SRS rm003 - FR P

PROCESS SAFEBOOK 1
PROCESS SAFEBOOK 1 – Sécurité fonctionnelle dans l’industrie des procédés/Principes, normes et mise en œuvre
Également disponible :
Safebook 4 – Systèmes de commande de sécurité pour
machines.
Ce guide pratique aborde les principes de la sécurité, la
législation, la théorie et la pratique relatives aux machines.
Numéro de publication : SAFEBK-RM002B
Pour obtenir un exemplaire de ce guide, contactez votre

représentant Rockwell Automation ou visitez le site
www.rockwellautomation.com
Sécurité fonctionnelle dans

l’industrie des procédés
Principes, normes et mise en œuvre
www.rockwel lautomation.com
Siège des activités « Power, Control and Information Solutions »

Amériques : Rockwell Automation, 1201 South Second Street, Milwaukee, WI 53204-2496 Etats-Unis, Tél: +1 414.382.2000, Fax : +1 414.382.4444
Europe / Moyen-Orient / Afrique : Rockwell Automation NV, Pegasus Park, De Kleetlaan 12a, 1831 Diegem, Belgique, Tél: +32 2 663 0600, Fax : +32 2 663 0640
Asie Pacifique : Rockwell Automation, Level 14, Core F, Cyberport 3, 100 Cyberport Road, Hong Kong, Tél: +852 2887 4788, Fax : +852 2508 1846
Canada : Rockwell Automation, 3043 rue Joseph A. Bombardier, Laval, Québec, H7P 6C5, Tél: +1 (450) 781-5100, Fax: +1 (450) 781-5101, www.rockwellautomation.ca
France : Rockwell Automation SAS – 2, rue René Caudron, Bât. A, F-78960 Voisins-le-Bretonneux, Tél: +33 1 61 08 77 00, Fax : +33 1 30 44 03 09
Suisse : Rockwell Automation AG, Av. des Baumettes 3, 1020 Renens, Tél: 021 631 32 32, Fax: 021 631 32 31, Customer Service Tél: 0848 000 278
Publication : SAFEBK-RM003A-FR-P – Mars 2013 © 2013 Rockwell Automation, Inc. Tous droits réservés.
PROCESS SAFEBOOK 1
Sécurité fonctionnelle dans l’industrie des procédés
Table des matières

Chapitre 1 Introduction à la norme CEI 61511.......................................................... 3
Chapitre 2 Cycle de vie de la sécurité ...................................................................... 11
Chapitre 3 Dangers et leur identification................................................................ 19
Chapitre 4 Risque et réduction du risque................................................................ 30
Chapitre 5 Le principe ALARP................................................................................... 41
Chapitre 6 Détermination des objectifs SIL ............................................................ 47
Chapitre 7 Graphiques de risque ............................................................................. 62
Chapitre 8 Méthode LOPA (Layer of Protection Analysis)...................................... 68
Chapitre 9 Allocation des fonctions de sécurité ................................................... 81
Chapitre 10 Spécification des prescriptions de sécurité pour le SIS ....................... 85
Chapitre 11 Conception et ingénierie du SIS ............................................................ 87
Chapitre 12 Techniques de fiabilité ........................................................................... 89
Chapitre 13 Vérification SIL...................................................................................... 121
Chapitre 14 Probabilité de défaillance de la fonction SIF, CEI 61511-1 ............... 135
Chapitre 15 Installation, mise en service et validation, CEI 61511-1 ................... 148
Chapitre 16 Fonctionnement et maintenance, CEI 61511-1.................................. 150
Chapitre 17 Modification et mise hors service, CEI 61511-1 ................................. 152
Chapitre 18 Sécurité fonctionnelle, évaluation et audit........................................ 154
Chapitre 19 Références ............................................................................................. 161
Chapitre 20 Définitions............................................................................................. 162
Chapitre 21 Abréviations.......................................................................................... 169
1
PROCESS SAFEBOOK 1
Avant-propos
La norme CEI 61508 traite de la gestion de la sécurité des systèmes électriques,
électroniques et électroniques programmables tout au long de leur durée de vie, du
concept jusqu’à la mise hors service. Elle introduit des principes de sécurité dans la gestion
des systèmes et des principes d’ingénierie de la sécurité dans leur développement.
Le principe fondamental de la norme prévoit que des objectifs de sécurité basés sur
une évaluation des risques doivent être définis dans la planification de la sécurité, puis
que la rigueur de la gestion et des procédés mis en œuvre doit être adaptée à leur
réalisation. Autrement dit, cette norme est plus axée sur des objectifs et est moins
prescriptive. D’autre part, la conformité à cette norme n’exonère pas les utilisateurs de
toute responsabilité en cas de problème de sécurité.
La norme vise à servir de base pour la préparation de normes plus spécifiques et aussi
pour une utilisation autonome. Toutefois, la première application est préférée. La
deuxième application nécessitera une adaptation de la norme, une compréhension
poussée de cette dernière par la direction et une planification considérable de son
introduction et de son utilisation.
La norme se révèle ardue à lire et à comprendre pour nombre de personnes. Quoi qu’il en
soit, son influence est déjà particulièrement prépondérante. Elle forme et continuera de
former la base des normes de sécurité modernes et des cadres légaux. Il est donc essentiel
que toutes les personnes assumant des responsabilités à un stade ou un autre de la vie d’un
système lié à la sécurité fassent un effort de compréhension exhaustive de cette norme.
Ce document est une introduction à la sécurité fonctionnelle et un guide concernant

l’application de la norme CEI 61511, laquelle est l’implémentation spécifique à l’industrie
des procédés de la norme CEI 61508. Bien qu’elle repose sur la norme CEI 61511, la norme
américaine ANSI/ISA-84.00.01 est globalement identique, de sorte que le présent guide
s’applique aux deux.
La finalité de ce document est de fournir des informations et directives, afin que le lecteur
acquière une meilleure compréhension des normes et de leurs exigences et prescriptions.
Le document est rédigé dans un langage simple. Il est illustré par des exemples pratiques
basés sur des projets réels, afin d’expliquer les principes et exigences de base, ainsi que les
techniques permettant de respecter ces exigences.
Clause de non-responsabilité
Même si les techniques présentées ici ont été employées avec succès afin de démontrer la
conformité de projets réels, il convient de noter que la conformité, les techniques servant
2
PROCESS SAFEBOOK 1
Introduction à la norme CEI 61511
à démontrer cette dernière et la collecte des preuves à l’appui continuent d’incomber au

titulaire des obligations.
L’utilisation de crochets [ ] signale une référence croisée à une section dans ce document.
1. Introduction à la norme CEI 61511

1.1. Présentation des normes CEI 61508 et CEI 61511
CEI 61508 désigne une norme internationale publiée par la Commission électrotechnique
internationale (CEI). Elle traite principalement des aspects à considérer lors de l’utilisation
de systèmes électriques, électroniques ou électroniques programmables (E/E/PE) pour
assurer des fonctions de sécurité.
CEI 61508 [19.1] est une norme générique qui s’applique à tous les systèmes E/E/PE liés
à la sécurité, indépendamment de leur utilisation ou de leur application. L’intitulé de la
norme est le suivant :
CEI 61508:2010 « Sécurité fonctionnelle des systèmes électriques,

électroniques et électroniques programmables relatifs à la sécurité ».
La norme repose sur le principe principal selon lequel un procédé peut présenter un
risque pour la sécurité ou l’environnement en cas d’anomalie liée au procédé ou à
l’équipement. Par conséquent, la norme concerne les problèmes de procédé et les
défaillances de système, par opposition aux dangers pour la santé et la sécurité tels que
les faux pas et les chutes, et permet une gestion systématique de la sécurité des procédés
basée sur les risques.
La norme part du principe que des fonctions de sécurité doivent être fournies afin de
réduire ces risques. Ensemble, les fonctions de sécurité peuvent constituer un système
instrumenté de sécurité (SIS), et leur conception ainsi que leur fonctionnement doivent
reposer sur une évaluation et une compréhension des risques présents.
Un objectif secondaire de la norme CEI 61508 est de permettre la conception de systèmes

E/E/PE liés à la sécurité, lorsqu’il n’existe aucune norme pour le secteur d’application.
Ces directives secondaires dans l’industrie des procédés sont couvertes par la norme
internationale CEI 61511 [19.2]. L’intitulé de cette norme est le suivant :
CEI 61511:2004 « Sécurité fonctionnelle – Systèmes équipés pour la sécurité

et destinés aux industries de procédés ».
La norme CEI 61511 n’est pas une norme de conception, mais porte plutôt sur la gestion
de la sécurité pendant la durée de vie d’un système, de la conception jusqu’à la mise hors
3
PROCESS SAFEBOOK 1
service. L’aspect fondamental de cette approche est le cycle de vie de la sécurité

globale, lequel décrit les activités en rapport avec la spécification, la mise au point,
le fonctionnement ou la maintenance d’un SIS.
1.2. Qu’est-ce que la sécurité fonctionnelle ?
La norme CEI 61511-1, clause 3.2.25 en fournit la définition suivante.
« La sécurité fonctionnelle est le sous-ensemble de la sécurité globale se rapportant au

processus et au BPCS (Basic Process Control System), qui dépend du fonctionnement
correct du SIS et d’autres couches de protection. »
Pour faire plus simple, la sécurité fonctionnelle est la réduction des risques fournie par les
fonctions mises en œuvre afin de garantir l’exploitation sécurisée du procédé.
1.3. CEI (Commission électrotechnique internationale)
La Commission électrotechnique internationale a été créée en 1906, avec comme premier

président le scientifique anglais Lord Kelvin. Elle est établie à Genève, en Suisse. La CEI
prépare et publie des normes internationales pour tout ce qui a trait à l’électrotechnologie,
à savoir l’électricité, l’électronique et les technologies connexes.
La CEI soutient la sécurité et les performances environnementales de l’électrotechnologie,

promeut l’efficacité énergétique et les sources d’énergie renouvelables, et gère l’évaluation
de la conformité des équipements, systèmes ou composants par rapport à ses normes
internationales.
La norme et toutes les autres publications de la CEI sont protégées et sont soumises à
certaines conditions dans le cadre des droits d’auteur, mais peuvent être achetées ou
téléchargées à partir du site Internet de la CEI [http://www.iec.ch].
1.4. La structure de la norme
La norme se décompose en trois parties, comme illustré sur la figure 1.
4
PROCESS SAFEBOOK 1
Exigences techniques
Partie 1
CEI 61511-1, 8 : Développement des exigences globales de sécurité
(concept, définition du domaine d’application, analyse de danger et de risque)
Partie 1
CEI 61511-1, 9, 10 : Allocation des exigences de sécurité aux fonctions instrumentées
de sécurité et développement de la spécification des exigences de sécurité
Partie 1
CEI 61511-1, 11, 12 :
Phase de conception pour les Phase de conception pour les logiciels
systèmes instrumentés de sécurité des systèmes instrumentés de sécurité
Partie 1
CEI 61511-1, 13, 14, 15 : Essais de recette en usine, installation et mise en
service, et validation de la sécurité des systèmes instrumentés de sécurité
Partie 1
CEI 61511-1, 16, 17, 18 : Exploitation et maintenance, modification et remise
à niveau, mise hors service ou au rebut des systèmes instrumentés de sécurité
Parties annexes
Partie 1
CEI 61511-1, 2 : Références
CEI 61511-1, 3 : Définitions et abréviations
CEI 61511-1, 4 : Conformité
CEI 61511-1, 5 : Gestion de la sécurité fonctionnelle
CEI 61511-1, 6 : Exigences du cycle de vie de sécurité
CEI 61511-1, 7 : Vérification
CEI 61511-1, 19 : Exigences d’informations
CEI 61511-1, Annexe A : Différences
Partie 2
CEI 61511-2 : Lignes directives pour l’application de la partie 1
Partie 3
CEI 61511-3 : Conseils pour la détermination des
niveaux exigés d’intégrité de sécurité
Figure 1 : structure de la norme
5
PROCESS SAFEBOOK 1
La partie 1 présente les exigences liées à la conformité. Elle définit la planification de

projet, la gestion, la documentation et les exigences en matière de compétences, ainsi
que les exigences techniques de réalisation de la sécurité tout au long du cycle de vie
de la sécurité.
En règle générale, la partie 1 est « normative », car elle définit des exigences spécifiques
pour la conformité et adopte une structure cohérente permettant une démonstration par
clauses de la conformité.
La partie 2 fournit des directives sur l’utilisation de la partie 1.
La partie 3 propose des exemples pratiques d’évaluation des risques menant à

l’affectation des niveaux d’intégrité de sécurité ou SIL, [4].
Les parties 2 et 3 ont un caractère ‘informatif’ et fournissent des directives sur les
exigences normatives.
1.5. Conformité à la norme CEI 61511
1.5.1. Prescriptions de la loi britannique Health and Safety at Work Act etc. de 1974
La loi Health and Safety at Work Act etc. 1974 (HASAW ou HSW) constitue la principale
législation au Royaume-Uni pour la santé et à la sécurité au travail. Le bureau pour la
santé et la sécurité HSE (Health and Safety Executive) est chargé de l’application de la
loi et d’autres lois et textes réglementaires pertinents pour l’environnement de travail.
Remarque : d'autres pays dans le monde entier ont des réglementations ou directives
similaires à la loi britannique sur la santé et la sécurité au travail de 1974. Pour des raisons
de simplicité dans ce document, veuillez considérer lorsque la loi sur la santé et la sécurité
au travail est mentionnée, que cela concerne également des lois et directives apparentées
qui pourraient exister dans votre pays.
Le texte complet de la loi est disponible auprès de l’Office of Public Sector Information
(OPSI) ou en téléchargement gratuit. Les utilisateurs d’informations juridiques doivent faire
preuve de prudence. Les documents imprimés ou en ligne peuvent ne pas être à jour. Par
conséquent, les utilisateurs doivent obtenir un avis juridique indépendant ou consulter la
ligne d’informations du bureau HSE, [http://www.hse.gov.uk/contact/index.htm].
Pour faire simple, selon la loi britannique sur la santé et la sécurité, il incombe à chaque
employeur de veiller, dans la mesure du raisonnable, à la santé, à la sécurité et au bien-
être de tous ses employés sur le lieu de travail. Cela inclut la fourniture et la maintenance
de l’usine et des systèmes de travail qui sont, dans la mesure du raisonnable, sûrs et sans
risque pour la santé.
6
PROCESS SAFEBOOK 1
Par ailleurs, il incombe à chaque employeur de diriger son entreprise de telle sorte que,
dans la mesure du raisonnable, les personnes autres que ses employés susceptibles d’être
affectées ne soient pas ainsi exposées à des risques pour leur santé ou leur sécurité.
1.5.2. Exigences de conformité
La norme CEI 61511 stipule que la revendication de conformité doit démontrer que les
exigences de la norme ont été respectées concernant les critères requis et que, pour toute
clause ou sous-clause, l’ensemble des objectifs ont été atteints.
Dans la pratique, il est généralement difficile de démontrer la pleine et entière conformité

vis-à-vis de toute clause et sous-clause de la norme, et un certain discernement est
nécessaire afin de déterminer le degré de rigueur appliqué pour le respect des exigences.
En général, le degré de rigueur exigé dépend, entre autres, des facteurs suivants :
• la nature des dangers ;

• la gravité des conséquences ;
• la réduction nécessaire du risque ;
• la phase du cycle de vie concernée ;
• la technologie concernée ;
• le caractère novateur du concept.
En d’autres termes, la décision à prendre doit être basée sur le risque. En cas de manque
d’expérience, une intervention extérieure donnera plus de crédibilité à la revendication.
1.5.3. Conséquences de la non-conformité
La norme n’a pas valeur de loi. Par conséquent, que vous respectiez ou non ses prescriptions,
vous devez avoir connaissance des conséquences d’une non-conformité. En tant qu’employeur,
titulaire d’obligations ou propriétaire d’un risque, vous avez l’obligation de gérer le risque sur
votre lieu de travail, en vertu de la loi britannique sur la santé et la sécurité au travail.
La norme propose une approche systématique pour la gestion de toutes les activités du
cycle de vie de la sécurité servant à accomplir des fonctions de sécurité et, à ce titre,
constitue une bonne source d’informations et de techniques. S’il se produit une situation
entraînant des blessures corporelles ou une maladie et si vous n’avez pas exploité
les meilleures informations à votre disposition pour gérer le risque concerné, vous vous
exposerez à une procédure d’enquête et à des poursuites pénales en vertu de la loi
britannique sur la santé et la sécurité au travail.
Les informations que vous collectez et l’analyse que vous fournissez dans le cadre du
respect des prescriptions de la norme CEI 61511 deviennent en effet votre défense devant
un tribunal en cas de survenance d’un incident.
7
PROCESS SAFEBOOK 1
1.5.4. Exigences de conformité pour une nouvelle usine
Si vous êtes concerné par une partie ou une autre du cycle de vie de la sécurité, il est
clairement raisonnable d’attendre de votre part que vous appliquiez les meilleures
informations disponibles afin d’assurer une gestion des risques de votre usine à un niveau
tolérable. Il pourrait être avancé que les meilleures informations disponibles sont la
norme CEI 61511 et, donc, en cas d’incident, que toute inobservation de celle-ci pourrait
être assimilé à une négligence.
1.5.5. Exigences de conformité pour une usine existante
De nombreuses usines ont été conçues et construites antérieurement à la publication

officielle et à la disponibilité générale de la norme CEI 61511. Cette situation ne modifie
en rien vos responsabilités et si vous êtes en charge d’une quelconque partie du
cycle de vie de la sécurité d’une ancienne usine, par ex. du fonctionnement, de la
maintenance etc., vos obligations en vertu de la loi britannique sur la santé et la sécurité
au travail demeurent, et les risques doivent être gérés en conséquence. De ce fait, la
norme s’applique aussi à ces anciennes usines.
La norme ANSI/ISA-84 traite spécifiquement des systèmes existants, en stipulant que

pour un SIS existant, conçu et construit conformément à la législation, aux normes et aux
pratiques applicables avant la publication de la norme, le propriétaire/l’exploitant doit
déterminer que l’équipement est conçu, géré, inspecté, testé et exploité d’une manière
sûre. En effet, vous devez vérifier que vos systèmes existants sont sûrs en utilisant les
meilleures méthodes à votre disposition.
En réalité, vous éprouverez peut-être le besoin de revenir aux premières parties du cycle de
vie de la sécurité pour l’usine existante et de revisiter, voire de conduire une toute nouvelle
étude HAZOP (Hazard and Operability). En menant le processus jusqu’à sa conclusion, vous
identifierez peut-être des risques non couverts par des fonctions de sécurité existantes et il
vous incombera de gérer ces risques d’une manière ou d’une autre.
Selon toute probabilité, il ne sera pas rentable de concevoir de nouvelles fonctions

instrumentées de sécurité (SIF) pour une usine de 20 ans. Néanmoins, si votre établissement
a fonctionné de manière sûre pendant un laps de temps raisonnable, les risques que vous
identifierez et leur probabilité, compte tenu des mesures de protection existantes, peuvent
d’ores et déjà être tolérables.
Au minimum, vous avez l’obligation de documenter le procédé : afin d’être certain que
tous les dangers ont été identifiés, que les risques ont été évalués et que l’efficacité des
fonctions ou mesures de protection actuellement en place a été analysée. Dans ce cas,
vous avez suffisamment de recul et vous pouvez quantifier les fréquences de danger plus
précisément, au moyen de vos propres enregistrements d’historique, que vous pourriez le
8
PROCESS SAFEBOOK 1
faire avec une nouvelle installation. Par conséquent, vous devez démontrer, par le biais de
l’analyse, que les risques identifiés par vos soins sont tolérables.
Dans le pire des cas, si vous vous retrouvez dans une situation où des dangers ne sont pas
couverts ou que des mesures supplémentaires de réduction du risque sont nécessaires,
vous devez le savoir et prendre les mesures qui s’imposent alors.
1.5.6. Raisons de la conformité à la norme CEI 61511
Hormis les obligations juridiques implicites découlant de la loi britannique sur la santé et
la sécurité au travail, d’autres raisons peuvent imposer une conformité à la norme :
• exigences contractuelles ;
• optimisation de l’architecture de conception ;
• atout marketing possible.
Certains pourraient arguer que la fonction première d’une entreprise est sa survie et que
son objectif ne doit pas être la maximisation du profit, mais la prévention des pertes. À
partir de là, vous devez vous demander si vous préférez apprendre des erreurs des autres
ou les commettre vous-même.
1.6. Application de la norme CEI 61511
La sécurité fonctionnelle peut uniquement être appliquée à des fonctions complètes

constituées généralement d’un capteur, d’un ordinateur ou automate programmable
industriel (API) et d’un appareil commandé. Cela n’a aucun sens de l’appliquer à des
produits : des parties d’équipements telles que des capteurs ou ordinateurs.
Par conséquent, lorsqu’un fabricant affirme, par exemple, que son produit est un capteur
de pression SIL2 ou un API SIL3, cela signifie en fait que le capteur de pression est adapté
à une utilisation au sein d’une fonction de sécurité SIL2 ou que l’API convient pour une
fonction de sécurité SIL3.
Le fabricant doit assortir les revendications de réserves et de restrictions concernant

l’utilisation, par exemple les exigences pour la tolérance aux pannes [13.3.1] ou les tests
de validité [12.8], par exemple, afin d’obtenir le niveau SIL revendiqué.
Les revendications du fabricant peuvent même être étayées par un certificat SIL délivré
par une instance indépendante, mais cela ne signifie pas que la fonction de sécurité
standard sera conforme à la norme SIL. Le certificat SIL ne remplace pas la démonstration
de la conformité et le titulaire d’une obligation ne peut pas utiliser les affirmations
concernant les produits pour se décharger de ses responsabilités au regard de la loi
britannique sur la santé et la sécurité au travail.
9
PROCESS SAFEBOOK 1
1.7. Obligation ou non de se conformer à la norme
1.7.1. Nouveau bâtiment
Comme indiqué précédemment, certaines obligations juridiques implicites imposent

une conformité à la norme. Autrement dit, la norme n’est pas la loi, mais la loi impose
au titulaire d’une obligation ou au propriétaire d’un risque de gérer le risque à un niveau
acceptable. La norme propose une approche systématique pour y parvenir et en cas
d’incident aboutissant à des blessures corporelles, l’inutilisation des meilleures
informations disponibles pourrait être interprétée comme une indication de négligence
et pourrait entraîner des poursuites pénales.
1.7.2. Usine existante
Concernant les usines existantes, la loi britannique sur la santé et la sécurité au travail
continue de s’appliquer et, par conséquent, les risques doivent là aussi être identifiés et
gérés comme il se doit, [1.5.5]. La norme CEI 61511 continue de proposer un modèle
applicable à la gestion des risques des usines existantes conçues et exploitées avant sa
publication.
10
PROCESS SAFEBOOK 1
Cycle de vie de la sécurité globale
2. Cycle de vie de la sécurité globale

2.1. Cycle de vie de la sécurité
Le cycle de vie de la sécurité encapsule toutes les activités nécessaires concernant la

spécification, le développement, le fonctionnement ou la maintenance du SIS. En fonction
du périmètre de vos activités, seules certaines phases peuvent vous concerner, par ex., le
fonctionnement et la maintenance, mais vous devez connaître l’approche du cycle de vie
complet.
Le cycle de vie de la sécurité est présenté sur la figure 2.
10 11 1 Évaluation des dangers et 9

des risques
Allocation des fonctions de sécu-

Planification et structure du cycle de vie de la sécurité
2
rité aux couches de protection
évaluation et audit de la sécurité fonctionnelle
Spécification des prescriptions Conception et

Gestion de la sécurité fonctionnelle,
3
de sécurité pour le SIS élaboration
d’autres moyens
Conception et ingénierie de réduction
4 du risque
du SIS
5
Installation, mise en service Vérification
et validation
6 Fonctionnement et maintenance
7 Modification
8 Mise hors service
Figure 2 : CEI 61511 Cycle de vie de la sécurité
2.2. Phases du cycle de vie
La phase 1 définit le périmètre en termes de limites physiques, sociales et politiques,

et elle traite des implications de la sécurité en matière de dangers et de perception du
11
PROCESS SAFEBOOK 1
risque. Cet aspect est fondamental pour appréhender les dangers et risques associés au
procédé.
Une fois la réduction nécessaire du risque déterminée, les moyens d’y parvenir sont
spécifiés pendant la phase 2 d’allocation et la phase 3 des prescriptions de sécurité globale.
Au cours de la phase 4, les prescriptions de sécurité globale deviennent des fonctions de

sécurité. L’optimisation des fonctions, la séparation et d’autres questions de conception,
telles que la philosophie des tests sont examinées à ce stade et la planification de ces
activités est traitée dans le cadre de la phase 11.
Les phases 5 à 10 montrent que la norme n’est pas limitée au développement des
systèmes, mais qu’elle couvre la gestion de la sécurité fonctionnelle tout au long de
la durée de vie d’un système.
Nombre des prescriptions de la norme sont de nature technique, mais l’approche du

cycle de vie accorde une importance égale aux activités de gestion efficaces telles que la
planification, la documentation, le fonctionnement, la maintenance et la modification, et
ces activités doivent être intégrées à toutes les phases. Les activités de documentation, de
gestion et d’évaluation se déroulent parallèlement et s’appliquent à toutes les phases et
activités du cycle de vie illustrées sur la figure 2.
2.3. Prescriptions de conformité
Dans la mesure où la norme n’est pas prescriptive, la conformité n’est jamais simple et
directe. La quantité de travail plus ou moins conséquente accomplie pour revendiquer
votre conformité constitue un choix personnel, mais vous devez éprouver la satisfaction
d’en avoir fait suffisamment. Une approche de conformité par clauses est recommandée
afin d’être certain d’avoir pris en compte tout ce que l’on peut raisonnablement attendre
de votre part. En d’autres termes, vous devez montrer toute la rigueur de votre approche.
La conformité à la norme impose que vous démontriez, preuve à l’appui, qu’une approche
systématique a été adoptée pour gérer les risques et que ladite approche a été appliquée
aux parties appropriées du cycle de vie. L’approche systématique est fournie par la norme
et est basée sur le cycle de vie de la sécurité.
La conformité à la norme nécessite la compréhension du cycle de vie, ainsi que l’exécution

et la documentation des activités spécifiées. Le respect du cycle de vie n’est pas un exercice
administratif se limitant à produire des rapports et documents, et à cocher des cases.
La conformité impose l’exécution efficace des activités et la production d’informations à
chaque phase, afin de permettre l’exécution des phases suivantes.
12
PROCESS SAFEBOOK 1
Un périmètre limité de l’activité s’applique rarement et il est recommandé de prendre

en considération toutes les phases du cycle de vie. Par exemple, pour un opérateur,
la modification de la phase de fonctionnement et de maintenance peut imposer une
réévaluation de décisions et d’évaluations antérieures, telles que l’étude HAZOP et
l’analyse des risques, en revenant en arrière dans le cycle de vie.
2.4. Phases 1 et 2 du cycle de vie de la sécurité
Chaque phase du cycle de vie décrit une activité et chaque activité est assortie de besoins
d’informations en entrée. Chaque phase est constituée d’une activité, pour laquelle vous
devez avoir des procédures documentées produisant en sortie des informations
utilisables au cours des phases suivantes.
La figure 3 présente les activités et besoins d’informations pour la phase 1 (Évaluation des
dangers et des risques) et la phase 2 (Allocation des prescriptions de sécurité). La figure
montre les informations requises en entrée (Entrée) de l’activité, ainsi que les informations
produites par l’activité en vue de leur utilisation au cours de la phase suivante.
Vous remarquerez que même si la norme décrit les phases du cycle de vie et les besoins
d’informations de chaque phase, dans la pratique, certaines des phases et leurs
documents associés peuvent, le cas échéant, être combinés. La clarté et la simplicité sont
importantes, et il convient de réaliser les activités et de présenter les informations de la
manière la plus efficace possible.
La sortie de la phase 3 sera généralement une étude HAZOP et une analyse des risques,
lesquelles viseront à identifier les prescriptions de fonction de sécurité et les objectifs de
réduction du risque.
La phase 4 traite de l’allocation des fonctions de sécurité sur la base des prescriptions de
sécurité identifiées au cours de la phase précédente. L’allocation des prescriptions de
sécurité est le processus qui consiste à traiter chacune des prescriptions de sécurité et à
allouer les fonctions instrumentées de sécurité. Ce processus itératif doit prendre en
compte le procédé et d’autres mesures de réduction du risque éventuellement disponibles
pour respecter les exigences d’intégrité de la sécurité globale.
Il est important, au début de l’allocation des fonctions de sécurité, de planifier aussi

les prochaines phases, notamment l’installation, la mise en service et la validation, le
fonctionnement et la maintenance (cf. aussi la figure 5).
13
PROCESS SAFEBOOK 1
Toutes les informations pertinentes nécessaires pour

respecter les exigences de la sous-clause.
Familiarité avec le procédé, les fonctions de commande,
l’environnement physique ; dangers et sources de danger ;
informations sur les dangers, par ex. toxicité, durées et
sources de danger ; informations sur les dangers, par ex.,
toxicité, durées, exposition ; réglementations actuelles ;
dangers résultant d’interactions avec d’autres systèmes.
Informations concernant le procédé, son

environnement et les dangers.
Définissent les limites du procédé, le système BPCS, d’autres
systèmes, les opérateurs ; équipement physique ; spécifient
l’environnement, les événements extérieurs à prendre en
compte ; d’autres systèmes ; les types d’événements
déclencheurs : erreurs de procédures, erreur humaine,
mécanismes de défaillance.
Définir le périmètre de l’analyse de danger.
Entrée 1. Analyse
des dangers et
Sortie des risques
Description de et informations relatives à l’analyse

des dangers et des risques. Analyse des dangers et
des risques :
Dangers ; fréquences d’événement déclencheur ; autres 11. Planifica-
mesures de réduction des risques ; conséquences ; risque ;
prise en compte du risque tolérable maximum ; disponibilité
tion
des données ; hypothèses documentées.
Spécification des prescriptions de sécurité globale en termes
d’exigences de fonctions de sécurité et d’exigences d’intégrité
de sécurité. Remarque : Fonctions de sécurité non spécifiques à
la technologie. Le niveau SIL cible doit spécifier la fiabilité cible.
Entrée 2. Allocation des

prescriptions
Sortie de sécurité.
Spécification des fonctions de sécurité.

Informations sur l’allocation des fonctions de sécurité
globale, leurs mesures de défaillance cible et les niveaux
d’intégrité de sécurité associés. Hypothèses émises
concernant d’autres mesures de réduction du risque qui
doivent être gérées tout au long de la vie du procédé.
Figure 3 : phases 1 et 2 du cycle de vie de la sécurité
14
PROCESS SAFEBOOK 1
Spécification des fonctions de sécurité.

Informations sur l’allocation des fonctions de sécurité
globale, leurs mesures de défaillance cible et les niveaux
d’intégrité de sécurité associés. Hypothèses émises
concernant d’autres mesures de réduction du risque qui
doivent être gérées tout au long de la vie du procédé.
Entrée 3. Spécification
des prescriptions
Sortie de sécurité
Spécification des prescriptions de sécurité pour le SIS.

Peut inclure les C&E.
Doit inclure :
a) spécification de l’état de sécurité ;
b) exigence pour les tests de validité ;
c) temps de réponse ;
d) interfaces opérateur nécessaires ;
e) interfaces avec d’autres systèmes ;
f ) modes de fonctionnement ;
g) comportement lors de la détection d’un défaut ;
h) exigences d’arrêt manuel ;
i) exigences pour les logiciels d’application ;
j) SIL et mesure de fiabilité cible ;
k) cycle de service et durée de vie ;
l) conditions environnementales susceptibles d’être
rencontrées ;
m) limites CEM ;
n) contraintes dues aux CCF.
Cf. la norme CEI 61511-1, clause 10.3 pour des exigences
complètes.
Entrée 4. Conception
et ingénierie du
Sortie SIS
Réalisation de chaque fonction SIF selon la spécification des

prescriptions de sécurité pour le SIS
Conception et
Réalisation de chaque mesure de réduction du risque développement
selon les prescriptions de sécurité pour cette mesure d’autres mesures
15
PROCESS SAFEBOOK 1
La phase 3 aborde la spécification des prescriptions de sécurité (SRS), laquelle permet le

lancement de la phase 4 de conception et d’ingénierie (cf. la figure 4).
Votre organisation dispose peut-être d’une liste de contrôle qui doit être incluse dans
une spécification de conception. Ce faisant, chaque projet produira une spécification
complète et exhaustive, et contribuera à réduire au minimum les défaillances de la
fonction de sécurité imputables à des erreurs de spécification.
La phase 4 peut être traitée de manière adaptée dans une spécification fonctionnelle
(FDS) ou un document similaire, qui définit l’implantation, le procédé, ainsi que les aspects
environnementaux et opérationnels, puis établit le périmètre des phases suivantes.
Les phases 5 et 6 identifient les exigences concernant l’installation, la mise en service, le

fonctionnement et la maintenance des SIS (cf. la figure 5).
Les entrées, sorties et activités associées à la phase 7 de modification sont, pour

l’essentiel, identiques à celles de la phase 8 de mise hors service. En effet, la mise hors
service est une modification qui intervient à la fin du cycle de vie, est déclenchée avec
les mêmes contrôles et est gérée avec les mêmes mesures de protection (cf. la figure 6).
16
PROCESS SAFEBOOK 1
Un plan pour l’installation et la mise en service

du SIS.
Fournit une planification pour les activités d’installation et de mise en
service ; les procédures, techniques et mesures à employer ; le planning
ainsi que le personnel et les départements responsables.
Un plan pour la validation de la sécurité globale

du SIS.
Fournit une planification pour la validation de la sécurité du SIS par
rapport à la spécification SRS et à d’autres informations de référence, à
savoir les graphiques de causes et effets. La validation inclura tous les
modes de fonctionnement pertinents (démarrage, arrêt, maintenance,
conditions anormales, etc.), procédures, techniques et mesures à
employer, planning, personnel et départements responsables. Sera
aussi incluse la planification de validation pour le logiciel d’application
de sécurité.
Réalisation de chaque fonction SIF selon la spécification des
prescriptions de sécurité pour le SIS Entrée 5. Installation,
mise en service
SIS complètement installé et en service :
Sortie et validation
Document d’installation ; référence aux rapports de défaillances ;
résolution des défaillances.
Confirmation que le SIS est conforme à la spécification des

prescriptions de sécurité globale en termes d’exigences SIF
et d’exigences d’intégrité de sécurité, en tenant compte de
l’allocation des prescriptions de sécurité. Les exigences de
documentation incluent ce qui suit : activités de validation
chronologique ; version des prescriptions de sécurité ; fonction
de sécurité validée ; outils et équipements, résultats ; élément
testé, procédure appliquée et environnement de tests ; écarts ;
décisions résultantes adoptées.
Une plan pour le fonctionnement et la maintenance
du SIS.
Fournit la planification pour les activités de fonctionnement périodiques
et anormales ; les tests de validité, les activités de maintenance, les
procédures, techniques et mesures à employer, le planning, le personnel
et les départements responsables, la méthode de vérification par
rapport aux procédures de fonctionnement et de maintenance.
Entrée 6. Fonctionnement,
maintenance
Poursuite de la réalisation de la sécurité fonctionnelle requise pour Sortie et réparation
le SIS. Les éléments suivants doivent être implémentés : Plan O&M ;
procédures de fonctionnement, de maintenance et de réparation ;
implémentation des procédures ; respect des plannings de
maintenance ; gestion de la documentation ; réalisation d’audits
FS réguliers ; modifications des documents ; documentation
chronologique du fonctionnement et de la maintenance du SIS ;
17
PROCESS SAFEBOOK 1
Poursuite de la réalisation de la sécurité fonctionnelle requise

pour le SIS. Les éléments suivants doivent être implémentés :
Plan O&M ;
Procédures de fonctionnement, de maintenance et de réparation ;
Implémentation des procédures ;
Respect des plannings de maintenance ;
Gestion de la documentation ;
Réalisation d’audits FS réguliers ;
Modifications des documents ;
Documentation chronologique du fonctionnement et de la
maintenance du SIS.
Entrée 7. Modification
8. Mise hors service
Sortie
Réalisation de la sécurité fonctionnelle requise pour le SIS,

pendant et après la gestion de la phase de modification. La
modification doit uniquement être déclenchée à la suite d’une
demande autorisée conformément à la procédure de gestion FS.
La demande doit inclure : les dangers susceptibles d’être affectés ;
le changement proposé (matériel et logiciels) ; le motif du
changement. L’analyse d’impact doit être effectuée.
Documentation chronologique du fonctionnement et de la
maintenance du SIS.
18
PROCESS SAFEBOOK 1
Dangers et leur identification
3. Dangers et leur identification

La figure 7 montre la phase applicable du cycle de vie.
Évaluation des dangers et

10 11 1 9
des risques

2
Planification et structure du cycle de vie de sécurité


3
d’autres moyens
4 du risque
du SIS
Vérification
Installation, mise en service
5
et validation
7 Modification
8 Mise hors service
Figure 7 : phase 1 du cycle de vie
L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, clause 8.1, consiste
à déterminer :
• les dangers/événements dangereux du procédé et des équipements associés, la

séquence des événements qui aboutissent au danger et les risques concernés
pour le procédé [3.2 – 3.7] ;
• les prescriptions relatives à la réduction du risque [5 et 6] ;
• les fonctions de sécurité requises pour atteindre la réduction du risque
nécessaire [7 et 8].
19
PROCESS SAFEBOOK 1
3.2. Dangers
La signification du terme danger peut prêter à confusion. Bien souvent, les dictionnaires
ne donnent pas de définitions spécifiques ou ils l’associent au terme « risque », par
exemple sous la forme « un danger ou un risque », d’où l’utilisation indifférenciée des
termes par nombre de personnes.
Dans le contexte de la sécurité fonctionnelle, les dangers sont des événements

susceptibles d’occasionner un préjudice, par exemple des blessures corporelles, ou
des dommages à l’environnement ou à l’entreprise.
Voici quelques exemples de dangers au domicile d’un particulier :
• Bris de glace, car ils peuvent provoquer des blessures par entaille ;
• Bassins et étangs, car il est possible de glisser et de tomber ;
• Trop de fiches sur une multiprise pourraient entraîner une surcharge et
provoquer un incendie.
Voici quelques exemples de dangers au travail :
• Bruit intense, car il peut occasionner une perte de l’audition ;

• Poussière d’amiante inhalée, car elle peut provoquer un cancer.
L’industrie des procédés peut inclure les dangers suivants :
• Niveau de liquide dans un récipient ou un réservoir : un niveau élevé peut

entraîner un débordement de liquide dans le flux gazeux ou un déversement
de produit chimique dangereux ou de liquide inflammable. Un niveau bas
peut aboutir à une pompe fonctionnant à vide ou à une fuite de gaz dans les
récipients en aval.
• Pression de liquide dans un récipient ou un réservoir : une pression élevée peut
entraîner une perte de confinement, des fuites ou une rupture de récipient ou
réservoir.
La première étape d’évaluation du risque consiste à identifier les dangers. Un certain

nombre de techniques permettent d’identifier les dangers, mais la plus courante est
l’étude HAZOP (Hazard and Operability).
3.3. Utilisation des études HAZOP dans l’industrie
À l’origine, les études HAZOP ont été mises au point au Royaume-Uni par ICI, après la
catastrophe de Flixborough en 1974, et elles ont commencé à se généraliser dans
l’industrie des procédés.
20
PROCESS SAFEBOOK 1
Le samedi 1er juin 1974, le site Nypro (Royaume-Uni) de Flixborough a été gravement
endommagé par une explosion importante qui a tué 28 ouvriers et blessé 36 autres. Il a
été admis que le nombre de victimes aurait été nettement plus important si l’incident
s’était produit un jour de semaine, car la tour de bureaux principale était inoccupée. Selon
les rapports, 53 personnes extérieures au site ont été blessées et des propriétés
avoisinantes ont aussi été endommagées.
Les 18 décès dans la salle de contrôle ont été provoqués par les vitres qui ont volé en éclat
et par l’effondrement du toit. Il n’y a eu aucun survivant. Il a fallu plusieurs jours pour
éteindre les incendies et ceux-ci ont entravé les opérations de secours pendant 10 jours.
Les études HAZOP ont d’abord été adoptées par l’industrie chimique puis, via des échanges
généraux d’idées et de personnel, elles ont ensuite été adoptées par l’industrie pétrolière,
laquelle présente un potentiel similaire de catastrophes majeures. Les secteurs de l’alimen-
taire et de l’eau ont suivi, car les dangers potentiels y sont aussi grands, quoique plus axés sur
les problèmes de contamination que les explosions et les rejets de produits chimiques.
3.4. Les raisons en faveur de l’adoption des études HAZOP
Bien que la conception de l’usine se fonde sur les réglementations et normes applicables,
le processus HAZOP a offert la possibilité de les compléter par une anticipation ingénieuse
des écarts susceptibles de se produire en raison, par exemple, de conditions ou problèmes
de procédé, du dysfonctionnement d’un équipement ou d’une erreur humaine.
Par ailleurs, les pressions imposées par les calendriers des projets peuvent aboutir à des
erreurs ou des omissions, et les études HAZOP permettent de les corriger avant que de
tels changements deviennent trop onéreux. Comme elles sont faciles à comprendre
et peuvent être adaptées à n’importe quel procédé ou activité, les études HAZOP sont
devenues la méthode la plus employée pour l’identification des dangers.
3.5. Écart par rapport à l’intention de conception
Tous les procédés, équipements commandés ou usines de production ont une intention de
conception. Il peut s’agir d’atteindre une capacité de production cible en termes de tonnage
annuel d’un produit chimique particulier ou un nombre spécifié d’objets manufacturés.
Toutefois, une intention de conception secondaire importante peut consister à exploiter

le procédé d’une manière sûre et efficace, ce qui impose un fonctionnement performant
de chaque équipement. C’est cet aspect qui peut être pris en compte pour l’intention de
conception de l’équipement concerné.
Par exemple, dans le cadre des exigences de production de notre usine, nous avons peut-
être besoin d’une installation d’eau de refroidissement contenant un circuit d’eau de
refroidissement avec une pompe de circulation et un échangeur de chaleur, comme
illustré sur la figure 8.
21
PROCESS SAFEBOOK 1
Ventilateur de
refroidissement
Échangeur de chaleur
Alimentation en
liquide de
refroidissement
Réservoir
Pompe
Figure 8 : intention de conception
L’intention de conception de cette petite section de l’usine pourra être une circulation
permanente de l’eau de refroidissement à une température de x ºC et à un débit de
xxx litres par heure. L’étude HAZOP s’adresse généralement à ce niveau détaillé
d’intention de conception. L’utilisation du terme écart devient désormais plus facile à
comprendre. Un écart ou une divergence par rapport à l’intention de conception
dans notre exemple d’installation d’eau de refroidissement pourra être une réduction du
débit de circulation ou une augmentation de la température de l’eau.
Notez la différence entre un écart et sa cause. Dans le cas ci-dessus, une défaillance de la
pompe constituera une cause, pas un écart.
Dans cet exemple, une augmentation de la température de l’eau constituerait le danger,

car elle serait potentiellement préjudiciable en provoquant des blessures corporelles ou
des dommages à l’environnement ou à l’entreprise.
3.6. Technique HAZOP
Les études HAZOP servent à identifier des dangers potentiels et des problèmes
d’exploitabilité provoqués par des écarts vis-à-vis de l’intention de conception des usines
de procédés nouvelles ou existantes, et elles sont généralement réalisées régulièrement
pendant toute la durée de vie de l’usine. Une étude HAZOP initiale ou préliminaire doit
assurément être réalisée très tôt au cours de la phase de conception. Le procédé doit être
examiné pendant l’avancement du développement, à chaque proposition de modifications
majeures et, enfin, à la fin du développement, afin de garantir l’absence de risque résiduel
avant l’étape de construction.
22
PROCESS SAFEBOOK 1
Une étude HAZOP est réalisée au cours de réunions organisées entre les parties
concernées ayant une connaissance et une expérience suffisantes du fonctionnement
et de la maintenance de l’usine. La réunion est une session structurée de réflexion, au
cours de laquelle des mots-guides servent à stimuler la production d’idées sur les dangers
potentiels. Le procès-verbal de la réunion consigne les discussions et collecte les
informations sur les dangers potentiels, leurs causes et leurs conséquences.
3.6.1. Équipe d’étude HAZOP
Il est important qu’une équipe HAZOP soit constituée de personnes qui apportent à
l’étude le meilleur équilibre possible entre les connaissances et l’expérience sur le type
d’usine envisagé. Une équipe HAZOP type sera constituée comme suit :
Nom Rôle
Président Explique le processus HAZOP, dirige les discussions et facilite l’étude

