Sis Safety Instrumented System

Systmes instruments de scurit
www.iap.dz
F.BEKHSIS UFR IMT - IAP
Dcembre 2015
Introduction
Flixborough
Bhopal
Chaque
entreprise
Systmes
comporte
des risques
Galveston
Tchernobyl
de
scurit : une
Seveso
ncessit pour
Challenger
viter les accidents
Dcembre 2015
Prsentation des systmes

instruments de scurit
Rservoirs de stockage du ptrole brut
Salle de contrle
Alarme: niveau lev
LT
Le niveau du rservoir
continue de monter
malgr l'intervention
de l'oprateur du
tableau.
L'oprateur dcide de fermer

la soupape de scurit et va
sur le site pour vrifier
Le systme de
contrle de procd
(PCS) a chou pour
une raison encore
inconnue
Dcembre 2015

Rservoirs de stockage du ptrole brut
Salle de contrle
Alarme: niveau lev
LT1
LT2
Systme
d'arrt du
systme PSS
Le systme PSS lance des actions
automatiques de scurit : fermeture de la
soupape de scurit, et renvoie galement
des donnes la salle de contrle.
Le niveau du rservoir
continue de monter
malgr l'intervention
de l'oprateur du
tableau.
Le systme de
contrle de procd
(PCS) a chou pour
une raison encore
inconnue
Dcembre 2015

Scurit fonctionnelle (SF)
Scurit assure par une fonction

instrumente de scurit (SIF)
implmente par un systme
instrument de scurit (SIS)
Capteur(s)
Dtection
instrume
nts
Solveur(s)
logique(s)
Dcision
Elment(s)
Final(finaux
Ralisation
de laction
de scurit
Dcembre 2015

Objectif des systmes SIS
Rduire les risques d'exploitation dus aux vnements inattendus :
limiter les fuites en fermant automatiquement les vannes de scurit

supprimer les sources d'inflammation en teignant les sources lectriques
rduire les substances inflammables stockes par dpressurisation d'urgence
Protger le personnel et les installations
Fonctionnement du systme SIS
Rapide, aprs avoir fourni aux oprateurs les alarmes correspondantes
Squence automatique : aucune action de l'oprateur ncessaire pendant

l'excution de la squence de logique de scurit.
Attention: Les systmes de scurit ne suppriment
pas tous les risques
Dcembre 2015

Pour concevoir systmes SIS, deux normes sont utilises : l'ANSI/ISA
S84.01-1996 et l'IEC 61508. Ces deux normes sont fondes sur le
principe de l'valuation de la rduction du risque ncessaire pour
atteindre un niveau de risque acceptable.
Les normes ANSI/ISA S84.01-1996 et CEI 61508 tablissent les
prescriptions relatives la spcification, la conception, l'installation,
l'exploitation et la maintenance du SIS, afin d'avoir toute confiance
dans sa capacit amener et/ou maintenir le procd dans un tat
de scurit
Dcembre 2015
systmes instruments de scurit:

normes
Dcembre 2015

Les tapes de base requises pour assurer la conformit ces deux
normes de scurit sont :
tablir une cible de scurit (risque acceptable) du procd et valuer

le risque existant.
Identifier les fonctions de scurit requises et les affecter aux niveaux

de protection.
Dterminer si la fonction instrumente de scurit est requise.
Implmenter la fonction instrumente de scurit dans un SIS et

dterminer le SIL du SIS.
Vrifier que le SIS permet d'atteindre la cible de scurit exige au

dpart.
Dcembre 2015

Niveau d'intgrit de scurit (SIL)
C'est un nombre allant de
Il reprsente l'ordre de grandeur de rduction de risque obtenu par la fonction

instrumente de scurit pour rendre le risque acceptable
Plus le niveau SIL d'une boucle de scurit est lev :
plus l'impact d'une dfaillance d'une boucle de scurit est important
plus le taux de dfaillance acceptable est faible
SIL est le plus haut niveau de scurit et SIL le plus bas
La table donne le SIL du SIS en fonction de la valeur de son PFD et de sa

frquence de sollicitation.
Dcembre 2015
10

La dtermination du SIL requis d'un SIS peut s'obtenir par diffrentes
mthodes :
Graphe de risque
Matrice de criticit
frquences
< 0,001/an
A
< 0,01/an
B
> 1/an
C
>2/an
D
trs rare
rare
frquente
trs
frquence
TF
TF
F
M
TF
F
M
E
F
M
E
TE
M
E
TE
TE
consquences
Mthode LOPA
ngligeable
mineure
grave
catastrophique
Dcembre 2015
11

