFEBOOK 1
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Lors des calculs de probabilité PFD, il est vital de garantir la visibilité de tous les calculs et
la traçabilité de toutes les données utilisées jusqu’à la source. Microsoft Excel constitue
un outil utile car il répond à ces deux exigences, tout en permettant une représentation
graphique du modèle de fiabilité à élaborer, comme illustré sur la figure 57.
La feuille de calcul permet à chaque cellule de données de pointer vers une table, où
toutes les données de taux de défaillances collectées et toutes les sources de données
peuvent être présentées. Un exemple de table de données est présenté au tableau 22.
Il est important que la référence de source de données soit suffisamment détaillée afin
que tout le monde puisse contrôler et valider les valeurs employées.
En cas d’utilisation d’un format Excel, il est aussi pratique de lister le type de composant,
ainsi que les MDT et Tp supposés employés dans le calcul. Cela permet de modifier
facilement l’intervalle de tests de validité et de calculer automatiquement l’effet de la
probabilité PFD.
PT0500 1,35E- 8,18E- 7,50E- 6,80E- 5,27E- B 0,95 4380 4380 exida
06 07 07 08 07 [14.8.2]
Analyseur 5,57E- 2,23E- 2,21E- 2,20E- 3,34E- B 1.00 168 4380 Sintef
logique SIL3 06 06 06 08 06 [14.8.8]
Module 1,07E- 5,34E- 5,08E- 2,60E- 5,34E- B 0,98 168 4380 Sintef
d’entrées 06 07 07 08 07 [14.8.8]
analogiques
Module de 5,26E- 2,63E- 2,50E- 1,30E- 2,63E- B 0,98 168 4380 Sintef
sorties TOR 07 07 07 08 07 [14.8.8]
Vanne 5,29E- 2,12E- 0,00E+0 2,12E- 3,17E- A 0,60 730 4380 Oreda
HIPPS 12" 06 06 0 06 06 2002
[14.8.6]
146
PROCESS SAFEBOOK 1
Probabilité de défaillance de la fonction SIF
14.8.1. Approche
14.8.4. Hydrocarbon Leak and Ignition Database Report No. 11.4/180 mai 1992
14.8.5. Norme IEEE 500-1984. Guide to the Collection and Presentation of Electrical,
Electronic, Sensing Component, and Mechanical Equipment Reliability Data.
14.8.6. OREDA, The Offshore Reliability Data Handbook 4e édition 2002 ISBN 82-14-02705-5
14.8.7. Parloc 2001 : 5e édition, The Institute of Petroleum, publié par The Energy Institute
ISBN 0 85293 404 1.
14.8.8. Reliability Data for Control and Safety Systems, édition 2006, PDS Data Handbook,
SINTEF, ISBN 82-14-03898-7.
147
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
3
de sécurité pour le SIS élaboration
d’autres moyens
Conception et ingénierie de réduction
4 du risque
du SIS
Vérification
Installation, mise en service
5
et validation
6 Fonctionnement et maintenance
7 Modification
Les objectifs de cette phase, telles que définies dans la norme CEI 61511-1, clauses 14 et
15, consistent à :
Les exigences d’installation doivent être définies dans le plan d’installation et de mise en
service ou être intégrées dans le plan de projet global. Les procédures d’installation doivent
148
PROCESS SAFEBOOK 1
Installation, mise en service et validation
définir les activités à exécuter, les techniques et mesures à utiliser, les personnes, départe-
ments ou organisations responsables, ainsi que l’échéancier des activités d’installation.
Le SIS doit être mis en service conformément à la planification et aux procédures. Des
enregistrements doivent être produits afin d’indiquer les résultats des tests et le respect
ou non des critères de recette pendant la phase de conception. Les défaillances doivent
faire l’objet d’investigations et être consignées. Lorsqu’il est établi que l’installation réelle
n’est pas conforme aux informations de conception, la différence doit faire l’objet
d’investigations et l’impact sur la sécurité doit être déterminé.
Par ailleurs, la validation du logiciel d’application doit inclure les aspects suivants :
La validation doit s’assurer que le SIS est performant dans tous les modes de
fonctionnement et qu’il n’est pas affecté par l’interaction du système BPCS ainsi que
d’autres systèmes connectés. La validation des performances doit vérifier que tous
les canaux redondants, que les fonctions de contournement, que les forçages de
démarrages et que les systèmes d’arrêt manuel sont opérationnels.