HAZOP. Personne ayant une bonne expérience de la méthode HAZOP,
mais pas directement impliquée dans la conception, afin de garantir le
respect scrupuleux de la méthode.
Secrétaire Consigne les discussions de la réunion HAZOP et fournit un compte-
rendu de celles-ci. Consigne les recommandations ou actions.
Ingénieur de procédé Généralement l’ingénieur responsable de l’organigramme des
opérations de procédé et de l’élaboration des diagrammes de tuyauterie
et d’instrumentation (P&ID).
Utilisateur/opérateur Fournit des conseils sur l’utilisation et l’opérabilité du procédé, ainsi que
sur l’incidence d’écarts.
Spécialiste C&I Personne ayant les connaissances techniques adaptées en commandes
et instrumentation.
Technicien de Personne chargée de la maintenance du procédé.
maintenance
Représentant de Fournit des détails relatifs à la conception ou des informations
l’équipe de conception supplémentaires.
3.6.2. Informations utilisées dans l’étude HAZOP
Les éléments suivants doivent être consultables par l’équipe HAZOP :
• Diagrammes de tuyauterie et d’instrumentation (P&ID) pour l’installation ;

• Documentation de philosophie ou de description de procédé ;
• Procédures de fonctionnement et de maintenance existantes ;
• Diagrammes de causes et effets (C&E) ;
• Plans d’aménagement d’usine.
23
PROCESS SAFEBOOK 1
3.6.3. La procédure HAZOP
La procédure HAZOP consiste à prendre une description complète du procédé et à

remettre systématiquement en question chacune de ses parties, afin de déterminer
en quoi des écarts vis-à-vis de l’intention de conception peuvent avoir une incidence
négative sur l’exploitation sûre et efficace de l’usine.
La procédure est appliquée de manière structurée par l’équipe HAZOP et repose sur
l’utilisation de l’imagination de ses membres en vue d’identifier des dangers crédibles.
Dans la pratique, de nombreux dangers auront un caractère évident, notamment une

augmentation de température, mais la force de cette technique réside dans sa capacité
à identifier des dangers nettement moins manifestes, aussi improbables qu’ils puissent
paraître de prime abord.
3.6.4. Mots-guides
Le processus HAZOP utilise des mots-guides afin de focaliser l’attention de l’équipe sur
les écarts vis-à-vis de l’intention de conception, ainsi que sur leurs éventuelles causes et
conséquences. Ces mots-guides sont répartis en sous-ensembles :
• Mots-guides principaux, qui focalisent l’attention sur un aspect particulier

de l’intention de conception ou une condition ou un paramètre de procédé
associé, à savoir le débit, la température, la pression, le niveau, etc. ;
• Mots-guides secondaires qui, s’ils sont combinés à un mot-guide principal,
suggèrent des écarts possibles, par ex. plus de température, moins de niveau,
pas de pression, écoulement inverse, etc.
Toute la technique dépend de l’utilisation efficace de ces mots-guides, de sorte que leur
signification et leur utilisation doivent être parfaitement comprises par l’équipe.
Il convient de noter que le recours à des mots-guides sert simplement à stimuler

l’imagination sur les événements pouvant se produire. Les mots-guides ne sont pas tous
porteurs de sens et les dangers ne sont pas tous crédibles. Dans ces cas, il est recommandé
à l’équipe d’identifier les événements sans signification ou non crédibles, puis de les
consigner comme tels, afin que l’équipe ne perde pas de temps et passe à autre chose.
3.6.5. Modes de fonctionnement
Puisqu’une étude HAZOP met l’accent sur les dangers et l’exploitabilité, il est important
de considérer non seulement le fonctionnement normal du procédé, mais aussi d’autres
modes anormaux, tels que la mise en route, l’arrêt, le remplissage, la vidange, la
dérivation et les tests de validité.
24
PROCESS SAFEBOOK 1
Pour ce faire, il est possible d’envisager chaque mode de fonctionnement spécifié dans le
périmètre comme un exercice distinct et de produire des analyses HAZOP séparées pour
chacun. Pour les systèmes relativement simples, une autre possibilité consiste à inclure
une colonne supplémentaire dans les fiches afin d’identifier le mode. Une analyse HAZOP
unique peut ainsi prendre en considération tous les modes de fonctionnement.
3.6.6. Consignation de l’étude HAZOP
Des outils logiciels sont disponibles pour vous guider tout au long du processus HAZOP.
Autre possibilité, une feuille de calcul toute simple peut être élaborée afin de consigner
les discussions et les conclusions. Les feuilles de calcul facilitent les opérations de tri et de
classement. Elles fournissent aussi une visibilité et une traçabilité entre les entrées, d’où
une gestion possible des références croisées avec d’autres analyses.
Il est recommandé de consigner tous les événements et toutes les combinaisons de mots-
guides envisagés. Le cas échéant, il est possible de consigner les éléments suivants : Pas
de cause crédible, Pas de conséquence ou Pas de danger. L’ensemble est classé comme
un enregistrement complet, qui aboutit à un rapport HAZOP démontrant qu’une étude
exhaustive et rigoureuse a été effectuée. Son utilité sera incalculable pour évaluer la
sécurité et l’exploitabilité de modifications ultérieures de l’usine.
Outre ce qui précède, les mots secondaires « Tout » et « Reste » sont souvent employés.
Par exemple, certaines combinaisons de mots-guides principaux peuvent être identifiées
comme ayant des causes crédibles, par ex., Débit/Aucun, Débit/Inverse. Pour d’autres
combinaisons (Débit/Moins, Débit/Plus, Débit/Autre), où aucune cause crédible ne peut
être identifiée, la combinaison « Débit/Reste » peut être employée.
3.6.7. Identification des dangers – En-tête de fiche HAZOP
Le tableau suivant présente un exemple de fiche HAZOP pour la chambre de décompression.

Notez qu’il s’agit purement d’une représentation, qui n’illustre en aucun cas un système réel.
Référence
Il est toujours utile d’inclure une colonne de référence, afin que chaque entrée puisse être
référencée à partir d’autres analyses et fournisse aussi une traçabilité vers des analyses
consécutives, par ex., LOPA [8].
Mots-guides
Des mots-guides principaux et secondaires doivent être employés. Internet peut fournir
différentes listes de mots-guides qui s’appliquent à différents secteurs d’activité et
industries.
25
PROCESS SAFEBOOK 1
Écart
L’écart désigne une divergence par rapport à l’intention de conception définie par les
mots-guides principaux et secondaires, et il représente le danger identifié.
Cause
Causes potentielles pouvant aboutir à la survenance de l’écart. Il est important d’inclure

des informations spécifiques sur la cause. Par exemple, si nous devions nous préoccuper
d’une augmentation de la concentration en oxygène liée à une défaillance de sonde O2,
le capteur pourrait subir différentes défaillances, mais seule la lecture d’une faible
concentration d’O2 erronée pourrait aboutir à la condition de danger.
Conséquence
Les conséquences qui découleraient de l’effet de l’écart et, le cas échéant, de la cause
proprement dite. Il convient d’être toujours explicite dans la consignation des conséquences.
Ne partez pas du principe qu’à une date ultérieure le lecteur comprendra la nature du danger
ou ses conséquences.
Lors de la documentation des conséquences, il est important d’avoir à l’esprit que l’étude
HAZOP peut servir à déterminer un risque. Par conséquent, une description complète des
évolutions possibles du danger et des conséquences associées est essentielle. Par
exemple, les conséquences peuvent être décrites comme suit :
« Surpression potentielle pouvant conduire à une rupture de la tuyauterie de décharge de gaz

et à une perte de confinement. Les rejets importants de gaz s’enflamment au contact de
l’échappement des machines chaudes, d’où une explosion ou une inflammation instantanée
pouvant entraîner la mort d’au moins deux techniciens de maintenance. Dommages au
compresseur pouvant atteindre 2 millions € et perte de production pendant au maximum 1 an »
Lors de l’évaluation des conséquences, il est important de ne pas inclure les

systèmes de protection ou instruments déjà inclus dans la conception.
Mesures de protection
Tout équipement de protection existant qui évite la cause ou protège des conséquences
sera consigné dans cette colonne. Les mesures de protection ne doivent pas être limitées
au matériel et, le cas échéant, il est possible de prendre en considération des aspects de
procédure tels les inspections régulières de l’usine (si vous êtes certain qu’elles sont
effectuées ET qu’elles peuvent avoir un rôle de prévention ou de protection).
26
PROCESS SAFEBOOK 1
3.7. Exemple d’étude HAZOP
3.7.1. Séparateur
L’exemple suivant présente un schéma simplifié d’un récipient séparateur de procédé. Le

liquide de procédé arrive dans le récipient et est chauffé par un brûleur à gaz. La vapeur
est séparée du liquide de procédé et dirigée vers une sortie. Le reste du liquide concentré
est évacué par le fond du récipient une fois la réaction terminée (cf. la figure 9).
Le récipient est équipé d’un système numérique de contrôle-commande (SNCC), lequel

contrôle le niveau de liquide dans le récipient, la pression du gaz et la température.
PT102
P
Arrivée de
liquide
XV102 Sortie de
gaz
FCV102
LH
LH101
TT100
T LL
LL101 Sortie de
liquide
XV101
FCV100 XV100
Brûleur
Arrivée de
gaz combustible
FCV100
Figure 9 : séparateur
Un exemple d’étude HAZOP pour ce séparateur est illustré sur le schéma suivant.
27
Réf. Mot-guide principal Mot-guide secondaire Écart Source de danger Conséquence
01.01 Écoulement Plus Débit élevé de liquide de procédé Le débit élevé en entrée de récipient pourrait Dommages aux équipements en aval nécessitant le remplacement du
en entrée de récipient. aboutir à un niveau élevé, transfert de liquide dans récipient estimés à 10 millions € et arrêt de procédé pendant 6 mois.
la sortie de gaz.
01.02 Débit élevé de liquide de procédé Le débit élevé en sortie de récipient pourrait aboutir à un Dommages aux équipements en aval nécessitant le nettoyage du récipient
en sortie de récipient. niveau bas, fuite de gaz dans la sortie de liquide. estimés à 2 millions € et arrêt de procédé pendant 6 semaines.
01.03 Débit élevé de gaz en sortie du Pas de danger crédible Aucun.

récipient.
01.04 Moins Débit faible de liquide de procédé Le débit faible en entrée de récipient pourrait aboutir à un Dommages aux équipements en aval nécessitant le nettoyage du récipient
en entrée de récipient. niveau bas, fuite de gaz dans la sortie de liquide. estimés à 2 millions € et arrêt de procédé pendant 6 semaines.
01.05 Débit faible de liquide de procédé Le débit faible en sortie de récipient pourrait Dommages aux équipements en aval nécessitant le remplacement du
en sortie de récipient. aboutir à un niveau élevé, transfert de liquide dans récipient estimés à 10 millions € et arrêt de procédé pendant 6 mois.
la sortie de gaz.
PROCESS SAFEBOOK 1
01.06 Débit faible de gaz en sortie du Pas de danger crédible Aucun.

récipient.
01.07 Inverse Pas crédible. Pas de danger crédible Aucun.
3.7.2. Étude HAZOP de séparateur
01.08 Aussi Pas crédible. Pas de danger crédible Aucun.

01.09 Autre Pas crédible. Pas de danger crédible Aucun.
01.10 Pression Plus Pression élevée dans le récipient. Rupture de récipient et rejet de gaz. Le gaz libéré s’enflamme sur le brûleur et au contact des surfaces chaudes. Décès
possible de deux techniciens de maintenance. Dommages aux équipements
nécessitant le remplacement du récipient estimés à 10 millions € et arrêt de
procédé pendant 1 année. Dégagement mineur dans l’environnement.
01.11 Moins Pression faible dans le récipient. Rupture de récipient et rejet de gaz. Le gaz libéré s’enflamme sur le brûleur et au contact des surfaces chaudes.
Décès possible de deux techniciens de maintenance. Dommages aux
28
équipements nécessitant le remplacement du récipient estimés à 10 millions €
et arrêt de procédé pendant 1 année. Dégagement mineur dans l’environnement.

01.15 Température Plus Température élevée dans le La température élevée aboutit à une pression Le gaz libéré s’enflamme sur le brûleur et au contact des surfaces chaudes. Décès
récipient. élevée, à la rupture du récipient et au rejet de gaz. possible de deux techniciens de maintenance. Dommages aux équipements
nécessitant le remplacement du récipient estimés à 10 millions € et arrêt de
01.16 Moins Température basse dans le Gel potentiel de liquide (solidification), rupture de Dommages aux équipements nécessitant le remplacement du
récipient. récipient et perte de confinement. récipient estimés à 10 millions € et arrêt de procédé pendant 6 mois.
Rejet dans l’environnement nécessitant une déclaration.
01.20 Niveau Plus Niveau élevé dans le récipient. Le niveau élevé dans le récipient pourrait aboutir Dommages aux équipements en aval nécessitant le remplacement du
à un transfert de liquide dans la sortie de gaz. récipient estimés à 10 millions € et arrêt de procédé pendant 6 mois.
01.21 Moins Niveau bas dans le récipient. Le niveau bas dans le récipient pourrait aboutir Dommages aux équipements en aval nécessitant le nettoyage du récipient
à une fuite de gaz dans la sortie de liquide. estimés à 2 millions € et arrêt de procédé pendant 6 semaines.
PROCESS SAFEBOOK 1
3.7.3. Résultats d’étude HAZOP
En guise de synthèse, les dangers identifiés sont les suivants :
Danger Conséquence
Le niveau élevé dans le Dommages aux équipements en aval nécessitant le remplacement

récipient pourrait aboutir du récipient estimés à 10 millions € et arrêt de procédé pendant
à un transfert de liquide 6 mois.
dans la sortie de gaz.
La pression élevée Le gaz libéré s’enflamme sur le brûleur et au contact des surfaces
provoque une rupture du chaudes. Décès possible de deux techniciens de maintenance.
récipient et un rejet de Dommages aux équipements nécessitant le remplacement du
gaz. récipient estimés à 10 millions € et arrêt de procédé pendant
1 année. Dégagement mineur dans l’environnement.
La température élevée Le gaz libéré s’enflamme sur le brûleur et au contact des surfaces
aboutit à une pression chaudes. Décès possible de deux techniciens de maintenance.
élevée, à la rupture du Dommages aux équipements nécessitant le remplacement du
récipient et au rejet de récipient estimés à 10 millions € et arrêt de procédé pendant
gaz. 1 année. Dégagement mineur dans l’environnement.
Le niveau bas dans le Dommages aux équipements en aval nécessitant le nettoyage

récipient pourrait aboutir du récipient estimés à 2 millions € et arrêt de procédé pendant
à une fuite de gaz dans la 6 semaines.
sortie de liquide.
La pression faible Le gaz libéré s’enflamme sur le brûleur et au contact des surfaces
provoque une rupture du chaudes. Décès possible de deux techniciens de maintenance.
récipient et un rejet de Dommages aux équipements nécessitant le remplacement du
gaz. récipient estimés à 10 millions € et arrêt de procédé pendant
1 année. Dégagement mineur dans l’environnement.
Température basse, gel Dommages aux équipements nécessitant le remplacement du

potentiel de liquide récipient estimés à 10 millions € et arrêt de procédé pendant 6 mois.
(solidification), rupture Rejet dans l’environnement nécessitant une déclaration.
de récipient et perte de
confinement.
La liste des dangers identifiés forme un journal des dangers pour le système. Ce journal
doit demeurer un document dynamique pendant toute la durée de vie du système et
peut faire l’objet d’ajouts ou de révisions après la réalisation d’autres études.
Chaque danger identifié pourrait avoir des conséquences en matière de sécurité,

d’environnement et d’activité commerciale, mais pour traiter les obligations en vertu de
la loi britannique sur la santé et la sécurité au travail [1.5.1], nous devons déterminer le
niveau de risque associé à chacun des dangers [4].
29
PROCESS SAFEBOOK 1
4. Risque et réduction du risque

4.1. Concept de risque
Un risque représente la vraisemblance qu’un danger provoque un effet dommageable

mesurable.
Par conséquent, il s’agit d’un concept à deux composantes indissociables. La vraisemblance

peut être exprimée de différentes manières, par exemple sous forme de probabilité : un sur
mille, en tant que fréquence : 1000 cas par an, ou de manière qualitative : négligeable ou
significatif.
L’effet peut être décrit d’une multitude de manières. Par exemple :
• Blessure grave ou décès d’un employé ;

• Blessures de tiers ;
• Public exposé à des gaz toxiques.
Le risque annuel d’un accident mortel pour un employé [effet] au travail lors d’un contact
avec des machines ou pièces de machine en mouvement [danger] est inférieur à un pour
100 000 [vraisemblance].
Par conséquent, le risque doit être quantifié selon deux dimensions. L’incidence ou
les conséquences du danger doivent être évaluées, de même que la probabilité de
survenance de celui-ci. Pour faire simple, évaluez chacune sur une échelle de 1 à 4,
comme illustré sur la figure 10, où plus la valeur est élevée, plus l’incidence ou la
probabilité de survenance l’est également. En guise de principe général, l’utilisation
d’une matrice de risque telle que celle-ci permet d’établir des priorités et d’évaluer le
risque.
4
Probabilité de
Moyenne Critique
survenance
2
Faible Élevée
1
1 2 3 4
Gravité des conséquences
Figure 10 : matrice de risque
30
PROCESS SAFEBOOK 1
Risque et réduction du risque
Si la probabilité de survenance est élevée et si la gravité des conséquences est faible, le

risque peut être qualifié de moyen. En revanche, si la gravité des conséquences est élevée
et si la probabilité de survenance est faible, le risque peut être considéré comme élevé. En
général, un risque éloigné d’événement catastrophique doit attirer plus l’attention qu’un
problème mineur qui survient fréquemment.
Jusqu’à présent, les exemples de risques font uniquement référence à la sécurité du

personnel, mais rien n’empêche d’adopter la même approche pour des risques touchant à
l’environnement ou à l’entreprise en termes de risques concernant un actif ou la capacité
à générer du chiffre d’affaires, voire en termes de réputation de l’entreprise ou de sécurité
des approvisionnements pour des producteurs d’électricité.
4.2. Analyse des dangers (HAZAN)
Une premier passe d’évaluation du risque se déroule généralement dans le cadre de

l’étude HAZOP et est appelée analyse des dangers (HAZAN). Comme le montre la
figure 10, chaque danger peut être classé en termes de gravité (généralement 1 à 4,
4 désignant le niveau le plus élevé) et de probabilité de survenance, ou fréquence
(1 à 4, où 4 désigne le niveau le plus probable).
L’exemple HAZOP [3.7.2] peut être développé et la multiplication des catégories de gravité
et de fréquence fournit une mesure préliminaire sous forme d’un nombre de priorité de
risque (NPR), lequel peut servir à hiérarchiser les actions de réduction du risque, [4.3].
4.3. Étude HAZAN pour le séparateur
La colonne Action fournit une opportunité d’effectuer des recommandations afin

d’initier des actions correctives, par exemple afin d’examiner les mesures de protection
supplémentaires envisageables.
Les actions possibles se classent dans les deux groupes suivants :
• Actions qui éliminent la cause ;

• Actions qui atténuent les conséquences.
L’élimination de la cause du danger constitue de loin la solution privilégiée. L’atténuation

des conséquences doit uniquement être envisagée lorsque la première solution est
impossible.
4.3.1. Actions HAZOP
Les fiches HAZOP identifient aussi les actions aux fins d’investigation supplémentaire.
Dans cet exemple, les actions suivantes ont été identifiées.
31
Réf. Écart Source de danger Conséquence Mesures de Action
Cat. grav. Cat. fréq. NPR
protection
01.01 Débit élevé de liquide de procédé Le débit élevé en entrée de récipient Dommages aux équipements en aval nécessitant le remplacement du Contrôle de niveau. Envisager l’installation
en entrée de récipient. pourrait aboutir à un niveau élevé, récipient estimés à 10 millions € et arrêt de procédé pendant 6 mois. 3 2 6 d’une alarme de niveau
transfert de liquide dans la sortie de gaz. haut.
01.02 Débit élevé de liquide de procédé Le débit élevé en sortie de récipient pourrait aboutir à Dommages aux équipements en aval nécessitant le nettoyage du récipient Contrôle de niveau. Envisager l’installation d’une
en sortie de récipient. un niveau bas, fuite de gaz dans le liquide estimés à 2 millions € et arrêt de procédé pendant 6 semaines. 2 1 2 alarme de niveau bas.
01.03 Débit élevé de gaz en sortie du Pas de danger crédible Aucun. Aucun.
récipient.
01.04 Débit faible de liquide de procédé Le débit faible en entrée de récipient pourrait aboutir à Dommages aux équipements en aval nécessitant le nettoyage du récipient Contrôle de niveau. Envisager l’installation d’une
en entrée de récipient. un niveau bas, fuite de gaz dans le liquide estimés à 2 millions € et arrêt de procédé pendant 6 semaines. 2 2 4 alarme de niveau bas.
01.05 Débit faible de liquide de procédé Le débit faible en sortie de récipient Dommages aux équipements en aval nécessitant le remplacement du Contrôle de niveau. Envisager l’installation
PROCESS SAFEBOOK 1
en sortie de récipient. pourrait aboutir à un niveau élevé, récipient estimés à 10 millions € et arrêt de procédé pendant 6 mois. 3 1 3 d’une alarme de niveau
transfert de liquide dans la sortie de gaz. haut.
01.06 Débit faible de gaz en sortie du Pas de danger crédible Aucun. Aucun.
récipient.
01.07 Pas crédible. Pas de danger crédible Aucun. Aucun.
01.10 Pression élevée dans le récipient. Rupture de récipient et rejet de gaz. Le gaz libéré s’enflamme sur le brûleur et au contact des surfaces chaudes. Décès Contrôle de pression. Envisager l’installation
possible de deux techniciens de maintenance. Dommages aux équipements d’une alarme de niveau
nécessitant le remplacement du récipient estimés à 10 millions € et arrêt de 4 2 8 haut.
32
01.11 Pression faible dans le récipient. Rupture de récipient et rejet de gaz. Le gaz libéré s’enflamme sur le brûleur et au contact des surfaces chaudes. Décès Contrôle de pression. Envisager l’installation
possible de deux techniciens de maintenance. Dommages aux équipements d’une alarme de niveau
nécessitant le remplacement du récipient estimés à 10 millions € et arrêt de 4 1 4 bas.

01.15 Température élevée dans le La température élevée aboutit à une Le gaz libéré s’enflamme sur le brûleur et au contact des surfaces chaudes. Décès Contrôle de Envisager l’installation
récipient. pression élevée, à la rupture du possible de deux techniciens de maintenance. Dommages aux équipements température. d’une alarme de
récipient et au rejet de gaz nécessitant le remplacement du récipient estimés à 10 millions € et arrêt de 4 1 4 température élevée.
01.16 Température basse dans le Gel potentiel de liquide (solidification), Dommages aux équipements nécessitant le remplacement du Contrôle de Envisager l’installation
récipient. rupture de récipient et perte de récipient estimés à 10 millions € et arrêt de procédé pendant 6 mois. 3 1 3 température. d’une alarme de
confinement. Rejet dans l’environnement nécessitant une déclaration. température basse.
01.20 Niveau élevé dans le récipient. Le niveau élevé dans le récipient Dommages aux équipements en aval nécessitant le remplacement du Contrôle de niveau. Envisager l’installation
pourrait aboutir à un transfert de récipient estimés à 10 millions € et arrêt de procédé pendant 6 mois. 3 2 6 d’une alarme de niveau
liquide dans la sortie de gaz. haut.
01.21 Niveau bas dans le récipient. Le niveau bas dans le récipient pourrait aboutir Dommages aux équipements en aval nécessitant le nettoyage du récipient Contrôle de niveau. Envisager l’installation d’une
à une fuite de gaz dans la sortie de liquide. estimés à 2 millions € et arrêt de procédé pendant 6 semaines. 2 1 2 alarme de niveau bas.

PROCESS SAFEBOOK 1
Réf. Danger Conséquence Action Action Date de fin

allouée
01.01 Le débit élevé en entrée Dommages aux Envisager S Smith Dépt C&I 14 avril 12
de récipient pourrait équipements en aval. l’installation d’une
aboutir à un niveau alarme de niveau
élevé, transfert de liquide haut.
01.02 Le débit élevé en sortie Dommages aux Envisager S Smith Dépt C&I 14 avril 12
aboutir à un niveau bas, alarme de niveau
fuite de gaz dans la sortie bas.
de liquide.
01.04 Le débit faible en entrée Dommages aux Envisager S Smith Dépt C&I 14 avril 12
aboutir à un niveau bas, alarme de niveau
fuite de gaz dans la sortie bas.
de liquide.
01.05 Le débit faible en sortie Dommages aux Envisager S Smith Dépt C&I 14 avril 12
aboutir à un niveau alarme de niveau
élevé, transfert de liquide haut.
01.10 Rupture de récipient et Décès possibles de Envisager J Jones Dépt 21 avril 12

rejet de gaz. techniciens de l’installation d’une procédé
maintenance. Dommages alarme de pression
aux équipements. Rejet élevée.
dans l’environnement.
01.11 Rupture de récipient et Décès possibles de Envisager J Jones Dépt 21 avril 12

rejet de gaz. techniciens de l’installation d’une procédé
maintenance. Dommages alarme de pression
aux équipements. Rejet basse.
dans l’environnement.
01.15 La température élevée Décès possibles de Envisager V White Dépt C&I 21 avril 12
aboutit à une pression techniciens de l’installation d’une
élevée, à la rupture du maintenance. Dommages alarme de
récipient et au rejet de aux équipements. Rejet température élevée.
gaz. dans l’environnement.
01.16 Gel potentiel de liquide, Dommages aux Envisager V White Dépt C&I 21 avril 12
rupture de récipient et équipements. Rejet dans l’installation d’une
perte de confinement. l’environnement. alarme de
température basse.
01.20 Le niveau élevé dans le Dommages aux Envisager S Smith Dépt C&I 14 avril 12
récipient pourrait aboutir équipements en aval. l’installation d’une
à un transfert de liquide alarme de niveau
dans la sortie de gaz. haut.
01.21 Le niveau bas dans le Dommages aux Envisager S Smith Dépt C&I 14 avril 12
récipient pourrait aboutir équipements en aval. l’installation d’une
à une fuite de gaz dans la alarme de niveau
sortie de liquide. bas.
33
PROCESS SAFEBOOK 1
4.4. Exemples de classements de matrice de risque
La figure 11 présente des informations similaires à la matrice de risque toute simple

employée ci-dessus. La gravité des conséquences a été classée au moyen de descriptions
génériques simples, par ex. négligeable, mineure, grave, catastrophique, etc. Si une étude
HAZOP a été réalisée, les conséquences probables des dangers identifiés seront
probablement connues et elles peuvent être regroupées et classées.
La quantification de la vraisemblance de survenance est plus difficile. La figure 11 expose

une approche, où la vraisemblance est classée de manière descriptive de très fréquente
(par ex., le danger se produit plusieurs fois par an sur le site) à très rare (par ex., jamais
rencontré dans le domaine d’activité ou dans aucun secteur d’activité). Avec une telle
description qualitative de la vraisemblance de survenance, il est possible d’affecter des
plages de fréquence à chaque catégorie.
Ainsi, le tableau résultant permet une classification des risques allant de très faible (TF), à
faible (F), moyen (M), Élevé (E) et très élevé (TE), en fonction de la catégorie de gravité et
de la fréquence.
34
Vraisemblance
Figure 11 : matrice de risque

Jamais entendu Jamais entendu Entendu parler dans Survient plusieurs Survient Survient
parler dans un parler dans le le secteur/type de Survenu au sein fois dans Survient sur site plusieurs fois plusieurs fois
secteur/type de travail secteur/type de travail travail de l’entreprise l’entreprise sur site par an sur site
Gravité A B C D E F G H
Catastrophique
6 TF F M E TE TE TE TE
10 -6 /an
Grave
5 TF F M E TE TE TE
10 -5 /an
Majeure
35
4 TF F M E TE TE
10 -4 /an
Moyenne
3 TF F M E TE
10 -3 /an
Mineure
2 TF F M E
10 -2 /an
Négligeable
1 TF F M
10 -1 /an
< 10-6 /an 10 -6 – 10 -5 /an 10 -5 – 10 -4 /an 10 -4 – 10 -3 /an 10 -3 – 10 -2 /an 10 -2 – 10 -1 /an 10 -1 – 1/an > 1/an
PROCESS SAFEBOOK 1
PROCESS SAFEBOOK 1
4.5. Quantification des risques
La tolérance des risques a jusqu’à présent été qualitative. La quantification de la tolérance

des risques concernant la sécurité des personnes dépend du type de perception des
risques et les facteurs suivants, entre autres, peuvent l’influencer :
• Expérience personnelle d’effets dommageables ;

• Contexte et croyances liés à la société ou à la culture ;
• Degré de maîtrise individuel concernant un risque particulier ;
• Étendue de collecte d’informations auprès de différentes sources, par ex.,
les médias.
Évidemment, certains risques sont tellement élevés qu’ils sont clairement inacceptables
(par ex., le fait de fumer pendant la grossesse) et d’autres sont tellement faibles qu’ils en
deviennent négligeables (par ex., le fait de faire bouillir une casserole de lait).
Naturellement, la partie la plus intéressante pour les discussions est la zone de risque
tolérable floue entre les deux. La tâche consiste, par conséquent, à définir les deux
conditions limites :
• entre le risque inacceptable et tolérable, et

• entre le risque tolérable et acceptable.
Selon le document HSE intitulé Reducing Risks, Protecting People (R2P2) [19.3], un
risque individuel de décès d’un sur un million par an, pour les employés et le public
correspond à un niveau de risque très faible et doit être employé comme la limite de
risque largement acceptable (négligeable).
Le R2P2 poursuit en suggérant qu’un risque individuel de décès de 1 sur 1000 par
an doit représenter la condition limite entre ce qui est simplement tolérable pour une
catégorie substantielle d’ouvriers pendant une part importante de leur vie professionnelle
et ce qui est inacceptable pour tous les groupes hormis des groupes relativement
exceptionnels. Au Royaume-Uni, l’objectif de la santé et de la sécurité au travail est
d’atteindre un niveau où quasiment toute la population pourrait être exposée
quotidiennement sans effet dommageable.
Pour le public exposé malgré lui à un risque, cette limite est considérée comme
nettement inférieure à 1 sur 10 000 par an.
Les critères adoptés par le HSE peuvent être illustrés dans un cadre appelé tolérance
des risques (TOR, tolerability of risk), figure 12. Les critères du risque individuel tolérable
maximum et du risque largement acceptable ont été délimités.
36
PROCESS SAFEBOOK 1
Région Région
inacceptable inacceptable
Augmentation du risque
Augmentation du risque
10-3 pa 10-4 pa
Région Région
tolérable tolérable
10-6 pa 10-6 pa
Région Région
largement largement
acceptable acceptable
Figure 12 : tolérance des risques Figure 13 : critères de risque individuels
4.6. Tolérance et acceptabilité des risques
Lors de la détermination du risque quantitatif lié aux dangers identifiés par exemple lors
d’une étude HAZOP, il est nécessaire de définir des critères de risque quantitatif et de
prendre en compte d’autres dangers professionnels auxquels une personne peut être
exposée pendant sa journée de travail. Il n’est pas déraisonnable de partir du postulat
qu’une personne sera exposée à une dizaine de dangers de ce type. Les critères de
tolérance des risques (cf. la figure 12) peuvent ensuite être répartis entre ces 10 dangers,
ce qui donne un risque individuel tolérable maximum de décès de 1 sur 10 000 par an,
comme le montre la figure 13.
La limite de risque largement acceptable pour un risque individuel de décès concernant

les employés et le public reste à un pour un million par an, car elle est déjà considérée
comme négligeable. La tolérance des risques peut être synthétisée comme illustré sur la
figure 14.
37
PROCESS SAFEBOOK 1
RISQUE INDIVIDUEL par an

Conséquence Mineure/Grave Grave/Décès Plusieurs décès
-3 -4
Employé 10 10 10-5
Public 10-4 10-5 10-6
RISQUE LARGEMENT ACCEPTABLE (négligeable)

Employé 10-5 10-6 10-6
Figure 14 : synthèse des tolérances des risques
À partir du risque individuel tolérable maximum de décès de 1 sur 10 000 par an, d’autres
valeurs de risque tolérable maximum peuvent être déterminées selon la gravité et
l’implication ou non de tiers (cf. la figure 15).
RISQUE INDIVIDUEL par an

-3 -4
Employé 10 10 10-5
Public 10-4 10-5 10-6
RISQUE LARGEMENT ACCEPTABLE (négligeable)

Employé 10-5 10-6 10-6
38
PROCESS SAFEBOOK 1
4.7. Tolérance des risques
La synthèse de la tolérance des risques [figure 15] peut être représentée sous forme
graphique comme illustré sur la figure 16.
Plusieurs
décès
Risque tolérable
maximum
employées
Gravité des conséquences
Risque tolérable
maximum
public
Décès
unique
Blessures
Risque négligeable
10-6 10-5 10-4 10-3

Fréquence (/an)
39
PROCESS SAFEBOOK 1
4.8. Exigences de conformité
Les exigences concernant les niveaux d’intégrité de sécurité découlent des fréquences
probables d’événements dangereux. Selon les conséquences d’un danger, une fréquence
tolérable maximum sera déterminée et une fonction de sécurité sera élaborée afin
d’abaisser la fréquence à un niveau tolérable.
La réduction du risque nécessaire de la fonction de sécurité constitue la première

exigence pour la conformité à la norme : il s’agit de la mesure de fiabilité numérique.
La mesure de fiabilité numérique est classée par valeur en bandes ou niveaux

d’intégrité de sécurité (SIL). Il existe quatre niveaux SIL basés sur la mesure de fiabilité
cible nécessaire. Le niveau SIL4 fournit le niveau le plus élevé d’intégrité, la plus grande
proportion de réduction du risque et la cible de fiabilité la plus onéreuse. Le niveau SIL1
fournit le niveau d’intégrité le plus bas et la cible de fiabilité la moins onéreuse.
4.9. Le principe ALARP
La présentation ci-dessus de l’analyse des dangers et des risques illustre la manière dont
les risques de procédé peuvent être déterminés et la manière dont le risque tolérable
maximum est atteint. Toutefois, dans le cadre de la loi britannique HSAWA, des efforts
supplémentaires doivent encore être réalisés afin de réduire plus avant le risque. En
d’autres termes, il faut poursuivre jusqu’à ce que le risque soit aussi faible que
raisonnablement envisageable (principe ALARP (As Low As Reasonably Practicable)),
autrement dit jusqu’à ce que toute autre réduction du risque ne soit pas rentable, [5].
40
PROCESS SAFEBOOK 1
Le principe ALARP
5. Le principe ALARP
5.1. Avantages et sacrifices
La notion « raisonnablement envisageable », au lieu d’être prescriptive, définit des

objectifs pour les titulaires d’obligations. Cette flexibilité constitue un avantage
important, en ce sens où les titulaires d’obligations sélectionnent la méthode la plus
appropriée pour eux et où elle soutient l’innovation. Néanmoins, elle présente aussi des
inconvénients. Le fait de décider si un risque est du type ALARP peut constituer un défi
car les titulaires d’obligations et les évaluateurs doivent faire preuve de discernement.
Les principaux tests appliqués pour la régulation des risques industriels consistent à
déterminer si :
a) le risque est tellement élevé qu’il doit être refusé en bloc ;

b) le risque est ou a été rendu tellement faible qu’il est négligeable ;
c) le risque se situe entre les deux états spécifiés aux points a) et b) ci-dessus,
et a été réduit à un niveau du type ALARP.
La notion « raisonnablement envisageable » est difficile à quantifier. Elle implique un

calcul visant à comparer la réduction de risque additionnelle réalisable et le sacrifice que
cela implique (en termes d’argent, de temps ou de problèmes) pour y parvenir. En cas de
disproportion grossière entre eux : le bénéfice étant insignifiant dans la relation au coût;
le risque est considéré comme ALARP.
Ce faisant, la démonstration selon laquelle les risques ont été réduits jusqu’au niveau
ALARP inclut une évaluation :
• du risque à éviter ;
• du sacrifice (en termes d’argent, de temps ou de problèmes) résultant de
l’adoption des mesures visant à éviter ce risque ;
• une comparaison des deux.
Ce processus peut impliquer différents degrés de rigueur qui dépendant de :
• la nature du danger ;
• l’étendue du risque ;
• des mesures de maîtrise à adopter.
Toutefois, les titulaires d’obligations (et le régulateur) ne doivent pas être surchargés
si une telle rigueur n’est pas garantie. Plus le niveau initial de risque pris en compte est
élevé, plus le degré de rigueur doit l’être également.
41
PROCESS SAFEBOOK 1
5.2. Disproportionnalité
Une analyse coûts-bénéfices (CBA, Cost Benefit Analysis) peut aussi aider un titulaire
d’obligations à déterminer si des mesures supplémentaires de réduction du risque
sont justifiées. De telles mesures peuvent être considérées comme raisonnablement
envisageables, à moins que les coûts de leur mise en œuvre présentent une disproportion
grossière par rapport aux bénéfices retirés. Pour faire simple, si coûts/bénéfices > FD, où
FD est le ‘facteur de disproportion’, la mesure peut être considérée comme inutile par
rapport à la réduction du risque obtenue.
Le FD qui peut être considéré comme grossier à partir de 1, selon un nombre de facteurs
incluant la gravité des conséquences et la fréquence de leur concrétisation. Autrement
dit, plus le risque est élevé, plus le FD l’est également.
5.3. Définition de la disproportion grossière
Le HSE n’a pas formulé d’algorithme utilisable afin de déterminer le degré de

disproportion jugé comme « grossier ». Les tribunaux ne fournissent pas de directives
faisant autorité concernant les facteurs à prendre en considération pour déterminer si les
coûts présentent une disproportion grossière. Par conséquent, une appréciation doit être
effectuée au cas par cas et certaines indications ou directives peuvent être obtenues à
partir d’enquêtes effectuées au cours d’accidents majeurs.
À partir de l’enquête de 1987 concernant la centrale de Sizewell B, les FD suivants ont été
employés :
• pour des risques faibles concernant le public, un facteur 2 ;

• un facteur jusqu’à 3 (à savoir, des coûts trois plus élevés que le bénéfice)
appliqués aux risques concernant les ouvriers ;
• un facteur 10 pour les risques élevés.
5.4. Analyse coûts-bénéfices (CBA)
Pour de nombreuses décisions ALARP, le HSE n’escompte pas que les titulaires
d’obligations effectuent une analyse coûts-bénéfices (CBA) détaillée. Une simple
comparaison des coûts et des bénéfices peut suffire.
Une analyse CBA doit uniquement servir à étayer des décisions ALARP. Elle ne doit pas
constituer le seul argument d’une décision ALARP, ni servir à saper des normes et
pratiques d’excellence existantes. Une analyse CBA seule ne constitue pas un cas ALARP
et ne peut pas servir d’argument contre des obligations statutaires, ni justifier des risques
intolérables ou une ingénierie à l’évidence médiocre.
42
PROCESS SAFEBOOK 1
Le principe ALARP
Les coûts justifiables suivants sont susceptibles d’être pris en compte dans une analyse
CBA :
• Installation ;
• Fonctionnement ;
• Formation ;
• Toute maintenance supplémentaire ;
• Pertes d’activité consécutives à un arrêt décidé exclusivement en vue de mettre
la mesure en place ;
• Intérêt d’un report de production, par ex. pétrole ou gaz non extrait pendant
des travaux sur une plate-forme ;
• Tous les coûts revendiqués doivent être ceux contractés par le titulaire des
obligations (les coûts supportés par d’autres parties, par ex. des particuliers,
ne doivent pas être comptabilisés) ;
• Les coûts considérés doivent uniquement être ceux nécessaires à
l’implémentation de la mesure de réduction du risque (pas de mesures
superflues ou visant à réaliser un gain financier).
Les bénéfices justifiables susceptibles d’être revendiqués dans une analyse CBA peuvent
inclure les avantages d’une implémentation complète d’une mesure d’amélioration de la
sécurité, à condition qu’ils ne soient en aucune manière sous-estimés. Les bénéfices
doivent inclure toute réduction du risque pour le public, les ouvriers et la société en
général, et peuvent inclure les éléments suivants :
• Décès évités ;
• Blessures évitées (graves à mineures) ;
• Pathologies évitées ;
• Atteintes environnementales évitées, si cela s’applique (par ex., COMAH).
Les bénéfices revendiqués doivent aussi inclure la prévention du déploiement de services

d’urgence et la prévention de contre-mesures, telles que l’évacuation et la décontamination
post-accident, le cas échéant. Toutefois, afin de comparer les bénéfices de l’implémentation
d’une mesure d’amélioration de la sécurité avec les coûts associés, la comparaison doit être
réalisée sur une base commune. Une méthode simple de filtrage grossier des mesures place
les coûts et bénéfices dans un format commun de « € par an » pour la durée de vie d’une
usine.
43
PROCESS SAFEBOOK 1
Le tableau 1 présente certains indicateurs financiers utilisables.
Décès 1 336 800 € (multiplié

par 2 pour un cancer)
Blessure Blessure entraînant une invalidité 207 200 €

permanente. Certaines restrictions
permanentes pour les activités de loisir et
peut-être certaines activités professionnelles.
Grave. Certaines restrictions pour les activités 20 500 €

professionnelles et/ou les loisirs pendant
plusieurs semaines/mois.
Blessure légère de type coupures mineures et 300 €

ecchymoses, avec rétablissement rapide et
complet.
Maladie Maladie entraînant une invalidité 193 100 €

permanente. Comme pour les blessures.
Autres cas de maladie. Plus d’une semaine 2300 € + 180 € par jour
d’absence. Pas de conséquences permanentes d’absence
pour la santé.
Affection mineure Jusqu’à une semaine d’absence. Pas de 530 €
conséquences permanentes pour la santé.
Tableau 1 : Compensations types octroyées par des tribunaux (2003)
5.5. Exemple
Question : Considérons une usine dont une explosion d’un procédé pourrait aboutir à :
• 20 décès ;
• 40 personnes souffrant de séquelles permanentes ;
• 100 personnes gravement blessées ;
• 200 personnes légèrement blessées.
La fréquence de survenance de cette explosion est, après analyse, d’environ 10-5 par an, ce
qui équivaut à 1 sur 100 000 par an. La durée de vie estimée de l’usine est de 25 ans. Quel
montant l’entreprise pourrait-elle raisonnablement investir afin d’éliminer le risque
d’explosion ?
44
PROCESS SAFEBOOK 1
Le principe ALARP
Réponses : Si le risque d’explosion devait être éliminé, les bénéfices pourraient être
évalués comme suit :
Décès : 20 x 1336 800 € x 10-5 x 25 ans = 6684 €