Un systme instrument de scurit n'est pas un simple composant.
C'est un assemblage complexe de plusieurs composants et d'attributs
oprationnels: Matriel, logiciel, cartes d'entre / sortie, redondance,
alimentations, et
On augmente la fiabilit dun SIS par
slectionnant un composant avec un taux de dfaillance faible (par

an)
rduisant l'intervalle de test (par an)
Exigeant une disponibilit leve (Redondance quipement /

instruments)
Dcembre 2015
12

Lvaluation du niveau de SIL dune SIF comporte plusieurs tapes :
tape 1 : Choisir une mthode de calcul ;
tape 2 : Collecter et estimer les donnes ncessaires aux calculs ;
tape 3 : Vrifier que le SIL calcul est compatible avec les exigences
architecturales de la norme IEC 61511.
Pour ce faire, diffrentes mthodes peuvent tre appliques :
formules de calcul approches ;

arbre de dfaillances ;
graphes de Markov ;
rseaux de Ptri.
Dcembre 2015
13
Acronymes
ALARP : As Low As Reasonably Practicable
BPCS: Basic Process Control System
CBA, Cost Benefit Analysis
E/E/PE: Electriques/Electroniques/Electroniques Programmables de scurit.
ESD: Emergency Shut Down (systme darrt durgence)
HAZOP: HAZard and OPerability study
IEC: International Electrotechnical Comission (Commission International

dElectronique)
IPL: Independent Protection Layers
ISA: Instrument Society of America
MDT: Mean Down Time (Dure Moyenne de non Fonctionnement)
MTTR: Mean Time To Restoration (Dure Moyenne de Rparation)
Dcembre 2015
14
Acronymes
PFD: Probability of Failure on Demand (Probabilit de Dfaillance la Demande)
PFH: Probability of Failure per Hour (Probabilit de Dfaillance par Heure)
PFDavg: Average Probability of Failure on Demand (Probabilit de Dfaillance

moyenne la Demande)
PCS: Systme de contrle de procd
SIS: Safety Instrumented System (Systme Instrument de Scurit)
SIF: Safety Instrumented Function (Fonction Instrument de Scurit)
SIL: Safety Integrity Level (Niveau dIntgrit de Scurit)
Dcembre 2015
15
Thmes de mini-projets
1. Systme d'arrt de procd (PSS);
2. Systme de protection haute intgrit (HIPS High Integrity
Protection System) ;
3. Dpressurisation d'urgence (EDP Emergency
depressurization);
4. Systme Feu & Gaz (FGS).
Dcembre 2015
16
Les points couvrir

1. Principe de fonctionnement;
2. Description;
3. Composants du systme;
4. Architecture gnrale du systme;
5. Implmentation(avec un exemple).
Dcembre 2015
17
Introduction gnrale
Il y a encore des accidents, parfois mortels, et il y en aura toujours. En
effet chaque entreprise comporte des risques et le risque zro
nexiste jamais.
le risque peut tre class comme tant soit ngligeable, acceptable ou

inacceptable. En effet, la fondation pour tout systme de scurit
moderne est de rduire le risque un niveau acceptable ou niveau
tolrable. Dans ce contexte, la scurit peut tre dfinie comme
Absence de risque inacceptable .
Deux approches permettent cette diminution du risque, la prvention

en minimisant la probabilit dapparition dun risque, la protection en
limitant les consquences dun dysfonctionnement.
Dcembre 2015
18
Introduction gnrale
Pour rduire la probabilit dapparition du risque, les Systmes
Instruments de Scurit (SIS) sont utiliss pour raliser des
Fonctions Instrumentes de Scurit (SIF) dont le rle est la
surveillance des paramtres de fonctionnement et la mise en uvre
dactions de mise en repli lorsque le systme se place dans des
conditions dexploitation dangereuses.
Dcembre 2015
19
Sommaire
1. Principales Normes actuelles en Scurit.
2. Risques et intgrit de scurit Concepts gnraux
3. Les systmes instruments de scurit.
4. Conception des architectures.
5. Niveau dintegrit de scurit/architecture.
Dcembre 2015
20
PRINCIPALES NORMES
ACTUELLES EN SCURIT
Dcembre 2015
21
Introduction
Toute la difficult est destimer le risque que prsente le process
et dvaluer la diminution du risque que doit apporter le
systme instrument de scurit.
Pour cela, deux normes sont utilises : ANSI/ISA S84.01-1996
et lIEC 61508s.
Dcembre 2015
22
La norme IEC 61508