L’état défini ou sécurisé doit être obtenu en cas de coupure de l’alimentation en énergie, par
ex. énergie électrique ou hydraulique, ou encore pneumatique. Les fonctions d’alarme de
diagnostic définies dans la spécification SRS doivent fonctionner et être performantes
comme spécifié pour les variables de procédé non valides, par ex., entrées hors plage. Après
la validation, des enregistrements appropriés doivent être produits et identifier l’élément
testé, ainsi que les équipements, documents et résultats de test, y compris toute divergence
et analyse ou demande de changement résultante.
149
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
3
de sécurité pour le SIS élaboration
d’autres moyens
Conception et ingénierie de réduction
4 du risque
du SIS
Vérification
Installation, mise en service
5
et validation
6 Fonctionnement et maintenance
7 Modification
L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, 16.1, consiste à :
• vérifier que le niveau SIL requis de chaque fonction SIF est maintenu pendant le
fonctionnement et la maintenance [16.2] ;
• assurer le fonctionnement et la maintenance du SIS, afin de maintenir la
sécurité fonctionnelle conçue [16.3].
150
PROCESS SAFEBOOK 1
Fonctionnement et maintenance
Ces opérations doivent inclure les exigences pour les aspects suivants :
• tests de validité ;
• contournement d’une fonction SIF aux fins de test ou de réparation ;
• collecte périodique de données : par ex., résultats d’audits et de tests au niveau
du SIS, enregistrements de sollicitations de fonction SIF, défaillances ainsi que
délais d’arrêt pour réparation et tests de validité.
Les procédures de tests de validité doivent être élaborées, afin de tester chaque fonction SIF
pour révéler des défaillances dangereuses autrement non détectées par le diagnostic [16.4].
Des procédures de maintenance sont requises pour le diagnostic de défauts, les réparations,
la revalidation du système à la suite d’une réparation, les actions à effectuer en cas de
divergences entre le comportement escompté et le comportement réel, l’étalonnage et la
maintenance d’équipements de test ou encore le reporting de maintenance.
La formation du personnel O&M doit être planifiée et réalisée en temps utile, afin de
garantir le fonctionnement et la maintenance du SIS conformément à la spécification
SRS. La formation doit porter sur les aspects suivants :
• dangers ;
• points de déclenchement ;
• actions pratiques ;
• fonctionnement de tous les contournements et étude des contraintes sur leur
utilisation ;
• fonctions manuelles, par ex. démarrage, arrêt et étude des contraintes sur leur
utilisation ;
• fonctionnement des alarmes et diagnostics disponibles.
16.4. Tests de validité
Les procédures de tests de validité doivent tester le système SIF complet, de l’équipement
de détection jusqu’à l’équipement d’actionnement final. L’intervalle de tests de validité
doit être celui employé pour la quantification de la probabilité PFD [14].
Des tests de différents éléments de la fonction SIF selon différents intervalles sont
autorisés, à condition que :
• la probabilité PFD calculée demeure acceptable ;
• il existe un certain chevauchement des tests, de sorte qu’aucune partie de la
fonction SIF demeure non testée.
151
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
3
de sécurité pour le SIS élaboration
d’autres moyens
Conception et ingénierie de réduction
4 du risque
du SIS
Vérification
Installation, mise en service
5
et validation
6 Fonctionnement et maintenance
7 Modification
L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, clauses 17.1 et 18.1,
consiste à s’assurer que :
152
PROCESS SAFEBOOK 1
Modification et mise hors service
Toute demande de changement doit décrire la modification requise et les raisons de cette
dernière. Elle peut être soumise par le personnel O&M à la suite d’incidents pendant le
fonctionnement ou la maintenance. Le processus d’approbation usuel pour les demandes
de changement doit faire intervenir plusieurs départements au sein d’une organisation,
ce afin de déterminer l’impact du changement sur la conception, le parc installé et
l’implémentation requise.
Les résultats de l’analyse peuvent exiger un réexamen des premières parties du cycle de
vie et, par exemple, une revue des risques identifiés ainsi que des évaluations de risque.
Les activités de modification ne peuvent débuter qu’une fois ce processus terminé et
l’autorisation de la modification par l’autorité de sécurité.
L’impact des changements sur la sécurité fonctionnelle peut s’accompagner d’effets pour
le personnel O&M, avec la nécessité d’une formation complémentaire.