Personnes souffrant de
séquelles permanentes : 40 x 207 200 € x 10-5 x 25 ans = 2072 €
Personnes gravement
blessées : 100 x 20 500 € x 10-5 x 25 ans = 512 €
Personnes légèrement
blessées : 200 x 300 € x 10-5 x 25 ans = 15 €
Bénéfice total = 9283 €
Le montant de 9283 € correspond au bénéfice estimé d’une élimination de l’explosion

accidentelle majeure sur le site de l’usine en évitant les dommages corporels. (Cette
méthode n’inclut pas la déflation ou l’inflation.)
Pour qu’une mesure soit considérée comme raisonnablement envisageable, le coût doit
présenter une disproportion grossière par rapport au bénéfice. Dans notre cas, le FD
reflétera le fait que les conséquences de telles explosions sont élevées. Un FD supérieur
à 10 est improbable et, par conséquent, il peut être envisageable raisonnablement
d’effectuer un investissement de l’ordre de 93 000 € (9300 € x 10) pour éliminer le risque
d’explosion. Le titulaire des obligations devra justifier l’utilisation d’un FD plus bas.
Ce type d’analyse toute simple peut servir à éliminer ou inclure certaines mesures en
calculant les coûts de différentes méthodes d’élimination ou de réduction des risques.
Approche alternative
Il est plus vraisemblable qu’une mesure d’amélioration de la sécurité n’éliminera pas un

risque, mais le réduira d’un certain montant. Il faudra donc évaluer la réduction du risque
fournie en tant que bénéfice par rapport au coût d’implémentation.
En règle générale, les entreprises appliquent un objectif de coût par vie sauvée (ou une
valeur de prévention d’un décès statistique ou VPF (Value of Preventing a statistical Fatality)).
Le coût de prévention des décès sur la durée de vie de l’usine est rapprochée de la valeur
VPF cible.
Les améliorations seront mises en œuvre, à moins que les coûts soient grossièrement
disproportionnés.
45
PROCESS SAFEBOOK 1
5.6. Exemple
Question : Application du principe ALARP
Un coût de 2 millions € par objectif de vie sauvée est employé dans un secteur particulier.
Une cible de risque tolérable maximum de 10-5 pa a été établie pour un danger particulier,
lequel est susceptible de provoquer 2 décès.
Le système de sécurité proposé a été évalué et un risque de 8,0 x 10-6 pa a été prévu.
Comme le risque largement acceptable (négligeable) est 10-6 pa, l’application du principe
ALARP est nécessaire.
Dans cet exemple, pour un coût de 10 000 €, des instruments supplémentaires et des
mesures de redondance abaisseront le risque à 2,0 x 10-6 pa (juste au-dessus de la région
négligeable) pendant la durée de vie de l’usine (à savoir 30 ans).
La proposition doit-elle être adoptée ?
Réponse : Le nombre de vies sauvées pendant la durée de vie de l’usine est donné par :
N = (réduction de la fréquence de décès) x nombre de décès par

incident x durée de vie de l’usine
= (8,0 x 10-6 – 2,0 x 10-6) x 2 x 30
= 3,6 x 10-4
Par conséquent, le coût par vie sauvée est :
VPF = 10 000 €/3,6 x 10-4

= 27,8 millions €
La valeur VPF calculée est supérieure à 10 fois le critère de coût cible par vie sauvée de
2 millions €. Par conséquent, la proposition doit être rejetée.
46
PROCESS SAFEBOOK 1
Détermination des objectifs SIL
6. Détermination des objectifs SIL

6.1. Fonctions de sécurité en mode de sollicitation et en mode continu
Lors de l’évaluation de la défaillance d’un système de sécurité, deux options principales

sont disponibles, selon le mode de fonctionnement. Si la fréquence de sollicitations d’un
système de sécurité est faible, à savoir en général moins d’une fois par an, il est considéré
comme fonctionnant en mode de sollicitation. L’airbag de voiture constitue un exemple
d’un tel système de sécurité.
Les freins d’une voiture sont un exemple de système de sécurité en mode continu : ils sont
employés (quasiment) en continu. Pour les systèmes de sécurité en mode de sollicitation, il
est courant de calculer la probabilité moyenne de défaillance sur sollicitation (PFD), alors
que la probabilité de défaillance dangereuse par heure (PFH) est employée pour les
systèmes de sécurité fonctionnant en mode continu.
6.2. Fonction de sécurité en mode de sollicitation
Supposons dans notre usine que nous ayons en moyenne 1 incendie tous les deux ans et
que, si nous ne faisons rien d’autre, cet incendie provoquera des décès. Nous pourrions
tracer un graphique de notre fréquence de décès (cf. la figure 17), laquelle est de 0,5/an.
Entraîne
des décès
Risque inhérent
au procédé
Incendie d’usine
Fréquence
de danger
Une fois tous les 2 ans
Fréquence de décès
Figure 17 : fréquence de décès
47
PROCESS SAFEBOOK 1
Dans ce cas, il est vital, lors de l’examen des conséquences de l’incendie, que nous ne
prenions pas en considération d’éventuelles mesures de sécurité en place. Nous
souhaitons examiner les conséquences dans le scénario le plus défavorable.
Si nous installions un détecteur de fumée capable, par exemple, de fonctionner 9 fois sur
10, nous pourrions escompter un décès dans le cas sur 10 incendies où le détecteur de
fumée ne se déclenche pas. Dans notre exemple, notre fréquence de décès diminuerait
de 1 décès sur 2 ans à 1 décès sur 20 ans.
Entraîne
des décès
Risque inhérent
au procédé
Le détecteur de fumée
fonctionne 9 fois sur 10
Fréquence de décès 1 tous les 20 ans Détecteur de fumée
Incendie d’usine
Fréquence
de danger
Une fois tous les 20 ans Une fois tous les 2 ans
Fréquence de décès
Figure 18 : fréquence de décès réduite
Ainsi, si le détecteur de fumée fonctionne 9 fois sur 10, la probabilité de défaillance sur
sollicitation (PFD) sera de 1 sur 10, soit 10 %. Dans ce cas, PFD = 0,1. Le détecteur de
fumée avec une valeur PFD de 0,1 réduirait la fréquence de décès d’un facteur 10, soit
un facteur de réduction de risque (RRF) de 10.
En résumé, PFD = 1/RRF.
Il est utile de rappeler que, mathématiquement parlant, la valeur PFD est une probabilité
et, par conséquent, une quantité sans dimension ayant une valeur entre zéro et 1.
6.3. Exemple de cible de niveau d’intégrité de sécurité
L’approche de détermination d’un objectif SIL consiste à calculer la réduction du risque

nécessaire pour abaisser la fréquence des conséquences d’un danger à un niveau tolérable.
48
PROCESS SAFEBOOK 1
L’approche recommandée de détermination des niveaux d’intégrité de sécurité ou SIL

(Safety Integrity Level) consiste à évaluer le risque posé par chaque danger pour l’usine.
Si nous effectuons une étude HAZOP sur notre usine et si nous identifions un danger
potentiellement préjudiciable dans le procédé, mais que nous n’agissons pas, nous
devons évaluer les conséquences potentielles. Ces scénarios les plus défavorables
déterminent ensuite la fréquence tolérable maximum pour ce danger.
Si notre danger peut entraîner le décès d’un employé, alors selon la tolérance et
l’acceptabilité des critères de risque [4.6], nous pouvons allouer une fréquence tolérable
maximum pour le danger. En d’autres termes, pour le danger identifié, nous pouvons
spécifier un risque tolérable maximum de 10-4 par an.
L’analyse des causes déclenchantes du risque permet d’estimer la vraisemblance du danger,

à supposer que nous ne fassions rien d’autre, et de la comparer à la fréquence tolérable
maximum spécifiée. Nous pouvons, par exemple effectuer une analyse, puis déterminer
que notre danger, s’il n’est pas maîtrisé, se produira une fois par an. Cela représente, par
conséquent, un écart de risque : il convient de traiter le problème (cf. la figure 19).
Entraîne
des décès
Niveau de Risque inhérent
risque tolérable au procédé
Écart de risque
Danger de procédé
10-4/an 1/an
Fréquence de danger
Figure 19 : écart de risque
Nous pouvons alors inclure toutes les mesures de protection existantes pouvant réduire la
fréquence du risque, par exemple une alarme (figure 20). Dans ce cas, l’alarme réduit la
fréquence de la conséquence du danger de sa valeur PFD. Ainsi, l’écart de risque est réduit,
mais le risque résiduel global, bien que plus petit, reste supérieur au risque tolérable
maximum.
49
PROCESS SAFEBOOK 1
Entraîne
des décès
Niveau de Risque inhérent
risque tolérable au procédé
PFD = 0,1
Alarmes
Écart de risque
Danger de procédé
10-4/an 0,1/an 1/an

Figure 20 : prise en compte des alarmes
Entraîne
des décès
Niveau de Risque Risque inhérent
risque tolérable intermédiaire au procédé
PFD < 0,1 PFD = 0,1 PFD = 0,1 PFD = 0,1
Autre Méca. Alarmes

Écart de risque
Danger de procédé
10-4/an 10-3/an 10-2/an 0,1/an 1/an

Figure 21 : prise en compte d’autres couches de protection
50
PROCESS SAFEBOOK 1
La prise en compte d’autres couches de protection peut réduire encore le risque résiduel.
Il peut y avoir des appareils mécaniques, tels qu’un limiteur de pression, un mur anti-
souffle ou un bac de rétention. D’autres mesures de réduction des risques peuvent inclure
des commandes de procédé, instruments de mesure ou procédures, et chacune peut
réduire le risque résiduel (cf. la figure 21) de leur valeur PFD respective. Dans cet exemple,
nous avons intégré les différentes mesures de protection existantes dans l’usine et il reste
un écart de risque résiduel. Nous pouvons voir que pour réduire la fréquence de danger
en dessous de la fréquence tolérable maximum, il faut une autre couche, avec une valeur
PFD inférieure à 0,1. C’est la tâche du SIS (cf. la figure 22). Ce calcul, bien qu’effectué ici
sous forme graphique, fournit la valeur PFD cible pour notre SIS et permet de déterminer
le niveau SIL cible. Il s’agit d’un exemple de fonction de sécurité en mode de sollicitation.
Entraîne
des décès
Risque Niveau de Risque Risque inhérent
résiduel risque tolérable intermédiaire au procédé
PFD < 0,1 PFD = 0,1 PFD = 0,1 PFD = 0,1
SIS Autre Méca. Alarmes

Écart de risque
Danger de procédé
10-4/an 10-3/an 10-2/an 0,1/an 1/an

Figure 22 : probabilité PFD cible
51
PROCESS SAFEBOOK 1
6.4. Fonctions de sécurité
En général, l’implantation d’un SIS et son procédé sont exposés comme à la figure 23.
SIS
Système instrumenté
de sécurité
Procédé
Figure 23 : système instrumenté de sécurité
La fonction instrumentée de sécurité surveille certains paramètres de procédé et réagit

afin de garantir la sécurité de ce dernier, dès lors que certaines limites sont franchies. Un
exemple simple de l’industrie des procédés est présenté sur la figure 24.
Alimentation
hydraulique Logique
ESD
Électro-
Mise à l’air libre Transmetteur de
vanne
circuit hydraulique pression
S
PT
Pressostat
PC
Entrée Sortie
gazoduc gazoduc
Vanne Régulateur de
d’arrêt pression
Taré à 139 bars Taré à 48 bars

Figure 24 : exemple de fonction instrumentée de sécurité
52
PROCESS SAFEBOOK 1
La figure montre un gazoduc qui alimente une centrale électrique. Le gaz s’écoule de la
gauche vers la droite, à travers une vanne d’arrêt, puis arrive au régulateur de pression
(PCV). Le PCV est commandé par un pressostat (PC), lequel maintient la pression du gaz
au-dessous de 48 bars, qui est la capacité nominale de sécurité du gazoduc d’exportation.
La défaillance de cette fonction de régulation de pression pourrait entraîner une
surpression dans le gazoduc aval, avec un risque de rupture, d’inflammation et de décès.
Par conséquent, une fonction de sécurité a été mise en place afin d’éviter ce scénario. La
fonction de sécurité est constituée d’un transmetteur de pression (PT), d’une logique
d’arrêt d’urgence (ESD) et d’une vanne d’arrêt (SDV), laquelle est commandée par un
électrovanne (SOV) hydraulique, qui interrompt l’alimentation en gaz lorsque la pression
aval dépasse un niveau de déclenchement prédéfini.
6.5. Exemple de fonction de sécurité en mode de sollicitation
Fonction instrumentée de sécurité

Alimentation
hydraulique Logique
ESD
Mise à l’air
libre circuit Électro-
Transmetteur
hydraulique vanne
S
de pression
PT
Procédé et BPCS
Pressostat
PC
Entrée Sortie
gazoduc gazoduc
d’arrêt pression

Figure 25 : fonction de sécurité en mode de sollicitation
Il s’agit d’un exemple de fonction de sécurité en mode de sollicitation. Les caractéristiques

clés d’une fonction de sécurité en mode de sollicitation sont les suivantes :
• elle est généralement séparée du procédé ;

• la défaillance de la fonction de sécurité aboutit à la perte de protection, mais
n’est pas à proprement parler dangereuse ;
• la fréquence de sollicitations de la fonction est faible, à savoir moins d’une fois
par an.
53
PROCESS SAFEBOOK 1
Les fonctions de sécurité en mode de sollicitation incluent l’arrêt du procédé (PSD), l’arrêt
d’urgence (ESD) et les systèmes de protection contre les pressions à haute intégrité (HIPPS).
Bien souvent, la confusion suivante consiste à croire que le transmetteur de pression (PT),
qui fait partie de la fonction de sécurité, assure une surveillance continue de la pression
du procédé, mais cela ne l’empêche pas d’être en mode de sollicitation. Le terme de
demande de sollicitation fait référence à la fréquence de demandes d’action, par ex. à la
fréquence de phases de haute pression.
6.6. Exemple de fonction de sécurité en mode continu
La figure 26 présente un exemple de fonction de sécurité en mode continu.
Système de
gestion de
brûleur (BMS)
TT TE TE TT
001 002 003 004
TE TT TE XY
S
405 406 405 101
TY
Air de combustion
S
102
XY
S
Volet 101
HC
201
HC
202
Arrivée principale gaz Combustible
XY
S
104
Figure 26 : fonction de sécurité de mode continu
54
PROCESS SAFEBOOK 1
Elle présente un système de gestion de brûleur (BMS) type servant à réguler un four. Le
système commande l’arrivée du gaz et de l’air de combustion, puis surveille la flamme du
brûleur avec des détecteurs de flamme.
Lors d’une condition d’extinction de flamme, le système BMS doit couper l’arrivée du gaz
afin d’éviter une accumulation et un risque d’explosion. De même, avant l’inflammation, le
brûleur doit être purgé, afin d’éviter toute accumulation de gaz dans le four pouvant
résulter d’une fuite en aval des vannes ou de défaillances de régulation.
Par conséquent, le système BMS doit assurer la régulation via la séquence de mise en
marche, avec une purge appropriée, et doit aussi surveiller le fonctionnement après
l’inflammation. Dans cet exemple, le système BMS, ainsi que les capteurs et vannes
associés, constituent une fonction de sécurité en mode continu.
Les caractéristiques clés d’une fonction de sécurité en mode continu sont les suivantes :
• elle fournit généralement une fonction de régulation ;

• la défaillance de la fonction de sécurité aboutit généralement à une situation
dangereuse ;
• la fréquence de sollicitations de la fonction est élevée, à savoir plus d’une fois
par an, voire en continu.
Les fonctions de sécurité en mode continu incluent généralement des systèmes de

gestion de brûleur et de régulation de turbine.
6.7. Niveaux SIL cible en mode de sollicitation
La norme CEI 61511-1, clause 9.2.4 regroupe les probabilités PFD cible en bandes ou
niveaux d’intégrité de sécurité (SIL). Dans l’exemple ci-dessus [6.3], nous avons une
probabilité PFD cible < 10-1 pour notre fonction de sécurité, ce qui donne une exigence
SIL1 comme illustré dans le tableau 2.
Mode de fonctionnement sur sollicitation Niveau d’intégrité de sécurité

(Probabilité moyenne de défaillance pour accomplir sa
fonction prévue sur sollicitation)
≥ 10-5 à < 10-4 4
≥ 10-4 à < 10-3 3
≥ 10-3 à < 10-2 2
≥ 10-2 à < 10-1 1
Tableau 2 : Niveaux SIL cible en mode de sollicitation
55
PROCESS SAFEBOOK 1
Remarque : la probabilité PFD cible est regroupée en bandes SIL car la norme exige un
degré approprié de rigueur dans les techniques et mesures qui sont appliquées au niveau
de la régulation et de la prévention des défaillances systématiques. Ces exigences sont
traitées plus en détail dans la section [12.15].
6.8. Niveaux SIL cible en mode continu
La norme CEI 61511-1, clause 9.2.4 fournit aussi des niveaux SIL cible pour le mode
continu (cf. le tableau 3).
Mode de fonctionnement en continu Niveau d’intégrité de sécurité

(Probabilité de défaillance dangereuse par heure, PFH)
≥ 10-9 à < 10-8 4
-8 -7
≥ 10 à < 10 3
≥ 10-7 à < 10-6 2
≥ 10-6 à < 10-5 1
Tableau 3 : Niveaux SIL cible en mode continu
Remarque : la mesure de défaillance cible pour les cibles en mode continu est la
probabilité de défaillance dangereuse par heure (PFH) ou le taux de défaillances.
Pied de page.
De prime abord, ces taux de défaillance cible peuvent sembler plus onéreux que les
niveaux cible pour les systèmes en mode de sollicitation, par ex. le niveau SIL1 (mode de
sollicitation) doit avoir une probabilité PFD < 10-1, alors que le niveau SIL1 (mode continu)
a une probabilité PFH < 10-5 défaillances/heure.
Les tableaux peuvent être alignés, mais à condition de convertir les valeurs cible de mode
continu de défaillances/heure en défaillances/an. Cela représente approximativement
10 4 heures dans une année (en fait 8760), de sorte que le tableau de mode continu peut
être modifié comme illustré au tableau 4.
Mode de fonctionnement en continu Niveau d’intégrité de sécurité

(Probabilité de défaillance dangereuse par année)
≥ 10-5 à < 10-4 4
≥ 10-4 à < 10-3 3
≥ 10-3 à < 10-2 2
-2
≥ 10 à < 10 -1 1
Tableau 4 : Niveaux SIL cible en mode continu (PA)

56
PROCESS SAFEBOOK 1
6.9. Modes de fonctionnement (systèmes en mode de sollicitation et en mode continu)
Concernant la détermination du fonctionnement d’un SIS, la norme CEI 61511-1, clause

3.2.43 propose les définitions suivantes.
Mode de sollicitation
• lorsqu’une action spécifiée est mise en œuvre en réponse à des conditions

de procédé ou d’autres sollicitations. En cas de défaillance dangereuse de la
fonction instrumentée de sécurité (SIF), un danger potentiel se concrétise
uniquement s’il y a défaillance du procédé de système de contrôle de procédé
de base (BPCS) ;
Mode continu
• en cas de défaillance dangereuse de la fonction SIF, un danger potentiel se

concrétise sans autre défaillance, à moins qu’une action soit prise pour le prévenir.
Une bonne règle empirique pour décider si votre fonction de sécurité a un niveau élevé
ou est en mode de sollicitation, consiste à identifier la valeur significative ou la mesure de
fiabilité.
Par exemple, les airbags d’un véhicule fournissent une fonction de sécurité très utile et,
en tant que conducteur, je serai intéressé par leur probabilité de défaillance en cas de
sollicitation, ce qui indique qu’il s’agit d’une fonction en mode de sollicitation. En se
référant à la section [6.5], les caractéristiques clés d’une fonction en mode de sollicitation
sont les suivantes :
• elle est généralement séparée du procédé ;

• la défaillance de la fonction de sécurité aboutit à la perte de protection, mais
elle n’est pas à proprement parler dangereuse.
Par conséquent, le tableau 2 confirme que les valeurs cible pour les fonctions en mode de
sollicitation sont la probabilité de défaillance sur sollicitation.
Autre possibilité, pour les freins d’une voiture, la valeur significative sera un taux de
défaillances ou une probabilité de défaillances par heure. En tant que conducteur, je serai
très intéressé par le taux de défaillances de la fonction de sécurité. Par conséquent, cela
indique bien qu’il s’agit d’une fonction en mode continu.
Pour étayer ce fait, les caractéristiques clés d’une fonction en mode continu sont les
suivantes :
• elle fournit généralement une fonction de régulation, dans ce cas le freinage ;
57
PROCESS SAFEBOOK 1
• la défaillance de la fonction de sécurité aboutit généralement à une situation de

danger, par exemple la perte de contrôle de la vitesse ;
Le tableau 3 confirme que les valeurs cible de mode continu sont la probabilité d’une
défaillance dangereuse par heure.
6.10. Fonctions de sécurité en mode de sollicitation
6.10.1. Exemple
Question : une zone de procédé est gérée par un opérateur 2 heures par jour. Une
surpression du procédé aboutira à une fuite de gaz et, selon les estimations, 1 fuite de gaz
sur 10 entraînera une explosion et la mort de l’opérateur.
L’analyse indique que la condition de surpression se produira tous les 5 ans (taux de 0,2 pa).
Supposons que la fréquence tolérable maximum pour le danger (décès de l’opérateur

suite à l’explosion) est 10-4 pa.
Quelle est la probabilité PFD requise pour le SIS ?
Réponse : le taux de décès est :
= 0,2 pa x 2/24 x 1/10

= 1,67 x 10-3 pa
Par conséquent, le système de sécurité doit avoir une probabilité de défaillance sur
sollicitation :
= 10-4 pa/1,67 x 10-3 pa

= 6,0 x 10-2, ce qui équivaut au niveau SIL1.
Il s’agit d’un exemple de SIS en mode de sollicitation qui intervient uniquement à une
fréquence déterminée par le taux de défaillances de l’équipement régulé.
Nous pouvons confirmer que le résultat est réellement une probabilité PFD, car nous
avons divisé un taux par un taux afin d’obtenir une quantité sans dimension, autrement
dit une probabilité.
6.11. Fonctions de sécurité en mode continu
La figure 27 présente un exemple simple de fonction de sécurité en mode continu. Le

produit chimique dans la chaudière est chauffé au moyen d’une résistance électrique
régulée par un transmetteur de température effectuant une mesure en sortie.
58
PROCESS SAFEBOOK 1
Régulateur de
Alimentation température
résistance TT
de chaudière
Sortie de
Résistance procédé
Entrée de
Chaudière
procédé
Figure 27 : fonction de sécurité de mode continu
Supposons qu’une surchauffe de la chaudière aboutit à une rupture, au dégagement de

produit chimique et à un incendie, avec une potentialité de décès. Il existe clairement un
risque à gérer. Dans cet exemple, le taux de défaillances du procédé complet ne doit pas
dépasser le risque tolérable maximum pour le danger.
6.11.1. Exemple
Question : supposons que la défaillance de la chaudière entraîne une surchauffe et un

incendie et, que 1 défaillance sur 400 aboutit à un décès. Supposons également que le
taux de décès tolérable maximum est 10-5 pa (décès de tiers).
Quel est le taux de défaillances tolérable maximum de la chaudière ?
Réponse : comme le taux 1 défaillance sur 400 doit être inférieur ou égal au risque
tolérable maximum, nous pouvons dire :
10-5 pa ≥ λB x 1/400
Où λB est le taux de défaillances de la chaudière.
Par conséquent :
λB = 400 x 10-5 pa
= 4,0 x 10-3, ce qui équivaut au niveau SIL2.
Il s’agit d’un exemple d’un SIS en mode continu exposé à un risque continu, autrement dit
fonctionnant en permanence. La chaudière a une fréquence de défaillances 400 fois plus
élevée que le taux de défaillances tolérable maximum car seulement 1 défaillance sur 400
aboutit au décès.
59
PROCESS SAFEBOOK 1
Dans cet exemple, nous devrions concevoir et mettre en place le procédé, à savoir la
chaudière, la résistance chauffante et la sonde de température conformément au niveau
SIL2, et le taux de défaillances devrait être inférieur à 4,0 x 10-3 pa. Cela constituerait un
véritable défi, mais une autre approche est possible.
6.11.2. Exemple
Supposons que vous ayez construit votre procédé de chaudière et calculé un taux de
défaillances de 5,0 x 10-2 pa, ce qui dépasse largement la cible de 4,0 x 10-3 pa.
Si c’était le cas et si 1 défaillance sur 400 aboutit à un décès, la fréquence de décès serait la
suivante :
= 5,0 x 10-2 pa x 1/400

= 1,25 x 10-4 pa
ce qui excède le taux tolérable maximum de 10-5 pa (décès de tiers).
Une autre approche peut consister à permettre une défaillance de la chaudière à ce

taux élevé non satisfaisant et de mettre en place une fonction de sécurité en mode de
sollicitation afin d’abaisser la fréquence de décès au taux tolérable maximum (cf. la
figure 28).
ESD
Relais
Régulateur de
Alimentation température
Transmetteur de
résistance TT TT
température
de chaudière
Sortie de
Résistance procédé
Entrée de
Alimentation
procédé
60
PROCESS SAFEBOOK 1
Dans cette configuration, nous avons un deuxième transmetteur de température

indépendant qui mesure la température en sortie et coupe l’alimentation de la résistance
électrique via une logique ESD en cas de défaillance du procédé.
Nous pouvons dire ce qui suit :
10-5 pa ≥ λB x PFDT
où λB est le taux de défaillances de la chaudière, 1,25 x 10-4 pa et PFDT est la probabilité de

défaillance sur sollicitation du système de coupure indépendant.
Par conséquent :
PFDT ≤ 10-5 pa/1,25 x 10-4 pa

PFDT ≤ 0,08
ce qui équivaut à une fonction de sécurité en mode de sollicitation SIL1.
Remarque : ces deux exemples offrent l’option d’une conception SIL2 du système de
chaudière complet et des équipements régulés ou nous pouvons aussi permettre la
défaillance du système de chaudière et le protéger avec une fonction de sécurité en
mode de sollicitation SIL1. Les deux options respectent le risque tolérable maximum
ciblé, mais la mise en place d’un petit système SIL1 en mode de sollicitation est plus
rentable que l’approche de système de commande de chaudière SIL2.
61
PROCESS SAFEBOOK 1
7. Graphiques de risque
7.1. Introduction
Les sections [6.10] et [6.11] présentent une méthode de détermination des niveaux
SIL cible par le calcul, mais les graphiques de risque offrent une alternative utile, en
particulier s’il faut analyser de nombreux dangers. Le graphique de risque est une
technique rapide et utile, applicable lorsque les dangers à évaluer sont trop nombreux.
W3 W2 W1
Ca a -- --
Blessure grave
Pa Prévention 1 a --
possible
Fa Exposition
rare
Cb Pb Prévention
Blessure grave, peu probable
un décès 2 1 a
Fb Exposition Pa Prévention
fréquente possible
Fa Exposition
Démarrage rare
Pb Prévention
Cc peu probable
Plusieurs 3 2 1
Pa Prévention
décès
Fb Exposition possible
fréquente
Pb Prévention
Fa Exposition
peu probable
rare 4 3 2
Cd
Pa Prévention
Nombreux
possible
décès Fb Exposition
fréquente
Pb Prévention 5 4 3
peu probable
Figure 29 : graphique de risque type
Dès le début, les conséquences des dangers sont déterminées en premier lieu, à savoir Ca,
Cb, Cc ou Cd.
Ensuite, la fréquence ou l’exposition de la personne courant le plus grand risque du fait du

danger doit être estimée et un choix doit être réalisé entre une exposition rare (Fa) ou une
exposition fréquente (Fb). En général, si la personne courant le plus grand risque a une
probabilité de 10 % ou moins d’être dans la plage des effets dangereux, l’exposition rare
peut être sélectionnée. Sinon, l’exposition peut être considérée comme fréquente.
En se déplaçant sur le graphique de risque, si la personne exposée au risque est en

mesure d’éviter le danger, par ex. en s’échappant, en étant alertée ou en étant protégée
par un dispositif ou autre, nous pouvons dire qu’il est possible d’éviter le danger et que
cette option est sélectionnable sur le graphique de risque. Sinon, nous devons partir
62
PROCESS SAFEBOOK 1
Graphiques de risque
du principe qu’il sera peu probable d’éviter le danger et, à un moment donné, nous
arriverons à l’une des lignes des colonnes à droite du graphique de risque.
Enfin, nous devons sélectionner la probabilité que le danger se concrétise en sélectionnant

la colonne W3 (probabilité relativement élevée de survenance), W2 (légère probabilité de
survenance) ou W1 (très légère probabilité de survenance). Au point de croisement de la
ligne et de la colonne sélectionnées, nous pouvons lire le niveau SIL nécessaire.
7.2. Exemple
Prenons l’exemple suivant : une cuve de stockage de pétrole peut déborder et dégager
des vapeurs susceptibles de s’enflammer, avec comme conséquence plusieurs décès sur
le site. Nous avons évalué la fréquence des opérations de remplissage et décidé que la
probabilité de la survenance du danger pourrait être W1 (probabilité très faible). Il n’y a
aucun moyen pour les employés de l’usine d’éviter le danger si celui-ci se concrétise.
Le personnel de l’usine est sur site très rarement pour les activités de maintenance,
lesquelles durent généralement moins d’une heure par jour. La figure 30 montre une
possibilité d’utilisation du graphique de risque pour obtenir un niveau SIL1 cible.
W3 W2 W1
Ca a -- --
Blessure grave
Pa Prévention 1 a --
possible
Fa Exposition
rare
Cb Pb Prévention
Blessure grave, peu probable
un décès 2 1 a
Fb Exposition Pa Prévention
fréquente possible
Fa Exposition
Démarrage rare
Pb Prévention
Cc peu probable
Plusieurs 3 2 1
Pa Prévention
décès
Fb Exposition possible
fréquente
Pb Prévention
Fa Exposition
peu probable
rare 4 3 2
Cd
Pa Prévention
Nombreux
possible
décès Fb Exposition
fréquente
Pb Prévention 5 4 3
peu probable
Figure 30 : exemple d’utilisation de graphique de risque
Dans cet exemple, la fonction de sécurité pourrait être un système de coupure sur niveau
haut, lequel ferme la vanne d’arrivée de la cuve. Son niveau cible serait SIL1.
63
PROCESS SAFEBOOK 1
Toutefois, le graphique de risque conventionnel peut être subjectif et pourrait être grevé
par un problème d’interprétation des paramètres de risque. Ainsi, il peut aboutir à des
résultats incohérents et donc à des niveaux SIL cible pessimistes.
Sur le graphique de risque illustré, certaines des cases de niveau SIL cible ont le libellé
« a » et « b ». Les termes SILa et SILb sont parfois employés dans le secteur industriel,
même s’ils ne figurent pas dans la norme. SILa signifie généralement qu’une certaine
réduction du risque doit être fournie, mais que le facteur de réduction du risque ne
doit pas nécessairement être aussi élevé que SIL1. En d’autres termes, avec une
probabilité PFD entre 1 (pas de réduction du risque) et 0,1, le niveau SIL1 est requis. Notez
que certaines organisations peuvent faire référence à « SILa » comme « (SIL1) ».
SILb est affiché au-dessus de SIL4. En général, si vous avez une prescription SIL4, il est
recommandé de passer en revue le procédé car il est tout simplement trop dangereux.
Une prescription SILb indique un danger encore plus élevé.
7.3. Exemple
La figure 31 montre un exemple de graphique de risque similaire à ceux employés dans

l’industrie des procédés et qui illustre certains problèmes potentiels liés à l’interprétation
des paramètres de risque.
Taux de sollicitation
Gravité des Exposition du Alternatives à la
Moyen
Faible
Élevé
conséquences personnel prévention du danger
Blessure mineure
-- -- --
Prévention possible
Faible exposition 1 -- --
Prévention peu
Blessure grave ou probable
un décès 2 1 --
Exposition élevée 2 1 1
Prévention peu
probable
3 2 1
Faible exposition
Plusieurs décès 3 3 2
Exposition élevée
NR 3 3
Catastrophique
NR NR NR
-- = Pas de caractéristiques spéciales requises
NR = Non recommandé Catégories de prescription
Élevé = 0,5 – 5 pa
Moyen = 0,05 – 0,5 pa
Faible < 0,05 pa
Figure 31 : graphique de risque de l’industrie des procédés
64
PROCESS SAFEBOOK 1
Le principe d’utilisation est exactement le même que pour le graphique de risque illustré
sur la figure 29 mais, dans ce cas, certaines directives sont fournies pour l’estimation du
taux de sollicitation.
Si, par exemple, un danger peut aboutir à de nombreux décès, avec une exposition rare
et un taux de sollicitation de 0,05/an, le taux de sollicitation se trouve quelque part entre
les catégories ‘faible’ et ‘moyen’, et une décision doit être prise concernant le choix de la
colonne. Une approche prudente résulterait en un niveau cible SIL3 (cf. la figure 32).
Taux de sollicitation
Gravité des Exposition du Alternatives à la
Moyen
Faible
Élevé
conséquences personnel prévention du danger
Blessure mineure
-- -- --
Faible exposition 1 -- --
Prévention peu
Blessure grave ou probable
un décès 2 1 --
Exposition élevée 2 1 1
Prévention peu
probable
3 2 1
Faible exposition
Multiple Fatalities 3 3 2
Exposition élevée
NR 3 3
Catastrophique
NR NR NR
Catégories de prescription
Figure 32 : exemple d’utilisation de graphique de risque
Une interprétation moins prudente aurait donné un niveau cible SIL2.
7.4. Exemple
La figure 33 présente un exemple de matrice de risque type. Les colonnes P, A, E et R

fournissent des descriptions de conséquences possibles de dangers, les fréquences de
survenance sont décrites en termes qualitatifs et les niveaux SIL cible correspondent aux
intersections entre les lignes et les colonnes.
65
PROCESS SAFEBOOK 1
A D
P A E R < 0,01/an < 0,05/an < 0,25/an > 2/an > 2/an
Personnes Actif Environne- Réputation
ment A B C D E
Jamais Jamais Déjà survenu Se produit Se produit
entendu survenu dans puslieurs puslieurs
parler dans dans l’entreprise fois/an fois/an
le secteur le secteur dans dans
l’entreprise l’installation
Pas de Pas de Pas d’effet Pas d’effet
blessure dommage (SIL1)
E
Blessure Dommage Effet Légère
légère léger léger incidence (SIL1) SIL1
(< 1/an) (< 10 000 $) F
Blessure Dommage Effet Incidence
mineure mineur mineur mineure (SIL1) SIL1 SIL2
(< 1E-01/an) (< 100 000 $)
majeure majeur localisé considérable (SIL1) SIL1 SIL2 SIL3
(< 1E-02/an) (< 500 000 $)
Décès Dommage Effet Incidence
unique majeur majeur nationale (SIL1) SIL1 SIL2 SIL3 N/A
B
(< 1E-03/an) (< 10 millions $)
Plusieurs Dommages Effet Incidence
décès C étendus massif inter- SIL1 SIL2 SIL3 N/A N/A
(< 1E-04/an) (> 10 millions $) nationale
Figure 33 : exemple d’utilisation de matrice de risque
Cette approche semble simple et utile, mais elle recèle des problèmes potentiels si
certaines précautions ne sont pas prises.
A : les fréquences de survenance doivent être quantifiées d’une manière qui soit
non seulement cohérente avec la description, mais aussi qui aboutisse au
niveau SIL cible correct.
B : « Jamais entendu parler dans le domaine » peut être évalué en supposant par
exemple 5000 usines fonctionnant plus de 20 ans, lesquelles pourraient avoir
une fréquence de < 10-5/an et non de < 10-2/an comme illustré. Avec un risque
tolérable maximum < 10-4/an, il n’y aurait pas de niveau SIL cible.
C : les fréquences de risque tolérable maximum doivent être appropriées. Une

valeur < 10-3/an pour un seul décès est trop élevée et résultera à un niveau SIL
cible optimiste, ainsi qu’à une réduction inappropriée du risque.
D : pour que les niveaux SIL cible soient incrémentés par ligne et par colonne,
comme illustré sur la figure 33, les fréquences de survenance doivent aussi
augmenter considérablement entre chaque colonne.
66
PROCESS SAFEBOOK 1
E : le niveau SIL cible (SIL1) signifie qu’une certaine réduction du risque est
nécessaire, mais qu’il n’y a pas de conséquence. Aucune protection n’est
nécessaire en l’absence d’événement dangereux.
F : enfin, pour les catégories commerciales, la fréquence de survenance des

dommages aux actifs doit être réaliste et cohérente avec le coût
d’implémentation de la fonction instrumentée de sécurité (SIF) requise.
Par conséquent, la matrice de risque nécessite un étalonnage et l’approche suivante est

suggérée (cf. la figure 34).
P A E R < 1E-04/an < 1E-03/an < 1E-02/an < 0,1/an > 0,1 /an
Personnes Actif Environne- Réputation
ment A B C D E
Jamais Jamais Déjà survenu Se produit Se produit
entendu survenu dans plusieurs plusieurs
parler dans dans l’entreprise fois/an fois/an
le secteur le secteur dans dans
l’entreprise l’installation
Pas de Pas de Pas d’effet Pas d’effet
blessure dommage
Blessure Dommage Effet Légère

légère léger léger incidence (SIL1) SIL1
< 0,1/an (< 10 000 $)
mineure mineur mineur mineure (SIL1) SIL1 SIL2
(< 1E-02/an) (< 100 000 $)
grave majeur localisé considérable (SIL1) SIL1 SIL2 SIL3
(< 1E-03/an) (< 500 000 $)
Décès Dommage Effet Incidence
unique majeur majeur nationale (SIL1) SIL1 SIL2 SIL3 N/A
(< 1E-04/an) (< 10 millions $)
Plusieurs Dommages Effet Incidence
décès étendus massif inter- SIL1 SIL2 SIL3 N/A N/A
(< 1E-05/an) (> 10 millions $) nationale
Figure 34 : étalonnage de matrice de risque
7.5. Résumé
Les graphiques de risque et les matrices de risque peuvent être très utiles, en particulier
comme technique rapide initiale de filtrage de tous les niveaux SIL à l’exception des
niveaux les plus élevés, à savoir SIL2 et au-dessus. Néanmoins, un étalonnage soigneux
des techniques employées doit éviter des résultats incorrects découlant de certains des
chausse-trappes illustrés ici.
67
PROCESS SAFEBOOK 1
8. Méthode LOPA (Layer of Protection Analysis)

8.1. Introduction
L’analyse des couches de protection ou LOPA (Layer of Protection Analysis) est une
méthode structurée pour calculer l’objectif de réduction du risque et les niveaux SIL cible.
L’analyse LOPA se déroule de manière similaire à une étude HAZOP.
Les dangers potentiels sont généralement identifiés au moyen de l’approche HAZOP [3]
et sont importés dans les fiches LOPA, afin de maintenir un lien traçable entre les deux
analyses allant de l’identification des risques jusqu’à la prescription de réduction du
risque et au niveau SIL cible. L’analyse LOPA peut être réalisée sous forme d’extension de
la réunion HAZOP car il existe une progression naturelle de l’une à l’autre.
8.2. Équipe d’étude LOPA
Il est important que l’équipe LOPA soit constituée de personnes qui apportent à l’étude
le meilleur équilibre possible entre les connaissances et l’expérience sur le type d’usine
envisagé. Une équipe LOPA type sera constituée comme suit :
Nom Rôle
Président Explique le processus LOPA, dirige les discussions et facilite l’étude

LOPA. Personne ayant une bonne expérience de la méthode LOPA,
mais pas directement impliquée dans la conception, afin de garantir
le respect scrupuleux de la méthode.
Secrétaire Consigne les discussions de la réunion LOPA et fournit une analyse
en ligne des niveaux SIL cible. Consigne les recommandations ou
actions.
Ingénieur de procédé Généralement l’ingénieur responsable de l’organigramme des
opérations de procédé et de l’élaboration des diagrammes de
tuyauterie et d’instrumentation (P&ID).
Utilisateur/opérateur Fournit des conseils sur l’utilisation et l’opérabilité du procédé, ainsi
que sur l’incidence d’écarts.
Spécialiste C&I Personne ayant les connaissances techniques adaptées en
commandes et instrumentation.
Technicien de Personne chargée de la maintenance du procédé.
maintenance
Représentant de l’équipe Fournit des détails relatifs à la conception ou des informations
de conception supplémentaires.
68
PROCESS SAFEBOOK 1
Méthode LOPA (Layer of Protection Analysis)
8.3. Informations utilisées dans l’étude LOPA
Les éléments suivants doivent être consultables par l’équipe LOPA :
• Diagrammes P&ID pour l’installation ;