Norme Internationale, sa premire dition : en dcembre 1998.
Systmes cibles de la norme
Son intitul : Scurit fonctionnelle des systmes lectriques,

lectroniques et lectroniques programmables relatifs la
scurit .
Dcembre 2015
23
La norme IEC 61508

Afin de couvrir les multiples aspects des systmes E/E/PE, la
norme comprend 7 parties :
61508-1 : Prescriptions gnrales
61508-2 : Prescriptions propres aux systmes E/E/PE relatifs
la scurit
61508-3 : Prescriptions relatives au logiciel
61508-4 : Dfinitions et abrviations
61508-5 : Exemples de mthodes pour dterminer le niveau
dintgrit de la scurit
61508-6 : Guides pour lapplication des parties 2 et 3 de la
norme
61508-7 : Prsentation de techniques et mesures
Dcembre 2015
24
La norme IEC 61508

Les tapes de base commandes par la norme sont :
Etablir une cible de scurit (risque acceptable) et valuer le
risque existant,
Identifier les fonctions de scurit requises,
Identifier les fonctions a confier a des systmes E/E/EP et

fixer leur objectif en termes dintgrit de scurit,
Implmenter les fonctions instrumentes de scurit et en

dterminer le SIL,
Vrifier que le systme instrumente de scurit permet

datteindre la cible de scurit exige au dpart.
Dcembre 2015
25
La norme IEC 61508

Conue comme base pour dautres normes ddies par secteur.
Relation entre les normes CEI 61508 et CEI 61511
Dcembre 2015
26
La norme IEC 615011
Dcembre 2015
27
RISQUES ET INTGRIT DE
SCURIT CONCEPTS
GNRAUX
Dcembre 2015
28
Mthodes danalyse de risque

Arbre des dfaillances: Permet de dterminer les diverses combinaisons
dvnements qui gnrent une situation indsirable unique, dont le diagramme
logique est ralis au moyen dune structure arborescente
Dcembre 2015
29

Arbre des dfaillances: exemple
Dcembre 2015
30

APR (Analyse Prliminaire des Risques): Consiste identifier les divers
lments dangereux prsents dans le systme tudi et examiner pour chacun
deux comment ils pourraient conduire une situation accidentelle plus ou
moins grave, suite un vnement initiant une situation potentiellement
dangereuse.
AMDE et AMDEC
AMDE : consiste considrer systmatiquement, lun aprs lautre, chacun des
composants du systme tudi et analyser les causes et les effets de leurs
dfaillances potentielles
AMDEC : quivalent lAMDE, en y ajoutant la criticit du mode de dfaillance,
dont lestimation ncessite la connaissance des probabilits doccurrence des
dfaillances, et les gravits de leurs effets
Dcembre 2015
31

HAZOP
lorigine, les tudes HAZOP ont t mises au point au Royaume-Uni

par ICI (Imperial chemical industries), aprs la catastrophe de
Flixborough (1974), et elles ont commenc se gnraliser dans
lindustrie des procds.
Les tudes HAZOP servent identifier des dangers potentiels et des

problmes dexploitabilit provoqus par des carts vis--vis de
lintention de conception des usines de procds nouvelles ou
existantes,
Dcembre 2015
32

HAZOP
elles sont gnralement ralises rgulirement pendant toute la dure

de vie de lusine:
1.
Une tude HAZOP initiale ou prliminaire doit assurment tre

ralise trs tt au cours de la phase de conception.
2.
Le procd doit tre examin pendant lavancement du

dveloppement, chaque proposition de modifications majeures
3.
et, enfin, la fin du dveloppement, afin de garantir labsence de

risque rsiduel avant ltape de construction.
Dcembre 2015
33

La technique HAZOP
Une tude HAZOP est ralise au cours de runions organises entre

les parties concernes ayant une connaissance et une exprience
suffisantes du fonctionnement et de la maintenance de lusine.
La runion est une session structure de rflexion, au cours de

laquelle des mots-guides servent stimuler la production dides sur
les dangers potentiels.
Le procs-verbal de la runion consigne les discussions et collecte les

informations sur les dangers potentiels, leurs causes et leurs
consquences.
Dcembre 2015
34