La mise hors service doit constituer une activité planifiée de la phase 11 du cycle de vie et
peut être traitée comme une modification de fin de vie du projet.
La phase de mise hors service doit débuter par une analyse d’impact, afin de déterminer
l’effet de ladite mise hors service sur la sécurité fonctionnelle. L’analyse doit inclure la
révision de l’identification des dangers et de l’évaluation des risques, avec une attention
particulière aux dangers susceptibles de se concrétiser comme résultante de l’activité de
mise hors service.
153
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
3
de sécurité pour le SIS élaboration
d’autres moyens
Conception et ingénierie de réduction
4 du risque
du SIS
Vérification
Installation, mise en service
5
et validation
6 Fonctionnement et maintenance
7 Modification
L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, clause 5 est
d’identifier les activités de gestion et la documentation nécessaires pour un traitement
adapté des phases de cycle de vie applicables par les personnes compétentes.
154
PROCESS SAFEBOOK 1
Gestion, évaluation et audit
La conformité vis-à-vis des exigences peut être traitée en instaurant des procédures qui
gèrent chaque exigence du périmètre, en mettant en œuvre ces procédures et en veillant
à ce que des informations appropriées soit disponibles afin d’assurer une gestion efficace
de la sécurité fonctionnelle.
La majorité des exigences ont peut être déjà été abordées par un système de gestion de
la qualité (QMS) d’une organisation. Les sections suivantes mettent en exergue certains
domaines nécessitant généralement un traitement.
155
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
156
PROCESS SAFEBOOK 1
Gestion, évaluation et audit
Les procédures suivantes doivent, entre Lorsque l’organisation est chargée des phases de
autres, être implémentées afin d’évaluer fonctionnement et de maintenance, des procédures doivent
les performances du SIS par rapport aux permettre d’identifier les performances de fonctionnement
prescriptions de sécurité : et de maintenance, notamment les aspects suivants :
a) Collecte et analyse des données de • défauts systématiques ;
défaillances de terrain pendant le • défauts récurrents ;
fonctionnement ; • évaluation des taux de sollicitation et des taux de
b) Consignation des sollicitations de la fonction défaillances en fonction des hypothèses émises pendant
SIF afin de garantir que les hypothèses la conception ou l’évaluation de la sécurité fonctionnelle.
émises pendant la détermination du niveau Les exigences relatives aux audits de la sécurité fonctionnelle
SIL demeurent valides. doivent inclure les aspects suivants : fréquence, indépendance,
documentation nécessaire et suivi.
157
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Il convient de définir et d’exécuter des Les audits de sécurité fonctionnelle doivent viser à vérifier
procédures pour la conformité des audits, que les procédures appropriées sont en place au niveau du
avec les exigences suivantes : projet et qu’elles sont implémentées.
a) la fréquence des activités d’audit ; En général, un audit de sécurité fonctionnelle doit être
b) le degré d’indépendance entre les personnes, réalisé très tôt au cours du cycle de vie du projet, afin de
départements, organisations ou autres unités s’assurer que des procédures couvrent toutes les activités
exécutant le travail et ceux chargés des liées à la sécurité. Des audits consécutifs doivent avoir
activités d’audit ; lieu régulièrement tout au long du projet, afin de vérifier que
c) les activités d’enregistrement et de suivi. les procédures sont suivies et que toute recommandation ou
activité de suivi est appliquée.
158
PROCESS SAFEBOOK 1
Gestion, évaluation et audit
Tout le personnel impliqué dans le projet doit être identifié par une définition de ses
compétences et responsabilités. Les compétences du personnel doivent être consignées
dans un registre de compétences et une procédure doit permettre de les examiner, de
mettre à jour périodiquement le registre sur la base de l’expérience acquise et de passer
en revue les besoins de formation. Les exigences relatives aux compétences doivent être
définies pour chaque rôle au sein du projet.
Si certaines activités sont nouvelles pour le périmètre, par ex. HAZOP, une procédure de
conduite d’études HAZOP doit être créée. Si, par exemple, un développement doit inclure
un logiciel d’application lié à la sécurité, une procédure doit être en place afin de garantir
le développement du logiciel conformément à la phase 4 du cycle de vie [11].