• Documentation de philosophie ou de description de procédé ;
• Procédures de fonctionnement et de maintenance existantes ;
• Plans d’aménagement d’usine.
8.4. Détermination des niveaux SIL cible
La technique LOPA, telle que décrite dans le document AIChE Centre for Chemical Process
Safety, Layer of Protection Analysis, 2001 [19.4], peut servir à établir les niveaux SIL cibles.
L’analyse LOPA considère les dangers identifiés par d’autres moyens, par ex. étude HAZOP,
mais elle peut être réalisée dans le cadre d’une réunion HAZOP, afin d’évaluer chaque
danger au fur et à mesure de leur identification.
L’équipe LOPA passe en revue chaque danger identifié et documente les causes
déclenchantes ainsi que les couches de protection qui préviennent ou atténuent le
danger. La quantité totale de réduction du risque est ensuite déterminée, et le besoin
d’une réduction du risque supplémentaire est analysé. Si une protection supplémentaire
doit être fournie sous la forme d’un SIS, la méthodologie doit permettre la détermination
du niveau SIL approprié et de la probabilité PFD requise.
Le processus LOPA est enregistré sur les fiches LOPA, lesquelles permettent de quantifier
les événements déclencheurs et leurs fréquences, ainsi que de revendiquer la réduction
du risque fournie par les couches de protection indépendantes. Les intitulés de fiche sont
décrits dans les sections suivantes et un exemple d’analyse LOPA est fourni [8.5].
8.5. Exemple d’analyse LOPA
En considérant l’exemple de récipient sous pression [3.7], il est possible d’importer les
dangers identifiés dans la fiche LOPA et d’analyser les risques.
8.6. Fiches LOPA
8.6.1. Introduction
Les sections suivantes présentent les intitulés des fiches et fournissent des directives
concernant la quantification.
Un exemple de fiche LOPA est présenté dans ce chapitre.
69
PROCESS SAFEBOOK 1
8.6.2. ID/réf. de danger
Fournit un identifiant pour chaque danger. Dans l’exemple, le danger envisagé pour
l’analyse a la réf. 1.10 : Pression élevée dans le récipient. Cette référence fournit une
traçabilité ascendante avec d’autres études, dans notre cas, l’étude HAZOP, et à mesure
de l’avancement du projet, elle fournira une traçabilité descendante avec l’allocation
de fonction SIF et la vérification SIL.
8.6.3. Description d’événement (danger)
Fournit une description du danger potentiel identifié.
8.6.4. Conséquence
Décrit la conséquence du danger. Dans l’exemple LOPA, nous avons analysé les
conséquences du danger en termes de sécurité du personnel, de risques pour
l’environnement et aussi de risques pour l’actif, à savoir de risques commerciaux.
8.6.5. Catégorie de gravité (Cat. grav.)
La gravité des conséquences documentées peut être classée et dérivée à partir d’un
tableau de classification des risques, par exemple le tableau 5.
8.6.6. Risque tolérable maximum (MTR)
La fréquence tolérable maximum de la conséquence du danger, telle qu’elle est appliquée

à la sécurité du personnel, mais généralement aussi à l’environnement, à la réputation de
l’organisation, aux dommages potentiels à l’environnement, ainsi qu’à la réputation de
l’entreprise et aux coûts commerciaux résultant de dommages aux actifs, de la perte de
chiffre d’affaires ou de la sécurité des approvisionnements. Les fréquences tolérables
maximum employées doivent être en phase avec les directives du HSE, par ex. R2P2 [19.3]
pour la sécurité.
Toutefois, les fréquences tolérables maximum pour les risques touchant à l’environnement,
à la réputation et aux aspects commerciaux doivent être une décision de l’entreprise. Le
tableau 5 présente des valeurs types utilisables.
70
PROCESS SAFEBOOK 1
Conséquence Cat. Fréquence Description de conséquence

grav. cible de
risque (/an) Sur site Hors site
Personnes P1 1,0E-01 Traitement médical ou blessures entraînant Traitement médical ou blessures entraînant
(sécurité) des limitations dans le travail pour un employé des limitations dans le travail (tiers)
P2 1,0E-02 Accident entraînant des jours d’absence Accident entraînant des jours d’absence de
d’employé, mais sans effet permanent tiers, mais sans effet permanent
P3 1,0E-03 Effet permanent pour employé Pas d’effets permanents
P4 1,0E-04 Décès d’un employé et/ou plusieurs invalidités Effets permanents (tiers)
permanentes
P5 1,0E-05 Plusieurs décès d’employés (2 – 10) Décès d’un tiers et/ou de nombreuses
invalidités permanentes
P6 1,0E-06 De nombreux décès d’employés (plus de 10) Plusieurs décès de tiers
Environnement E1 1,0E-01 Pas de déclaration aux autorités, mais Pas de déclaration aux autorités, mais
nettoyage nécessaire nettoyage mineur nécessaire. (par ex.,
déversement de 1 – 100 litres avec
déploiement de kit)
E2 1,0E-02 Déclaration aux autorités, mais pas de Déclaration aux autorités, mais pas de
conséquences environnementales conséquences environnementales. (Par ex.
déversement de > 100 litres dans les locaux de
client avec bac de rétention/enceinte)
E3 1,0E-03 Pollution modérée dans les limites du site Pollution modérée nécessitant des travaux
d’assainissement (par ex. site avec panache de
fumée, mais restant opérationnel)
E4 1,0E-04 Pollution importante dans les limites du site. Pollution importante extérieure au site.
Évacuation des personnes/fermeture temp. du Évacuation des personnes. (par ex.,
site OU pollution importante extérieure au site. déversement hors site au niveau d’une
Évacuation des personnes. (par ex., déversement station-service)
hors site au niveau d’une station-service)
E5 1,0E-05 Voir les conséquences hors site Pollution importante avec conséquences
environnementales réversibles extérieures
au site. (par ex., accident environnemental
majeur)
E6 1,0E-06 Voir les conséquences hors site Pollution majeure durable extérieure au site
et/ou perte complète de la vie aquatique
(par ex., perte de cargaison de navire)
Coût C1 1,0E-01 Perte < 10 000 € N/A
C2 1,0E-02 Perte 10 000 € < 100 000 € N/A
C3 1,0E-03 Perte 100 000 € < 1,0 million € N/A
C4 1,0E-04 Perte 1,0 million € < 10 millions € N/A
C5 1,0E-05 Perte 10 millions € < 100 millions € N/A
C6 1,0E-06 Perte ≥ 100 millions € N/A
Réputation R1 1,0E-01 Pas de publicité. Population locale affectée. N/A
R2 1,0E-02 Presse locale N/A
R3 1,0E-03 Presse nationale N/A
R4 1,0E-04 Télévision nationale N/A
R5 1,0E-05 Presse internationale N/A
R6 1,0E-06 Télévision internationale N/A
Tableau 5 : Critères de risque
71
PROCESS SAFEBOOK 1
Notez qu’en cas d’application à la sécurité individuelle, cela représente la fréquence

d’exposition à un danger pour une personne courant le plus grand risque.
8.6.7. Cause déclenchante
Répertorie les causes identifiées du danger. Ces causes sont déterminées pendant la
réunion LOPA à partir de l’expérience des personnes présentes. Dans l’exemple de danger
de surpression, les causes déclenchantes potentielles, leurs fréquences de survenance et
la source des données sont présentées au tableau 6. L’analyse LOPA doit ainsi fournir une
visibilité concernant toutes les données en présentant l’ensemble des événements
déclencheurs et fréquences, avec la référence aux sources de données.
Cause déclenchante Vraisemblance de Source de données

déclenchement (pa)
Le SNCC ne parvient pas à réguler la pression. 1,65E-02 Exida 2007, élément x.x.x
Le détecteur de niveau de liquide LL101 subit une défaillance et lit un 1,10E-02 Exida 2007, élément x.x.x
niveau bas.
Le transmetteur TT100 subit une défaillance et lit une température basse. 2,68E-03 Exida 2007, élément x.x.x
Le transmetteur PT102 subit une défaillance et lit une pression faible. 8,58E-04 Exida 2007, élément x.x.x
Défaillance de vanne FCV102 de sortie de gaz en position fermée. 1,01E-02 Oreda 2002, élément x.x.x
Défaillance de vanne FCV100 de gaz combustible en position ouverte. 1,01E-02 Oreda 2002, élément x.x.x
Défaillance de vanne XV102 de sortie de liquide en position fermée. 2,89E-03 Oreda 2002, élément x.x.x
Défaillance de vanne XV102 d’arrivée de liquide en position ouverte. 2,89E-03 Oreda 2002, élément x.x.x
Tableau 6 : Événements déclencheurs et fréquences
8.6.8. Vraisemblance de déclenchement (/an), colonne [a]
Quantifie le taux de survenance escompté de la cause déclenchante. Ce taux peut être

estimé sur la base de l’expérience des personnes présentes et de toute information
historique disponible, ou il peut être dérivé de sources appropriées de taux de
défaillances [14.6].
Les événements déclencheurs et leurs fréquences de survenance pour l’exemple sont

présentés au tableau 6.
Lorsque les vraisemblances de déclenchement sont basées sur des facteurs humains tels
qu’une erreur d’un opérateur, l’estimation peut devenir un défi. Une technique consiste à
baser l’estimation sur la fréquence d’opportunités d’erreurs d’un opérateur et de factoriser
cet aspect par la probabilité qu’il commette une erreur dangereuse.
72
PROCESS SAFEBOOK 1
Par exemple, supposons qu’un opérateur déclenche une surpression dans un gazoduc en
fermant une vanne. Normalement, l’opérateur ouvre une vanne de dérivation avant de
fermer la vanne principale et il le fait chaque mois. La fréquence de base λB pour cette
activité est, par conséquent, 12 par an (une fois par mois).
Nous pouvons partir du principe que l’opérateur est bien formé, qu’il accomplit une tâche
de routine et qu’il n’est pas soumis à un stress. Par conséquent, nous pouvons estimer la
probabilité qu’il commette une erreur, PE, par ex. qu’il omette d’ouvrir la vanne de dérivation,
à 1 %. La fréquence d’événement déclencheur λINIT peut être estimée comme suit :
λINIT = λB x PE
λINIT = 12 x 1 %/an
λINIT = 0,12/an
En général, nous pouvons effectuer un contrôle de sensibilité sur ces données en

demandant aux participants de l’analyse LOPA s’ils ont une expérience de survenance
d’un tel événement ou s’ils estiment que la fréquence est raisonnable. Une fréquence
de 0,12/an équivaut à une erreur tous les 8 ans.
8.6.9. Modificateurs conditionnels
Distribution de tailles de fuite, colonne [b]
Dans cet exemple, les conséquences potentielles du danger de surpression se

concrétiseront uniquement si la condition de pression aboutit à une rupture de récipient.
Nous pourrions faire valoir que la majorité des conditions de surpression entraîneraient
une perte de confinement ou une fuite mineure, par exemple, au niveau d’une bride.
Dans l’exemple, l’équipe LOPA a estimé que 10 % des événements déclencheurs
aboutiraient aux conséquences.
Probabilité d’inflammation, colonne [c]
Pour les conséquences potentielles en termes de sécurité et au niveau commercial, il faut

une inflammation du gaz relâché. Dans cet exemple, nous avons fait référence à une
étude de sécurité incendie qui a prédit une probabilité d’inflammation de 75 %, au vu du
scénario de rupture importante. Ce faisant, pour les conséquences en matière de sécurité,
nous pouvons revendiquer 0,75 comme modificateur conditionnel et la fréquence
d’événements déclencheurs sera réduite de ce facteur.
Pour ce qui est des conséquences environnementales, aucune réduction du risque ne

peut être revendiquée puisque l’inflammation n’est pas nécessaire pour les conséquences.
73
PROCESS SAFEBOOK 1
Conception à usage général, colonne [d]
Un exemple de conception à usage général sera un tuyau gainé capable de fournir une
certaine protection en matière de perte de confinement. Dans l’exemple, la conception
à usage général n’a pas été prise en compte car il n’existe pas de caractéristiques de
conception spécifiques fournissant une réduction du risque.
8.6.10. Couches de protection indépendantes (IPL)
Chaque couche de protection est constituée d’un groupe d’équipements et/ou de

commandes administratives qui fonctionnent de concert avec les autres couches.
Le niveau de protection fourni par chaque couche de protection indépendante (IPL,

Independant Protection Layer) est quantifié par la probabilité qu’elle échouera à assurer
la fonction spécifiée sur sollicitation, autrement dit par sa PFD, qui est un nombre sans
dimension entre 0 et 1. Plus la valeur de la probabilité PFD est petite, plus grand est le
facteur de réduction du risque appliqué en tant que facteur modificateur à la
vraisemblance de déclenchement calculée [8.6.8]. Ainsi, si aucune couche IPL n’est
revendiquée, un « 1 » est saisi sur la fiche LOPA.
Dans l’exemple, les couches IPL revendiquées dans les colonnes [e] à [h] peuvent être
personnalisées en fonction de l’application. Des couches IPL types ont été présentées.
Système de contrôle de procédé de base (BPCS), colonne [e].
Une prise en compte peut être revendiquée si une boucle de contrôle dans le système
BPCS (SNCC) empêche la concrétisation du danger découlant d’une cause déclenchante
potentielle. Dans l’exemple, pour certaines causes déclenchantes, par ex. défaillance de
vanne d’arrivée de liquide XV102 en position ouverte, le système BPCS (SNCC) peut
compenser ce défaut en ouvrant la vanne de sortie de liquide et en empêchant la montée
du niveau. Une probabilité PFD de 0,1 a été revendiquée, ce qui signifie que le SNCC
empêchera la survenance des conséquences pour 9 événements sur 10.
Une probabilité PFD de 0,1 est généralement la réduction du risque la plus grande
pouvant être revendiquée pour un système sans niveau SIL. Cela tient au fait que le SNCC
peut être réglé manuellement, qu’il n’y a généralement pas de contrôle strict des réglages
de point de déclenchement et que les tests ne sont pas aussi rigoureux que pour un SIS.
Alarmes indépendantes, colonne [f ].
Les alarmes indépendantes du système BPCS peuvent être revendiquées lorsqu’elles

alertent l’opérateur et utilisent l’action de ce dernier. Pour être revendiquée, l’alarme doit
74
PROCESS SAFEBOOK 1
être réellement indépendante du système BPCS et de la fonction SIF, et l’opérateur doit

pouvoir répondre à l’alarme et prendre des mesures visant à rendre le procédé sûr dans le
délai de processus de sécurité.
En général, une probabilité PFD de 0,1 peut être revendiquée pour les alarmes
indépendantes. Dans cet exemple, aucune prise en compte n’a été revendiquée.
8.6.11. Atténuation supplémentaire
Occupation, colonne [g].
Accès – Les couches d’atténuation peuvent inclure l’occupation, à savoir la proportion

de temps qu’un opérateur est exposé à un danger, ainsi que l’accès restreint aux zones
dangereuses. Dans cet exemple, une occupation basée sur une équipe travaillant 8 heures
a été revendiquée.
Autre atténuation : colonne [h].
Les autres formes d’atténuation suivantes peuvent être disponibles :
• Physique – Les couches d’atténuation peuvent être des barrières physiques

qui assurent une protection contre le danger une fois celui-ci déclenché. Des
exemples peuvent être des dispositifs de décompression et des bacs de
rétention.
• Action opérateur – La détection et les inspections à intervalles réguliers
peuvent être revendiquées, à condition que l’opérateur puisse prendre les
mesures appropriées.
Dans cet exemple, aucune prise en compte n’a été revendiquée.
8.6.12. Vraisemblance d’événement de niveau intermédiaire
La vraisemblance d’événement intermédiaire est calculée en multipliant la vraisemblance

de déclenchement par les probabilités PFD des couches de protection. Le nombre calculé
est exprimé en unités d’événements par année. La vraisemblance de niveau intermédiaire
totale indique le taux de sollicitation pour n’importe quelle fonction instrumentée de
sécurité (SIF) proposée.
8.6.13. PFD nécessaire de SIS
Le calcul est effectué en comparant le risque tolérable maximum λMTR et la

vraisemblance d’événement de niveau intermédiaire ou la fréquence de danger λHAZ.
PFD = λMTR/λHAZ
75
PROCESS SAFEBOOK 1
8.6.14. SIL nécessaire de SIS
Est obtenu à partir du tableau 7 et correspond à la probabilité PFD requise du SIS.
Niveau SIL Mode sollicitation Probabilité Mode continu

de défaillance sur sollicitation Taux de défaillances par heure
SIL4 ≥ 10-5 à < 10-4 ≥ 10-9 à < 10-8
SIL3 ≥ 10-4 à < 10-3 ≥ 10-8 à < 10-7
SIL2 ≥ 10-3 à < 10-2 ≥ 10-7 à < 10-6
SIL1 ≥ 10-2 à < 10-1 ≥ 10-6 à < 10-5
Tableau 7 : PDF et taux de défaillances spécifiés de SIL
Il convient de noter que la probabilité PFD et le taux de défaillances pour chaque SIL
dépendent du mode de fonctionnement prévu du SIS, par rapport à la fréquence des
sollicitations de celui-ci [8.6.12].
Les fiches LOPA suivent.
76
ID/Réf. Description Description Conséquence Catégorie Risque Cause déclenchante Vraisem- Distribution Probabilité Conception Couches de protection indépendantes Vraisem- PFD SIL Commentaires/hypothèses
de zone d’événement de gravité tolérable blance de tailles d’inflam- à usage blance requise requis
BPCS Alarmes Atténuation Atténuation
(danger) maximum de déclen- de fuite mation général supplémentaire, d’événement SRS SRS
[SNCC] indépendan- supplémen-
(pa) chement (conception par ex. murs de niveau
tes taire : coupe-feu/
(pa) nominale) intermédiaire
Occupation procédures
opérationnelles/ (pa)
(Niveaux
limiteurs de
d’effectifs) pression
[a] [b] [c] [d] [e] [f] [g] [h]
[a] Fait référence aux données

d’événement déclencheur.
[b] L’équipe LOPA estime la
probabilité d’une fuite
importante (rupture) à 10 %.
[c] L’étude de risque d’incendie
estime la probabilité
d’inflammation à 75 %.
[d] Pas de prise en compte des
caractéristiques de conception.
Le SNCC ne parvient pas 1,65E-02 0,10 0,75 0,33 4,13E-04 [e] Le SNCC est la cause
à réguler la pression. déclenchante, par conséquent
pas de prise en compte du
SNCC.
[f] Pas d’alarmes indépendan-
tes disponibles. Pas de prise en
compte.
[g] Zone de récipient avec
personnel 8 h par jour.
[h] Pas de limiteur de pression.
Pas de prise en compte.
Le transmetteur PT102
subit une défaillance et 8,58E-04 0,10 0,75 0,33 2,15E-05 Comme ci-dessus.
Sécurité :
La pression lit une pression faible
Le gaz libéré
77
élevée provoque s’enflamme
1,10 Récipient une rupture du P5 1,00E-05
sur le brûleur Défaillance de vanne 1,87E-02 SIL1 Comme ci-dessus sauf :
récipient et un et au contact [e] Le SNCC peut compenser
XV102 d’arrivée de
rejet de gaz. des surfaces 2,89E-03 0,10 0,75 0,10 0,33 7,23E-06 les défaillances de vanne
liquide en position
chaudes. ouverte. d’arrivée. PFD estimée = 0,1.
Décès possible
de deux
techniciens de Défaillance de vanne
maintenance. FCV102 de sortie de gaz 1,01E-02 0,10 0,75 0,10 0,33 2,52E-05 Comme ci-dessus.
en position fermée.
Défaillance de vanne
XV102 de sortie de 2,89E-03 0,10 0,75 0,10 0,33 7,23E-06 Comme ci-dessus.
liquide en position
fermée.
Le transmetteur TT100
subit une défaillance et 2,68E-03 0,10 0,75 0,10 0,33 6,70E-06 Comme ci-dessus.
lit une température basse
FCV100 de gaz
1,01E-02 0,10 0,75 0,10 0,33 2,52E-05 Comme ci-dessus.
combustible en position
ouverte.
Le détecteur de niveau
de liquide LL101 subit
1,10E-02 0,10 0,75 0,10 0,33 2,74E-05 Comme ci-dessus.
une défaillance et lit
un niveau bas.
5,34E-04
PROCESS SAFEBOOK 1
ID/Réf. Description Description Conséquence Catégorie Risque Cause déclenchante Vraisem- Distribution Probabilité Conception Couches de protection indépendantes Vraisem- PFD SIL Commentaires/hypothèses
de zone d’événement de tolérable blance de tailles d’inflam- à usage blance requise requis
BPCS Alarmes Atténuation Atténuation
(danger) gravité maximum de déclen- de fuite mation général supplémentaire, d’événement SRS SRS
[SNCC] indépendan- supplémen-
(pa) chement (conception par ex. murs de niveau
tes taire : coupe-feu/
(pa) nominale) intermédiaire
opérationnelles/ (pa)
(Niveaux
limiteurs de
[a] [b] [c] [d] [e] [f] [g] [h]

probabilité d’une fuite
importante (rupture) à 10 %.
[c] Inflammation non requise
Pas de réduction du risque prise
en compte
PROCESS SAFEBOOK 1
[d] Pas de prise en compte de

Le SNCC ne parvient 1,65E-02 0,10 1,65E-03 [e] Le SNCC est la cause
pas à réguler la pression. déclenchante, par conséquent
pas de prise en compte du SNCC.
[f] Pas d’alarmes indépendantes
disponibles. Pas de prise en
compte.
[g] Risque pour l’environnement
24 h/24. Pas de prise en compte
de réduction de risque. 8 h
par jour.
[h] Pas de limiteur de pression.
Pas de prise en compte.
78
subit une défaillance et 8,58E-04 0,10 8,58E-05 Comme ci-dessus.
Environnement :
Rupture de
élevée provoque récipient, rejet
1,10 Récipient une rupture du E2 1,00E-02
de gaz, pas Aucune Aucune
récipient et un Défaillance de vanne Comme ci-dessus sauf :
d’inflammation.
rejet de gaz. XV102 d’arrivée de 2,89E-03 0,10 0,10 2,89E-05 [e] Le SNCC peut compenser
Rejet sur
liquide en position les défaillances de vanne
site. Nettoyage
ouverte. d’arrivée. PFD estimée = 0,1.
et déclaration
aux autorités
nécessaire, mais Défaillance de vanne
pas de FCV102 de sortie de gaz 1,01E-02 0,10 0,10 1,01E-04 Comme ci-dessus.
conséquence en position fermée.
environnemen-
tale. Défaillance de vanne
XV102 de sortie de
2,89E-03 0,10 0,10 2,89E-05 Comme ci-dessus.
liquide en position
fermée.
Le transmetteur TT100
subit une défaillance et 2,68E-03 0,10 0,10 2,68E-05 Comme ci-dessus.
FCV100 de gaz
ouverte.
une défaillance et lit un
niveau bas.
2,14E-03
ID/Réf. Description Description Conséquence Catégorie Risque Cause déclenchante Vraisem- Distribution Probabilité Conception Couches de protection indépendantes Vraisemblance PFD SIL Commentaires/hypothèses
de zone d’événement de tolérable blance de de tailles d’inflamm- à usage d’événement requise requis
BPCS Alarmes Atténuation Atténuation de niveau
(danger) gravité maximum déclenche- de fuite ation général supplémentaire, SRS SRS
[SNCC] indépendan- supplémen- intermédiaire
(pa) ment (conception par ex. murs
tes taire : coupe-feu/ (pa)
(pa) nominale)
(Niveaux opérationnelles/
limiteurs de
[a] [b] [c] [d] [e] [f] [g] [h]

probabilité d’une fuite importante
(rupture) à 10 %.
[c] L’étude de risque d’incendie
estime la probabilité
d’inflammation à 75 %.
[d] Pas de prise en compte des
Le SNCC ne parvient 1,65E-02 0,10 0,75 1,24E-03 [e] Le SNCC est la cause
pas à réguler la pression. déclenchante, par conséquent
pas de prise en compte du SNCC.
[f] Pas d’alarmes indépendantes
disponibles. Pas de prise en
compte.
[g] Zone de récipient avec
personnel 8 h par jour.
[h] Pas de limiteur de
pression. Pas de prise en compte.
subit une défaillance et 8,58E-04 0,10 0,75 6,44E-05 Comme ci-dessus.
Commercial :
79
Rupture de
élevée provoque récipient, rejet
1,10 Récipient une rupture du C5 1,00E-05
de gaz, Défaillance de vanne 6,24E-03 SIL2
récipient et un Comme ci-dessus sauf :
inflammation et XV102 d’arrivée de
rejet de gaz. 2,89E-03 0,10 0,75 0,10 2,17E-05 [e] Le SNCC peut compenser
endommage- liquide en position les défaillances de vanne
ment de l’actif. ouverte. d’arrivée. PFD estimée = 0,1.
Dommages
aux équipe- Défaillance de vanne
ments FCV102 de sortie de gaz 1,01E-02 0,10 0,75 0,10 7,56E-05 Comme ci-dessus.
nécessitant en position fermée.
le remplacement
du récipient Défaillance de vanne
estimés XV102 de sortie de
à 10 millions € 2,89E-03 0,10 0,75 0,10 2,17E-05 Comme ci-dessus.
liquide en position
et arrêt de fermée.
production
pendant 1 année Le transmetteur TT100
subit une défaillance et 2,68E-03 0,10 0,75 0,10 2,01E-05 Comme ci-dessus.
FCV100 de gaz
1,01E-02 0,10 0,75 0,10 7,56E-05 Comme ci-dessus.
ouverte.
1,10E-02 0,10 0,75 0,10 8,21E-05 Comme ci-dessus.
une défaillance et lit
un niveau bas.
1,60E-03
PROCESS SAFEBOOK 1
PROCESS SAFEBOOK 1
8.6.15. Résultats d’analyse LOPA
Les résultats du tableau 8 montrent que le danger de surpression a des conséquences en

matière de sécurité qui peuvent faire l’objet d’une protection avec une fonction SIF de
niveau SIL1 ayant une probabilité PFD ≤ 1,87E-02. Toutefois, le risque commercial domine
et nécessite une fonction SIF de niveau SIL2 avec une probabilité PFD ≤ 8,24E-03.
Danger Conséquence Niveau SIL Probabilité

cible PFD cible
Sécurité Sécurité : Le gaz libéré s’enflamme sur le SIL1 1,87E-02

brûleur et au contact des surfaces
chaudes. Décès possible de deux
techniciens de maintenance.
Environnement Environnement : Rupture de récipient, Aucun Aucun

rejet de gaz, pas d’inflammation. Rejet sur
site. Nettoyage et déclaration aux autorités
nécessaires, mais pas de conséquences
environnementales.
Commercial Commercial : Rupture de récipient, rejet de SIL2 6,24E-03
gaz, inflammation et endommagement de
l’actif. Dommages aux équipements
nécessitant le remplacement du récipient
estimés à 10 millions € et arrêt de
production pendant 1 année.
Tableau 8 : Résultats LOPA
Il n’est pas rare que des dangers non liés à la sécurité soient prédominants. Dans cet
exemple, l’actif est toujours exposé au risque lié au danger et, en termes de sécurité, le
personnel court un risque uniquement à temps partiel.
La fonction SIF qui doit être mise en place pour assurer la protection contre la surpression
doit, par conséquent, être conforme aux objectifs commerciaux et la même fonction SIF
fournira en conséquence une protection adéquate pour le personnel.
80
PROCESS SAFEBOOK 1
Allocation des fonctions de sécurité
9. Allocation des fonctions de sécurité

10 11 1 Évaluation des dangers et 9

des risques

2


3
d’autres moyens
4 du risque
du SIS
Vérification
5
et validation
7 Modification
8 Mise hors service
à allouer les fonctions de sécurité aux couches de protection.
En entrée, la phase nécessite une description relative aux prescriptions de fonction de

sécurité et prescriptions d’intégrité de sécurité.
En sortie, la phase doit fournir des informations sur l’allocation des fonctions de sécurité
globale, leurs mesures de défaillance cible et les niveaux d’intégrité de sécurité associés.
Des hypothèses concernant d’autres mesures de réduction du risque à gérer tout au long
de la durée de vie du procédé/de l’usine seront aussi définies.
81
PROCESS SAFEBOOK 1
9.2. Allocation des fonctions de sécurité
En reprenant l’exemple du séparateur de la section 3.7.1, les fonctions instrumentées de

sécurité (SIF) et prescriptions SIL suivantes ont été identifiées (cf. le tableau 9). L’analyse
de la référence de danger 1.10 a été illustrée en tant que partie intégrante de l’exemple
LOPA [8.5]. L’analyse LOPA aurait été utilisée afin de déterminer les niveaux SIL cible et les
probabilités PFD cible pour les dangers identifiés.
Réf HAZOP Danger Conséquence Niveau SIL Probabilité

cible PFD cible
1.01 La pression élevée Le gaz libéré s’enflamme sur le brûleur et au SIL2 6,24E-03
provoque une rupture du contact des surfaces chaudes. Décès possible
récipient et un rejet de de deux techniciens de maintenance.
gaz. Dommages aux équipements nécessitant le
remplacement du récipient estimés à 10
millions € et arrêt de procédé pendant 1 année.
Dégagement mineur dans l’environnement.
1.11 La pression faible Le gaz libéré s’enflamme sur le brûleur et au Aucun Aucun
provoque une rupture du contact des surfaces chaudes. Décès possible
récipient et un rejet de de deux techniciens de maintenance.
gaz. Dommages aux équipements nécessitant le
remplacement du récipient estimés à 10
1.15 La température élevée Le gaz libéré s’enflamme sur le brûleur et au Aucun Aucun
aboutit à une pression contact des surfaces chaudes. Décès possible
élevée, à la rupture du de deux techniciens de maintenance.
récipient et au rejet de Dommages aux équipements nécessitant le
gaz. remplacement du récipient estimés à 10
1.16 Température basse, gel Dommages aux équipements nécessitant le Aucun Aucun
potentiel de liquide remplacement du récipient estimés à 10
(solidification), rupture de millions € et arrêt de procédé pendant 6 mois.
récipient et perte de Rejet dans l’environnement nécessitant une
confinement. déclaration.
1.20 Le niveau élevé dans le Dommages aux équipements en aval SIL1 8,10E-02
récipient pourrait aboutir nécessitant le remplacement du récipient
à un transfert de liquide estimés à 10 millions € et arrêt de procédé
dans la sortie de gaz. pendant 6 mois.
1.21 Le niveau bas dans le Dommages aux équipements en aval SIL1 6,22E-02
récipient pourrait aboutir nécessitant le nettoyage du récipient estimés à
à une fuite de gaz dans la 2 millions € et arrêt de procédé pendant 6
sortie de liquide. semaines.
Tableau 9 : Prescriptions de fonctions SIF
La vraisemblance d’événement intermédiaire indiquée par l’analyse LOPA a déterminé

que toutes les fonctions SIF seraient considérées comme étant en mode de sollicitation.
82
PROCESS SAFEBOOK 1
Allocation des fonctions de sécurité
Les niveaux SIL1 cibles ont été établis pour le niveau élevé et le niveau faible, d’où la
proposition des fonctions SIF suivantes. Pour atténuer la pression élevée, un limiteur de
pression a été mis en œuvre en tant que bonne pratique d’ingénierie et une fonction SIF a
été établie comme illustré ci-dessous.
Fonction
instrumentée
de sécurité
L
LHH102 ESDV102
Fonction
instrumentée
de sécurité
L
LHH101 ESDV101
Fonction
instrumentée
de sécurité
P
PHH100 ESDV100
Figure 35a : phase 2 du cycle de vie
Les fonctions SIF individuelles forment ensemble le SIS global :
P
PHH100 ESDV100
Système
L instrumenté
de sécurité
LHH101 ESDV101
L
LHH102 ESDV102
Figure 35b : phase 2 du cycle de vie
83
PROCESS SAFEBOOK 1
Le diagramme suivant illustre les fonctions SIF allouées :
PRV102 PT102
P
ESDV102 Sortie de
gaz
Arrivée XV102
de FCV102
L
liquide
SIS LHH102 LH
LH101
P
PHH100 LL
T LL101
TT100 LL
Sortie de
LLL101 SIS liquide
ESDV101 XV101
FCV100 XV100 ESDV100
Brûleur
Arrivée
de gaz
combustible
FCV100
SIS
Figure 35c : phase 2 du cycle de vie
84
PROCESS SAFEBOOK 1
Spécification des prescriptions de sécurité pour le SIS
10. Spécification des prescriptions de sécurité pour le SIS


10 11 1 9
des risques

2


3
d’autres moyens
4 du risque
du SIS
Vérification
5
et validation
7 Modification
8 Mise hors service
à spécifier les prescriptions pour les fonctions instrumentées de sécurité (SIF).
10.2. Prescriptions d’intégrité de sécurité d’une fonction SIF
Le niveau SIL de chaque fonction SIF a été sélectionné pendant l’étude de détermination
SIL au moyen du graphique de risque, de l’analyse LOPA ou de la matrice de risque.
Ces informations doivent maintenant être communiquées à l’équipe de conception par la

spécification des prescriptions de sécurité (SRS), afin d’être certain que la conception est
85
PROCESS SAFEBOOK 1
conforme aux prescriptions d’intégrité de sécurité de la fonction SIF pendant

l’implémentation. La spécification SRS constitue la base de la validation de la fonction SIF.
10.3. Cadre de la spécification SRS
Avant d’entamer des travaux de conception, la spécification SRS doit être préparée sur
la base des directives de la norme CEI 61511-1/2, clauses 10 et 12. La spécification SRS
contient les prescriptions fonctionnelles et d’intégrité relatives à chaque fonction SIF et
doit fournir suffisamment d’informations pour la conception et l’ingénierie du SIS. Elle
doit être exprimée et structurée sous une forme claire, précise, vérifiable, gérable et
faisable, en vue de faciliter la compréhension des personnes susceptibles d’employer
les informations à n’importe quelle phase du cycle de vie.
La spécification SRS doit inclure des déclarations sur les aspects suivants de chaque
fonction SIF :
• Description de la fonction SIF ;

• Défaillances de cause commune ;
• Définition d’état de sécurité pour la fonction SIF ;
• Taux de sollicitation ;
• Intervalles entre tests de validité ;
• Temps de réponse pour amener le procédé dans un état de sécurité ;
• SIL et modes de fonctionnement (sollicitation ou continu) ;
• Mesures de procédé et leurs points de déclenchement ;
• Actions en sortie de procédé et critères de fonctionnement réussi ;
• Relation fonctionnelle entre les entrées et sorties ;
• Exigences d’arrêt manuel ;
• Coupure par mise sous tension ou mise hors tension ;
• Réinitialisation après l’arrêt ;
• Taux de déclenchements intempestifs autorisé maximum ;
• Modes de défaillance et réponse du SIS aux défaillances ;
• Démarrage et redémarrage du SIS ;
• Interfaces entre le SIS et tout autre système ;
• Logiciel d’application ;
• Forçages/Inhibitions/contournements et leur effacement ;
• Actions suivant la détection d’un défaut de SIS.
Les fonctions instrumentées non liées à la sécurité peuvent être réalisées par le SIS, afin de
garantir un arrêt en bonne et due forme ou un démarrage accéléré.
86
PROCESS SAFEBOOK 1
Conception et ingénierie du SIS
11. Conception et ingénierie du SIS


10 11 1 9
des risques

2


3
d’autres moyens
4 du risque
du SIS
Vérification
5
et validation
7 Modification
8 Mise hors service
L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, clause 11.1,
consiste à :
• concevoir le SIS, afin d’assurer les fonctions instrumentées de sécurité (SIF)

nécessaires [11.2] ;
• vérifier que la conception des fonctions SIF est conforme au niveau SIL spécifié,
tel qu’il est défini pendant la détermination des niveaux SIL [13].
87
PROCESS SAFEBOOK 1
11.2. Conception de fonction SIF
La spécification SRS constituera la base de la conception de fonction SIF et permettra à

l’équipe de conception de convertir la fonctionnalité en documents de conception tels
que la spécification fonctionnelle (FDS). Ainsi, la spécification FDS doit contenir toutes les
exigences fonctionnelles et d’intégrité nécessaires pour la conception et l’ingénierie du
SIS.
Il est important que la documentation de conception contienne les exigences suivantes :
• Exigences concernant le comportement du système lors de la détection d’un

défaut [13.2] ;
• Tolérance aux pannes matérielles [13.3] ;
• Sélection des composants et sous-systèmes [13.4] ;
• Équipements de terrain [13.5] ;
• Interfaces d’opérateur, de technicien de maintenance et de communication
avec le SIS [13.6] ;
• Exigences de conception pour les tests ou la maintenance [13.7] ;
• Probabilité de défaillance de la fonction SIF [13.8] ;
• Logiciel d’application [13.9].
88
PROCESS SAFEBOOK 1
Techniques de fiabilité
12. Techniques de fiabilité

12.1. Introduction
Cette section propose une brève introduction aux techniques de fiabilité. Elle ne
constitue en aucun cas une étude complète des méthodes d’ingénierie de fiabilité, et
n’est pas non plus nouvelle ou non conventionnelle. Les méthodes décrites ici sont
employées couramment par les ingénieurs en fiabilité.
12.2. Définitions
À des fins pratiques, une version abrégée des termes clés et définitions est fournie.
Des définitions plus complètes des termes et nomenclatures sont disponibles dans de
nombreux textes de norme sur le sujet.
Capacité – Mesure de l’aptitude d’un élément à atteindre les objectifs de la mission dans
les conditions présentes pendant celle-ci.
Défaillance – Événement ou état non opérationnel pendant lequel un élément ou une

partie d’un élément ne se comporte pas ou ne peut pas se comporter comme spécifié
précédemment.
Défaillance aléatoire – Défaillance dont la survenance est prévisible uniquement au sens

probabiliste ou statistique. Cela s’applique à toutes les distributions.
Défaillance dépendante – Défaillance provoquée par la défaillance d’un ou de plusieurs

éléments associés. Non indépendant.
Défaillance indépendante – Défaillance qui se produit sans être provoquée par la

défaillance d’un autre élément. Non dépendant.
Dépendabilité – Mesure du degré de niveau opérationnel d’un élément et de sa capacité

à effectuer la fonction requise à tout moment (aléatoire) pendant un profil de mission
spécifié, en fonction de la disponibilité au début de la mission.
Disponibilité – Mesure du degré d’état opérationnel et validable d’un élément au début

de la mission, lorsque cette dernière est invoquée dans un état inconnu.
Fiabilité – (1) La durée de probabilité de fonctionnement sans défaillance dans les

conditions stipulées. (2) La probabilité qu’un élément puisse assurer sa fonction pendant
une durée spécifiée dans les conditions stipulées. Pour les éléments non redondants, c’est
l’équivalant de la définition (1). Pour les éléments redondants, il s’agit de la définition de la
fiabilité de mission.
89
PROCESS SAFEBOOK 1
Maintenabilité – Mesure de l’aptitude d’un élément à demeurer ou à être restauré dans

un état spécifié lorsque la maintenance est réalisée par un personnel ayant les niveaux de
compétences spécifiés, au moyen des procédures et ressources prescrites, à chaque
niveau de maintenance et de réparation prescrit.
Maintenance corrective – Toutes les actions effectuées à la suite d’une défaillance, afin
de restaurer l’état spécifié d’un élément. La maintenance corrective peut inclure tout ou
partie des étapes suivantes : localisation, isolation, démontage, interversion, remontage,
alignement et contrôle.
Maintenance préventive – Toutes les actions effectuées dans une tentative de conserver
un élément dans un état spécifié en assurant une inspection, une détection et une
prévention systématiques des défaillances imminentes.
Mécanisme de défaillance – Processus physique, chimique, électrique, thermique ou

autre qui aboutit à une défaillance.
Mode de défaillance – Conséquence du mécanisme à l’origine de la défaillance, par ex.

court-circuit, discontinuité électrique, rupture, usure excessive.
Taux de défaillances – Nombre total de défaillances au sein d’une population d’éléments,

divisé par le nombre total d’unités de vie dépensées par cette population, au cours d’un
intervalle de mesure particulier dans des conditions stipulées.
Temps moyen de fonctionnement avant pannes (MTTF, Mean time to failure) –

Mesure de base de la fiabilité des éléments non réparables : le nombre moyen d’unités
de vie pendant lesquelles toutes les parties d’un élément fonctionnent dans leurs limites
spécifiées, pendant un intervalle de mesure déterminé et dans les conditions stipulées.
Temps moyen de réparation (MTTR, Mean time to repair) – Mesure de base de la

maintenabilité : la somme des délais de maintenance corrective à n’importe quel niveau
spécifié de réparation, divisée par le nombre total des défaillances au sein d’un élément
réparé à chaque niveau, pendant un intervalle déterminé et dans les conditions stipulées.
Temps moyen entre pannes (MTBF, Mean time between failure) – Mesure de base de
la fiabilité des éléments réparables : le nombre moyen d’unités de vie pendant lesquelles
toutes les parties d’un élément fonctionnent dans leurs limites spécifiées, pendant un
intervalle de mesure déterminé et dans les conditions stipulées.
12.3. Concepts mathématiques de base appliqués à l’ingénierie de fiabilité
De nombreux concepts mathématiques s’appliquent à l’ingénierie de fiabilité, en particulier

des concepts issus des probabilités et des statistiques. De même, de nombreuses lois
90
PROCESS SAFEBOOK 1
mathématiques peuvent être employées à différentes fins, notamment la loi de Gauss

(normale), la loi log-normale, la loi de Rayleigh, la loi exponentielle, la loi de Weibull et bien
d’autres. Pour les besoins de cette brève introduction, nous allons limiter notre discussion à
la loi exponentielle.
Taux de défaillances et Temps moyen entre pannes/de fonctionnement avant pannes

(MTBF/MTTF).
L’objectif des mesures de fiabilité quantitatives est de définir le taux de défaillances par
rapport au temps et de modéliser ce taux de défaillances dans une distribution
mathématique afin d’appréhender les aspects quantitatifs de la défaillance. Le bloc le plus
élémentaire est le taux de défaillances, lequel est estimé au moyen de l’équation suivante :
λ= F/T
Où : λ = Taux de défaillances (appelé parfois taux de danger) ;
T = Nombre total d’heures d’équipement (temps de fonctionnement/cycles/kilomètres/etc.)