1- Equipe dtude HAZOP
Nom
Rle
Prsident
Explique le processus HAZOP, dirige les discussions et facilite ltude

HAZOP. Personne ayant une bonne exprience de la mthode HAZOP,
mais pas directement implique dans la conception, afin de garantir le
respect scrupuleux de la mthode.
Secrtaire
Consigne les discussions de la runion HAZOP et fournit un compte

rendu de celles-ci. Consigne les recommandations ou actions.
Ingnieur de
procd
Gnralement lingnieur responsable de lorganigramme des

oprations de procd et de llaboration des diagrammes de
tuyauterie et dinstrumentation (P&ID).
Utilisateur/oprateur
Fournit des conseils sur lutilisation et loprabilit du procd, ainsi

que sur lincidence dcarts.
Spcialiste C&I
Personne ayant les connaissances techniques adaptes en commandes

et instrumentation.
Technicien de
maintenance
Personne charge de la maintenance du procd.
Reprsentant de
lquipe de
conception
Fournit des dtails relatifs la conception ou des informations

supplmentaires.
Dcembre 2015
35

2- Informations utilises dans ltude HAZOP
Les lments suivants doivent tre consultables par lquipe HAZOP:
Diagrammes de tuyauterie et dinstrumentation (P&ID) pour
linstallation;
Documentation de philosophie ou de description de procd;
Procdures de fonctionnement et de maintenance existantes;
Diagrammes de causes et effets (C&E);
Plans damnagement dusine.
Dcembre 2015
36

3- La procdure HAZOP
Consiste prendre une description complte du procd et remettre

systmatiquement en question chacune de ses parties, afin de
dterminer en quoi des carts vis--vis de lintention de conception
peuvent avoir une incidence ngative sur lexploitation sre et efficace
de lusine.
Elle est applique de manire structure par lquipe HAZOP et repose

sur lutilisation de limagination de ses membres en vue didentifier des
dangers crdibles.
la force de cette technique rside dans sa capacit identifier des

dangers nettement moins manifestes, aussi improbables quils puissent
paratre de prime abord.
Dcembre 2015
37

4- Mots-guides
Le processus HAZOP utilise des mots-guides afin de focaliser lattention de
lquipe sur les carts vis--vis de lintention de conception, ainsi que
sur leurs ventuelles causes et consquences. Il peuvent tre:
Mots-guides principaux, qui focalisent lattention sur un aspect

particulier de lintention de conception ou une condition ou un
paramtre de procd associ, par ex. le dbit, la temprature, la
pression, le niveau, etc.
Mots-guides secondaires qui, sils sont combins un mot-guide

principal, suggrent des carts possibles, par ex. plus de temprature,
moins de niveau, pas de pression, coulement inverse, etc.
Dcembre 2015
38

5- Modes de fonctionnement
Pour plus dfficacit, les tudes HAZOP considrent non seulement le
fonctionnement normal du procd, mais aussi dautres modes
anormaux, tels que la mise en route, larrt, le remplissage, la
vidange, la drivation et les tests de validit.
Pour ce faire, des analyses HAZOP spars pour chaque mode de

fonctionnement peuvent se produire, comme, une analyse HAZOP
unique peut ainsi prendre en considration tous les modes de
fonctionnement.
Dcembre 2015
39

6- Consignation des tudes HAZOP
Il est recommand de consigner tous les vnements et toutes
les combinaisons de mots-guides envisags. Des outils logiciels
ou des feuilles de calcul toute simple sont disponibles pour
guider lquipe tout au long du processus HAZOP et afin de
consigner les discussions et les conclusions.
un enregistrement complet, qui aboutit un rapport HAZOP

dmontrant quune tude exhaustive et rigoureuse a t
effectue. Son utilit sera incalculable pour valuer la scurit
et lexploitabilit de modifications ultrieures de lusine.
Dcembre 2015
40

7- lments dun rapport HAZOP
1. Rfrence: chaque entre puisse tre rfrence partir
dautres analyses et fournisse aussi une traabilit vers des
analyses conscutives.
2. Mot-cl: des mots-guides principaux et secondaires doivent
tre employs
3. cart: dsigne une divergence par rapport lintention de
conception, il reprsente le danger identifi.
4. Cause: causes potentielles pouvant aboutir lapparition de
lcart
5. Consquence: les consquences qui dcouleraient de leffet de
lcart.
6. Mesures de protection: tout quipement de protection existant
qui vite la cause ou protge des consquences.
Dcembre 2015
41

Exemple dtude HAZOP
Lexemple suivant prsente un schma simplifi dun rcipient

sparateur de procd. Le liquide de procd arrive dans le rcipient et
est chauff par un brleur gaz.
La vapeur est spare du liquide de procd et dirige vers une sortie.