159
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Toutefois, lorsque des modifications concernent une fonction de sécurité, il doit y avoir
une certaine forme d’analyse d’impact afin de déterminer si cela peut compromettre la
sécurité et à quel point du cycle de vie il faut revenir en arrière pour commencer le
processus de réévaluation. Une procédure de conduite d’analyse d’impact et de gestion
de la réévaluation peut s’avérer nécessaire.
En fonction des phases du cycle de vie dans le périmètre, il peut être nécessaire de mettre
en œuvre des procédures chargées de traiter, de collecter et de gérer des informations
découlant des : dangers, incidents et modifications. Les procédures peuvent aussi décrire
les aspects suivants :
160
PROCESS SAFEBOOK 1
Références
19. Références
19.1. CEI 61508:2010, Sécurité fonctionnelle des systèmes électriques, électroniques
et électroniques programmables relatifs à la sécurité.
19.3. Reducing Risks, Protecting People, HSE 2001, ISBN 0 7176 2151 0.
19.4. AIChE Centre for Chemical Process Safety, Layer of Protection Analysis (LOPA),
2001
161
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
20. Définitions
2oo3 Circuit logique deux sur trois (circuit logique 2/3). Un circuit logique comportant trois
entrées indépendantes. La sortie du circuit logique est le même état que deux états
d’entrée concordants. Par exemple, un circuit de sécurité comporte trois capteurs et un
signal de deux quelconques des capteurs est nécessaire pour demander un arrêt. Le
système 2oo3 est à tolérance de panne unique (HFT = 1) car, même en cas de défaillance
dangereuse d’un des capteurs, le système peut encore s’arrêter en toute sécurité. D’autres
systèmes de vote incluent les configurations 1oo1, 1oo2, 2oo2, 1oo3 et 2oo4.
ALARP As Low As Reasonably Practicable (aussi faible que raisonnablement envisageable).
Philosophie traitant des risques situés entre des limites extrêmes supérieure et
inférieure. La limite extrême supérieure signale un risque tellement élevé qu’il est rejeté
complètement, tandis que la limite extrême inférieure signale un risque insignifiant ou
rendu tel. La philosophie prend en compte les coûts et bénéfices de la réduction du
risque pour que celui-ci soit « aussi faible que raisonnablement envisageable ».
AMDEC Analyse des modes de défaillances, de leurs effets et de leur criticité – Il s’agit d’une
analyse détaillée des différents modes de défaillance et de la criticité d’un équipement.
Analyse par arbre Méthode de modélisation de propagation des défauts. L’analyse construit un schéma en
d’événements forme d’arbre représentant des chaînes d’événements partant d’un événement
déclencheur et aboutissant à différents résultats possibles. L’arbre s’étend de l’événement
déclencheur en branches d’événements de propagation intermédiaires. Chaque branche
représente une situation avec un résultat différent possible. Après l’inclusion de toutes les
branches appropriées, l’arbre d’événements se termine avec plusieurs résultats possibles.
Architecture La structure de vote de différents éléments dans une fonction instrumentée de sécurité.
Voir Contraintes architecturales, Tolérance aux pannes et 2oo3.
Arrêt en sécurité Caractéristique d’un équipement particulier qui provoque le passage de l’équipement à
(ou de préférence l’état de sécurité en cas de coupure de son alimentation électrique ou pneumatique.
coupure par mise
hors tension)
BPCS Voir Système de contrôle de procédé de base (BPCS).
CEI Commission électrotechnique internationale. Organisation mondiale de normalisation.
La finalité de la CEI est de promouvoir la coopération internationale sur toutes les
questions concernant la normalisation dans les domaines de l’électricité et de
l’électronique. À cette fin et en plus d’autres activités, la CEI publie des normes
internationales. Voir 61508 et 61511. Analyse d’impact, activité consistant à déterminer
l’effet qu’aura une modification d’une fonction ou d’un composant sur d’autres
fonctions ou composants dans le système concerné et dans d’autres systèmes
CEI 61508 La norme CEI couvrant la sécurité fonctionnelle des systèmes électriques, électroniques
et électroniques programmables relatifs à la sécurité. Le principal objectif de la norme
CEI 61508 est d’employer les systèmes instrumentés de sécurité pour réduire le risque à
un niveau tolérable en appliquant les procédures de cycle de vie de la sécurité globale, du
matériel et des logiciels, et en gérant la documentation associée. Publiée en 1998 et 2000,
la norme est depuis utilisée principalement par les fournisseurs d’équipements de
sécurité afin de montrer que leurs équipements sont adaptés à une utilisation dans les
systèmes répondant à des niveaux d’intégrité de sécurité.