pendant une période d’investigation concernant les éléments subissant des défaillances et
ceux qui n’en subissent pas ;
F = Nombre total de défaillances se produisant pendant la période d’investigation.
Par exemple, si cinq moteurs électriques fonctionnent pendant une durée collective
totale de 50 ans avec cinq défaillances fonctionnelles pendant cette période, le taux de
défaillances sera 0,1 défaillance par an.
Un autre concept très basique est le temps moyen entre pannes/de fonctionnement
avant pannes (MTBF/MTTF). La seule différence entre les temps moyens MTBF et MTTF
est le fait que MTBF fait référence aux éléments réparés en cas de défaillance. Pour les
éléments simplement mis au rebut et remplacés, nous employons le terme MTTF. Les
calculs sont identiques. Le calcul élémentaire pour estimer le temps moyen entre pannes
(MTBF) et le temps moyen de fonctionnement avant pannes (MTTF) utilise la réciproque
de la fonction de taux de défaillances. L’équation suivante est utilisée.
θ = T/F
Où : θ = Temps moyen entre pannes/de fonctionnement avant pannes ;
T = Total de durée de fonctionnement/cycles/kilomètres/etc. pendant une période

d’investigation concernant les éléments subissant des défaillances et ceux qui n’en
subissent pas ;
F = Nombre total de défaillances se produisant pendant la période d’investigation.
91
PROCESS SAFEBOOK 1
Le MTBF pour notre exemple de moteur électrique industriel est de 10 ans, ce qui est la
réciproque du taux de défaillances des moteurs. À ce propos, nous évaluons le MTBF pour
les moteurs électriques reconditionnés après une défaillance. Concernant les moteurs
relativement petits considérés comme jetables, nous fournissons le MTTF.
Le taux de défaillances est un composant de base de nombreux calculs de fiabilité plus

complexes. En fonction de la conception mécanique/électrique, du contexte de
fonctionnement, de l’environnement et/ou de l’efficacité de la maintenance, le taux de
défaillances d’une machine en tant que fonction du temps peut décroître, rester constant,
croître linéairement ou croître géométriquement. Toutefois, pour la majorité des calculs
de fiabilité, un taux de défaillances constant est assumé.
12.4. La courbe en baignoire
Le concept de courbe en baignoire vise à démontrer les trois caractéristiques de taux de

défaillances de base d’une machine : taux décroissant, taux constant ou taux croissant.
Dans la pratique, la majorité des machines font leur temps dans la première partie de
leur vie ou les régions de taux de défaillances constant de la courbe en baignoire. Nous
assistons rarement à des mécanismes de défaut dépendants du temps car les machines
industrielles types ont généralement tendance à être remplacées ou à avoir des
remplacements de pièces avant leur usure. Toutefois, en dépit de ses limitations de
modélisation, la courbe en baignoire est utile pour expliquer les concepts de base de
l’ingénierie de fiabilité.
Le corps humain constitue un excellent exemple de système qui suit la courbe en

baignoire. Les personnes et les machines ont tendance à souffrir d’un taux de défaillances
(mortalité) élevé pendant les premières années de leur vie, mais le taux diminue à mesure
que le produit (enfant) gagne en âge. En supposant qu’une personne survive à
l’adolescence, le taux de mortalité devient relativement constant et demeure ainsi jusqu’à
un âge (temps) où les maladies commencent à augmenter le taux de mortalité (usure).
Il existe une notion selon laquelle la courbe en baignoire est constituée de plusieurs
distributions de défaillances (cf. la figure 38).
Le taux de défaillances décroissant de début de vie est dû à des raisons systématiques

telles que des faiblesses de fabrication présentes dans un produit. Lors de la fabrication
d’un lot de produits, une proportion de la population contiendra des faiblesses qui
provoqueront des défaillances au cours du service. Lorsque les éléments défaillants sont
retournés pour des réparations, la proportion de produits faibles dans la population
diminue et le taux de défaillances décroît en conséquence.
L’augmentation des défaillances pour usure peut être due à des raisons systématiques
similaires. Les mécanismes de défaillance peuvent être la résultante d’une résistance
92
PROCESS SAFEBOOK 1
dégradée, telle que l’accumulation de dommages de fatigue. Dans le domaine de

l’électronique, les mécanismes de défaillance dépendants du temps ont tendance à
avoir une nature mécanique et incluent les défaillances de fatigue de soudures.
La période de taux de défaillances constant forme la majorité de la durée de vie d’un

produit et constitue une mesure de la qualité de la conception. C’est dans cette région
de taux de défaillances constant que sont réalisés les calculs de fiabilité simples.
Courbe en baignoire
1
0,9
0,8
Taux de défaillances
0,7
0,6
0,5
0,4
0,3
0,2
0,1
0
0 10 20 30 40 50 60
Temps
Décroissant
Constant
Croissant
Total
Figure 38 : courbe en baignoire
12.5. La loi exponentielle
La loi exponentielle est la formule de prédiction de fiabilité la plus élémentaire et la plus

employée. Elle modélise des machines avec le taux de défaillances constant ou représente
la section plate de la courbe en baignoire. La majorité des machines industrielles passent
la plus grande partie de leur vie dans la région de taux de défaillances constant, de sorte
qu’il est applicable de manière généralisée.
Vous trouverez ci-dessous l’équation de base servant à estimer la fiabilité d’une machine
qui suit la loi exponentielle, où le taux de défaillances est constant et est une fonction du
temps.
93
PROCESS SAFEBOOK 1
R(t) = exp { -λ . t }
Où : R(t) = Estimation de fiabilité pour une période de temps, des cycles, kilomètres, etc. (t) ;
λ = Taux de défaillances (1/MTBF ou 1/MTTF) et t = Temps de risque.
Dans notre exemple de moteur électrique, si vous supposez un taux de défaillances

constant, la vraisemblance de faire fonctionner un moteur pendant six ans sans défaillance,
ou la fiabilité projetée, est de 55 pour cent. Cet aspect est calculé comme suit :
R(t) = exp { – 0,1 x 6 }

= exp { – 0,6 }
= 0,5488 ≈ 55 %
En d’autres termes, après six ans, près de 45 % de la population de moteurs identiques

fonctionnant dans une même application peuvent, selon les probabilités, subir une
défaillance. À ce stade, il est utile de rappeler que ces calculs sont des projections de
probabilité pour une population. Tout individu de la population pourrait connaître une
défaillance le premier jour du fonctionnement, tandis qu’un autre pourrait durer 30 ans.
Telle est la nature des projections de fiabilité probabilistes.
Une caractéristique de la loi exponentielle est que le MTBF se produit au point où la

fiabilité calculée est 36,78 %, ou au point auquel 63,22 % des machines ont déjà connu
une défaillance. Dans notre exemple de moteur, au bout de 10 ans, 63,22 % des membres
d’une population de moteurs identiques employés dans les mêmes applications sont
susceptibles de connaître une défaillance. En d’autres termes, le taux de survie est de
36,78 % de la population.
12.6. Estimation de la fiabilité du système
Une fois que la fiabilité des composants ou machines a été établie par rapport au
contexte de fonctionnement et à la durée de mission requise, les ingénieurs de l’usine
doivent évaluer la fiabilité d’un système ou procédé. Encore une fois, afin de faire court et
simple, nous allons aborder les estimations de fiabilité pour les systèmes série, parallèles
et redondants à charge partagée (M sur N) (systèmes MooN).
12.6.1. Systèmes série
Avant d’aborder les systèmes série, il faut parler des diagrammes de fiabilité ou RBD
(Reliability Block Diagram). Leur rôle consiste simplement à cartographier un procédé du
début jusqu’à la fin. Pour un système série, le sous-système 1 est suivi du sous-système 2,
etc. Dans le système série, la capacité d’employer le sous-système 2 dépend de l’état
opérationnel du sous-système 1. Si ce dernier ne fonctionne pas, le système est arrêté
indépendamment de la condition du sous-système 2 [figure 39].
94
PROCESS SAFEBOOK 1
R1(t) R2(t) R3(t)
Sous-Système 1 Sous-Système 2 Sous-Système 3

Figure 39 : système série
Pour calculer la fiabilité du système d’un procédé sériel, il suffit de multiplier la fiabilité
estimée du sous-système 1 au temps (t) par la fiabilité estimée du sous-système 2 au
temps (t). L’équation de base pour le calcul de la fiabilité d’un système série s’écrit comme
suit :
Rs(t) = R1(t) . R2(t) . R3(t)
Où : Rs(t) – Fiabilité du système pour le temps spécifié (t) ;
Rn(t) – Fiabilité du sous-système ou de la sous-fonction pour le temps spécifié (t)
Par conséquent, pour un système simple comportant trois sous-systèmes ou sous-

fonctions, chacun ou chacune ayant une fiabilité estimée de 0,90 (90 %) au temps (t), la
fiabilité du système est calculée comme 0,90 X 0,90 X 0,90 = 0,729, soit environ 73 %.
12.6.2. Systèmes parallèles
Bien souvent, les ingénieurs de conception intègrent de la redondance dans les machines
critiques. Les ingénieurs en fiabilité qualifient ces systèmes de parallèles. Ces systèmes
peuvent être conçus en tant que systèmes parallèles actifs ou systèmes parallèles de
secours. Le schéma de principe pour un simple système parallèle à deux composants est
illustré sur la figure 40.
R1(t)
R2(t)
Figure 40 : système parallèle
95
PROCESS SAFEBOOK 1
Pour calculer la fiabilité d’un système parallèle actif, où les deux machines fonctionnent,
utilisons l’équation toute simple suivante :
Rs(t) = 1 – [ {1-R1(t)} . {1-R2(t)} ]
Où : Rs(t) – Fiabilité du système pour le temps spécifié (t) ;
Rn(t) – Fiabilité du sous-système ou de la sous-fonction pour le temps spécifié (t)
Le système simple de notre exemple avec deux composants en parallèle, chacun ayant
une fiabilité de 0,90, a une fiabilité totale de 1 – (0,1 X 0,1) = 0,99. Par conséquent, la
fiabilité du système a été considérablement améliorée.
12.6.3. Systèmes M sur N (MooN)
Le concept de systèmes MooN est important pour les ingénieurs chargés de la fiabilité
de l’usine. Ces systèmes nécessitent que M unités d’une population totale N soient
disponibles aux fins d’utilisation. Les broyeurs à charbon d’une centrale électrique
constituent un bon exemple industriel. Bien souvent, les ingénieurs conçoivent cette
fonction au moyen d’une approche MooN. Par exemple, une unité comporte quatre
broyeurs et trois d’entre eux doivent être opérationnels lorsque l’unité fonctionne à
pleine charge [figure 41].
12.7. Défaillances dangereuses et non dangereuses
Pour que les calculs de fiabilité soient significatifs, nous nous intéressons au taux de
défaillances du système, mais aussi à la manière dont se produit la défaillance, autrement
dit au mode de défaillance.
Les modes de défaillance peuvent être classés comme non dangereux et dangereux. La
figure 42 présente un gazoduc. Si le gazoduc alimente une centrale électrique et si la
vanne d’arrêt subit une défaillance provoquant sa fermeture intempestive, l’alimentation
en combustible sera coupée et il y aura peut-être une perte de revenu, mais le mode
correspond à une défaillance non dangereuse (défaillance en position fermée).
Si la défaillance de la même vanne survient en position ouverte, l’alimentation en

combustible est maintenue, mais en cas de surpression, il sera impossible de couper
le combustible et de sécuriser le gazoduc. Ce mode est, par conséquent, considéré
comme une défaillance dangereuse (défaillance en position ouverte).
96
PROCESS SAFEBOOK 1
R1(t)
R2(t)
R3(t)
R4(t)
Figure 41 : système 3oo4
Alimentation
hydraulique Logique
ESD
Électro-
Mise à l’air libre Transmetteur de
vanne
circuit hydraulique pression
S
PT
Pressostat
PC
Entrée Sortie
gazoduc gazoduc
d’arrêt pression

Dans cet exemple, la défaillance dangereuse en position ouverte ne sera pas révélée tant
qu’il n’y aura pas une sollicitation correspondante, autrement dit tant que la fermeture de
la vanne ne sera pas demandée. Il s’agit donc d’une défaillance non détectée dangereuse.
En revanche, si le gazoduc fournit du fluide de refroidissement à la centrale électrique

et si la vanne SSV969A subit une défaillance provoquant sa fermeture intempestive,
97
PROCESS SAFEBOOK 1
l’alimentation en fluide de refroidissement est coupée et il peut y avoir une surchauffe

de la centrale. Dans cette application, la même vanne et le même mode de défaillance
(en position fermée) constituent une défaillance dangereuse. En cas de défaillance de la
vanne en position ouverte, l’alimentation en fluide de refroidissement est maintenue et,
par conséquent, ce mode de défaillance (en position ouverte) est considéré comme une
défaillance non dangereuse.
Une défaillance dangereuse d’un composant dans une fonction instrumentée de sécurité
empêche cette fonction d’obtenir un état de sécurité lorsqu’elle doit le faire. Le taux de
défaillances dangereuses est signalé par le symbole : λD.
Une défaillance non dangereuse ne peut pas placer le système instrumenté de sécurité
dans un état dangereux ou d’incapacité de fonctionner, mais survient de manière telle
qu’elle demande l’arrêt du système ou l’activation de la fonction instrumentée de sécurité
lorsqu’aucun danger n’est présent. Le taux de défaillances non dangereuses est signalé
par le symbole : λS.
Il peut y avoir des modes de défaillance qui n’affectent absolument pas la fonction de
sécurité. Ceux-ci peuvent inclure des fonctions de maintenance, des voyants, une
journalisation des données ou d’autres fonctions non liées à la sécurité (non-SR). Le taux
de défaillances non liées à la sécurité est signalé par le symbole : λnon-SR.
Le taux de défaillances total d’un élément, λ, est égal à la somme des taux de défaillances
liées à la sécurité et de défaillances non liées à la sécurité. En général, seuls λD et λS sont
inclus dans les calculs de fiabilité.
λ = λD + λS + λnon-SR
12.8. Défaillances détectées et non détectées
La probabilité PFD fait référence aux défaillances dangereuses qui empêchent le

fonctionnement du SIS au moment requis. Ces modes de défaillance sont classés comme
des défaillances détectées, lorsqu’elles sont détectées par le diagnostic, ou comme des
défaillances non détectées qui demeurent cachées, sauf lors de tests de validité manuels,
lesquels sont effectués généralement une fois par an. Concernant les modes de
défaillances classés par l’AMDEC comme des défaillances dangereuses détectées, il est
recommandé qu’ils soient détectés dans le cadre du diagnostic et soient vérifiés par une
validation logicielle. D’autre part, les procédures de tests de validité doivent veiller à ce
que les modes de défaillances dangereuses non détectées soient révélés pour garantir
l’efficacité des tests en question.
Conformément à la norme CEI 61508-6, Annexe B.3.1, l’analyse peut considérer que pour
chaque fonction de sécurité, il existe un test de validité et une réparation optimums, à
savoir que toutes les défaillances non détectées sont révélées par le test de validité.
98
PROCESS SAFEBOOK 1
12.9. Période de tests de validité (Tp) et temps moyen d’indisponibilité (MDT)
S’il se produit une défaillance, il est supposé qu’en moyenne elle interviendra au point
médian de l’intervalle de tests. En d’autres termes, le défaut restera non détecté pendant
50 % de la période de test.
Pour les défaillances détectées et non détectées, le temps moyen d’indisponibilité (MDT,
Mean Down Time) dépend de l’intervalle de tests et aussi du délai de réparation ou MTTR.
Le MDT est, par conséquent, calculé comme suit :
MDT = intervalle de tests + MTTR

2
Le MDT pour les défaillances détectées correspond, par conséquent, approximativement

au délai de réparation, puisque l’intervalle de tests (autotest) est généralement court par
rapport au MTTR. Pour les défaillances non détectées, le délai de réparation est court par
rapport à l’intervalle de tests, donc la période de tests de validité Tp. Par conséquent, le
MDT pour les défaillances non détectées est à peu près égal à Tp/2.
12.10. Modélisation du taux de défaillances du système (λsys)
Le taux de défaillances d’un système redondant λsys peut être calculé en considérant le
nombre d’approches par lesquelles la défaillance du système peut se produire. Dans un
système 3oo4, 3 canaux sur les 4 doivent fonctionner afin que le système soit opérationnel.
Par conséquent, deux défaillances quelles qu’elles soient provoqueront une défaillance du
système.
Figure 43 : système 3oo4
99
PROCESS SAFEBOOK 1
Le taux de survenance possible de deux défaillances, λ2, est donné par le taux de
défaillances d’un élément, λ, multiplié par la probabilité d’une seconde défaillance
pendant le temps d’arrêt, à savoir le MDT de la première défaillance ou λ.MDT.
Par conséquent :
λ2 = λ.( λ.MDT )
Toutefois, il existe 12 permutations (l’ordre est important) de deux défaillances dans un

système 3oo4 : A.B, A.C, A.D, B.C, B.D, C.D, B.A, C.A, D.A, C.B, D.B et D.C, et nous devons les
prendre toutes en compte. Par conséquent, le taux de défaillances devient
approximativement :
λSYS = 12.λ2.MDT
Pour être exact, nous devrions inclure toutes les permutations de 3 et 4 défaillances
simultanées, ainsi que les défaillances dues à des causes communes, car elles aboutiront
aussi à une défaillance du système. Néanmoins, pour avoir une première idée, ces termes
d’ordre supérieur peuvent être ignorés. Le taux de défaillances pour le système 3oo4 et
d’autres configurations est présenté dans le tableau 10. Notez qu’il s’agit d’approxima-
tions qui ignorent aussi les termes d’ordre supérieur.
Configuration λsys
1oo1 λ
1oo2 2.λ2.MDT
2oo2 2.λ
1oo3 3.λ3.MDT2
2oo3 6.λ2.MDT
3oo3 3.λ
1oo4 λ4.MDT3
2oo4 12.λ3.MDT2
3oo4 12.λ2.MDT
4oo4 4.λ
Tableau 10 : Taux de défaillances du système
Notez que la contribution des défaillances de cause commune est traitée plus loin [12.17].
100
PROCESS SAFEBOOK 1
12.11. Modélisation des taux de défaillances dangereuses détectées et non

détectées (λDD) et (λDU)
En utilisant λDD et λDU à la place de λ dans le tableau 10, et en employant le MDT ou Tp/2
selon le cas, il est possible de dériver le taux de défaillances du système dû à des
défaillances dangereuses détectées ou non détectées (cf. le tableau 11).
Configuration Détecté Non détecté
λsys λsys
1oo1 λDD λDU
1oo2 2.λDD2.MDT λDU2.TP
2oo2 2.λDD 2.λDU
1oo3 3.λDD3.MDT2 λDU3.TP2
2oo3 6.λDD2.MDT 3.λDU2.TP
3oo3 3.λDD 3.λDU
1oo4 λDD4.MDT3 λDU4.TP3
2oo4 12.λDD3.MDT2 4.λDU3.TP2
3oo4 12.λDD2.MDT 6.λDU2.TP
4oo4 4.λDD 4.λDU
Tableau 11 : Taux de défaillances dangereuses du système
12.12. Modélisation du taux de déclenchements intempestifs du système (λSTR)
Comme les taux de défaillances non dangereuses sont généralement supposés être tous
détectés, dans une configuration redondante, les canaux défaillants seront réparés, sous
réserve que le système ne se déclenche pas. Par conséquent, l’approche employée pour
les défaillances dangereuses détectées s’applique, excepté que le nombre de défaillances
requis pour un déclenchement intempestif peut différer de celui nécessaire pour une
défaillance dangereuse.
En général, les déclenchements intempestifs incluent seulement les taux de défaillances

non dangereuses, mais selon le comportement de défaillance du système à la détection
d’un défaut, les défaillances dangereuses détectées peuvent être incluses et le taux de
déclenchements intempestifs sera la somme des deux.
Le tableau 12 résume les taux de déclenchements intempestifs pour les défaillances non
dangereuses.
101
PROCESS SAFEBOOK 1
Configuration Intempestif
λstr
1oo1 λS
1oo2 2.λS
2oo2 2.λS2.MDT
1oo3 3.λS
2oo3 6.λS2.MDT
3oo3 3.λS3.MDT2
1oo4 4.λS
2oo4 12.λS2.MDT
3oo4 12.λS3.MDT2
4oo4 λS4.MDT3
Tableau 12 : Taux de déclenchement intempestif du système
12.13. Modélisation de la disponibilité du système de sécurité en mode de

sollicitation
Pour un système de sécurité, la disponibilité due à des défaillances dangereuses

détectées, ADD, est donnée par :
ADD = 1/( 1 + .λDD(SYS).MDT )
où λDD(SYS) est le taux de défaillances du système découlant de défaillances dangereuses

détectées [12.11].
Pour les défaillances dangereuses non détectées, ADU est donné par :
ADU = 1/( 1 + .λDU(SYS).TP/2 )
où λDU(SYS) est le taux de défaillances du système découlant de défaillances dangereuses

non détectées [12.11].
Pour les défaillances non dangereuses, AS est donné par :
AS = 1/( 1 + .λS(SYS).MDT )
102
PROCESS SAFEBOOK 1
où λS(SYS) est le taux de défaillances du système découlant de défaillances (non

dangereuses) intempestives [12.12].
La disponibilité du système est, par conséquent, le produit des disponibilités dues à des
défaillances dangereuses détectées, dangereuses non détectées et non dangereuses :
ASYS = ADD . ADU . AS
Cette méthode peut servir à modéliser des systèmes série (simplex) et aussi des systèmes
redondants.
12.14. Modélisation de la disponibilité du système de sécurité en mode continu
Lorsque la méthode est appliquée aux systèmes de sécurité en mode continu, l’analyste
doit comprendre la nature des sollicitations de la fonction de sécurité. Certaines fonctions
de sécurité en mode continu sont activées sur sollicitation (à l’instar d’une fonction de
sécurité en mode de sollicitation), mais elles sont répertoriées comme en mode continu
du fait de la fréquence des sollicitations, à savoir supérieure à une fois par an. Dans ce cas,
la disponibilité peut être calculée comme pour la fonction de sécurité en mode de
sollicitation, excepté que l’intervalle de tests de validité TP doit être remplacé par
l’intervalle de sollicitation TD. Les défaillances dangereuses non détectées demeureront
cachées (non révélées) jusqu’à ce que la fonction de sécurité soit sollicitée.
Lorsque la fonction de sécurité en mode continu fournit réellement un contrôle continu,

la disponibilité peut être calculée comme pour un système de commande [12.15].
12.15. Modélisation de la disponibilité d’un système de commande
Lors de la modélisation de la disponibilité de systèmes de commande, nous nous

préoccupons des défaillances qui affectent le procédé et nous devons décider si une
défaillance impacte un procédé au point que le système de commande devient
indisponible.
La détection d’une défaillance sera effectuée au moyen du diagnostic et des alarmes de

défaut, auquel cas une réparation est nécessaire et le système sera indisponible jusqu’à sa
remise en état, ou au moyen de symptômes, auquel cas le procédé commandé fonctionne
en dehors des limites de points de consigne.
Les défaillances non détectées n’aboutissent pas immédiatement à une indisponibilité du

système de commande. Au fil du temps, la défaillance non détectée peut aboutir à une
divergence des paramètres de procédé par rapport aux limites spécifiées. À ce moment, la
défaillance est révélée et aboutit à une indisponibilité.
103
PROCESS SAFEBOOK 1
La disponibilité du système de commande peut, par conséquent, être modélisée en

considérant le taux de défaillances du système total. ASYS est donné par :
ASYS = 1/( 1 + λSYS.MDT )
où λSYS est le taux de défaillances du système total découlant de toutes les défaillances
[tableau 10].
12.16. Probabilité de défaillance par heure (PFH) et probabilité de défaillance sur

sollicitation (PFD)
Les formules PFH et PFD simplifiées concernant les configurations courantes sont
présentées au tableau 13 pour les défaillances détectées et au tableau 14, pour les
défaillances non détectées.
Configuration PFH PFD
1oo1 λDD λDD.MDT
1oo2 2
2.λDD .MDT 2.λDD2.MDT2
2oo2 2.λDD 2.λDD.MDT
1oo3 3.λDD3.MDT2 3.λDD3.MDT3
2oo3 6.λDD2.MDT 3.λDD2.MDT2
1oo4 4.λDD4.MDT3 λDD4.MDT4
2oo4 12.λDD3.MDT2 4.λDD3.MDT3
3oo4 12.λDD2.MDT 6.λDD2.MDT2
Tableau 13 : Calcul de PFH/PFD (défaillances détectées)
104
PROCESS SAFEBOOK 1
Configuration PFH PFD
1oo1 λDU λDD.TP/2
1oo2 λDU2.TP λDD2.TP2/3
2oo2 2.λDU λDD.TP
1oo3 3
λDU .TP 2 λDD3.TP3/4
2oo3 3.λDU2.TP λDD2.TP2
3oo3 3.λDU 3.λDD.TP/2
1oo4 4
λDU .TP 3 λDD4.TP4/5
2oo4 4.λDU3.TP2 λDD3.TP3
3oo4 6.λDU2.TP 2.λDD2.TP2
4oo4 4.λDU 2.λDD.TP
Tableau 14 : Calcul de PFH/PFD (défaillances non détectées)
12.17. Prise en compte des défaillances de cause commune
Les défaillances de cause commune (CCF) peuvent résulter d’une seule cause, mais
celle-ci affecte simultanément plusieurs canaux. Elles peuvent résulter d’un défaut
systématique, par exemple, une erreur de spécification de conception ou une contrainte
extérieure telle qu’une température excessive pouvant provoquer une défaillance de
composant dans les deux canaux redondants. Il incombe au concepteur du système de
prendre des mesures afin de réduire au minimum la vraisemblance de défaillances de
cause commune en adoptant des pratiques de conception appropriées.
La contribution des CCF sur des canaux redondants parallèles est prise en compte en
incluant un facteur β. Le taux de défaillances CCF inclus dans le calcul est égal à β x le taux
de défaillances total d’un des canaux redondants.
Le modèle de facteur β [CEI 61508-6, Annexe D] constitue la technique de prédilection,

car elle est objective et fournit une traçabilité pour l’estimation de β. Le modèle a été
compilé afin de poser une série de questions spécifiques, lesquelles reçoivent ensuite un
score au moyen d’une appréciation d’ingénierie objective. Le score maximum pour
chaque question a été pondéré dans le modèle en étalonnant les résultats de différentes
évaluations par rapport aux données de défaillances de terrain connues.
105
PROCESS SAFEBOOK 1
Deux colonnes sont employées pour contrôler les scores. La colonne A contient les scores
des fonctionnalités de la protection CCF qui sont perçues comme étant améliorées par
une augmentation de la fréquence de diagnostic (autotest ou test de validité). La colonne
B contient les scores pour les fonctionnalités considérées comme non améliorées par une
amélioration de la fréquence de diagnostic.
Le modèle permet de modifier les scores par la fréquence et la couverture des tests de
diagnostic. Les scores de la colonne A sont multipliés par un facteur C, lequel est dérivé
des considérations liées au diagnostic. Le facteur β final est ensuite estimé à partir du
score brut total :
Score brut = (A * C) + B
La relation entre β et le score brut est essentiellement une fonction exponentielle

négative, puisqu’il n’y a pas de données pour justifier la divergence vis-à-vis de
l’hypothèse selon laquelle comme β décroît (s’améliore), alors que des améliorations
successives deviennent sans cesse plus difficiles à réaliser.
Lorsqu’une question particulière peut ne pas s’appliquer au système évalué, un score de

100 % ou 0 % est saisi selon ce qui est approprié pour le système.
La liste suivante présente les contraintes types pouvant être considérées aux fins
d’évaluation de la contribution des CCF :
• canaux redondants séparés physiquement ;

• différentes technologies, par ex. un canal électronique et un canal basé sur un
relais ;
• système de travail écrit sur site devant s’assurer que les défaillances font l’objet
d’investigations ;
• procédures de maintenance écrites devant prévenir le réacheminement de
chemins de câbles ;
• accès limité pour le personnel ;
• conditions environnantes contrôlées et équipements calibrés sur toute la plage
de ces conditions.
Toutefois, les performances réelles en service dépendront de l’installation spécifique et

des pratiques de conception, de fonctionnement et de maintenance qui sont adoptées.
Mais, sous réserve que toutes les bonnes pratiques d’ingénierie soient appliquées, le
modèle fournira une estimation traçable de la contribution des CCF.
Lors de la prise en compte des CCF dans les formules PFD et PFH [cf. le tableau 13 et le
tableau 14], l’approche suivante peut être employée. Les équations employées sont des
simplifications des équations standard et sont dérivées à la section [19.6].
106
PROCESS SAFEBOOK 1
Pour les défaillances détectées :
PFD1oo1 = λDD.MDT Réf. CEI 61508-6, B.3.2.2.1

PFD1oo2 = λDD2.MDT2 + β.λDD.MDT Réf. CEI 61508-6, B.3.2.2.2
Pour les défaillances non détectées :
PFD1oo1 = λDU.TP/2 Réf. CEI 61508-6, B.3.2.2.1

PFD1oo2 = λDU2.TP2/3 + β.λDU.TP/2 Réf. CEI 61508-6, B.3.2.2.2
Où λDD est le taux de défaillances détectées dangereuses, λDU est le taux de défaillances
non détectées dangereuses et β est la contribution des défaillances de cause commune.
TP est l’intervalle de tests de validité et MDT est le temps moyen d’indisponibilité.
Les formes génériques de ces équations pour les différentes configurations des systèmes
en mode continu et en mode de sollicitation sont examinées à la section [19.7].
12.18. Taux de défaillances
Lors du calcul des PFD et SFF, l’analyse utilise l’hypothèse sous-jacente de la norme
CEI 61508-6, Annexe B.3, dans le sens où les taux de défaillances de composants sont
constants sur toute la durée de vie du système.
Les taux de défaillances employés dans les calculs peuvent être obtenus par l’analyse
des modes de défaillances, de leurs effets et de leur criticité (AMDEC), quantifiée par
les données de terrain ou par référence aux données publiées à partir de sources de
l’industrie. Les taux de défaillances employés doivent être comparés aux données
disponibles pour les modules de complexité et technologie similaires. Cette approche
garantit une approche prudente en termes de modélisation de fiabilité et incite à être
confiant dans le fait que les performances de fiabilité doivent être réalisables en service.
Les taux de défaillances et leurs sources sont abordés à la section 14.8.
12.19. Modélisation des configurations 1oo2, 1oo2D et Hot Standby
Les exemples suivants montrent les diagrammes de fiabilité (RBD) modélisant certaines
configurations de système courantes.
1oo2
Un système 1oo2 est une architecture 1 sur 2, où chacun des deux canaux peut assurer la
fonction de sécurité. Il s’agit d’une configuration à tolérance de panne où la défaillance
d’un canal est autorisée.
107
PROCESS SAFEBOOK 1
Si la défaillance du canal est du type dangereuse non révélée, elle ne sera pas détectée
par le diagnostic et il n’y aura pas d’indication de défaut. Toutefois, la fonction de sécurité
continuera de fonctionner car le canal restant peut effectuer le déclenchement. Si la
défaillance de canal est du type dangereuse détectée, un défaut sera généralement indiqué.
Un exemple de diagramme de fiabilité est présenté à la section 12.20.
1oo2D
Une architecture de système 1oo2D possède deux canaux connectés en parallèle et

chacun d’eux dispose de circuits de diagnostic pour détecter les défaillances avec une
couverture de diagnostic élevée. Les deux canaux doivent convenir d’exécuter une action
d’arrêt pendant le fonctionnement normal du système. Un canal en parfait état contrôle
le système si le circuit de diagnostic de l’autre canal détecte une défaillance.
En termes de modélisation de la fiabilité, pour les défaillances dangereuses détectées, le

système 1oo2D fonctionne en tant que configuration 1oo2 et le taux de défaillances du
système ainsi que la probabilité PFD sont modélisables en tant qu’architecture 1oo2 pour
les défaillances détectées.
Une seule défaillance de canal dangereuse non détectée dans un système 1oo2D
empêchera le fonctionnement du système, de sorte que le taux de défaillances du
système et la probabilité PFD doivent être modélisés comme 2oo2 pour les défaillances
non détectées. En d’autres termes, les deux canaux doivent être opérationnels.
Un exemple de diagramme de fiabilité est présenté à la section 12.21.
Hot standby
Une architecture de système de secours à chaud ou hot standby possède deux canaux
connectés en parallèle, de sorte qu’un canal est désigné comme maître et contrôle la
fonction de sécurité. L’autre canal fait office de solution de secours à chaud, de sorte que
si une défaillance dangereuse est détectée sur le canal maître, le canal de secours prend
le contrôle de la fonction de sécurité.
En termes de modélisation de la fiabilité, pour les défaillances dangereuses détectées,

le système de secours à chaud fonctionne en tant que configuration 1oo2 et le taux de
défaillances du système ainsi que la probabilité PFD sont modélisables en tant
qu’architecture 1oo2 pour les défaillances détectées.
Une seule défaillance de canal dangereuse non détectée sur un système empêchera le
fonctionnement du système, de sorte que le taux de défaillances du système et la
probabilité PFD doivent être modélisés comme 1oo1 pour les défaillances non détectées.
En d’autres termes, la fonction de sécurité ne peut pas tolérer une défaillance non
détectée sur le canal maître et il n’y a pas de redondance pour les défaillances non
détectées. Un exemple de diagramme de fiabilité est présenté à la section 12.22.
108
Entrée Sortie
CNB CPU
analogique TOR
Transmetteur Charge de Charge de
de pression ventilateur ventilateur CCF
pour un système 1oo2

PT-xxx FL-xxx FL-xxx
Entrée Sortie
CNB CPU
analogique TOR
Taux de défaillances du système

CCF 5%
Qté 1 1 1 1 2 1 1
Configuration 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2
λDD (diagnostic) 1,16E-06 0,00E+00 0,00E+00 8,19E-08 2,95E-07 2,03E-07 1,38E-07 5,25E-08
λDD*Qté 1,16E-06 0,00E+00 0,00E+00 8,19E-08 5,90E-07 2,03E-07 1,38E-07 5,25E-08
λDD pour branche 1,16E-06 1,01E-06 5,25E-08
MDT 24 24 24
Total λDD 1,16E-06 4,93E-11 5,25E-08
109
λDU (tests de validité) 3,66E-07 2,00E-07 2,00E-07 9,10E-09 3,28E-08 2,26E-08 1,54E-08 5,84E-09
λDU*Qté 3,66E-07 2,00E-07 2,00E-07 9,10E-09 6,56E-08 2,26E-08 1,54E-08 5,84E-09
λDU pour branche 7,66E-07 1,13E-07 5,84E-09
Période de tests de validité, T 8760 8760 8760
Total λDU 7,66E-07 1,11E-10 5,84E-09
λS (diagnostic) 2,15E-06 3,00E-07 3,00E-07 9,10E-08 3,28E-07 2,26E-07 1,54E-07 5,84E-08

λS*Qté 0,00E+00 0,00E+00 2,63E-03 9,10E-08 6,56E-07 2,26E-07 1,54E-07 5,84E-08
λS pour branche 2,63E-03 1,13E-06 5,84E-08
MDT 24 24 24
Total λS 2,63E-03 2,25E-06 5,84E-08
Total λDD 1,21E-06

Total λDU 7,72E-07
Total λS 2,63E-03
Total λSYS 2,63E-03 /h

PROCESS SAFEBOOK 1
pour un système 1oo2D
Entrée Sortie
CNB CPU
analogique TOR
Transmetteur Charge de Charge de
Entrée Sortie
Taux de défaillances du système

de pression ventilateur ventilateur CCF CNB CPU
analogique TOR
PROCESS SAFEBOOK 1
Entrée Sortie
CNB CPU
analogique TOR
CCF 5%
Qté 1 1 1 1 2 1 1 2 4 2 2
Configuration 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2 2oo2 2oo2 2oo2 2oo2
λDD*Qté 1,16E-06 0,00E+00 0,00E+00 8,19E-08 5,90E-07 2,03E-07 1,38E-07 5,25E-08
MDT 24 24 24
Total λDD 1,16E-06 4,93E-11 5,25E-08
110
λDU (tests de validité) 3,66E-07 2,00E-07 2,00E-07 9,10E-09 3,28E-08 2,26E-08 1,54E-08
λDU*Qté 3,66E-07 2,00E-07 2,00E-07 1,82E-08 1,31E-07 4,52E-08 3,07E-08
λDU pour branche 7,66E-07 2,25E-07
Période de tests de validité, T 8760 8760
Total λDU 7,66E-07 9,87E-04

λS*Qté 0,00E+00 0,00E+00 2,63E-03 9,10E-08 6,56E-07 2,26E-07 1,54E-07 5,84E-08
MDT 24 24 24
Total λS 2,63E-03 2,25E-06 5,84E-08
Total λDD 1,21E-06

Total λDU 9,88E-04
Total λS 2,63E-03

Entrée Sortie
CNB CPU
analogique TOR
Transmetteur Charge de Charge
Entrée Sortie
de pression ventilateur de ventilateur CCF CNB CPU
analogique TOR
Entrée Sortie
CNB CPU TOR
analogique
Taux de défaillances du système pour un

système de secours à chaud (Hot Standby)
Qté 1 1 1 1 2 1 1 1 2 1 1
Configuration 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2 1oo1 1oo1 1oo1 1oo1
λDD*Qté 1,16E-06 0,00E+00 0,00E+00 8,19E-08 5,90E-07 2,03E-07 1,38E-07 5,25E-08
MDT 24 24 24
Total λDD 1,16E-06 4,93E-11 5,25E-08
111
λDU (tests de validité) 3,66E-07 2,00E-07 2,00E-07 9,10E-09 3,28E-08 2,26E-08 1,54E-08
λDU*Qté 3,66E-07 2,00E-07 2,00E-07 9,10E-09 6,56E-08 2,26E-08 1,54E-08
λDU pour branche 7,66E-07 1,13E-07
Période de tests de validité, T 8760 8760
Total λDU 7,66E-07 4,93E-04

λS*Qté 0,00E+00 0,00E+00 2,63E-03 9,10E-08 6,56E-07 2,26E-07 1,54E-07 5,84E-08
MDT 24 24 24
Total λS 2,63E-03 2,25E-06 5,84E-08
Total λDD 1,21E-06

Total λDU 4,94E-04
Total λS 2,63E-03

PROCESS SAFEBOOK 1
Entrée Sortie
CNB CPU
analogique TOR
Disponibilité d’un
Charge de Charge de
système complexe
Transmetteur
de pression ventilateur ventilateur CCF
Entrée Sortie
CNB CPU
analogique TOR
PROCESS SAFEBOOK 1
CCF 5%
Qté 1 1 1 1 2 1 1
Configuration 1oo1 1oo1 1oo1 1oo2 1oo2 1oo2 1oo2
λDD*Qté 1,16E-06 0,00E+00 0,00E+00 8,19E-08 5,90E-07 2,03E-07 1,38E-07 5,25E-08
MDT 24 24 24
Total λDD 1,16E-06 4,93E-11 5,25E-08
112
λDU (tests de validité) 3,66E-07 2,00E-07 2,00E-07 9,10E-09 3,28E-08 2,26E-08 1,54E-08 5,84E-09
λDU*Qté 3,66E-07 2,00E-07 2,00E-07 9,10E-09 6,56E-08 2,26E-08 1,54E-08 5,84E-09
λDU pour branche 7,66E-07 1,13E-07 5,84E-09
Période de tests de validité, T 8760 8760 8760
Total λDU 7,66E-07 1,11E-10 5,84E-09

λS*Qté 0,00E+00 0,00E+00 2,63E-03 9,10E-08 6,56E-07 2,26E-07 1,54E-07 5,84E-08
MDT 24 24 24
Total λS 2,63E-03 2,25E-06 5,84E-08
Total λDD = 1,21E-06 Disp (DD) = 0,99997

Total λDU = 7,72E-07 Disp (DU) = 0,99328
Total λS = 2,63E-03 Disp (S) = 0,94062
Total λSYS = 2,63E-03 /h