CEI 61511 La norme CEI applicable aux systèmes électriques, électroniques et électroniques
programmables relatifs à la sécurité dans l’industrie des procédés. À l’instar de la norme
CEI 61508, elle met l’accent sur un ensemble de processus de cycle de vie de la sécurité,
afin de gérer le risque des procédés. Elle a été publiée à l’origine par la CEI en 2003 et
adoptée par les États-Unis en 2004 sous la forme ISA 84.00.01-2004. À la différence de la
norme CEI 61508, elle cible les utilisateurs de systèmes instrumentés de sécurité dans
l’industrie des procédés.
162
PROCESS SAFEBOOK 1
Définitions
Conséquence L’ampleur des dommages ou la mesure du résultat d’un événement préjudiciable. Une
des deux composantes servant à définir un risque.
Conséquence L’ampleur des dommages ou la mesure du résultat d’un événement préjudiciable. Une
des deux composantes servant à définir un risque.
Couche de protection Voir IPL.
Couverture de Une mesure de la capacité d’un système à détecter les défaillances. Il s’agit d’un ratio
diagnostic entre les taux des défaillances détectées et le taux de toutes les défaillances du système.
Défaillance aléatoire Défaillance se produisant à n’importe quel moment et résultant d’un ou de plusieurs
mécanismes de dégradation. Les défaillances aléatoires peuvent être prédites
efficacement au moyen des statistiques et constituent la base des exigences de calculs
axés sur la probabilité de défaillance sur sollicitation pour les niveaux d’intégrité de
sécurité. Voir Défaillance systématique.
Défaillance Une défaillance d’un composant dans une fonction instrumentée de sécurité qui
dangereuse empêche cette fonction d’obtenir un état de sécurité lorsqu’elle doit le faire. Voir Mode
de défaillance.
Défaillance de cause Une contrainte aléatoire qui provoque la défaillance de deux composants ou plus en
commune (CCF) même temps, pour la même raison. Elle diffère d’une défaillance systématique, en ce
sens où elle est aléatoire et probabiliste, mais n’est pas du type cause et effet fixe et
prévisible. Voir Défaillance systématique.
Défaillance non Défaillance qui ne peut pas placer le système instrumenté de sécurité dans un état
dangereuse dangereux ou d’incapacité de fonctionner. Situation dans laquelle un système ou
composant lié à la sécurité n’assure pas correctement sa fonction de telle manière qu’il
demande l’arrêt du système ou l’activation de la fonction instrumentée de sécurité
lorsqu’aucun danger n’est présent.
163
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Défaillance Une défaillance qui se produit d’une manière déterministe (non aléatoire) et prédictible à
systématique partir d’une certaine cause et qui peut uniquement être éliminée par une modification de
la conception ou du procédé de fabrication, des procédures opérationnelles, de la
documentation ou d’autres facteurs pertinents. Comme ces défaillances ne peuvent pas
être prédites par voie mathématique, le cycle de vie de la sécurité inclut un grand nombre
de procédures afin d’empêcher leur survenance. Les procédures sont plus rigoureuses
pour les systèmes et composants à niveau d’intégrité plus élevé. De telles défaillances ne
peuvent pas être prévenues par une simple redondance.
Diagnostic D Certains analyseurs logiques conçus pour la sécurité sont désignés comme ayant un
diagnostic avec lettre majuscule D. Ce diagnostic diffère du diagnostic normal car
l’unité est capable de reconfigurer son architecture après la détection d’une défaillance
par le diagnostic. L’effet le plus important concerne les systèmes 1oo2D, lesquels
peuvent se reconfigurer en fonctionnement 1oo1 en cas de détection d’une défaillance
non dangereuse. Ainsi, le taux de déclenchements intempestifs pour un tel système est
réduit de manière spectaculaire.
Éprouvé par Base de l’utilisation d’un composant ou système dans le cadre d’un système
l’utilisation instrumenté de sécurité (SIS) noté SIL (Safety Integrity Level) qui n’a pas été conçu
conformément à la norme CEI 61508. Il faut suffisamment d’heures de fonctionnement
du produit, un historique de révision, des systèmes de reporting de défauts et des
données de défaillances de terrain pour déterminer s’il existe une preuve de défauts
de conception systématiques au niveau d’un produit. La norme CEI 61508 fournit les
niveaux d’historique de fonctionnement nécessaires pour chaque niveau SIL.
État de sécurité L’état du procédé après avoir agi afin de supprimer le danger et d’éviter tout dommage
substantiel.
164
PROCESS SAFEBOOK 1
Définitions
HAZOP Étude de dangers et d’opérabilité. Une procédure d’analyse des dangers d’un procédé
mise au point à l’origine par ICI dans les années 1970. La méthode est hautement
structurée et divise le procédé en différents nœuds basés sur le fonctionnement. Elle
examine le comportement des différentes parties de chaque nœud en se basant sur
une matrice de conditions d’écart possibles ou de mots-guides.
HSE (Royaume-Uni) Health and Safety Executive (bureau pour la santé et la sécurité)
Incident Résultat d’un événement déclencheur dont la propagation n’est pas stoppée.
L’incident constitue la description la plus élémentaire d’un accident et fournit la plus
petite quantité d’informations. Le terme incident est employé simplement pour signaler
le fait que le procédé a subi une perte de confinement d’un produit chimique ou d’une
autre source potentielle d’énergie. Ainsi, la capacité à provoquer un dommage a été
concrétisée, mais son résultat préjudiciable n’a pas pris une forme spécifique.
LOPA Layer of Protection Analysis (analyse des couches de protection). Méthode d’analyse de
la vraisemblance (fréquence) d’un événement dommageable basée sur une fréquence
d’événement déclencheur et sur la probabilité de défaillance d’une série de couches de
protection indépendantes capable de prévenir l’issue préjudiciable.
Mode (continu) Lorsque les sollicitations d’activation d’une fonction de sécurité (SIF) sont fréquentes
par rapport à l’intervalle de test de la fonction SIF. Notez que d’autres secteurs
définissent un mode de sollicitation élevée distinct, basé sur la possibilité pour le
diagnostic de réduire le taux d’accidents. Dans chaque cas, le mode continu désigne
la situation où la fréquence d’un accident indésirable est déterminée pour l’essentiel
par la fréquence d’une défaillance de SIF dangereuse. Lors de la défaillance de la
fonction SIF, la sollicitation visant à son intervention se déroule dans un laps de temps
nettement plus court que le test de fonction, de sorte qu’il n’est pas pertinent de parler
de sa probabilité de défaillance. Pour l’essentiel, tous les défauts dangereux d’une
fonction SIF en mode continu seront révélés par une sollicitation de procédé au lieu
d’un test de fonction. Voir Mode à sollicitation faible, Mode à sollicitation élevée et SIL.
Mode à sollicitation (aussi mode continu selon la norme CEI 61511) Similaire au mode continu, hormis le
élevée fait que le diagnostic automatique est pris en compte de manière spécifique. Le mode à
sollicitation élevée se démarque du mode continu lorsque le diagnostic automatique se
déroule nettement plus rapidement que le taux de sollicitations au niveau de la
fonction de sécurité. Si le diagnostic est plus lent que ce taux, le diagnostic n’est pas pris
en compte et le mode continu s’applique.
165
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Mode à sollicitation (aussi mode de sollicitations selon la norme CEI 61511) Lorsque les sollicitations
faible d’activation de la fonction instrumentée de sécurité (SIF) ne sont pas fréquentes par
rapport à l’intervalle de tests de la fonction SIF. L’industrie des procédés définit ce mode
lorsque les sollicitations d’activation de la fonction SIF sont inférieures à une fréquence
d’un intervalle de tests de validité sur deux. Le mode de fonctionnement à sollicitation
faible est le plus courant dans l’industrie des procédés. Lors de la définition du niveau
d’intégrité de sécurité pour le mode à sollicitation faible, les performances d’une
fonction SIF sont mesurées en termes de probabilité moyenne de défaillance sur
sollicitation (PFDavg). Dans ce mode de sollicitation, la fréquence de l’événement
déclencheur, modifiée par la probabilité de défaillance sur sollicitation de la fonction
SIF multipliée par le taux de sollicitations, et toute autre couche de protection en aval
déterminent la fréquence des accidents indésirables.
Modes de défaillance La manière dont se produit la défaillance d’un équipement. Les modes de défaillance
sont généralement au nombre de quatre : Non dangereux détecté (SD), Dangereux
détecté (DD), Non dangereux non détecté (SU) et Dangereux non détecté (DU) selon la
norme ISA TR84.0.02.