Disponibilité = 0,9343
PROCESS SAFEBOOK 1
12.24. Exemple de fiche technique
Les données de taux de défaillances employées dans les diagrammes de fiabilité (RBD)
précédents doivent être visibles dans le rapport et indiquer la traçabilité à la source. La
source, lorsqu’elle désigne les données publiées, doit afficher suffisamment de détails afin
que des tiers puissent vérifier en toute indépendance les données employées. Cela peut
inclure l’identifiant de document, l’éventuel numéro ISBN, ainsi que le numéro de page et
d’élément.
Le tableau 15 présente un tableau de données types pour les précédents exemples de

diagrammes de fiabilité.
Description Réf. λTotal λD λDD λDU λS Commentaires/

Source
Trans- PT-xxx 3,68E-06 1,53E-06 1,16E-06 3,66E-07 2,15E-06 Manuel de sécurité

metteur de fonctionnelle de
pression PT-xxx du fabricant,
PT-xxx M-xxx-xxx, mois-20xx
Trans- FL-xxx 5,00E-07 2,00E-07 0,00E+00 2,00E-07 3,00E-07 FARADIP-THREE V6.4,

formateur de base de données de
courant de fiabilité. Technis, 26
charge de Orchard Drive,
ventilateur Tonbridge, Kent TN10
FL-xxx 4LG, ISBN 0-951-
65623-6.
Module de 1756- 1,82E-07 9,10E-08 8,19E-08 9,10E-09 9,10E-08 Document

communi- CNB Allen-Bradley ‘Using
cations ControlLogix in SIL2
ControlNet Applications’
CNB
Module 1756- 6,56E-07 3,28E-07 2,95E-07 3,28E-08 3,28E-07 Document

d’entrées AI16 Allen-Bradley ‘Using
analogiques ControlLogix in SIL2
Applications’
CPU 1756- 4,52E-07 2,26E-07 2,03E-07 2,26E-08 2,26E-07 Document
ControlLogix L63 Allen-Bradley ‘Using
ControlLogix in SIL2
Applications’
Module de 1756- 3,07E-07 1,54E-07 1,38E-07 1,54E-08 1,54E-07 Document

sorties TOR OB32 Allen-Bradley ‘Using
ControlLogix in SIL2
Applications’
Tableau 14 : Calcul de PFH/PFD (défaillances non détectées)
113
PROCESS SAFEBOOK 1
12.25. Modélisation des systèmes Feu et Gaz (F&G)
Lors de la modélisation des systèmes F&G, il est important de fournir certaines directives
sur la tolérance de pannes. La modélisation de système d’arrêt d’urgence (ESD) ou de
systèmes similaires suit généralement la même configuration que celle du vote de
l’analyseur logique. Par exemple, la fiabilité des transmetteurs de pression (PT) qui font
l’objet d’un vote un sur deux (1oo2) par un système ESD en cas de pression élevée sera
modélisée comme 1oo2. Il n’en va pas toujours de même pour les systèmes F&G.
En général, une analyse prudente est effectuée sans s’appuyer sur les hypothèses de
couverture de détecteur et de redondance dans la configuration des alarmes, mais dans
la pratique, cela peut aboutir à une analyse pessimiste et à une impossibilité de respecter
les objectifs. Lorsque de telles difficultés se produisent, une connaissance détaillée des
dangers permet l’élaboration d’un modèle plus ciblé et, donc, l’exécution d’une analyse
de fiabilité plus réaliste.
Les systèmes F&G protègent non seulement les personnes, mais peuvent aussi servir à
protéger un actif contre un risque commercial ou un site contre un risque environnemental,
et l’action pratique exigée par la fonction SIF afin de fournir cette protection déterminera le
modèle de fiabilité approprié à employer.
Lors de la modélisation d’une fonction SIF F&G, afin de déterminer la conformité à des
objectifs de fiabilité du matériel, par ex. une probabilité PFD, des décisions doivent être
prises afin de déterminer précisément la configuration du matériel à modéliser.
Par exemple, des données C&E pour une fonction SIF F&G spécifieront généralement ce
qui suit :
a) un détecteur de gaz sur six (1oo6) en état d’alarme est qualifié de « Gaz
unique » et active une alarme de salle de contrôle ;
b) deux détecteurs de gaz sur six (2oo6) en état d’alarme sont qualifiés de « Gaz
confirmé » et activeront les alarmes et gyrophares de site, et généreront aussi
un arrêt d’urgence (ESD) de l’usine.
Toutefois, pour une modélisation correcte, il faut comprendre la fonction SIF et le danger
contre lequel elle assure une protection. L’action pratique exigée par la fonction SIF
déterminera le modèle approprié à employer.
12.26. Modélisation de configurations de détecteurs de système F&G
Dans la pratique, une alarme de type Gaz unique fera l’objet d’une investigation par un
opérateur, afin de déterminer si elle est réelle, intempestive ou due à un défaut de
détecteur. L’action pratique est prise uniquement suite à une alarme de type Gaz confirmé
et elle veillera à une évacuation en lieu sûr du personnel de l’usine. C’est la fonction de
sécurité qui a suscité l’objectif SIL cible et, par conséquent, le cas b) ci-dessus doit
114
PROCESS SAFEBOOK 1
constituer notre point de départ pour la modélisation de fiabilité : une alarme de type Gaz
confirmé veillera à une évacuation en lieu sûr du personnel.
La configuration de la figure 44 présente six détecteurs de gaz implantés dans une zone et
l’analyseur logique de vote 2oo6 est configuré afin d’agir si 2 détecteurs sur 6 détectent du gaz.
Zone 01 Zone avec 6 détecteurs de gaz

G G G
G G G
F&G
Action pratique lors de la
réception d’une alarme de
2 des 6 détecteurs.
Logique de vote 2oo6
Figure 44 : configuration du système F&G
Néanmoins, la modélisation de fonctions SIF par rapport à des probabilités PFD cible revient
à calculer la probabilité de non-réaction au gaz si cela s’avère nécessaire. Un dégagement de
gaz suffisamment important pour être dangereux sera peut-être uniquement dans la plage
de couverture de, par exemple, la moitié des 6 détecteurs (cf. la figure 45).
Zone 01 Zone avec 6 détecteurs de gaz

G G G
Gaz
G G G
F&G
Action pratique lors de la
réception d’une alarme de
2 des 6 détecteurs.
Logique de vote 2oo6
Figure 45 : couverture du système F&G
Dans la pratique, nous allons vraisemblablement demander le déclenchement d’une

action pratique dès que possible, autrement dit lorsqu’au minimum deux capteurs sont à
l’intérieur du nuage de gaz. Dans ce cas, il faut modéliser les capteurs sous la forme 2oo2,
sans redondance, de sorte qu’aucune défaillance de capteur ne puisse être tolérée. Si les
115
PROCESS SAFEBOOK 1
objectifs sont réalisés avec une configuration non redondante, cela doit représenter une
approche prudente, car elle ne se fonde pas sur la justification de toute hypothèse de
couverture des détecteurs.
En réalité, la probabilité PFD du sous-système de capteur sera vraisemblablement

meilleure que ce qui a été calculé pour une configuration non redondante, car il y aura
probablement un chevauchement dans la couverture des capteurs du fait de leur
positionnement, et une défaillance de capteur unique pourra éventuellement être tolérée.
En termes de modélisation de fiabilité, l’analyste doit, par conséquent, évaluer la taille

maximum de rejet de gaz (taille de nuage) susceptible d’être tolérée avant qu’une action
pratique soit requise et estimer le nombre de capteurs qui se trouveront à l’intérieur du
nuage à ce moment.
Dans cet exemple, si nous autorisons une taille de nuage de gaz suffisante pour englober
3 capteurs avant de déclencher une action pratique, avec la logique de vote 2 sur 6, nous
pouvons tolérer une défaillance de capteur. En d’autres termes, la fiabilité de la détection
de gaz pourrait être modélisée comme 2oo3, à savoir 2 sur 3.
12.27. Effet d’une modélisation incorrecte sur la probabilité PFD
Dans l’exemple ci-dessus, comme la logique de vote des détecteurs de gaz est 2oo6,
certains analystes succombent à la tentation de modéliser la fiabilité du système comme
2oo6 au lieu de 2oo3, voire 2oo2. À l’évidence, l’écart résultant au niveau de la PFD
globale de la fonction de sécurité et de ses performances par rapport aux objectifs SIL
cibles entre les configurations redondante et non redondante peut être significatif.
Sous réserve qu’une certaine tolérance de pannes puisse raisonnablement être

revendiquée, par ex. en effectuant une modélisation 2oo3 ou 2oo4, les différences
résultantes dans la PFD globale de la fonction de sécurité et dans ses performances
par rapport aux objectifs SIL cibles seront réduites. La PFD pour les configurations
redondantes est limitée par les défaillances de cause commune, de sorte que des
améliorations dans la PFD ne sont pas significatives lorsque la tolérance aux pannes
matérielles (HFT) devient supérieure à 1.
Toutefois, si la tolérance aux pannes ne peut pas être assurée en raison du positionnement
des détecteurs ou de la taille du nuage de gaz tolérable lorsqu’une action pratique est
nécessaire, l’écart résultant entre les configurations redondante et non redondante peut
être significatif (cf. la figure 46).
Remarque : la probabilité PFD est calculée pour les taux de défaillance de capteur et les
délais de réparation types, et elle suppose une contribution des causes communes pour
les configurations redondantes. Dans cet exemple, une valeur nulle de tolérance aux
pannes représente une configuration 2oo2, une valeur 1 représente une configuration
2oo3, une valeur 2 représente une configuration 2oo4, etc.
116
PROCESS SAFEBOOK 1
Les résultats montrent que, selon l’architecture ou la valeur HFT sélectionnée pour la
modélisation, la probabilité PFD calculée pourrait entrer dans la bande SIL1, SIL2 ou SIL3.
PFD du système F&G

1,00E+00
1,00E-01
2oo2 SIL1
PFD
1,00E-02
SIL2
2oo3
2oo4 2oo5 2oo6

1,00E-03
SIL3
1,00E-04
0 1 2 3 4
Tolérance aux pannes du matériel (HFT)
Figure 46 : calcul de PFD du système F&G
12.28. Effet d’une modélisation incorrecte sur l’architecture
Une modélisation incorrecte aura un effet plus significatif sur les performances
architecturales de la fonction de sécurité. Pour une proportion de défaillances non
dangereuses ou SFF (Safe Failure Fraction) donnée, les performances SIL du sous-système
de détecteur dépendent de sa tolérance HFT.
Par exemple, pour un détecteur de type B avec une SFF entre 60 % et 90 %, les possibilités
SIL architecturales suivantes peuvent être revendiquées :
HFT Configuration SIL (Architecture)

0 2oo2 SIL1
1 2oo3 SIL2
2 4oo4 SIL3
De nouveau, si l’analyste suppose une configuration 2oo6 en raison de la logique de vote,

une architecture optimiste aboutira à la revendication d’un niveau SIL3 alors qu’en réalité
un niveau SIL inférieur peut s’appliquer.
117
PROCESS SAFEBOOK 1
12.29. Modélisation de configurations d’alarmes de système F&G
Le personnel est protégé des dangers liés au feu et au gaz par une alarme confirmée. Les
alarmes visuelles et sonores suffisent pour garantir l’évacuation du personnel vers un lieu
sûr. Par conséquent, pour les dangers liés à la sécurité, il suffit à la configuration des
sorties de prendre en compte la disponibilité d’avertisseurs visuels et sonores.
Pour les systèmes F&G, une action pratique peut généralement être spécifiée par
l’activation d’alarmes visuelles 6oo6 ET d’alarmes sonores 4oo4. La modélisation de telles
configurations provoque généralement un problème pour faire mieux qu’une PFD SIL1
cible, en raison du nombre d’équipements à inclure. Par ailleurs, comme les alarmes et
gyrophares ont une proportion SFF très faible, leurs performances architecturales ne
peuvent généralement pas faire mieux qu’un niveau SIL1 dans les configurations simplex.
En ayant à l’esprit qu’une zone peut contenir des équipements bruyants susceptibles de
masquer un gyrophare ou d’empêcher d’entendre une alarme sonore, une bonne
pratique doit viser à positionner les alarmes de telle sorte que le personnel situé dans la
zone dangereuse puisse voir ou entendre systématiquement plusieurs avertisseurs en
même temps. Si cette hypothèse peut être vérifiée, l’analyste peut tirer partie d’une telle
tolérance aux pannes dans la modélisation de fiabilité de la configuration d’alarmes.
Une configuration d’avertisseurs 6oo6 peut couvrir 2 ou 3 zones séparées avec peut-
être 2 ou 3 avertisseurs par zone. De ce fait, l’analyste doit décider à partir des plans
d’aménagement d’usine quelle tolérance aux pannes peut être revendiquée pour
chaque zone, puis la modéliser en conséquence (cf. la figure 47).
Zone 01 Zone 02
Gyrophare Gyrophare
Gyrophare
Gyrophare
Gyrophare
Gyrophare
Analyseur
logique F&G
Sorties 6oo6
Figure 47 : exemple de configuration de système d’alarme
118
PROCESS SAFEBOOK 1
La clé consiste à définir le nombre de gyrophares visibles et le nombre de ceux-ci

autorisés à subir une défaillance sans provoquer la perte de la fonction de sécurité. Dans
l’étude de cas d’implantation, il a été décidé que dans chaque zone, deux gyrophares sur 3
seraient toujours visibles.
Dans une telle configuration, une approche raisonnable consistera à modéliser chaque
zone 1 comme 1oo2, car il suffit de voir un gyrophare. Toutefois, comme les deux zones
doivent être protégées, elles devraient être incluses dans le modèle, à savoir 1oo2 + 1oo2.
En guise d’exemple supplémentaire, considérons 6 gyrophares dans une zone unique, où

il a été décidé qu’à n’importe quel moment donné, 4 des 6 gyrophares seraient visibles
(cf. la figure 48). Dans ce cas, un gyrophare doit fonctionner sur 4 gyrophares visibles, de
sorte que les alarmes peuvent être modélisées comme 1oo4.
Zone 01
Gyrophare Gyrophare Gyrophare
Gyrophare Gyrophare Gyrophare
Analyseur
logique F&G
Sorties 6oo6
Figure 48 : exemple de configuration de système d’alarme (1 zone)
12.30. Entrées F&G vers les systèmes ESD
Jusqu’à présent, il n’a nullement été fait mention de l’exigence de générer un arrêt
d’urgence (ESD) de l’usine lors d’une confirmation d’incendie ou de gaz. L’inclusion ou
non d’un déclenchement d’arrêt d’urgence (ESD) en tant que partie intégrante de la
fonction SIF F&G dépendra des conséquences du danger et de la protection requise.
Lorsque le danger aboutit à un risque individuel lié à la sécurité, il peut être invoqué que
les alarmes suffisent pour assurer la protection. En général, les déclenchements F&G
génèrent aussi une entrée vers le système ESD, mais dans de nombreux processus, cela
sert à éviter une escalade du danger et à protéger l’actif. Un déclenchement ESD peut
aussi être généré en tant que mesure de bonne conduite, afin de permettre un démarrage
mieux maîtrisé après la résolution du danger. Le rôle du système F&G est de fournir une
119
PROCESS SAFEBOOK 1
protection contre l’incendie ou le gaz, tandis que le système ESD protège d’autres
dangers. Sous réserve que le système F&G atteigne ses objectifs en termes de réduction
du risque, il ne doit pas y avoir d’autres raisons que celle exposée ci-dessus de déclencher
le système ESD. Par conséquent, le système ESD sera normalement inclus dans la fonction
SIF F&G.
Il existe toutefois des exceptions. Lorsque le danger aboutit à des dommages pour
l’environnement ou des actifs, les alarmes seules ne fourniront aucune protection et, par
conséquent, il sera peut-être nécessaire d’isoler l’usine en cas de détection d’un incendie
ou d’un gaz. Dans de tels cas, un système d’arrêt et d’isolation doit, le cas échéant, être
inclus dans la modélisation de fiabilité des fonctions SIF F&G.
12.31. Résumé
Il peut être constaté que la modélisation du sous-système d’entrées peut fournir des
résultats optimistes si la configuration de logique de vote est modélisée au lieu de la
tolérance aux pannes des détecteurs. La même approche donnera des résultats très
pessimistes lors de la modélisation du sous-système de sorties. Entre les deux sous-
systèmes, l’approche de modélisation adoptée peut aboutir à un écart important de la
probabilité PFD calculée et des performances architecturales, d’où la possibilité d’un
écart également important dans le niveau SIL revendiqué.
Il est, par conséquent, important d’adopter une approche réfléchie pour la modélisation
des systèmes F&G et d’acquérir une compréhension claire des techniques de
modélisation, ainsi que des dangers et systèmes analysés. Cela garantira une évaluation
précise de la réduction du risque fournie par un système F&G et évitera un problème
d’information erronée des utilisateurs finaux par des revendications optimistes.
120
PROCESS SAFEBOOK 1
Vérification SIL
13. Vérification SIL

13.1. Respect des objectifs de niveau d’intégrité de sécurité cibles
De nombreuses personnes demandent ce qu’elles doivent faire pour démontrer la

conformité. Il ne suffit pas d’acheter des composants « certifiés SIL » et de supposer que
cela garantira d’emblée une conformité. Par ailleurs, comme la norme n’est pas prescriptive,
il n’est pas non plus possible de fournir une liste de contrôle ou un graphique à cocher
des tâches à effectuer. En réalité, le volume plus ou moins élevé des tâches est tributaire de
nombreux facteurs. L’approche dépendra de la quantité des données disponibles. La
profondeur de l’analyse ou la rigueur appliquée doit satisfaire votre client ou régulateur
mais, par-dessus tout, vous devez éprouver la satisfaction d’en avoir accompli
suffisamment.
En cas d’incident entraînant le décès d’une personne, pouvez-vous affronter le regard

des familles et montrer que vous avez fait tout ce que vous pouviez raisonnablement
accomplir ?
Un plan suggéré de conformité consistera à respecter les exigences de la norme

CEI 61511-1, clauses 10 et 12. Elles incluent les sous-clauses suivantes, telles qu’illustrées
sur la figure 49 :
• Exigences concernant le comportement du système lors de la détection d’un

défaut [13.2] ;
• Tolérance aux pannes matérielles [13.3] ;
• Sélection des composants et sous-systèmes [13.4] ;
• Équipements de terrain [13.5] ;
• Interfaces d’opérateur, de technicien de maintenance et de communication
avec le SIS [13.6] ;
• Exigences de conception pour les tests ou la maintenance [13.7] ;
• Probabilité de défaillance de la fonction SIF [13.8] ;
• Logiciel d’application [13.9].
Lorsque ces clauses sont en outre subdivisées en exigences plus détaillées, elles sont aussi
affichées.
Conformité à la norme CEI 61511-1, clause 5 : La gestion de la sécurité fonctionnelle est

abordée plus en détail à la section [18].
121
CEI 61511-1
Évaluation SIL –
exigences pour la
conformité
Figure 49 : plan de conformité

CEI 61511-1, 5 CEI 61511-1, 11, 12 :
Gestion de Conception et
la sécurité ingénierie du
PROCESS SAFEBOOK 1
fonctionnelle système instrumenté

de sécurité
CEI 61511-1, 11 CEI 61511-1, 12

Conception et Exigences pour
ingénierie du SIS les logiciels
122
d’application
CEI 61511-1, 11.2 CEI 61511-1, 11.3 CEI 61511-1, 11.4 CEI 61511-1, 11.5 CEI 61511-1, 11.6 CEI 61511-1, 11.7 CEI 61511-1, 11.8 CEI 61511-1, 11.9 CEI 61511-1, 12.4
Exigences générales Exigences concernant Exigences Exigences pour Équipements de Interfaces d’opéra- Exigences de Probabilité de Conception et
le comportement du concernant la sélection des terrain teur, de technicien conception pour défaillance de développement
système lors de la
détection d’un défaut
la tolérance aux composants et de maintenance et les tests ou la fonction SIF de logiciels
pannes matérielles sous-systèmes de communication maintenance d’application
CEI 61511-1, 11.5.2 CEI 61511-1, 11.5.3 CEI 61511-1, 11.5.4 CEI 61511-1, 11.5.5 CEI 61511-1, 11.5.6
Exigences générales Exigences Exigences pour les Exigences pour les Exigences pour
basées sur les équipements program- équipements program- les équipements
mables FPL basées mables LVL basées
utilisations sur les utilisations sur les utilisations
programmables FVL
antérieures antérieures antérieures
PROCESS SAFEBOOK 1
Vérification SIL
13.2. Exigences concernant le comportement du système lors de la détection d’un

défaut CEI 61511-1, 11.3
Le comportement du système à la détection d’un défaut doit être spécifié. Cet aspect doit
être détaillé dans la spécification SRS ou la spécification de conception par exemple.
La liste suivante présente des exemples types des paramètres qu’il est envisageable
d’inclure :
1. Tous les blocs de sortie votent 1oo2 lors des sollicitations d’API et reviennent
à 1oo1 lors de la détection d’une perte de communication d’un API.
2. La spécification de conception stipule qu’un principe à arrêt de sécurité
s’applique. Tous les éléments d’arrêt du SIS respectent un principe de
défaillance en mode sécurisé.
3. En cas de système ESD, une fonction de coupure par mise hors tension a été
mise en œuvre.
4. En cas de système F&G, un déclenchement par mise sous tension pour l’agent
extincteur a été mis en œuvre. La détection d’un seul défaut dangereux dans
une configuration redondante est signalée par une condition d’alarme. Le
système F&G continue de fonctionner en toute sécurité pour la durée autorisée
de la réparation et d’autres mesures de réduction du risque ont été mises en
œuvre telles que la fourniture d’un déclenchement manuel filaire de l’agent
extincteur.
13.3. Exigences concernant la tolérance aux pannes matérielles, CEI 61511-1, 11.4
13.3.1. Approche
Pour traiter les exigences concernant la tolérance aux pannes matérielles (HFT), une
évaluation quantitative est nécessaire par rapport à la proportion de défaillances non
dangereuses (SFF) et aux contraintes architecturales.
13.3.2. Proportion de défaillances non dangereuses
Dans le contexte d’une intégrité de sécurité du matériel, le plus haut niveau SIL pouvant
être revendiqué pour une fonction de sécurité est limité par les valeurs HFT et SFF des
sous-systèmes qui assurent la fonction de sécurité.
Une tolérance aux pannes matérielles 1 indique que l’architecture du sous-système est
telle qu’une défaillance dangereuse d’un des sous-systèmes n’empêche pas l’exécution
de l’action de sécurité, à savoir la tolérance HFT serait 1 pour une configuration 1oo2 ou
2oo3, ou serait 2 pour une configuration 1oo3 ou 2oo4.
123
PROCESS SAFEBOOK 1
Concernant ces exigences, la norme CEI 61508 [19.1] fournit les directives supplémentaires
suivantes :
• une tolérance aux pannes matérielles de N signifie que N+1 défauts pourraient
entraîner la perte de la fonction de sécurité. Lors de la détermination de la
tolérance aux pannes matérielles, il ne faut pas prendre en compte d’autres
mesures susceptibles de contrôler les effets des défauts telles que le diagnostic ;
• lorsqu’un défaut aboutit directement à la survenance d’un ou de plusieurs
défauts consécutifs, ces derniers sont considérés comme un seul défaut ;
• lors de la détermination de la tolérance aux pannes matérielles, certains défauts
peuvent être exclus, à condition que la vraisemblance de leur survenance soit
très faible par rapport aux exigences d’intégrité de sécurité du sous-système.
Une telle exclusion de défaut quelle qu’elle soit doit être justifiée et
documentée.
Les relations générales suivantes s’appliquent :
SFF = Σ (Σ λS + Σ λDD)/(Σ λS + Σ λD) Réf. CEI 61508-2.C.1
Où :
λD = λDU + λDD
Pour chaque élément de la fonction de sécurité, la proportion SFF doit être calculée. La
valeur doit ensuite être employée dans le tableau 16 afin de déterminer la conformité SIL
pour le niveau de tolérance aux pannes matérielles.
13.3.3. Contraintes architecturales
La norme CEI 61511-1, clause 11.4.5 permet l’évaluation de la tolérance aux pannes
matérielles au moyen des exigences de la norme CEI 61508-2, tableaux 2 et 3.
Dans le cadre de la norme CEI 61508 [19.1], les sous-systèmes sont classés en tant que
type A ou type B. En général, si les modes de défaillances sont parfaitement définis, si le
comportement dans des conditions de défaut peut être entièrement déterminé et s’il y a
suffisamment de données de terrain appropriées, le sous-système peut être considéré
comme de type A. Si une de ces conditions n’est peut-être pas vraie, le sous-système doit
être considéré comme de type B.
Les équipements mécaniques simples tels que les vannes sont généralement considérés
comme de type A. Les analyseurs logiques sont habituellement de type B car ils
contiennent certaines capacités de traitement et, en tant que tels, leur comportement
dans des conditions de défaut peut ne pas être complètement déterminé. Les capteurs
peuvent être de type A ou de type B selon la technologie et la complexité de l’équipement.
124
PROCESS SAFEBOOK 1
Vérification SIL
Les contraintes architecturales d’une fonction de sécurité sont résumées dans le tableau 16.
Définition des sous-systèmes de type A :

Modes de défaillance de toutes les parties constitutives bien définis, comportement du sous-
système dans les conditions de défauts complètement déterminé et suffisamment de données
fiables issues de l’expérience du terrain, afin de montrer que les taux de défaillances revendiqués
pour les défaillances dangereuses détectées et non détectées sont respectés
Proportion de dé Tolérance aux pannes matérielles (N)
faillances non
0 1 2
dangereuses
< 60 % SIL1 SIL2 SIL3
60 % – < 90 % SIL2 SIL3 SIL4
90 % – < 99 % SIL3 SIL4 SIL4
≥ 99 % SIL3 SIL4 SIL4
Définition des sous-systèmes de type B :
Le mode de défaillance d’au moins un composant constitutif n’est pas bien défini, ou le
comportement du sous-système dans les conditions de défaut ne peut pas être complètement
déterminé, ou il n’y a pas suffisamment de données fiables issues de l’expérience du terrain pour
étayer les taux de défaillances revendiqués pour les défaillances dangereuses détectées et non
détectées
Proportion de Tolérance aux pannes matérielles (N)

défaillances non
0 1 2
dangereuses
< 60 % Non autorisé SIL1 SIL2

60 % – < 90 % SIL1 SIL2 SIL3
90 % – < 99 % SIL2 SIL3 SIL4
Tableau 16 : Contraintes architecturales
Remarque : une tolérance aux pannes matérielles de N signifie que N+1 défauts
pourraient entraîner la perte de la fonction de sécurité.
13.3.4. Exemple
Dans l’exemple de la figure 50, la fonction de sécurité est constituée de deux

transmetteurs de niveau fonctionnant en configuration 1oo2. Si un des transmetteurs
détecte un niveau élevé, l’API Allen Bradley désactivera l’électrovanne (SOV), ce qui
autorisera la fermeture de la vanne d’arrêt d’urgence (ESD).
L’évaluation des performances architecturales nécessite d’identifier au préalable le type, à

savoir A ou B de chaque élément. La détermination s’effectue habituellement au moyen
125
PROCESS SAFEBOOK 1
des définitions du tableau 16. En règle générale, vous devez, être certain des modes de
défaillances et du comportement en cas de défaillance d’un élément, et avoir de très
bonnes données de défaillance afin de le considérer comme de type A. Autrement,
l’élément doit être considéré comme de type B.
Nos données de défaillance pour chaque élément nous permettent ensuite de calculer
la proportion SFF. Le type d’élément et la proportion SFF sont présentés sous forme
tabulaire au-dessous de chaque élément de la figure 50.
La tolérance HFT fait référence au niveau de tolérance aux pannes de chaque élément. Les
transmetteurs de niveau fonctionnant en configuration 1oo2 ont une tolérance HFT de 1.
Tous les autres éléments n’ont aucune tolérance aux pannes et leur valeur HFT doit donc
être 0.
Enfin, le niveau SIL pouvant être revendiqué pour les performances architecturales de
chaque élément peut être déterminé au moyen des informations du tableau 16.
Détecteur
de niveau
CCF 5 % API 1oo1 SOV Vanne ESD

NE
Détecteur
de niveau
Type A B A A
SFF 0,40 0,95 0,72 0,25
HFT 1 0 0 0
SIL architectural 2 2 2 1
SIL autorisé (Arch) 1
SIL autorisé global SIL1
Les détecteurs de niveau sont de type A, d’où l’application des critères du type A. Avec
une proportion SFF de 0,40 et une tolérance aux pannes de 1, les transmetteurs de niveau
sont conformes aux contraintes architecturales de niveau SIL2.
De même, l’électrovanne (SOV) et la vanne d’arrêt d’urgence (ESD) peuvent aussi être
évaluées. L’électrovanne, aussi de type A, présente une tolérance aux pannes de 0 et une
proportion SFF de 0,72, ce qui donne un niveau SIL2. La vanne ESD, aussi de type A,
présente une tolérance aux pannes de 0 et une proportion SFF de 0,25, ce qui donne un
niveau SIL1.
126
PROCESS SAFEBOOK 1
Vérification SIL
Définition des sous-systèmes de type A :

Modes de défaillance de toutes les parties constitutives bien définis, comportement du sous-
système dans les conditions de défauts complètement déterminé et suffisamment de données
fiables issues de l’expérience du terrain, afin de montrer que les taux de défaillances revendiqués
pour les défaillances dangereuses détectées et non détectées sont respectés
défaillances non
0 1 2
dangereuses (SSF)
< 60 % SIL1 (valeur ESD) SIL2 (LT) SIL3

60 % – < 90 % SIL2 (SOV) SIL3 SIL4
90 % – < 99 % SIL3 SIL4 SIL4
Figure 51 : contraintes architecturales de transmetteur de niveau
L’API est considéré comme un équipement de type B. C’est vrai pour la majorité des
automates programmables industriels (API) car, comme ils sont contrôlés par un logiciel,
il existe une incertitude concernant leur comportement en cas de défaillance. Par
conséquent, toutes les conditions requises pour le type A ne sont pas réunies.
L’évaluation de l’API doit donc être réalisée par rapport aux exigences du type B (cf. la
figure 52).
Définition des sous-systèmes de type B :

Le mode de défaillance d’au moins un composant constitutif n’est pas bien défini, ou le comporte-
ment du sous-système dans les conditions de défaut ne peut pas être complètement déterminé, ou il
n’y a pas suffisamment de données fiables issues de l’expérience du terrain pour étayer les taux de
défaillances revendiqués pour les défaillances dangereuses détectées et non détectées
défaillances non
0 1 2
dangereuses (SSF)
< 60 % Non autorisé SIL1 SIL2

60 % – < 90 % SIL1 SIL2 SIL3
90 % – < 99 % SIL2 (API) SIL3 SIL4
Figure 52 : contraintes architecturales d’API
Pour résumer, les performances SIL architecturales de chaque élément sont affichées sur
la figure 50 et le niveau SIL pouvant être revendiqué pour la fonction de sécurité globale
est SIL1. Les performances SIL architecturales concernant la fonction de sécurité globale
sont limitées par le niveau SIL le plus bas revendiqué.
127
PROCESS SAFEBOOK 1
13.4. Exigences pour la sélection des composants et sous-systèmes, CEI 61511-1, 11.5
13.4.1. Approche
Pour les applications de l’industrie des procédés, la sélection des composants et sous-
systèmes peut être basée sur une évaluation d’adéquation. Les objectifs visent à spécifier
les exigences :
• pour la sélection des composants et sous-systèmes ;

• pour permettre l’intégration d’un composant ou sous-système dans
l’architecture d’une fonction SIF ;
• pour stipuler les critères d’acceptation concernant les composants et sous-
systèmes.
13.4.2. Exigences générales CEI 61511-1, 11.5.2
Cette procédure ne doit pas être employée pour les applications SIL4, mais pour tous les
autres composants et sous-systèmes, il convient de traiter les aspects suivants.
La démonstration d’adéquation doit inclure une évaluation SIL comprenant le calcul

d’une probabilité PFD et de contraintes architecturales par rapport aux objectifs.
La démonstration d’adéquation doit aussi inclure la prise en compte de la documentation

des matériels et logiciels embarqués des fabricants. Dans la pratique, la documentation
fournie avec les composants et sous-systèmes sélectionnés se présentera sous la forme de
spécifications techniques couvrant la fonctionnalité et les performances environnementales.
La spécification fonctionnelle (FDS) doit, par conséquent, inclure une déclaration justifiant
l’adéquation des composants et sous-systèmes sélectionnés basée sur la documentation de
spécification du fabricant par rapport aux exigences fonctionnelles.
Les composants et sous-systèmes doivent être cohérents avec la spécification des

prescriptions de sécurité (SRS). Dans la pratique, les composants et sous-systèmes
sont sélectionnés en fonction de leur capacité à respecter les prescriptions de sécurité.
La démonstration de conformité continue de s’appliquer lors de l’évaluation et des
exigences concernant les contraintes architecturales ainsi que la probabilité PFD.
13.4.3. Avant l’utilisation, CEI 61511-1, 11.5.3
Pour l’essentiel, la sélection des composants doit être effectuée conformément à la

spécification d’approvisionnement auprès des fournisseurs agréés.
La prise en compte du système de gestion de la qualité (QMS) et des systèmes de gestion

de configuration du fabricant doit faire partie intégrante de l’évaluation du fournisseur et
des justifications d’adéquation présentées dans la spécification FDS.
128
PROCESS SAFEBOOK 1
Vérification SIL
Pour tous les composants et sous-systèmes sélectionnés, la spécification FDS doit aussi
fournir des justifications d’utilisation cumulée. Les preuves peuvent reposer au choix sur :
• les heures cumulées pour les équipements de terrain et SIL1 ;

• les heures d’équipement cumulées avec l’identification des défaillances
dangereuses pour les éléments SIL2 et complexes.
Concernant les applications d’analyseur logique SIL3, une certification est requise.
L’utilisation cumulée requise pour un composant ou sous-système dépendra du taux de

défaillances cible et du signalement d’éventuelles défaillances. La figure 53 fournit unique-
ment des directives et montre le nombre requis d’années d’équipement cumulées (nombre
d’équipements x années d’utilisation) pour différentes valeurs de taux de défaillances cible.
1 000 000
0 défaillance
X 1 défaillance
5 défaillances
10 000
Années d’équipement nécessaires
10 défaillances
X 15 défaillances
1000
X
100
X
10
1
1,00E-07 1,00E-06 1,00E-05 1,00E-04
Taux de défaillances cible (/h)
Figure 53 : directives sur l’utilisation requise
Par exemple, si le taux de défaillances cible est 1,00E-06/h et si aucune défaillance n’a été
signalée, selon la figure 53, la justification doit porter sur 137 années d’équipement, ce
qu’il est possible d’atteindre avec 14 équipements fonctionnant sans défaillance pendant
10 ans. Si des défaillances dans la population sur le terrain sont rapportées, le taux de
défaillances d’équipements réel sera supérieur. Par conséquent, il faudra plus d’heures de
fonctionnement sans défaillance pour démontrer le même taux de défaillances cible.
129
PROCESS SAFEBOOK 1
La figure est basée sur une distribution Χ2 avec une limite de confiance de 70 %, et doit
uniquement servir de conseil et pour savoir à quel moment un nombre suffisant d’années
d’équipement a été cumulé.
La norme CEI 61511 requiert aussi une surveillance documentée des données de retour,
ainsi qu’un processus de modification par le fabricant, afin d’évaluer l’impact des
défaillances signalées.
Dans la pratique, les informations de défaillances sont rarement disponibles et la

sélection peut donc inclure une évaluation des composants et sous-systèmes, afin de
s’assurer que leurs performances seront conformes. Cette évaluation peut nécessiter des
entretiens avec d’autres utilisateurs ou avec des fabricants ou utilisateurs d’équipements
ou applications similaires. De telles preuves à l’appui doivent être documentées dans la
spécification FDS en tant que partie intégrante de l’adéquation des composants et sous-
systèmes.
13.4.4. Équipements programmables FPL (Fixed Programme Language), CEI 61511-1, 11.5.4
Lorsque des composants et sous-systèmes programmables FPL (par exemple,

équipements de terrain) doivent être employés, les exigences générales [13.4.2], les
exigences avant utilisation [13.4.3] et les exigences suivantes pour les composants et
sous-systèmes programmables FPL doivent toutes être respectées pour les applications
SIL1 et SIL2.
Par ailleurs, pour chaque composant sélectionné, la spécification FDS doit justifier la
sélection des composants FPL en stipulant que le composant respecte les exigences
spécifiées en termes de fonctionnalité, notamment ce qui suit :
a) caractéristiques des signaux d’entrée et de sortie ;

b) modes d’utilisation ;
c) fonctions et configurations employées ;
d) impact peu probable des fonctionnalités non employées sur les fonctions de
sécurité.
Concernant les applications SIL3, une évaluation formelle doit être réalisée.
Une approche alternative adoptée par certains intégrateurs de systèmes consiste à

acquérir un équipement FPL conforme SIL3. Ces équipements doivent déjà avoir été
soumis à une évaluation formelle par une organisation appropriée et à une certification
SIL3, de même que des justifications documentaires à l’appui doivent être fournies.
Les justifications doivent montrer que l’équipement est apte à exécuter la fonction requise et
que la probabilité de défaillance dangereuse est suffisamment faible en cas de défaillances
130
PROCESS SAFEBOOK 1
Vérification SIL
matérielles aléatoires ou de défaillances matérielles ou logicielles systématiques. Un manuel

de sécurité doit aussi être disponible pour l’équipement et détailler les contraintes de
fonctionnement et de maintenance.
13.4.5. Équipements programmables LVL (Limited Variability Language), CEI 61511-1, 11.5.5
Lorsque des composants et sous-systèmes programmables LVL (par exemple, analyseurs

logiques) doivent être employés, les exigences générales [13.4.2], les exigences avant
utilisation [13.4.3], les exigences pour les équipements programmables FPL [13.4.4] et les
exigences suivantes pour les composants et sous-systèmes programmables LVL doivent
toutes être respectées pour les applications SIL1 et SIL2.
La documentation doit apporter la justification selon laquelle il existe une différence

entre le profil opérationnel et l’environnement physique tel qu’expérimenté auparavant
et entre le profil opérationnel et l’environnement physique employés dans la fonction de
sécurité, puis la spécification FDS doit identifier ces différences et démontrer qu’il n’y aura
pas d’incidence négative sur la probabilité PFD.
Pour les applications SIL1 ou SIL2, un analyseurs logique à électronique programmable

(PE) configuré pour la sécurité (qui est un analyseurs logique PE industriel à usage général
qui est spécialement configuré pour l’utilisation dans les applications de sécurité) peut
être employé, à condition de le justifier dans la documentation.
La documentation de spécification fournie par le fabricant doit montrer que des

informations adéquates couvrant le matériel et les logiciels sont disponibles, afin de
garantir la bonne compréhension du comportement en cas de défaillance. La spécification
FDS doit confirmer ce point en listant tous les modes de défaillances dangereuses et en
identifiant, le cas échéant, les mesures de diagnostic et de protection. La spécification FDS
doit aussi identifier les moyens de protection employés contre les modifications non
autorisées ou accidentelles.
Pour les applications d’analyseur logique SIL2, la spécification FDS doit confirmer la
technique de protection employée contre les défauts suivants pendant l’exécution du
programme :
a) surveillance de la séquence de programme ;

b) protection du code contre les modifications ou détection des défaillances par
une surveillance en ligne ;
c) confirmation des défaillances et autre programmation ;
d) contrôle de plage des variables ou contrôle de plausibilité des valeurs ;
e) approche modulaire ;
f ) utilisation de normes de codage appropriées pour les logiciels embarqués.
131
PROCESS SAFEBOOK 1
Par ailleurs, les aspects suivants doivent être démontrés :
g) le système a été testé dans des configurations types, avec des jeux de tests
représentatifs des profils de fonctionnement escomptés ;
h) des modules logiciels et composants vérifiés et de confiance ont été
employés ;
i) le système a fait l’objet d’analyses et de tests dynamiques ;
j) le système n’utilise pas d’intelligence artificielle ni de reconfiguration
dynamique ;
k) des tests d’insertion de défaut documentés ont été réalisés.
Pour les applications SIL2, la spécification FDS doit identifier les contraintes relatives
au fonctionnement, à la maintenance et à la détection des défauts couvrant les
configurations de l’analyseur logique PE et les profils de fonctionnement escomptés.
Pour les applications SIL3, la documentation doit présenter une certification SIL
concernant tout analyseur logique LVL.
13.4.6. Équipements programmables FVL (Full Variability Language), CEI 61511-1, 11.5.6
La documentation doit présenter une certification SIL concernant tout analyseur logique FVL.
13.5. Équipements de terrain, CEI 61511-1, 11.6
Pour la sélection des équipements de terrain, les exigences générales [13.4.2], les
exigences avant l’utilisation [13.4.3] et les exigences suivantes pour les équipements de
terrain doivent toutes être respectées. Le cas échéant, les exigences concernant les
équipements programmables FPL doivent aussi être respectées.
Les équipements de terrain doivent être sélectionnés et installés afin de réduire au

minimum les défaillances susceptibles d’aboutir à des informations inexactes en raison
de conditions découlant de conditions de procédé et de l’environnement. Les conditions
à prendre en compte incluent la corrosion, le gel des matériaux dans les tuyauteries, les
particules solides en suspension, la polymérisation, la cuisson, les températures et
pressions extrêmes, la condensation dans les tuyaux d’impulsion sans liquide et une
condensation insuffisante dans les tuyaux d’impulsion avec liquide.
Pour les équipements de terrain, la documentation de spécification doit montrer que

le composant respecte toutes les exigences spécifiées en termes de fonctionnalité pour
toutes les conditions de procédé et d’environnement. La spécification FDS doit confirmer
que c’est le cas. La spécification FDS doit aussi confirmer que l’ensemble des circuits
d’entrée/sortie TOR de coupure par mise sous tension doit appliquer une méthode afin
de garantir l’intégrité du circuit et de l’alimentation électrique, par ex. analyseur de ligne.
132
PROCESS SAFEBOOK 1
Vérification SIL
Les capteurs intelligents doivent être protégés en écriture afin d’empêcher des
modifications accidentelles à partir d’un lieu distant, à moins qu’une revue de sécurité
appropriée autorise le mode lecture/écriture.
13.6. Interfaces opérateur, de maintenance et de communication, CEI 61511-1, 11.7
Pour toutes les interfaces de communication, les exigences suivantes doivent être
respectées.
La conception de l’interface de communication SIS doit garantir que toute défaillance de

l’interface n’affectera pas la capacité du SIS a amener le procédé dans un état de sécurité.
Cet aspect doit être confirmé dans la documentation de conception.
La documentation doit aussi confirmer :
a) l’état d’erreur prédit du réseau de communications ;

b) l’absence d’incidence des communications avec le système BPCS et les
périphériques sur la fonction SIF ;
c) la robustesse suffisante de l’interface de communication pour supporter les
interférences électromagnétiques, y compris les surtensions, sans provoquer
de défaillance dangereuse de la fonction SIF ;
d) l’adéquation de l’interface de communication pour les communications entre
les équipements présentant différents potentiels de mise à la terre.
REMARQUE : un autre support (par ex. fibre optique) peut être requis.
13.7. Exigences de conception pour les tests ou la maintenance, CEI 61511-1, 11.8
La conception du SIS doit permettre d’effectuer des tests de bout en bout ou partiels. Les
aspects suivants doivent être pris en compte selon leur pertinence :
• Tests de validité en ligne – la conception de test doit vérifier que des

défaillances non détectées puissent être révélées de manière appropriée ;
• Installations de test et de contournement – un opérateur doit être alerté en cas
de contournement d’une portion du SIS aux fins de maintenance ou de test ;
• Le forçage des entrées et sorties sans placer le SIS hors ligne ne doit pas être
autorisé sans la mise en place des procédures et d’une sécurité adaptées.
Comme pour la fonction de contournement, un opérateur doit être alerté du
forçage de toute entrée/sortie.
13.8. Probabilité de défaillance de la fonction SIF, CEI 61511-1, 11.9
Cf. la section [14].
133
PROCESS SAFEBOOK 1
13.9. Exigences pour les logiciels d’application, CEI 61511-1, 12
La norme CEI 61511-1, clause 12 répertorie les exigences applicables à tout logiciel
constitutif d’un SIS, ou employé pour développer un SIS. L’exigence définit les
prescriptions de cycle de vie de la sécurité de logiciel d’application, afin de s’assurer que :
• toutes les activités nécessaires au développement du logiciel d’application sont

définies ;
• les outils logiciels employés pour développer et vérifier le logiciel d’application,
autrement dit le logiciel utilitaire, sont entièrement définis ;
• un plan est élaboré afin de respecter les objectifs de sécurité fonctionnelle.
L’exigence générale consiste à définir les phases applicables du cycle de vie de la sécurité
du logiciel d’application à prendre en compte et à documenter toutes les informations
pertinentes. Cela inclut les aspects suivants :
• spécification des exigences de sécurité du logiciel – de manière similaire aux

exigences du matériel, une spécification doit être définie et répertorier toutes
les exigences de sécurité du logiciel de manière claire et structurée, afin que
l’équipe de conception développe le logiciel d’application en conséquence ;
• planning de validation de sécurité du logiciel – cette phase doit être effectuée
dans le cadre du planning de validation globale du SIS ;
• conception et développement – le logiciel d’application doit être développé
afin de respecter les exigences de conception du système, telles qu’elles sont
exposées dans la spécification SRS du logiciel, en termes de fonctions de
sécurité et de niveaux d’intégrité de sécurité. Il convient d’utiliser des langages,
outils de programmation et outils de support appropriés destinés à faciliter la
vérification, la validation, l’évaluation et la modification. La conception doit être
modulaire et structurée, de manière à permettre les tests et des modifications
en toute sécurité. Des tests appropriés des modules logiciels doivent être
réalisés pour vérifier leur bon fonctionnement. Notez que la vérification doit
être effectuée pour chaque phase du cycle de vie de la sécurité du logiciel ;
• intégration – une fois testé et vérifié, le logiciel doit être intégré au sous-
système SIS et être testé afin de montrer sa conformité aux exigences de la
spécification SRS lorsqu’il est exécuté sur le matériel ;
• validation de sécurité du logiciel – cette phase doit être effectuée dans le cadre
du planning de validation globale du SIS (phase 5) ;
• modification – toute modification du logiciel validé doit être effectuée d’une
manière contrôlée qui préserve l’intégrité du logiciel.
134
PROCESS SAFEBOOK 1
Probabilité de défaillance de la fonction SIF
14. Probabilité de défaillance de la fonction SIF, CEI 61511-1, 11.9