MTTR Mean Time to Repair (temps moyen de réparation) – Le temps moyen entre la
survenance d’une défaillance et la fin de sa réparation. Cela inclut le temps nécessaire
pour détecter la défaillance, commencer la réparation et la mener à bien.
Occupation Mesure de la probabilité selon laquelle la zone d’effet d’un accident contiendra une ou
plusieurs victimes de l’effet. Cette probabilité doit être déterminée au moyen de la
philosophie et des pratiques d’affectation du personnel propres à l’usine.
P&ID Piping and Instrumentation Drawing (diagramme de tuyauterie et d’instrumentation).
Affiche l’interconnexion des équipements de procédé et des instruments servant à
commander le procédé. Dans l’industrie des procédés, un jeu standard de symboles
est employé pour préparer les diagrammes et schémas des procédés. Les symboles
d’instruments employés sur ces diagrammes et schémas sont généralement basés sur
la norme de l’ISA (Instrument Society of America) S5. 1. 2. Le schéma principal employé
pour l’aménagement d’une installation de commande de procédé.
PFDavg Probabilité moyenne de défaillance sur sollicitation – Il s’agit de la probabilité selon
laquelle un système subira une défaillance dangereuse et ne sera pas en mesure
d’assurer sa fonction de sécurité au moment voulu. La probabilité PFD peut être
déterminée sous forme de probabilité moyenne ou de probabilité maximum sur une
certaine période. Les normes CEI 61508/61511 et ISA 84.01 utilisent PFDavg en tant
que mesure système servant à définir le niveau SIL.
Proportion de Voir SFF.
défaillances non
dangereuses
SFF Safe Failure Fraction (proportion de défaillances non dangereuses) – Proportion d’un
taux de défaillances global d’un équipement qui aboutit à un défaut non dangereux ou
à un défaut dangereux (détecté) diagnostiqué. La proportion de défaillances non
dangereuses inclut les défaillantes dangereuses détectables lorsque celles-ci sont
annoncées et que les procédures de réparation ou d’arrêt sont en place.
166
PROCESS SAFEBOOK 1
Définitions
Système de contrôle Système qui répond aux signaux d’entrée du procédé, des équipements associés et/ou
de procédé de base d’un opérateur et génère des signaux de sortie provoquant le fonctionnement souhaité
(BPCS) du procédé et de ses équipements associés. Le BPCS ne peut pas assurer de fonction
instrumentée de sécurité avec un niveau d’intégrité de sécurité (SIL) 1 ou supérieur, à
moins de respecter des exigences éprouvées par l’utilisation. Voir Éprouvé par l’utilisation.
Taux de défaillances Le nombre de défaillances par unité de temps pour un équipement. Est généralement
supposé être une valeur constante. Ce taux peut être subdivisé en plusieurs catégories telles
que non dangereux et dangereux, détecté et non détecté, ou encore indépendant/ normal
et cause commune. Il faut faire attention à ce que le rodage et l’usure soient pris en compte
correctement afin que les hypothèses de taux de défaillances constant soient valides.
Tests de validité Tests des composants du système de sécurité afin de détecter d’éventuelles défaillances
non détectées par le diagnostic en ligne automatique, à savoir défaillances dangereuses,
défaillances de diagnostic, défaillances paramétriques suivies de leur réparation à un état
équivalent à celui du neuf. Les tests de validité constituent une partie vitale du cycle de
vie de la sécurité et sont critiques pour garantir qu’un système est conforme à son niveau
d’intégrité de sécurité requis tout au long du cycle de vie de la sécurité.
Tolérance aux pannes Capacité d’une unité fonctionnelle à continuer d’exécuter une fonction requise en
présence de défauts aléatoires ou d’erreurs. Par exemple, un système à vote 1oo2 peut
tolérer une défaillance de composant aléatoire, tout en continuant d’assurer sa fonction.
La tolérance aux pannes est une des exigences spécifiques pour le niveau d’intégrité de
sécurité (SIL) et est décrite plus en détail dans les tableaux 2 et 3 de la norme CEI 61508,
partie 2, ainsi que dans la clause 11.4 de la norme CEI 61511 (ISA 84.01 2004).
Vérification SIL Processus de calcul de la probabilité moyenne de défaillance sur sollicitation (ou de la
probabilité de défaillances par heure) et des contraintes architecturales pour une
conception de fonction de sécurité, afin de vérifier si elle est conforme au niveau SIL requis.
167
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
168
PROCESS SAFEBOOK 1
Abréviations
Abréviations
λ Taux de défaillances, le rapport du nombre total de défaillances survenant au cours d’une
période donnée
λD taux de défaillances dangereuses
λDD taux de défaillances dangereuses détectées par diagnostic
λDU taux de défaillances dangereuses non détectées par diagnostic
λS taux de défaillances non dangereuses
1oo1 vote 1 sur 1 (simplex)
1oo2 1 sur 2
AI Analogue Input (entrée analogique)
ALARP As Low As Reasonably Practicable (aussi faible que raisonnablement envisageable)
AMDEC Analyse des modes de défaillances, de leurs effets et de leur criticité
ANSI American National Standards Institute
BMS Burner Management System (système de gestion de brûleur)
BPCS Basic Process Control System (système de contrôle de procédé de base)
C&E Cause et Effet
CBA Cost Benefit Analysis (analyse coûts-bénéfices)
CCF Common Cause Failure (défaillance de cause commune)
CEI Commission électrotechnique internationale
COMAH Control Of Major Accident Hazards
Défaillance dangereuse Mode de défaillance susceptible de placer le système lié à la sécurité dans un état
dangereux ou inopérable
Défaillance non
dangereuse Mode de défaillance non susceptible de placer le système lié à la sécurité dans un état
dangereux ou inopérable.
DD Dangereux détecté
DI Digital Input (entrée TOR)
DO Digital Output (sortie TOR)
DU Dangereux non détecté
E/E/PES Système électrique, électronique et électronique programmable
E/S Entrée/Sortie
ESD Emergency Shutdown (arrêt d’urgence)
ESDV Emergency Shutdown Valve (vanne d’arrêt d’urgence)
F&G Feu et Gaz
f/hr Failures per hour (défaillances par heure)
FC Fail Closed (défaillance en position fermée)
FDS Functional Design Specification (spécification fonctionnelle)
FO Fail Open (défaillance en position ouverte)
FPL Fixed Programmable Language
FSC Functional Safety Capability (capacité de sécurité fonctionnelle)
FVL Full Variability Language
HASAW Health and Safety at Work Act (HSW) (loi britannique sur la santé et la sécurité au travail)
HAZAN Hazard Analysis (analyse des dangers)
HAZOP Hazard and Operability Study
HFT Hardware Fault Tolerance (tolérance aux pannes matérielles)
HIPPS High Integrity Pressure Protection System (système de protection contre les pressions à
haute intégrité)
HSE Health and Safety Executive (bureau pour la santé et la sécurité)
IPL Independent Protection Layer (couche de protection indépendante)
ISA International Society of Automation
LOPA Layer of Protection Analysis
LVL Limited Variability Language
MDT Mean Down Time (temps moyen d’indisponibilité)
MooN M sur N (cas général)
MTBF Mean Time Between Failures (temps moyen entre défaillances)
MTR Maximum Tolerable Risk (risque tolérable maximum)
169
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
170
PROCESS SAFEBOOK 1
Abréviations
171
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
172
PROCESS SAFEBOOK 1
PROCESS SAFEBOOK 1 – Sécurité fonctionnelle dans l’industrie des procédés/Principes, normes et mise en œuvre
Également disponible :
Safebook 4 – Systèmes de commande de sécurité pour
machines.
Ce guide pratique aborde les principes de la sécurité, la
législation, la théorie et la pratique relatives aux machines.
Numéro de publication : SAFEBK-RM002B
www.rockwel lautomation.com
Canada : Rockwell Automation, 3043 rue Joseph A. Bombardier, Laval, Québec, H7P 6C5, Tél: +1 (450) 781-5100, Fax: +1 (450) 781-5101, www.rockwellautomation.ca
France : Rockwell Automation SAS – 2, rue René Caudron, Bât. A, F-78960 Voisins-le-Bretonneux, Tél: +33 1 61 08 77 00, Fax : +33 1 30 44 03 09
Suisse : Rockwell Automation AG, Av. des Baumettes 3, 1020 Renens, Tél: 021 631 32 32, Fax: 021 631 32 31, Customer Service Tél: 0848 000 278
Publication : SAFEBK-RM003A-FR-P – Mars 2013 © 2013 Rockwell Automation, Inc. Tous droits réservés.