14.1. Conformité à la norme
Jusqu’à présent, nous avons identifié la nécessité d’établir des mesures de fiabilité cible
afin de garantir que le risque global n’excède pas le risque tolérable maximum.
Nous avons aussi vu que la mesure de fiabilité cible peut être exprimée en niveaux SIL et
que pour se conformer à la norme, nous devons non seulement démontrer que la fonction
de sécurité respecte des objectifs quantitatifs mais que nous appliquons aussi les contrôles
appropriés.
La conformité à la norme requiert que les mesures de fiabilité cible soient réalisées de
manière appropriée par rapport au niveau SIL appliqué.
14.2. Exigences de fiabilité de niveau SIL cible
La probabilité PFD pour chaque niveau SIL dépend du mode de fonctionnement prévu
pour un SIS, ce par rapport à la fréquence des sollicitations de ce dernier. Ces exigences
sont définies à la section [6.9] et peuvent être les suivantes :
Mode de sollicitations, lorsqu’une action spécifiée est mise en œuvre en réponse à une
des conditions de procédé ou d’autres sollicitations. En cas de défaillance dangereuse de
la fonction instrumentée de sécurité (SIF), un danger potentiel se concrétise uniquement
s’il y a défaillance du procédé de système de contrôle de procédé de base (BPCS) ;
Mode continu, lorsqu’en cas de défaillance dangereuse de la fonction SIF, un danger potentiel
se concrétise sans autre défaillance, à moins qu’une action soit prise pour le prévenir.
Sur la base de ces critères, les objectifs appropriés présentés dans le tableau 17 peuvent
être appliqués.
Niveau SIL Mode sollicitation Probabilité Mode continu

de défaillance sur sollicitation Taux de défaillances par heure
SIL4 ≥ 10-5 à < 10-4 ≥ 10-9 à < 10-8
SIL3 ≥ 10-4 à < 10-3 ≥ 10-8 à < 10-7
SIL2 -3
≥ 10 à < 10 -2 ≥ 10-7 à < 10-6
SIL1 ≥ 10-2 à < 10-1 ≥ 10-6 à < 10-5
Tableau 17 : PDF et taux de défaillances spécifiés de SIL
135
PROCESS SAFEBOOK 1
14.3. Calcul de la probabilité PFD pour une fonction de sécurité en mode de sollicitation
Lors de la réalisation de calculs de fiabilité, nous supposons que les défaillances se produisent
de manière aléatoire avec un taux constant et lorsqu’une défaillance se produit, l’élément
défaillant sera indisponible jusqu’à la détection et la réparation de la défaillance.
Lors du calcul de la probabilité PFD, nous calculons aussi essentiellement la probabilité

que le SIS sera indisponible s’il vient à être sollicité. Pour un système redondant 1oo2,
étant donné que nous avons eu une défaillance de canal, la PFD est la probabilité d’une
défaillance consécutive du deuxième canal pendant l’arrêt du premier.
Les relations générales suivantes peuvent être employées dans le calcul de la probabilité
PFD. Les équations employées sont des simplifications des équations standard et sont
dérivées à la section [19.6].
Pour les défaillances détectées :
PFD1oo1 = λDD.MDT Réf. CEI 61508-6, B.3.2.2.1

PFD1oo2 = λDD2.MDT2 + β.λDD.MDT Réf. CEI 61508-6, B.3.2.2.2
Pour les défaillances non détectées :
PFD1oo1 = λDU.TP/2 Réf. CEI 61508-6, B.3.2.2.1

PFD1oo2 = λDU2.Tp2/3 + β.λDU.TP/2 Réf. CEI 61508-6, B.3.2.2.2
Où λDD est le taux de défaillances détectées dangereuses, λDU est le taux de défaillances
non détectées dangereuses et β est la contribution des défaillances de cause commune,
section [12.17]. TP est l’intervalle de tests de validité et MDT est le temps moyen
d’indisponibilité.
Les formes génériques de ces équations pour les différentes configurations des systèmes
en mode continu et en mode de sollicitation sont examinées à la section [12.9].
14.4. Taux de défaillances
Lors du calcul des PFD et SFF, l’analyse utilise l’hypothèse sous-jacente de la norme
CEI 61508-6, Annexe B.3, dans le sens où les taux de défaillances de composants sont
constants sur toute la durée de vie du système.
Les taux de défaillances employés dans les calculs peuvent être obtenus par l’AMDEC,
quantifiée par les données de terrain ou par référence aux données publiées à partir de
sources de l’industrie. Les taux de défaillances employés doivent être comparés aux données
disponibles pour les modules de complexité et technologie similaires. Cette approche
136
PROCESS SAFEBOOK 1
garantit une approche prudente en termes de modélisation de fiabilité et incite à être

confiant dans le fait que les performances de fiabilité doivent être réalisables en service.
Les taux de défaillances et leurs sources sont abordés à la section 14.8.
14.5. Modélisation de la fiabilité
Dans cet exemple de la section [6.5], le procédé et la fonction SIF sont mis en évidence
(cf. la figure 54).
Fonction instrumentée de sécurité

Alimentation
hydraulique Logique
ESD
Mise à l’air
libre circuit Électro-
Transmetteur
hydraulique vanne
S
de pression
PT
Procédé et BPCS
Pressostat
PC
Entrée Sortie
gazoduc gazoduc
d’arrêt pression

Figure 54 : fonction instrumentée de sécurité en mode de sollicitation
Le calcul de la PFD est effectué le plus facilement au moyen de la technique de diagramme

de fiabilité (RBD, Reliability Block Diagram). Avec cette approche, les diagrammes montrent
les éléments ou composants nécessaires pour un système fiable et ne représentent pas
nécessairement la configuration physique ou les connexions. La modélisation RBD est
décrite dans la norme CEI 61508-6, Annexe B, clause 4.2.
Le diagramme RBD pour le SIS décrit est présenté à la figure 55.
137
PROCESS SAFEBOOK 1
Transmetteur Logique Électrovanne Vanne

de pression ESD d’arrêt
λDD 2,64E-07 3,42E-06 0,00E+00 0,00E+00

MTD 48 48 48 48
PFD de configuration 1,27E-05 1,64E-04 0,00E+00 0,00E+00
λDU 4,00E-08 1,63E-07 6,00E-07 4,64E-06

Période de tests de validité 8760 8760 8760 8760
PFD de configuration 1,75E-04 7,14E-04 2,63E-03 2,03E-02
PFD (révélé) 1,77E-04

PFD (non révélé) 2,38E-02
PFD 2,40E-02
SIL autorisé (PFD) SIL1
Il montre le calcul de la probabilité PFD. Sous chaque élément figurent les valeurs pour le
taux de défaillances dangereuses détectées λDD, le taux de défaillances dangereuses non
détectées λDU, le temps moyen d’indisponibilité (MDT) et la période de tests de validité T.
14.6. Exemple d’évaluation du niveau d’intégrité de sécurité d’une modification de

boucle de prépolymérisation en mode sollicitation
L’exemple suivant décrit une évaluation SIL de la probabilité PFD et des performances
architecturales d’une fonction SIF.
Périmètre
La fonction d’arrêt d’urgence (ESD), S-005 prévient une réaction incontrôlable dans
39-R-050 et, par conséquent, assure la protection contre une perte de confinement du
réacteur, laquelle pourrait aboutir à des blessures d’opérateurs et aussi à des dommages
environnementaux. Actuellement, la fonction de sécurité S-005 est déclenchée par
détection d’une température ou d’une pression élevée dans le réacteur, et le limiteur
ROV0503 s’ouvre pour décharger la pression.
Il est apparu qu’il y avait des préoccupations selon lesquelles le limiteur ROV0503 n’aurait
pas une capacité suffisante pour la décharge de pression. Par conséquent, l’action d’arrêt
d’urgence de S-005 a été modifiée afin d’inclure l’activation d’un limiteur de pression
supplémentaire ROV0501.
D’autre part, pendant le programme de mise à niveau, deux interrupteurs manuels

(HS0900 à autorisation et HS2004 de forçage) ont été inclus aux fins de maintenance.
138
PROCESS SAFEBOOK 1
Objectifs
Le client gère un grand nombre de capteurs dans le cadre du SIS et cherche à réduire le
travail associé. Cette analyse a donc l’objectif suivant :
1. déterminer les éléments à inclure dans une analyse de la fonction de sécurité

d’arrêt d’urgence (ESD) S-005 modifiée ;
2. générer un diagramme de fiabilité (RBD) pour déterminer la probabilité PFD et
l’architecture de S-005 ;
3. suggérer une philosophie de tests de validité (intervalles de tests pour
les capteurs, interrupteurs manuels, logique et limiteurs de pression) qui
permette de respecter les objectifs (tableau 18) tout en réduisant au
minimum la fréquence de test des capteurs.
Remarque : le client a indiqué que les intervalles de tests de validité pour n’importe quel
élément ne doivent pas excéder 36 mois. Du point de vue ingénierie, le client n’est pas à
l’aise avec l’idée que des parties SIS ne sont pas testées pendant de longues périodes.
Interrupteurs d’autorisation et de forçage
Deux interrupteurs manuels, HS2004 et HS0900, sont associés à la fonction d’arrêt

d’urgence ESD S-005.
Il est apparu que l’interrupteur HS0900 est employé afin d’acheminer le catalyseur vers le
réacteur. Par conséquent, une mauvaise position de l’interrupteur ou une défaillance de
celui-ci dans l’état erroné empêche la concrétisation du danger. L’interrupteur HS2004 est
employé pour forcer le déclenchement de la fonction S-005. Si l’interrupteur HS2004 reste
accidentellement en position de forçage à la suite d’une intervention de maintenance, ou
s’il subit une défaillance dans l’état de forçage, la fonction de sécurité S-005 sera
désactivée.
Configuration matérielle
L’analyseur logique est basé sur une configuration à redondance modulaire triple ou TMR
(Triple Modular Redundant) avec vote 2 sur 3 (2oo3). La figure 56 présente un schéma de
la configuration du matériel.
139
PROCESS SAFEBOOK 1
Logique (2oo3)
AI AI AI DI DI DI CPU CPU CPU DO DO DO

(1oo2) (1oo2) (1oo2)
S-005
Transmetteur Barrière IS ROV0501
de pression
PT0500H
Transmetteur ROV0503
de temp.
PT0500H
Interrupteur
manuel
Interrupteur
manuel
Figure 56 : schéma du matériel
Fonctions de sécurité analysées
Le tableau 18 présente les objectifs SIL et de PFD établis.
Boucle Déclencheur Action Conditions requises Probabilit Niveau

ESD pour atténuer le danger é PFD cible SIL
1 Haute pression Active ROV0503 et ROV0501 en 5,56E-03 SIL2
[PT0500H] ou S-005 position ouverte
température élevée
[TT0504HH]
Tableau 18 : Fonctions de sécurité à analyser
Couverture de diagnostic
Il a été supposé que tous les modes de défaillances non détectées seront révélés par le
test de validité, autrement dit par l’exécution complète de la fonction de SIS.
Temps moyen d’indisponibilité
Le MDT de 72 heures doit être utilisé dans cette analyse.
Période de tests de validité
Les intervalles de tests de validité doivent être sélectionnés afin de réaliser les objectifs
tout en maximisant l’intervalle de tests des capteurs.
140
PROCESS SAFEBOOK 1
Prise en compte des défaillances de cause commune
Les défaillances de cause commune (CCF) peuvent résulter d’une seule cause, mais
celle-ci affecte simultanément plusieurs canaux. Elles peuvent résulter d’un défaut
systématique, par exemple, une erreur de spécification de conception ou une contrainte
extérieure telle qu’une température excessive pouvant provoquer une défaillance de
composant dans les deux canaux redondants.
La contribution des CCF sur des canaux redondants parallèles doit être prise en compte
dans le modèle en incluant un facteur β. Le taux de défaillances CCF inclus dans le calcul
est égal à β x le taux de défaillances total d’un des canaux redondants. Les facteurs β à
employer dans l’analyse sont récapitulés dans le tableau 19.
Configuration Facteur β Justification

redondante
Capteurs PT0500, 3% Comme les capteurs utilisent des technologies différentes
TT0504 mesurant des variables de procédé distinctes, le potentiel
de causes de défaillance commune est limité au procédé
proprement dit, au mécanisme de fixation des capteurs,
ainsi qu’à l’acheminement et à la séparation des connexions.
La valeur 3 % est, par conséquent, considérée comme
suffisamment prudente.
Logique TMR d’API 5% Les défaillances de cause commune dans une configuration
TMR redondante sont réduites. Toutefois, une valeur de 5 % a
été employée afin de maintenir une approche prudente.
Tableau 19 : Facteurs β
Composants de type A
Les éléments suivants peuvent être considérés comme de type A :
• Barrière IS (isolateur d’alimentation de transmetteur ; PB0500) ;

• Transmetteur de température (TT0504) ;
• Interrupteur manuel (HS0900, HS2004) ;
• Limiteurs de pression de prépolymérisation.
Composants de type B
Les éléments suivants ont été considérés comme de type B :
• Modules logiques d’API ;

• Transmetteurs de pression (PT0500).
141
PROCESS SAFEBOOK 1
Taux de défaillances des composants
L’analyse doit supposer des taux de défaillances constants car les effets de défaillances
prématurées sont censés être éliminés par des processus appropriés. Ces processus
incluent l’utilisation de produits à maturité de sources homologuées, des tests internes
avant la fourniture et des tests fonctionnels et d’exploitation étendus dans le cadre de
l’installation et de la mise en service. Les données de terrain retournées sur des projets
similaires indiquent que les défaillances en début de vie n’aboutissent pas à un nombre
significatif de retours et, par conséquent, les techniques employées sont jugées
suffisantes.
Il est également supposé que les composants ne sont pas employés au-delà de leur durée
de vie utile, afin d’écarter tout risque de défaillance due à des mécanismes d’usure. Les
taux de défaillances (en défaillances/heure) susceptibles d’être employés dans le calcul de
la probabilité PFD, λDD et λDU, sont résumés dans le tableau 20. Les taux de défaillances ont
été obtenus à partir d’une combinaison de sources.
142
PROCESS SAFEBOOK 1
Réf. Description λ λD λDU λDD λS SFF

élément/
point
Dispositifs d’entrée
PT 0500 Transmetteur de pression 1,5E-06 1,4E-06 6,0E-07 7,5E-07 1,5E-07 0.60

(IS)
PT 0501 Transmetteur de pression 1,5E-06 1,4E-06 6,0E-07 7,5E-07 1,5E-07 0,60

(IS)
PB 0500 Barrière – pour PT 2,1E-07 6,3E-08 6,3E-08 0,0E+00 1,5E-07 0,70

ci-dessus (non IS)
PB 0501 Barrière – pour PT 2,1E-07 6,3E-08 6,3E-08 0,0E+00 1,5E-07 0,70

ci-dessus (non IS)
FT 0041 Débitmètre à effet Coriolis 2,6E-06 2,2E-06 9,0E-07 1,3E-06 4,0E-07 0,65
TT 0504 Module RTD 3 fils avec 2,0E-06 1,4E-06 4,0E-07 1,0E-06 6,0E-07 0,80
transmetteur en tête
HS 2004 Interrupteur de forçage 2,00E-06 8,00E-07 8,00E-07 0,00E+00 1,20E-06 0,60
HS0900 Interrupteur à autorisation 2,00E-06 8,00E-07 8,00E-07 0,00E+00 1,20E-06 0,60
Dispositifs logiques
CPU CPU 1,51E-06 5,16E-07 6,42E-09 5,09E-07 9,91E-07 1,00
Module Module DI 32 pt 2,19E-08 1,09E-08 9,91E-11 1,08E-08 1,09E-08 0,99

DI 32 pt
Module Module AI 32 pt 1,40E-08 7,00E-09 9,86E-11 6,90E-09 7,00E-09 0,99

AI 32 pt
Module Module DO 16 pt 2,95E-08 1,47E-08 9,93E-11 1,46E-08 1,47E-08 0,99

DO 16 pt
Dispositifs de sortie
39-PM-050 Statut de fonctionnement 3,0E-07 2,0E-07 1,95E-07 0,00E+00 1,05E-07 0,35

de pompe du contacteur
et du relais sans contact
ROV 0501 AOV (FO), vanne de 5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734
décharge avec SOV
décharge avec SOV
ROV 0404 AOV (FC) avec SOV 9,72E-06 3,03E-06 3,03E-06 0,00E+00 6,69E-06 0,688
décharge avec SOV
décharge avec SOV
Tableau 20 : Taux de défaillances (/h) et calcul de la proportion SFF
143
PROCESS SAFEBOOK 1
Une solution possible
Cette analyse a l’objectif suivant :
1. déterminer les éléments à inclure dans une analyse de la fonction de sécurité

d’arrêt d’urgence (ESD) S-005 modifiée ;
2. générer un diagramme de fiabilité (RBD) pour déterminer la probabilité PFD et
l’architecture de S-005 ;
3. suggérer une philosophie de tests de validité (intervalles de tests pour
les capteurs, interrupteurs manuels, logique et limiteurs de pression) qui
permette de respecter les objectifs (tableau 18) tout en réduisant au
minimum la fréquence de test des capteurs.
Le diagramme de fiabilité (RBD) présenté à la figure 57 montre les éléments requis dans le
cadre de la fonction de sécurité. Il n’est pas nécessaire d’inclure l’interrupteur HS0900 dans
l’évaluation de la fonction de sécurité, car sa défaillance n’empêche pas l’utilisation de
la fonction de sécurité. Si l’interrupteur HS0900 connaît une défaillance ou reste dans la
position erronée, le danger ne peut pas se concrétiser.
L’interrupteur HS2004 doit être inclus, car s’il reste accidentellement en position de
forçage à la suite d’une intervention de maintenance, ou s’il subit une défaillance dans
l’état de forçage, la fonction de sécurité S-005 sera désactivée.
Le calcul de la probabilité PFD a nécessité une certaine appréciation concernant la

définition des intervalles de tests de validité Tp. L’exigence était de maximiser l’intervalle
jusqu’à 3 ans tout en respectant la probabilité PFD cible. De nombreuses solutions
potentielles pourront être envisagées et il faudrait en discuter avec le client. Une
philosophie de tests de validité possible est présentée dans le tableau 21.
Période de tests de validité (capteurs) 24 mois 17 520 heures

Période de tests de validité (interrupteur manuel) 6 mois 4380 heures
Période de tests de validité (logique) 36 mois 26 280 heures
Période de tests de validité (vannes) 3 mois 2190 heures
Tableau 21 : Intervalles de tests de validité possibles
Ces intervalles de tests de validité fournissent une probabilité PFD calculée 4,91E-03
par rapport à une valeur cible de 5,56E-03, de sorte que la probabilité PFD et les
performances architecturales sont toutes les deux conformes au niveau SIL2.
144
Module AI Module DI Module DO
PT 0500 PB 0500 CPU
32 pt 32 pt 16 pt
Branche A

CCF HS 2004 CPU CCF
32 pt 32 pt 6 pt

TT 0504 32 pt CPU
32 pt 6 pt
Branche B
Contribution CCF 3% 5%
Qté 1 1 1 1 1 1 1 1
Configuration 1oo2 2oo3
λDD [branche A] 7,50E-07 0,00E+00 2,25E-08 0,00E+00 6,90E-09 5,09E-07 1,08E-08 1,46E-08 2,71E-08
λDD [branche B] 1,00E-06 0,00E+00
Figure 57 : diagramme de fiabilité (RBD) de solution

λDD pour branche 2,25E-08 0,00E+00 5,42E-07 2,71E-08
MDT 72 72 72 72 72
Configuration PFD 3,89E-09 1,62E-06 0,00E+00 4,56E-09 1,95E-06
145
λDU [branche A] 6,00E-07 6,30E-08 1,99E-08 8,00E-07 9,86E-11 6,42E-09 9,91E-11 9,93E-11 3,36E-10
λDU [branche B] 4,00E-07 0,00E+00
λDU pour branche 1,99E-08 8,00E-07 6,72E-09 3,36E-10
Période de tests de validité, T 17 520 17 520 4380 26 280 26 280
Configuration PFD 2,71E-05 1,74E-04 1,75E-03 3,11E-08 4,41E-06
PFD (révélé) 3,58E-06

PFD (non révélé) 4,91E-03
PFD 4,92E-03
SIL autorisé (PFD) 2
Type B A A B B B
SFF 0,60 0,70 0,60 > 99 > 99 > 99
Redondance 1 0 0 1 1 1
SIL architectural 2 2 2 3 3 3
SIL autorisé (Arch) 2
PROCESS SAFEBOOK 1
PROCESS SAFEBOOK 1
14.7. Traçabilité des données de taux de défaillances
Lors des calculs de probabilité PFD, il est vital de garantir la visibilité de tous les calculs et
la traçabilité de toutes les données utilisées jusqu’à la source. Microsoft Excel constitue
un outil utile car il répond à ces deux exigences, tout en permettant une représentation
graphique du modèle de fiabilité à élaborer, comme illustré sur la figure 57.
La feuille de calcul permet à chaque cellule de données de pointer vers une table, où
toutes les données de taux de défaillances collectées et toutes les sources de données
peuvent être présentées. Un exemple de table de données est présenté au tableau 22.
Il est important que la référence de source de données soit suffisamment détaillée afin
que tout le monde puisse contrôler et valider les valeurs employées.
En cas d’utilisation d’un format Excel, il est aussi pratique de lister le type de composant,
ainsi que les MDT et Tp supposés employés dans le calcul. Cela permet de modifier
facilement l’intervalle de tests de validité et de calculer automatiquement l’effet de la
probabilité PFD.
Élément/ λ λD λDD λDU λS Type SFF MDT Tp Source de

référence données
PT0500 1,35E- 8,18E- 7,50E- 6,80E- 5,27E- B 0,95 4380 4380 exida
06 07 07 08 07 [14.8.2]
Analyseur 5,57E- 2,23E- 2,21E- 2,20E- 3,34E- B 1.00 168 4380 Sintef
logique SIL3 06 06 06 08 06 [14.8.8]
Module 1,07E- 5,34E- 5,08E- 2,60E- 5,34E- B 0,98 168 4380 Sintef
d’entrées 06 07 07 08 07 [14.8.8]
analogiques
Module de 5,26E- 2,63E- 2,50E- 1,30E- 2,63E- B 0,98 168 4380 Sintef
sorties TOR 07 07 07 08 07 [14.8.8]
Vanne 5,29E- 2,12E- 0,00E+0 2,12E- 3,17E- A 0,60 730 4380 Oreda
HIPPS 12" 06 06 0 06 06 2002
[14.8.6]
Tableau 22 : Tableau de données type
146
PROCESS SAFEBOOK 1
14.8. Sources de données de taux de défaillances
14.8.1. Approche
Les données de taux de défaillances doivent uniquement être obtenues auprès de

sources appropriées et cet aspect dépendra de l’application. Les sections suivantes
répertorient des sources de données qui ont été employées et sont appropriées pour
14.8.2. Exida.com Safety Equipment Reliability Handbook, 2007, 3e édition Volume 1 –

Sensors, ISBN 978-0-9727234-3-5/Volume 2 – Logic Solvers and Interface Modules,
ISBN 978-0-9727234-4-2/Volume 3 – Final Elements, ISBN 978-0-9727234-5-9
14.8.3. Handbook of Reliability Data for Electronic Components used in

Telecommunications Systems, HRD-5.
14.8.4. Hydrocarbon Leak and Ignition Database Report No. 11.4/180 mai 1992
14.8.5. Norme IEEE 500-1984. Guide to the Collection and Presentation of Electrical,
Electronic, Sensing Component, and Mechanical Equipment Reliability Data.
14.8.6. OREDA, The Offshore Reliability Data Handbook 4e édition 2002 ISBN 82-14-02705-5
14.8.7. Parloc 2001 : 5e édition, The Institute of Petroleum, publié par The Energy Institute
ISBN 0 85293 404 1.
14.8.8. Reliability Data for Control and Safety Systems, édition 2006, PDS Data Handbook,
SINTEF, ISBN 82-14-03898-7.
14.8.9. Reliability Technology, AE Green et AJ Bourne, Wiley, ISBN 0-471-32480-9.
147
PROCESS SAFEBOOK 1
15. Installation, mise en service et validation, CEI 61511-1, 14, 15


10 11 1 9
des risques

2


3
d’autres moyens
4 du risque
du SIS
Vérification
5
et validation
7 Modification
8 Mise hors service
Les objectifs de cette phase, telles que définies dans la norme CEI 61511-1, clauses 14 et
15, consistent à :
• installer le SIS conformément à la spécification et à la documentation [15.2] ;

• mettre en service le SIS afin qu’il soit prêt pour la validation finale du système [15.3] ;
• valider le fait que le SIS installé et mis en service est conforme aux exigences
définies dans la spécification SRS [15.4].
15.2. Installation de la fonction SIF
Les exigences d’installation doivent être définies dans le plan d’installation et de mise en
service ou être intégrées dans le plan de projet global. Les procédures d’installation doivent
148
PROCESS SAFEBOOK 1
Installation, mise en service et validation
définir les activités à exécuter, les techniques et mesures à utiliser, les personnes, départe-
ments ou organisations responsables, ainsi que l’échéancier des activités d’installation.
15.3. Mise en service de la fonction SIF
Le SIS doit être mis en service conformément à la planification et aux procédures. Des
enregistrements doivent être produits afin d’indiquer les résultats des tests et le respect
ou non des critères de recette pendant la phase de conception. Les défaillances doivent
faire l’objet d’investigations et être consignées. Lorsqu’il est établi que l’installation réelle
n’est pas conforme aux informations de conception, la différence doit faire l’objet
d’investigations et l’impact sur la sécurité doit être déterminé.
15.4. Validation de la fonction SIF
Les procédures de validation doivent englober tous les modes de fonctionnement du

procédé, avec les équipements associés, et doivent inclure les aspects suivants :
• démarrage, fonctionnement normal, arrêt ;

• fonctionnement manuel ou automatique ;
• modes de maintenance, contraintes de contournement ;
• échéancier ;
• rôles et responsabilités ;
• procédures d’étalonnage.
Par ailleurs, la validation du logiciel d’application doit inclure les aspects suivants :
• identification du logiciel pour chaque mode de fonctionnement ;

• procédure de validation à employer ;
• outils et équipements à utiliser ;
• critères de recette.
La validation doit s’assurer que le SIS est performant dans tous les modes de
fonctionnement et qu’il n’est pas affecté par l’interaction du système BPCS ainsi que
d’autres systèmes connectés. La validation des performances doit vérifier que tous
les canaux redondants, que les fonctions de contournement, que les forçages de
démarrages et que les systèmes d’arrêt manuel sont opérationnels.
L’état défini ou sécurisé doit être obtenu en cas de coupure de l’alimentation en énergie, par
ex. énergie électrique ou hydraulique, ou encore pneumatique. Les fonctions d’alarme de
diagnostic définies dans la spécification SRS doivent fonctionner et être performantes
comme spécifié pour les variables de procédé non valides, par ex., entrées hors plage. Après
la validation, des enregistrements appropriés doivent être produits et identifier l’élément
testé, ainsi que les équipements, documents et résultats de test, y compris toute divergence
et analyse ou demande de changement résultante.
149
PROCESS SAFEBOOK 1
16. Fonctionnement et maintenance, CEI 61511-1, 16


10 11 1 9
des risques

2


3
d’autres moyens
4 du risque
du SIS
Vérification
5
et validation
7 Modification
8 Mise hors service
L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, 16.1, consiste à :
• vérifier que le niveau SIL requis de chaque fonction SIF est maintenu pendant le
fonctionnement et la maintenance [16.2] ;
• assurer le fonctionnement et la maintenance du SIS, afin de maintenir la
sécurité fonctionnelle conçue [16.3].
16.2. Fonctionnement et maintenance (O&M) de fonction SIF
Les exigences concernant le fonctionnement et la maintenance doivent être définies dans

le plan O&M ou être intégrées dans le plan de projet global. Les procédures O&M doivent
définir les opérations de routine à exécuter pour préserver la sécurité fonctionnelle du SIS.
150
PROCESS SAFEBOOK 1
Fonctionnement et maintenance
Ces opérations doivent inclure les exigences pour les aspects suivants :
• tests de validité ;
• contournement d’une fonction SIF aux fins de test ou de réparation ;
• collecte périodique de données : par ex., résultats d’audits et de tests au niveau
du SIS, enregistrements de sollicitations de fonction SIF, défaillances ainsi que
délais d’arrêt pour réparation et tests de validité.
Les procédures de tests de validité doivent être élaborées, afin de tester chaque fonction SIF
pour révéler des défaillances dangereuses autrement non détectées par le diagnostic [16.4].
Des procédures de maintenance sont requises pour le diagnostic de défauts, les réparations,
la revalidation du système à la suite d’une réparation, les actions à effectuer en cas de
divergences entre le comportement escompté et le comportement réel, l’étalonnage et la
maintenance d’équipements de test ou encore le reporting de maintenance.
Des procédures de reporting sont nécessaires pour le signalement de défaillances,

l’analyse des défaillances systématiques et des défaillances de cause commune ou
encore pour le suivi des performances de maintenance.
16.3. Formation O&M
La formation du personnel O&M doit être planifiée et réalisée en temps utile, afin de
garantir le fonctionnement et la maintenance du SIS conformément à la spécification
SRS. La formation doit porter sur les aspects suivants :
• dangers ;
• points de déclenchement ;
• actions pratiques ;
• fonctionnement de tous les contournements et étude des contraintes sur leur
utilisation ;
• fonctions manuelles, par ex. démarrage, arrêt et étude des contraintes sur leur
utilisation ;
• fonctionnement des alarmes et diagnostics disponibles.
16.4. Tests de validité
Les procédures de tests de validité doivent tester le système SIF complet, de l’équipement
de détection jusqu’à l’équipement d’actionnement final. L’intervalle de tests de validité
doit être celui employé pour la quantification de la probabilité PFD [14].
Des tests de différents éléments de la fonction SIF selon différents intervalles sont
autorisés, à condition que :
• la probabilité PFD calculée demeure acceptable ;
• il existe un certain chevauchement des tests, de sorte qu’aucune partie de la
fonction SIF demeure non testée.
151
PROCESS SAFEBOOK 1
17. Modification et mise hors service, CEI 61511-1, 17, 18

La figure 60 montre les phases applicables du cycle de vie.

10 11 1 9
des risques

2


3
d’autres moyens
4 du risque
du SIS
Vérification
5
et validation
7 Modification
8 Mise hors service
Figure 60 : phases 7 et 8 du cycle de vie
L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, clauses 17.1 et 18.1,
consiste à s’assurer que :
• toute modification d’une fonction SIF est planifiée, examinée et approuvée

comme il se doit avant de procéder à la modification en question [17.2] ;
• l’intégrité de sécurité requise est maintenue à la suite de toute modification
éventuelle [17.3] ;
• avant la mise hors service, une revue appropriée est effectuée et l’autorisation
est obtenue pour vérifier que l’intégrité de la sécurité est maintenue pendant la
mise hors service [17.4].
152
PROCESS SAFEBOOK 1
Modification et mise hors service
17.2. Modification de fonction SIF
Avant de procéder à une quelconque modification, des procédures d’autorisation et de

contrôle des changements doivent être en place. Cet aspect sera généralement traité au
moyen d’une note de demande de changement (CRN), laquelle fait normalement partie
d’un système QMS.
Toute demande de changement doit décrire la modification requise et les raisons de cette
dernière. Elle peut être soumise par le personnel O&M à la suite d’incidents pendant le
fonctionnement ou la maintenance. Le processus d’approbation usuel pour les demandes
de changement doit faire intervenir plusieurs départements au sein d’une organisation,
ce afin de déterminer l’impact du changement sur la conception, le parc installé et
l’implémentation requise.
Dès qu’une organisation participe à la sécurité fonctionnelle, toute demande de

changement doit en outre être examinée par une personne compétente, par ex. l’autorité
de sécurité (SA), afin de déterminer un éventuel impact de la modification sur la sécurité
et, si c’est le cas, la nécessité d’une analyse d’impact.
17.3. Analyse d’impact
Les résultats de l’analyse peuvent exiger un réexamen des premières parties du cycle de
vie et, par exemple, une revue des risques identifiés ainsi que des évaluations de risque.
Les activités de modification ne peuvent débuter qu’une fois ce processus terminé et
l’autorisation de la modification par l’autorité de sécurité.
L’impact des changements sur la sécurité fonctionnelle peut s’accompagner d’effets pour
le personnel O&M, avec la nécessité d’une formation complémentaire.
17.4. Mise hors service de la fonction SIF
La mise hors service doit constituer une activité planifiée de la phase 11 du cycle de vie et
peut être traitée comme une modification de fin de vie du projet.
La phase de mise hors service doit débuter par une analyse d’impact, afin de déterminer
l’effet de ladite mise hors service sur la sécurité fonctionnelle. L’analyse doit inclure la
révision de l’identification des dangers et de l’évaluation des risques, avec une attention
particulière aux dangers susceptibles de se concrétiser comme résultante de l’activité de
mise hors service.
153
PROCESS SAFEBOOK 1
18. Gestion de la sécurité fonctionnelle et évaluation et audit de la

sécurité fonctionnelle

10 11 1 9
des risques

2


3
d’autres moyens
4 du risque
du SIS
Vérification
5
et validation
7 Modification
8 Mise hors service
Figure 61 : phases 10 et 11 du cycle de vie
L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, clause 5 est
d’identifier les activités de gestion et la documentation nécessaires pour un traitement
adapté des phases de cycle de vie applicables par les personnes compétentes.
La norme répertorie les exigences générales pour la gestion et la documentation, afin de

permettre un traitement approprié de toutes les phases de cycle de vie applicables par les
personnes compétentes.
154
PROCESS SAFEBOOK 1
Gestion, évaluation et audit
Cela signifie que la documentation de projet doit contenir suffisamment d’informations

pour chaque phase du cycle de vie global terminée, ainsi que pour les phases
consécutives et les activités de vérification à exécuter.
La conformité à la norme requiert la spécification des aspects suivants :
• responsabilités concernant la gestion de la sécurité fonctionnelle ;

• activités à exécuter par les personnes responsables.
La conformité vis-à-vis des exigences peut être traitée en instaurant des procédures qui
gèrent chaque exigence du périmètre, en mettant en œuvre ces procédures et en veillant
à ce que des informations appropriées soit disponibles afin d’assurer une gestion efficace
de la sécurité fonctionnelle.
18.2. Gestion de la sécurité fonctionnelle
Les exigences afférentes à la gestion de la sécurité fonctionnelle sont récapitulées dans le

tableau 23.
La majorité des exigences ont peut être déjà été abordées par un système de gestion de
la qualité (QMS) d’une organisation. Les sections suivantes mettent en exergue certains
domaines nécessitant généralement un traitement.
Exigence de gestion de la sécurité Description

fonctionnelle
Exigences générales, CEI 61511-1, 5.2.1 Politique et communications
Une politique et une stratégie doivent être Une politique de sécurité fonctionnelle doit être en place et
spécifiées conjointement avec les moyens de être communiquée à travers l’organisation.
communications au sein de l’organisation. Il est recommandé d’inclure dans la politique des objectifs
de sécurité fonctionnelle spécifiques avec les moyens
d’évaluation de leur réalisation ainsi que la méthode de
communication au sein de l’organisation.
Un système de gestion de la sécurité Un document synthétique sur la gestion de la sécurité

fonctionnelle doit être instauré pour garantir la fonctionnelle doit être disponible afin d’identifier toutes les
possibilité du SIS de placer et de maintenir le phases du cycle de vie relevant du périmètre. Le document
processus dans un état sécurisé. de gestion doit référencer les procédures requises pour
toutes les activités touchant à la sécurité.
Des procédures doivent permettre de spécifier toutes les
activités techniques et de gestion à exécuter pour le projet.
Les procédures doivent identifier les documents à produire.
Les projets doivent être contrôlés au moyen d’un plan de
sécurité et de qualité, lequel identifie les activités à exécuter,
les moyens de contrôle et une clôture avec validation et
signature.
155
PROCESS SAFEBOOK 1

fonctionnelle
Organisation et ressources, CEI 61511-1, 5.2.2 Rôles et responsabilités
Les personnes, départements, organisations et L’ensemble des personnes, départements et organisations
autres unités responsables de l’exécution et de la responsables de l’exécution et de la revue de chaque activité
revue de chaque phase du cycle de vie doivent liée à la sécurité doivent être identifiés et leurs attributions
être identifiés et être informés des responsabilités doivent être clarifiées.
qui leur sont affectées (y compris, le cas échéant, En général, au sein d’une organisation, cela peut prendre la
les autorités de délivrance de licence et forme d’une publication d’organigrammes qui identifient les
organismes de régulation de la sécurité). personnes et leur rôle. Ensuite, les descriptions de postes
identifient les responsabilités de chaque rôle.
Les personnes, départements ou organisations Compétences

concernés par les activités de cycle de vie de la Les compétences de toutes les personnes responsables
sécurité doivent être compétents pour définies ci-dessus doivent être documentées.
l’exécution des activités qui leur incombent. Des procédures doivent être en place pour être certain
que les personnes responsables aient les compétences
appropriées pour les activités qui leur sont assignées. La
procédure doit inclure une revue et une évaluation des
compétences et des formations nécessaires.
La documentation des compétences doit inclure ce qui suit :
a) des connaissances de l’ingénierie (applicables au procédé,
à la technologie, à la nouveauté et à la complexité de
l’application, des capteurs et des éléments finaux) ;
b) des aptitudes appropriées en gestion et leadership pour le
rôle au cours du cycle de vie de la sécurité ;
c) une compréhension des conséquences potentielles d’un
événement, ainsi que de l’intégrité de la fonction SIF, de
l’ingénierie de la sécurité et des prescriptions légales en
matière de sécurité.
Évaluation et gestion des risques, Détermination SIL

CEI 61511-1, 5.2.3 Cf. la section [6].
Il convient d’identifier les dangers, d’évaluer les
risques et de déterminer la réduction nécessaire
du risque.
Planification, CEI 61511-1, 5.2.4 Planification

La planification de la sécurité doit servir à définir La planification doit veiller à ce que la gestion de la sécurité
les activités requises, avec les personnes, le fonctionnelle, la vérification et les activités d’évaluation de
département, l’organisation ou d’autres unités la sécurité fonctionnelle soient planifiées et appliquées aux
responsables de leur exécution. Cette phases pertinentes du cycle de vie.
planification doit être mise à jour selon les La planification peut être incluse dans le plan de qualité de
besoins tout au long du cycle de vie de la projet et doit identifier toutes les activités liées à la sécurité,
sécurité. le calendrier et les personnes ou organisations responsables.
Chaque activité liée à la sécurité peut inclure des références
aux procédures ou pratiques de travail, ainsi qu’aux outils de
développement et de production.
156
PROCESS SAFEBOOK 1

fonctionnelle
Mise en œuvre et surveillance, CEI 61511-1, Mise en œuvre et surveillance
5.2.5 Les procédures doivent permettre de fournir des
Des procédures doivent être implémentées afin recommandations découlant des activités d’analyse et de
de garantir un suivi rapide et une résolution revue. De même, une méthode concernant la revue et le
satisfaisante des recommandations découlant suivi des recommandations pour leur résolution doit être
des activités suivantes : implémentée.
a) analyse des dangers et des risques ; Il faut une procédure afin de garantir la mise en application
b) évaluation et audits ; de toute recommandation découlant des incidents ou
c) vérification et validation; dangers.
d) activités post-incident.
Les procédures suivantes doivent, entre Lorsque l’organisation est chargée des phases de
autres, être implémentées afin d’évaluer fonctionnement et de maintenance, des procédures doivent
les performances du SIS par rapport aux permettre d’identifier les performances de fonctionnement
prescriptions de sécurité : et de maintenance, notamment les aspects suivants :
a) Collecte et analyse des données de • défauts systématiques ;
défaillances de terrain pendant le • défauts récurrents ;
fonctionnement ; • évaluation des taux de sollicitation et des taux de
b) Consignation des sollicitations de la fonction défaillances en fonction des hypothèses émises pendant
SIF afin de garantir que les hypothèses la conception ou l’évaluation de la sécurité fonctionnelle.
émises pendant la détermination du niveau Les exigences relatives aux audits de la sécurité fonctionnelle
SIL demeurent valides. doivent inclure les aspects suivants : fréquence, indépendance,
documentation nécessaire et suivi.
Toute entreprise qui fournit des produits ou Gestion des fournisseurs

services à une organisation et est chargée d’une Les fournisseurs doivent livrer des produits conformes aux
ou de plusieurs phases du cycle de vie de la spécifications et avoir un système de gestion de la qualité
sécurité, doit réaliser la fourniture comme spécifié approprié. En général, les approvisionnements seront basés
par l’organisation en question et avoir un système sur une liste de fournisseurs agréés et seront contrôlés par
de gestion de la qualité approprié. Des procédures une spécification sur les approvisionnements.
doivent être instaurées afin d’établir la pertinence Des procédures doivent être en place pour auditer
du système de gestion de la qualité. l’agrément des fournisseurs.
Évaluation, audit et révisions, CEI 61511-1, Évaluation de la sécurité fonctionnelle

5.2.6 Activités d’évaluation de la sécurité fonctionnelle – cf. la
Il convient de définir et d’exécuter une section [13].
procédure concernant une évaluation de la Une procédure doit être mise en œuvre en vue de réaliser
sécurité fonctionnelle, de telle sorte qu’une une évaluation de la sécurité fonctionnelle. Les exigences
appréciation puisse être effectuée concernant la visant à démontrer la conformité aux objectifs SIL et PFD (ou
sécurité fonctionnelle et l’intégrité de sécurité PFH) définis pendant la détermination SIL [6] sont détaillées
atteintes par le système instrumenté de sécurité. à la section [11.1].
La procédure requiert la nomination d’une Il conviendra peut-être de nommer une équipe au sein de
équipe d’évaluation, laquelle équipe regroupera l’organisation, sous réserve que les exigences de compétences
l’expertise technique, applicative et de et d’indépendance soient respectées. En cas de recours à une
fonctionnement nécessaire à l’application organisation extérieure, les exigences de compétences
concernée. doivent faire partie intégrante de la procédure de gestion des
L’équipe d’évaluation devra comporter au moins fournisseurs.
une personne compétente senior, non membre Les exigences relatives au risque MTR doivent être incluses
de l’équipe de conception de projet. dans le périmètre (section [8.6.6]).
Les étapes du cycle de vie de la sécurité au
cours desquelles les activités d’évaluation de la
sécurité fonctionnelle seront réalisées devront
être identifiées pendant la planification de la
sécurité.
157
PROCESS SAFEBOOK 1

fonctionnelle
Au moins une évaluation de la sécurité L’évaluation de la sécurité fonctionnelle doit suivre un plan
fonctionnelle doit être réalisée avant la de conformité. Les points du calendrier de projet ou du cycle
concrétisation des dangers identifiés et de vie de la sécurité où elle doit avoir lieu doivent être
elle doit confirmer les éléments suivants : spécifiés dans le plan de sécurité et de qualité du projet.
• l’évaluation des dangers et des risques a été Il est important d’effectuer au moins une évaluation de la
effectuée ; sécurité fonctionnelle avant la concrétisation des dangers
• les recommandations découlant de identifiés au niveau de l’usine ou du procédé.
l’évaluation des dangers et des risques
ont été résolues ;
• le SIS a été conçu, construit et installé
conformément à la spécification SRS ;
• les procédures de sécurité, de fonctionnement
et de maintenance sont en place ;
• les activités de validation ont été réalisées ;
• la formation O&M a été dispensée et des
informations appropriées sur le SIS ont été
fournies ;
• les stratégies d’évaluations supplémentaires
sont en place.
Il convient de définir et d’exécuter des Les audits de sécurité fonctionnelle doivent viser à vérifier
procédures pour la conformité des audits, que les procédures appropriées sont en place au niveau du
avec les exigences suivantes : projet et qu’elles sont implémentées.
a) la fréquence des activités d’audit ; En général, un audit de sécurité fonctionnelle doit être
b) le degré d’indépendance entre les personnes, réalisé très tôt au cours du cycle de vie du projet, afin de
départements, organisations ou autres unités s’assurer que des procédures couvrent toutes les activités
exécutant le travail et ceux chargés des liées à la sécurité. Des audits consécutifs doivent avoir
activités d’audit ; lieu régulièrement tout au long du projet, afin de vérifier que
c) les activités d’enregistrement et de suivi. les procédures sont suivies et que toute recommandation ou
activité de suivi est appliquée.
Gestion de la configuration du SIS, Gestion de la configuration

CEI 61511-1, 5.2.7 Les procédures de gestion de configuration, de
Des procédures doivent être disponibles pour déclenchement de modification, d’approbation et de suivi
la gestion de la configuration du SIS durant le des demandes de changement existent probablement déjà
cycle de vie. Les points suivants doivent être dans le cadre d’un système QMS type.
précisés : Toutefois, lorsque des modifications concernent une fonction
a) l’étape à laquelle le contrôle de configuration de sécurité, il doit y avoir une certaine forme d’analyse
formel est mis en œuvre ; d’impact afin de déterminer si cela peut compromettre la
b) la méthode d’identification des composants sécurité et à quel point du cycle de vie il faut revenir en
(matériels et logiciels) ; arrière pour commencer le processus de réévaluation.
c) les procédures empêchant l’accès de parties Une procédure de conduite d’analyse d’impact et de gestion
non autorisées au service. de la réévaluation peut s’avérer nécessaire.
Tableau 23 : Exigences afférentes à la gestion de la sécurité fonctionnelle
158
PROCESS SAFEBOOK 1
18.3. Exigences générales
Une politique et une stratégie de réalisation de la sécurité fonctionnelle doivent être

en place dans l’organisation et il convient d’identifier les moyens de les communiquer à
travers toute l’organisation.
Il est important que l’organisation élabore sa propre politique de sécurité fonctionnelle.

En effet, cette approche exigera des parties prenantes qu’elles pensent avec soin à la
signification de la sécurité fonctionnelle pour l’organisation et à la manière de la
communiquer en vue d’instaurer une culture de la sécurité fonctionnelle qui atteigne
chaque recoin de l’organisation, dans toutes ses activités.
18.4. Organisation et ressources
Tout le personnel impliqué dans le projet doit être identifié par une définition de ses
compétences et responsabilités. Les compétences du personnel doivent être consignées
dans un registre de compétences et une procédure doit permettre de les examiner, de
mettre à jour périodiquement le registre sur la base de l’expérience acquise et de passer
en revue les besoins de formation. Les exigences relatives aux compétences doivent être
définies pour chaque rôle au sein du projet.
La majorité des organisations néophytes en matière de sécurité fonctionnelle peuvent

trouver utiles de nommer une autorité de sécurité (SA, Safety Authority) chargée de la
sécurité fonctionnelle, de la politique d’entreprise et des communications, des phases
du cycle de vie ainsi que de la planification des activités. La SA sera indépendante des
projets.
Selon toute probabilité, il faudra peut-être aussi instaurer et gérer un registre de

compétences ou de développer un système existant afin d’y inclure les activités et
responsabilités touchant à la sécurité fonctionnelle.
18.5. Mise en œuvre et surveillance de projet
Si certaines activités sont nouvelles pour le périmètre, par ex. HAZOP, une procédure de
conduite d’études HAZOP doit être créée. Si, par exemple, un développement doit inclure
un logiciel d’application lié à la sécurité, une procédure doit être en place afin de garantir
le développement du logiciel conformément à la phase 4 du cycle de vie [11].
18.6. Gestion de configuration et modification
Les procédures de gestion de configuration, de déclenchement de modification,

d’approbation et de suivi des demandes de changement existent généralement déjà
dans le cadre d’un système QMS type.
159
PROCESS SAFEBOOK 1
Toutefois, lorsque des modifications concernent une fonction de sécurité, il doit y avoir
une certaine forme d’analyse d’impact afin de déterminer si cela peut compromettre la
sécurité et à quel point du cycle de vie il faut revenir en arrière pour commencer le
processus de réévaluation. Une procédure de conduite d’analyse d’impact et de gestion
de la réévaluation peut s’avérer nécessaire.
18.7. Performances O&M
En fonction des phases du cycle de vie dans le périmètre, il peut être nécessaire de mettre
en œuvre des procédures chargées de traiter, de collecter et de gérer des informations
découlant des : dangers, incidents et modifications. Les procédures peuvent aussi décrire
les aspects suivants :
• gestion des incidents dangereux ;

• analyse des dangers détectés ;
• activités de vérification.
La collecte des données et la gestion d’enregistrements peuvent s’avérer nécessaires, car

pendant l’évaluation de la sécurité, il a peut-être été supposé que la fonction de sécurité
était, par exemple, un système en mode de sollicitation. La surveillance du taux de
sollicitations défini pour la fonction de sécurité garantit par conséquent que les cibles et
mesures de performance appropriées ont été définies et demeurent valides.
160
PROCESS SAFEBOOK 1
Références
19. Références
19.1. CEI 61508:2010, Sécurité fonctionnelle des systèmes électriques, électroniques
et électroniques programmables relatifs à la sécurité.
19.2. CEI 61511:2004 : Sécurité fonctionnelle : Systèmes instrumentés de sécurité

pour l’industrie des procédés.
19.3. Reducing Risks, Protecting People, HSE 2001, ISBN 0 7176 2151 0.
19.4. AIChE Centre for Chemical Process Safety, Layer of Protection Analysis (LOPA),
2001
19.5. 19.5. CEI 61784-3:2010 Réseaux de communication industriels. Profils –

Partie 3 : Bus de terrain de sécurité fonctionnelle – Règles générales et définitions
de profil.
19.6. Derivation of the Simplified PFDavg Equations, D Chauhan,

Rockwell Automation (FSC).
19.7. General Reliability Calculations for MooN Configurations, KJ Kirkcaldy,

Rockwell Automation (FSC).
19.8. Sécurité fonctionnelle : Systèmes instrumentés de sécurité pour l’industrie des

procédés. ANSI/ISA-84.00.01-2004 Partie 1 (CEI 61511-1 modifiée).
161
PROCESS SAFEBOOK 1
20. Définitions
2oo3 Circuit logique deux sur trois (circuit logique 2/3). Un circuit logique comportant trois
entrées indépendantes. La sortie du circuit logique est le même état que deux états
d’entrée concordants. Par exemple, un circuit de sécurité comporte trois capteurs et un
signal de deux quelconques des capteurs est nécessaire pour demander un arrêt. Le
système 2oo3 est à tolérance de panne unique (HFT = 1) car, même en cas de défaillance
dangereuse d’un des capteurs, le système peut encore s’arrêter en toute sécurité. D’autres
systèmes de vote incluent les configurations 1oo1, 1oo2, 2oo2, 1oo3 et 2oo4.
ALARP As Low As Reasonably Practicable (aussi faible que raisonnablement envisageable).
Philosophie traitant des risques situés entre des limites extrêmes supérieure et
inférieure. La limite extrême supérieure signale un risque tellement élevé qu’il est rejeté
complètement, tandis que la limite extrême inférieure signale un risque insignifiant ou
rendu tel. La philosophie prend en compte les coûts et bénéfices de la réduction du
risque pour que celui-ci soit « aussi faible que raisonnablement envisageable ».
AMDEC Analyse des modes de défaillances, de leurs effets et de leur criticité – Il s’agit d’une
analyse détaillée des différents modes de défaillance et de la criticité d’un équipement.
Analyse par arbre Méthode de modélisation de propagation des défauts. L’analyse construit un schéma en
d’événements forme d’arbre représentant des chaînes d’événements partant d’un événement
déclencheur et aboutissant à différents résultats possibles. L’arbre s’étend de l’événement
déclencheur en branches d’événements de propagation intermédiaires. Chaque branche
représente une situation avec un résultat différent possible. Après l’inclusion de toutes les
branches appropriées, l’arbre d’événements se termine avec plusieurs résultats possibles.
Architecture La structure de vote de différents éléments dans une fonction instrumentée de sécurité.
Voir Contraintes architecturales, Tolérance aux pannes et 2oo3.
Arrêt en sécurité Caractéristique d’un équipement particulier qui provoque le passage de l’équipement à
(ou de préférence l’état de sécurité en cas de coupure de son alimentation électrique ou pneumatique.
coupure par mise
hors tension)
BPCS Voir Système de contrôle de procédé de base (BPCS).
CEI Commission électrotechnique internationale. Organisation mondiale de normalisation.
La finalité de la CEI est de promouvoir la coopération internationale sur toutes les
questions concernant la normalisation dans les domaines de l’électricité et de
l’électronique. À cette fin et en plus d’autres activités, la CEI publie des normes
internationales. Voir 61508 et 61511. Analyse d’impact, activité consistant à déterminer
l’effet qu’aura une modification d’une fonction ou d’un composant sur d’autres
fonctions ou composants dans le système concerné et dans d’autres systèmes
CEI 61508 La norme CEI couvrant la sécurité fonctionnelle des systèmes électriques, électroniques
et électroniques programmables relatifs à la sécurité. Le principal objectif de la norme
CEI 61508 est d’employer les systèmes instrumentés de sécurité pour réduire le risque à
un niveau tolérable en appliquant les procédures de cycle de vie de la sécurité globale, du
matériel et des logiciels, et en gérant la documentation associée. Publiée en 1998 et 2000,
la norme est depuis utilisée principalement par les fournisseurs d’équipements de
sécurité afin de montrer que leurs équipements sont adaptés à une utilisation dans les
systèmes répondant à des niveaux d’intégrité de sécurité.
CEI 61511 La norme CEI applicable aux systèmes électriques, électroniques et électroniques
programmables relatifs à la sécurité dans l’industrie des procédés. À l’instar de la norme
CEI 61508, elle met l’accent sur un ensemble de processus de cycle de vie de la sécurité,
afin de gérer le risque des procédés. Elle a été publiée à l’origine par la CEI en 2003 et
adoptée par les États-Unis en 2004 sous la forme ISA 84.00.01-2004. À la différence de la
norme CEI 61508, elle cible les utilisateurs de systèmes instrumentés de sécurité dans
162
PROCESS SAFEBOOK 1
Définitions
Conséquence L’ampleur des dommages ou la mesure du résultat d’un événement préjudiciable. Une
des deux composantes servant à définir un risque.
Contraintes Limitations imposées au matériel sélectionné pour implémenter une fonction

architecturales instrumentée de sécurité, indépendamment des performances calculées pour un sous-
système. Les contraintes architecturales sont spécifiées (dans le tableau 2 de CEI 61508-
2 et le tableau 5 de CEI 61511) conformément au niveau SIL requis du sous-système, du
type de composants utilisés et de la proportion SFF des composants du sous-système.
Les composants de type A sont des équipements simples sans microprocesseur, tandis
que les équipements de type B sont des équipements complexes tels que les
équipements à microprocesseur. Voir Tolérance aux pannes.
Conséquence L’ampleur des dommages ou la mesure du résultat d’un événement préjudiciable. Une
des deux composantes servant à définir un risque.
Couche de protection Voir IPL.
Couverture de Une mesure de la capacité d’un système à détecter les défaillances. Il s’agit d’un ratio
diagnostic entre les taux des défaillances détectées et le taux de toutes les défaillances du système.
Couverture de tests Le pourcentage de défaillances détectées pendant le fonctionnement de l’équipement.

de validité En général, lorsqu’un test de validité est effectué, toute erreur dans le système est
supposée détectée et corrigée (couverture de tests de validité de 100 %).
Danger Capacité potentielle de provoquer un dommage.

Déclenchement Voir Défaillance non dangereuse
intempestif
Défaillance aléatoire Défaillance se produisant à n’importe quel moment et résultant d’un ou de plusieurs
mécanismes de dégradation. Les défaillances aléatoires peuvent être prédites
efficacement au moyen des statistiques et constituent la base des exigences de calculs
axés sur la probabilité de défaillance sur sollicitation pour les niveaux d’intégrité de
sécurité. Voir Défaillance systématique.
Défaillance Une défaillance d’un composant dans une fonction instrumentée de sécurité qui
dangereuse empêche cette fonction d’obtenir un état de sécurité lorsqu’elle doit le faire. Voir Mode
de défaillance.
Défaillance de cause Une contrainte aléatoire qui provoque la défaillance de deux composants ou plus en
commune (CCF) même temps, pour la même raison. Elle diffère d’une défaillance systématique, en ce
sens où elle est aléatoire et probabiliste, mais n’est pas du type cause et effet fixe et
prévisible. Voir Défaillance systématique.
Défaillance en Condition où le composant de fermeture de vanne se déplace en position fermée en

position fermée cas de défaillance de l’énergie d’actionnement.
Défaillance en Condition où le composant de fermeture de vanne se déplace en position fermée en

position fermée cas de défaillance de l’énergie d’actionnement.
Défaillance en Condition où le composant de fermeture de vanne se déplace en position ouverte en

position ouverte cas de défaillance de l’énergie d’actionnement.
Défaillance non Défaillance qui ne peut pas placer le système instrumenté de sécurité dans un état
dangereuse dangereux ou d’incapacité de fonctionner. Situation dans laquelle un système ou
composant lié à la sécurité n’assure pas correctement sa fonction de telle manière qu’il
demande l’arrêt du système ou l’activation de la fonction instrumentée de sécurité
lorsqu’aucun danger n’est présent.
163
PROCESS SAFEBOOK 1
Défaillance Une défaillance qui se produit d’une manière déterministe (non aléatoire) et prédictible à
systématique partir d’une certaine cause et qui peut uniquement être éliminée par une modification de
la conception ou du procédé de fabrication, des procédures opérationnelles, de la
documentation ou d’autres facteurs pertinents. Comme ces défaillances ne peuvent pas
être prédites par voie mathématique, le cycle de vie de la sécurité inclut un grand nombre
de procédures afin d’empêcher leur survenance. Les procédures sont plus rigoureuses
pour les systèmes et composants à niveau d’intégrité plus élevé. De telles défaillances ne
peuvent pas être prévenues par une simple redondance.
Diagnostic D Certains analyseurs logiques conçus pour la sécurité sont désignés comme ayant un
diagnostic avec lettre majuscule D. Ce diagnostic diffère du diagnostic normal car
l’unité est capable de reconfigurer son architecture après la détection d’une défaillance
par le diagnostic. L’effet le plus important concerne les systèmes 1oo2D, lesquels
peuvent se reconfigurer en fonctionnement 1oo1 en cas de détection d’une défaillance
non dangereuse. Ainsi, le taux de déclenchements intempestifs pour un tel système est
réduit de manière spectaculaire.
Diagramme d’arbre Méthode de combinaison de probabilités pour l’estimation de probabilités complexes.

de défauts Comme il fournit généralement une vue des défaillances d’un système, il est utile dans
la modélisation de plusieurs modes de défaillance. Il faut faire attention lorsqu’il est
employé pour calculer les probabilités moyennes intégrées.
Diagramme de Une méthode fréquemment employée pour afficher la relation entre les entrées de
Causes et Effets (C&E) capteur vers une fonction de sécurité et les sorties nécessaires. Est souvent employé
dans le cadre d’une spécification des prescriptions de sécurité (SRS). Les atouts de la
méthode sont un niveau bas d’efforts et une représentation visuelle claire, tandis que
ses points faibles sont un format rigide (certaines fonctions ne sont pas représentables
avec des diagrammes C&E) et le fait qu’elle puisse simplifier à l’excès la fonction.
Diagramme de Méthode de combinaison de probabilités pour l’estimation de probabilités complexes.
fiabilité Comme il fournit généralement une vue « positive » d’un système, il peut générer de la
confusion dans la modélisation de plusieurs modes de défaillance.
Disponibilité La probabilité qu’un équipement fonctionne avec succès à un moment donné.

Il s’agit d’une mesure du « bon fonctionnement », laquelle est définie en unités de
pourcentage. Pour la majorité des composants de système de sécurité réparés et testés,
la disponibilité varie en dent de scie avec le temps selon les cycles de tests de validité et
de réparation. Ainsi, la disponibilité moyenne intégrée sert à calculer la probabilité
moyenne d’une défaillance sur sollicitation. Voir PFDavg.
Éprouvé par Base de l’utilisation d’un composant ou système dans le cadre d’un système
l’utilisation instrumenté de sécurité (SIS) noté SIL (Safety Integrity Level) qui n’a pas été conçu
conformément à la norme CEI 61508. Il faut suffisamment d’heures de fonctionnement
du produit, un historique de révision, des systèmes de reporting de défauts et des
données de défaillances de terrain pour déterminer s’il existe une preuve de défauts
de conception systématiques au niveau d’un produit. La norme CEI 61508 fournit les
niveaux d’historique de fonctionnement nécessaires pour chaque niveau SIL.
État de sécurité L’état du procédé après avoir agi afin de supprimer le danger et d’éviter tout dommage
substantiel.
Fiabilité 1. Probabilité qu’un équipement fonctionne conformément à ses objectifs de

performance, pour le laps de temps spécifié, dans les conditions opérationnelles
stipulées.
2. Probabilité qu’un composant, équipement ou système assure sa fonction pour un
laps de temps spécifié, généralement en heures de fonctionnement, sans nécessiter
de maintenance corrective.
164
PROCESS SAFEBOOK 1
Définitions
HAZOP Étude de dangers et d’opérabilité. Une procédure d’analyse des dangers d’un procédé
mise au point à l’origine par ICI dans les années 1970. La méthode est hautement
structurée et divise le procédé en différents nœuds basés sur le fonctionnement. Elle
examine le comportement des différentes parties de chaque nœud en se basant sur
une matrice de conditions d’écart possibles ou de mots-guides.
HFT Tolérances aux pannes matérielles (voir Tolérance aux pannes)
HSE (Royaume-Uni) Health and Safety Executive (bureau pour la santé et la sécurité)
Incident Résultat d’un événement déclencheur dont la propagation n’est pas stoppée.
L’incident constitue la description la plus élémentaire d’un accident et fournit la plus
petite quantité d’informations. Le terme incident est employé simplement pour signaler
le fait que le procédé a subi une perte de confinement d’un produit chimique ou d’une
autre source potentielle d’énergie. Ainsi, la capacité à provoquer un dommage a été
concrétisée, mais son résultat préjudiciable n’a pas pris une forme spécifique.
Intervalle de tests de L’intervalle entre deux interventions de service sur l’équipement.

validité
Lambda Taux de défaillances d’un système. Voir Taux de défaillances.

IPL Couche(s) de protection indépendante(s). Ce terme fait référence à différentes autres
méthodes de réduction du risque pour un procédé. Des exemples incluent des éléments
tels que les disques de rupture et les limiteurs de pression, lesquels réduiront de manière
autonome la vraisemblance d’une escalade d’un danger vers un véritable accident aux
effets préjudiciables. Pour être efficace, chaque couche doit empêcher spécifiquement
le danger en question de provoquer des dommages, agir indépendamment des autres
couches, avoir une probabilité raisonnable de fonctionnement et pouvoir être auditée
une fois l’usine en fonctionnement par rapport à ses performances initiales escomptées.
LOPA Layer of Protection Analysis (analyse des couches de protection). Méthode d’analyse de
la vraisemblance (fréquence) d’un événement dommageable basée sur une fréquence
d’événement déclencheur et sur la probabilité de défaillance d’une série de couches de
protection indépendantes capable de prévenir l’issue préjudiciable.
Mode (continu) Lorsque les sollicitations d’activation d’une fonction de sécurité (SIF) sont fréquentes
par rapport à l’intervalle de test de la fonction SIF. Notez que d’autres secteurs
définissent un mode de sollicitation élevée distinct, basé sur la possibilité pour le
diagnostic de réduire le taux d’accidents. Dans chaque cas, le mode continu désigne
la situation où la fréquence d’un accident indésirable est déterminée pour l’essentiel
par la fréquence d’une défaillance de SIF dangereuse. Lors de la défaillance de la
fonction SIF, la sollicitation visant à son intervention se déroule dans un laps de temps
nettement plus court que le test de fonction, de sorte qu’il n’est pas pertinent de parler
de sa probabilité de défaillance. Pour l’essentiel, tous les défauts dangereux d’une
fonction SIF en mode continu seront révélés par une sollicitation de procédé au lieu
d’un test de fonction. Voir Mode à sollicitation faible, Mode à sollicitation élevée et SIL.
Mode à sollicitation (aussi mode continu selon la norme CEI 61511) Similaire au mode continu, hormis le
élevée fait que le diagnostic automatique est pris en compte de manière spécifique. Le mode à
sollicitation élevée se démarque du mode continu lorsque le diagnostic automatique se
déroule nettement plus rapidement que le taux de sollicitations au niveau de la
fonction de sécurité. Si le diagnostic est plus lent que ce taux, le diagnostic n’est pas pris
en compte et le mode continu s’applique.
165
PROCESS SAFEBOOK 1
Mode à sollicitation (aussi mode de sollicitations selon la norme CEI 61511) Lorsque les sollicitations
faible d’activation de la fonction instrumentée de sécurité (SIF) ne sont pas fréquentes par
rapport à l’intervalle de tests de la fonction SIF. L’industrie des procédés définit ce mode
lorsque les sollicitations d’activation de la fonction SIF sont inférieures à une fréquence
d’un intervalle de tests de validité sur deux. Le mode de fonctionnement à sollicitation
faible est le plus courant dans l’industrie des procédés. Lors de la définition du niveau
d’intégrité de sécurité pour le mode à sollicitation faible, les performances d’une
fonction SIF sont mesurées en termes de probabilité moyenne de défaillance sur
sollicitation (PFDavg). Dans ce mode de sollicitation, la fréquence de l’événement
déclencheur, modifiée par la probabilité de défaillance sur sollicitation de la fonction
SIF multipliée par le taux de sollicitations, et toute autre couche de protection en aval
déterminent la fréquence des accidents indésirables.
Modes de défaillance La manière dont se produit la défaillance d’un équipement. Les modes de défaillance
sont généralement au nombre de quatre : Non dangereux détecté (SD), Dangereux
détecté (DD), Non dangereux non détecté (SU) et Dangereux non détecté (DU) selon la
norme ISA TR84.0.02.
MTTR Mean Time to Repair (temps moyen de réparation) – Le temps moyen entre la
survenance d’une défaillance et la fin de sa réparation. Cela inclut le temps nécessaire
pour détecter la défaillance, commencer la réparation et la mener à bien.
Occupation Mesure de la probabilité selon laquelle la zone d’effet d’un accident contiendra une ou
plusieurs victimes de l’effet. Cette probabilité doit être déterminée au moyen de la
philosophie et des pratiques d’affectation du personnel propres à l’usine.
P&ID Piping and Instrumentation Drawing (diagramme de tuyauterie et d’instrumentation).
Affiche l’interconnexion des équipements de procédé et des instruments servant à
commander le procédé. Dans l’industrie des procédés, un jeu standard de symboles
est employé pour préparer les diagrammes et schémas des procédés. Les symboles
d’instruments employés sur ces diagrammes et schémas sont généralement basés sur
la norme de l’ISA (Instrument Society of America) S5. 1. 2. Le schéma principal employé
pour l’aménagement d’une installation de commande de procédé.
PFDavg Probabilité moyenne de défaillance sur sollicitation – Il s’agit de la probabilité selon
laquelle un système subira une défaillance dangereuse et ne sera pas en mesure
d’assurer sa fonction de sécurité au moment voulu. La probabilité PFD peut être
déterminée sous forme de probabilité moyenne ou de probabilité maximum sur une
certaine période. Les normes CEI 61508/61511 et ISA 84.01 utilisent PFDavg en tant
que mesure système servant à définir le niveau SIL.
Proportion de Voir SFF.
défaillances non
dangereuses
Redondance Utilisation de multiples éléments ou systèmes pour effectuer la même fonction.

La redondance peut être implémentée par des éléments identiques (redondance
identique) ou par divers éléments (redondance diversifiée). La redondance sert
principalement à améliorer la fiabilité ou la disponibilité.
RRF Risk Reduction Factor (facteur de réduction du risque) – L’inverse de PFDavg
Sécurité fonctionnelle Prévention des risques inacceptables réalisée tout au long du cycle de vie de la sécurité.
Voir CEI 61508, CEI 65111, Cycle de vie de la sécurité et Risque tolérable.
SFF Safe Failure Fraction (proportion de défaillances non dangereuses) – Proportion d’un
taux de défaillances global d’un équipement qui aboutit à un défaut non dangereux ou
à un défaut dangereux (détecté) diagnostiqué. La proportion de défaillances non
dangereuses inclut les défaillantes dangereuses détectables lorsque celles-ci sont
annoncées et que les procédures de réparation ou d’arrêt sont en place.
166
PROCESS SAFEBOOK 1
Définitions
SIF Safety Instrumented Function (fonction instrumentée de sécurité) – Ensemble

d’équipements visant à réduire le risque dû à un danger spécifique (une boucle de
sécurité). Elle a pour rôle 1. d’amener automatiquement un procédé industriel dans un
état de sécurité en cas de violation de conditions spécifiées ; 2. d’autoriser un procédé
à poursuivre de manière sécurisée lorsque les conditions spécifiées le permettent
(fonctions à autorisation) ; ou 3. de prendre des mesures d’atténuation des conséquen-
ces d’un danger industriel. Elle inclut les éléments qui détectent l’imminence d’un
accident, décident d’agir, puis exécutent l’action nécessaire afin d’amener le procédé
dans un état de sécurité. Sa capacité de détection, de décision et d’action est appelée
le niveau d’intégrité de sécurité (SIL) de la fonction. Voir SIL.
SIL Safety Integrity Level (niveau d’intégrité de sécurité) – Objectif quantitatif servant
à mesurer le niveau de performances nécessaire afin que la fonction de sécurité
aboutisse à un risque tolérable pour un danger de procédé. La définition d’un
niveau SIL cible pour le procédé doit reposer sur l’évaluation de la vraisemblance de
survenance d’un incident et des conséquences de ce dernier. Le tableau suivant décrit
les niveaux SIL pour différents modes de fonctionnement.
SIS Système instrumenté de sécurité – Implémentation d’une ou de plusieurs fonctions

instrumentées de sécurité. Un SIS est composé de n’importe quelle combinaison de
capteurs, analyseurs logiques et éléments finaux. Un SIS comporte généralement un certain
nombre de fonctions de sécurité ayant différents niveaux d’intégrité de sécurité (SIL), de
sorte qu’il vaut mieux éviter de le décrire au moyen d’un niveau SIL unique. Voir SIF.
Système de contrôle Système qui répond aux signaux d’entrée du procédé, des équipements associés et/ou
de procédé de base d’un opérateur et génère des signaux de sortie provoquant le fonctionnement souhaité
(BPCS) du procédé et de ses équipements associés. Le BPCS ne peut pas assurer de fonction
instrumentée de sécurité avec un niveau d’intégrité de sécurité (SIL) 1 ou supérieur, à
moins de respecter des exigences éprouvées par l’utilisation. Voir Éprouvé par l’utilisation.
Système électrique, Voir 61508 et 61511.

électronique et
électronique pro-
grammable (E/E/PES)
Taux de défaillances Le nombre de défaillances par unité de temps pour un équipement. Est généralement
supposé être une valeur constante. Ce taux peut être subdivisé en plusieurs catégories telles
que non dangereux et dangereux, détecté et non détecté, ou encore indépendant/ normal
et cause commune. Il faut faire attention à ce que le rodage et l’usure soient pris en compte
correctement afin que les hypothèses de taux de défaillances constant soient valides.
Tests de validité Tests des composants du système de sécurité afin de détecter d’éventuelles défaillances
non détectées par le diagnostic en ligne automatique, à savoir défaillances dangereuses,
défaillances de diagnostic, défaillances paramétriques suivies de leur réparation à un état
équivalent à celui du neuf. Les tests de validité constituent une partie vitale du cycle de
vie de la sécurité et sont critiques pour garantir qu’un système est conforme à son niveau
d’intégrité de sécurité requis tout au long du cycle de vie de la sécurité.
Tolérance aux pannes Capacité d’une unité fonctionnelle à continuer d’exécuter une fonction requise en
présence de défauts aléatoires ou d’erreurs. Par exemple, un système à vote 1oo2 peut
tolérer une défaillance de composant aléatoire, tout en continuant d’assurer sa fonction.
La tolérance aux pannes est une des exigences spécifiques pour le niveau d’intégrité de
sécurité (SIL) et est décrite plus en détail dans les tableaux 2 et 3 de la norme CEI 61508,
partie 2, ainsi que dans la clause 11.4 de la norme CEI 61511 (ISA 84.01 2004).
Vérification SIL Processus de calcul de la probabilité moyenne de défaillance sur sollicitation (ou de la
probabilité de défaillances par heure) et des contraintes architecturales pour une
conception de fonction de sécurité, afin de vérifier si elle est conforme au niveau SIL requis.
167
PROCESS SAFEBOOK 1
Vraisemblance La fréquence d’un événement dommageable souvent exprimée en événements par an

ou événements par million d’heures. Une des deux composantes servant à définir un
risque. Notez que cette explication diffère de la définition anglaise servant à désigner la
probabilité.
168
PROCESS SAFEBOOK 1
Abréviations
Abréviations
λ Taux de défaillances, le rapport du nombre total de défaillances survenant au cours d’une
période donnée
λD taux de défaillances dangereuses
λDD taux de défaillances dangereuses détectées par diagnostic
λDU taux de défaillances dangereuses non détectées par diagnostic
λS taux de défaillances non dangereuses
1oo1 vote 1 sur 1 (simplex)
1oo2 1 sur 2
AI Analogue Input (entrée analogique)
ALARP As Low As Reasonably Practicable (aussi faible que raisonnablement envisageable)
AMDEC Analyse des modes de défaillances, de leurs effets et de leur criticité
ANSI American National Standards Institute
BMS Burner Management System (système de gestion de brûleur)
BPCS Basic Process Control System (système de contrôle de procédé de base)
C&E Cause et Effet
CBA Cost Benefit Analysis (analyse coûts-bénéfices)
CCF Common Cause Failure (défaillance de cause commune)
CEI Commission électrotechnique internationale
COMAH Control Of Major Accident Hazards
Défaillance dangereuse Mode de défaillance susceptible de placer le système lié à la sécurité dans un état
dangereux ou inopérable
Défaillance non
dangereuse Mode de défaillance non susceptible de placer le système lié à la sécurité dans un état
dangereux ou inopérable.
DD Dangereux détecté
DI Digital Input (entrée TOR)
DO Digital Output (sortie TOR)
DU Dangereux non détecté
E/E/PES Système électrique, électronique et électronique programmable
E/S Entrée/Sortie
ESD Emergency Shutdown (arrêt d’urgence)
ESDV Emergency Shutdown Valve (vanne d’arrêt d’urgence)
F&G Feu et Gaz
f/hr Failures per hour (défaillances par heure)
FC Fail Closed (défaillance en position fermée)
FDS Functional Design Specification (spécification fonctionnelle)
FO Fail Open (défaillance en position ouverte)
FPL Fixed Programmable Language
FSC Functional Safety Capability (capacité de sécurité fonctionnelle)
FVL Full Variability Language
HASAW Health and Safety at Work Act (HSW) (loi britannique sur la santé et la sécurité au travail)
HAZAN Hazard Analysis (analyse des dangers)
HAZOP Hazard and Operability Study
HFT Hardware Fault Tolerance (tolérance aux pannes matérielles)
HIPPS High Integrity Pressure Protection System (système de protection contre les pressions à
haute intégrité)
HSE Health and Safety Executive (bureau pour la santé et la sécurité)
IPL Independent Protection Layer (couche de protection indépendante)
ISA International Society of Automation
LOPA Layer of Protection Analysis
LVL Limited Variability Language
MDT Mean Down Time (temps moyen d’indisponibilité)
MooN M sur N (cas général)
MTBF Mean Time Between Failures (temps moyen entre défaillances)
MTR Maximum Tolerable Risk (risque tolérable maximum)
169
PROCESS SAFEBOOK 1
MTTF Mean Time To Failure (temps moyen de fonctionnement avant pannes)

MTTR Mean Time To Repair (temps moyen de réparation)
Non-SR Non-Safety Related (non lié à la sécurité)
O&M Operation and Maintenance (fonctionnement et maintenance)
OPSI Office of Public Sector Information
P&ID Piping and Instrumentation Diagram (diagramme de tuyauterie et d’instrumentation)
PA Par an
PE Programmable Electronic (électronique programmable)
PFD Probability of Failure on Demand (probabilité de défaillance sur sollicitation)
PFH Probability of Failure per Hour (probabilité de défaillance par heure)
PSD Process Shutdown (arrêt de procédé)
PT Pressure Transmitter (transmetteur de pression)
PTI Proof Test Interval (intervalle de tests de validité
QMS Quality Management System (système de gestion de la qualité)
R2P2 Reducing Risk Protecting People (réduction du risque, protection des personnes)
RBD Reliability Block Diagram (diagramme de fiabilité)
RRF Risk Reduction Factor (facteur de réduction du risque)
S Sûr
SA Safety Authority (autorité de sécurité)
SFF Safe Failure Fraction (proportion de défaillances non dangereuses).
SIF Safety Instrumented Function (fonction instrumentée de sécurité)
SIL Safety Integrity Level (niveau d’intégrité de sécurité).
SIS Système instrumenté de sécurité
SNCC Système numérique de contrôle-commande
SOV Solenoid Operated Valve (électrovanne)
SRS Safety Requirements Specification (spécification des prescriptions de sécurité)
STR Spurious Trip Rate (taux de déclenchement intempestif )
TMR Triple Modular Redundant (redondance modulaire triple)
Tp Intervalle de tests de validité
170
PROCESS SAFEBOOK 1
Abréviations
171
PROCESS SAFEBOOK 1
172
PROCESS SAFEBOOK 1
PROCESS SAFEBOOK 1 – Sécurité fonctionnelle dans l’industrie des procédés/Principes, normes et mise en œuvre
Également disponible :
Safebook 4 – Systèmes de commande de sécurité pour
machines.
Ce guide pratique aborde les principes de la sécurité, la
législation, la théorie et la pratique relatives aux machines.
Numéro de publication : SAFEBK-RM002B
Pour obtenir un exemplaire de ce guide, contactez votre

représentant Rockwell Automation ou visitez le site
www.rockwellautomation.com
Sécurité fonctionnelle dans

l’industrie des procédés
Principes, normes et mise en œuvre
www.rockwel lautomation.com
Siège des activités « Power, Control and Information Solutions »

Amériques : Rockwell Automation, 1201 South Second Street, Milwaukee, WI 53204-2496 Etats-Unis, Tél: +1 414.382.2000, Fax : +1 414.382.4444
Europe / Moyen-Orient / Afrique : Rockwell Automation NV, Pegasus Park, De Kleetlaan 12a, 1831 Diegem, Belgique, Tél: +32 2 663 0600, Fax : +32 2 663 0640
Asie Pacifique : Rockwell Automation, Level 14, Core F, Cyberport 3, 100 Cyberport Road, Hong Kong, Tél: +852 2887 4788, Fax : +852 2508 1846
Canada : Rockwell Automation, 3043 rue Joseph A. Bombardier, Laval, Québec, H7P 6C5, Tél: +1 (450) 781-5100, Fax: +1 (450) 781-5101, www.rockwellautomation.ca
France : Rockwell Automation SAS – 2, rue René Caudron, Bât. A, F-78960 Voisins-le-Bretonneux, Tél: +33 1 61 08 77 00, Fax : +33 1 30 44 03 09
Suisse : Rockwell Automation AG, Av. des Baumettes 3, 1020 Renens, Tél: 021 631 32 32, Fax: 021 631 32 31, Customer Service Tél: 0848 000 278
Publication : SAFEBK-RM003A-FR-P – Mars 2013 © 2013 Rockwell Automation, Inc. Tous droits réservés.

SRS rm003 - FR P

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

SRS rm003 - FR P

Transféré par

Droits d'auteur :

Formats disponibles

PROCESS SAFEBOOK 1

Pour obtenir un exemplaire de ce guide, contactez votre

Sécurité fonctionnelle dans

Siège des activités « Power, Control and Information Solutions »

Table des matières

Chapitre 2 Cycle de vie de la sécurité ...................................................................... 11

Chapitre 3 Dangers et leur identification................................................................ 19

Chapitre 4 Risque et réduction du risque................................................................ 30

Chapitre 5 Le principe ALARP................................................................................... 41

Chapitre 6 Détermination des objectifs SIL ............................................................ 47

Chapitre 7 Graphiques de risque ............................................................................. 62

Chapitre 8 Méthode LOPA (Layer of Protection Analysis)...................................... 68

Chapitre 9 Allocation des fonctions de sécurité ................................................... 81

Chapitre 10 Spécification des prescriptions de sécurité pour le SIS ....................... 85

Chapitre 11 Conception et ingénierie du SIS ............................................................ 87

Chapitre 12 Techniques de fiabilité ........................................................................... 89

Chapitre 13 Vérification SIL...................................................................................... 121

Chapitre 14 Probabilité de défaillance de la fonction SIF, CEI 61511-1 ............... 135

Chapitre 15 Installation, mise en service et validation, CEI 61511-1 ................... 148

Chapitre 16 Fonctionnement et maintenance, CEI 61511-1.................................. 150

Chapitre 17 Modification et mise hors service, CEI 61511-1 ................................. 152

Chapitre 18 Sécurité fonctionnelle, évaluation et audit........................................ 154

Chapitre 19 Références ............................................................................................. 161

Chapitre 20 Définitions............................................................................................. 162

Chapitre 21 Abréviations.......................................................................................... 169

Ce document est une introduction à la sécurité fonctionnelle et un guide concernant

à démontrer cette dernière et la collecte des preuves à l’appui continuent d’incomber au

1. Introduction à la norme CEI 61511

CEI 61508:2010 « Sécurité fonctionnelle des systèmes électriques,

Un objectif secondaire de la norme CEI 61508 est de permettre la conception de systèmes

CEI 61511:2004 « Sécurité fonctionnelle – Systèmes équipés pour la sécurité

service. L’aspect fondamental de cette approche est le cycle de vie de la sécurité

1.2. Qu’est-ce que la sécurité fonctionnelle ?

La norme CEI 61511-1, clause 3.2.25 en fournit la définition suivante.

« La sécurité fonctionnelle est le sous-ensemble de la sécurité globale se rapportant au

1.3. CEI (Commission électrotechnique internationale)

La Commission électrotechnique internationale a été créée en 1906, avec comme premier

La CEI soutient la sécurité et les performances environnementales de l’électrotechnologie,

1.4. La structure de la norme

La norme se décompose en trois parties, comme illustré sur la figure 1.

La partie 1 présente les exigences liées à la conformité. Elle définit la planification de

La partie 2 fournit des directives sur l’utilisation de la partie 1.

La partie 3 propose des exemples pratiques d’évaluation des risques menant à

1.5. Conformité à la norme CEI 61511

1.5.2. Exigences de conformité

Dans la pratique, il est généralement difficile de démontrer la pleine et entière conformité

• la nature des dangers ;

1.5.3. Conséquences de la non-conformité

1.5.4. Exigences de conformité pour une nouvelle usine

1.5.5. Exigences de conformité pour une usine existante

De nombreuses usines ont été conçues et construites antérieurement à la publication

La norme ANSI/ISA-84 traite spécifiquement des systèmes existants, en stipulant que

Selon toute probabilité, il ne sera pas rentable de concevoir de nouvelles fonctions

1.5.6. Raisons de la conformité à la norme CEI 61511

1.6. Application de la norme CEI 61511

La sécurité fonctionnelle peut uniquement être appliquée à des fonctions complètes

Le fabricant doit assortir les revendications de réserves et de restrictions concernant

1.7. Obligation ou non de se conformer à la norme

1.7.1. Nouveau bâtiment

Comme indiqué précédemment, certaines obligations juridiques implicites imposent

1.7.2. Usine existante

2. Cycle de vie de la sécurité globale

Le cycle de vie de la sécurité encapsule toutes les activités nécessaires concernant la