Le reste du liquide concentr est vacu par le fond du rcipient une
fois la raction termine.
Le rcipient est quip dun systme numrique de contrlecommande (SNCC), lequel contrle le niveau de liquide dans le
rcipient, la pression du gaz et la temprature.
Dcembre 2015
42
Exemple dtude HAZOP
Dcembre 2015
43
Quantification des risques

Selon le document HSE intitul Reducing Risks, Protecting People (R2P2) La
synthse de la tolrance des risques peut tre reprsente come suite:
Dcembre 2015
44
Rduction des Risques
RISQUE
RSIDUEL
REL
RISQUE
TOLRABLE
RISQUE
INITIAL
Rduction des risques ncessaire

Rduction des risques relle
Risque partiel couvert par
un SIS
Augmentati
on des
risque
Risque partiel couvert par un

systme non SIS
La rduction du risque est ralise par des systmes lis la

scurit et les installations externes de rduction des
risques
Dcembre 2015
45
Rduction des risques

Les principaux tests appliqus pour la rgulation des risques industriels
consistent dterminer si :
a)
le risque est tellement lev quil doit tre refus en bloc ;
b)
le risque est ou a t rendu tellement faible quil est ngligeable ;
c)
le risque se situe entre les deux tats spcifis aux points a) et b) ci-dessus,
risque tolrable (type ALARP)
) Pour dfinir le risque tolrable d'une application spcifique, les points suivants
sont considrs:
) les lignes directrices mises par l'autorit rglementaire en matire de scurit;
) les discussions et accords avec les diffrentes parties impliques dans
l'application;
) les normes et lignes directrices de l'industrie;
) les discussions et accords internationaux sur les critres de scurit appropris
pour les applications spcifiques.
Dcembre 2015
46
Principe ALARP
ALARP(As Low As Reasonably Practicable).
le principe ALARP ncessite que tout risque soit ramen au plus bas niveau
possible ou jusqu' un niveau qui soit aussi faible que possible de manire
raisonnable.
Autrement dit jusqu ce que toute autre rduction du risque ne soit pas
rentable.
la dmonstration selon laquelle les risques ont t rduits jusquau niveau

ALARP inclut une valuation :
a. du risque viter ;
b. du sacrifice (argent, temps ou problmes) rsultant de ladoption des
mesures visant viter ce risque ;
c. une comparaison des deux.
Dcembre 2015
47
Analyse cots-bnfices (CBA)

Une analyse cots-bnfices (CBA, Cost Benefit Analysis) peut aider
dterminer si des mesures supplmentaires de rduction du risque sont
justifies.
Une analyse CBA doit uniquement servir tayer des dcisions ALARP. Elle ne
doit pas constituer le seul argument dune dcision ALARP.
si cots/bnfices > FD, o FD est le facteur de disproportion, la mesure peut

tre considre comme inutile par rapport la rduction du risque obtenue.
plus le risque est lev, plus le FD lest galement;
Le FD peut tre considr comme grossier partir de 1;
pour des risques faibles concernant le public, un facteur 2;
un facteur jusqu 3 appliqus aux risques concernant les ouvriers ;
un facteur de 10 pour les risques levs.
Dcembre 2015
48

Les cots prendre en compte dans une analyse CBA :
Cots de linstallation ; du fonctionnement et de la formation ;
Toute maintenance supplmentaire ;
Pertes dactivit conscutives un arrt dcid exclusivement en vue de mettre

la mesure en place ;
Intrt dun report de production;
Tous les cots revendiqus doivent tre ceux contracts par le titulaire des
obligations;
Les
cots
considrs
doivent
uniquement
tre
ceux
ncessaires
limplmentation de la mesure de rduction du risque (pas de mesures

superflues ou visant raliser un gain financier).
Dcembre 2015
49

Les bnfices doivent inclure toute rduction du risque pour le public,
les ouvriers et la socit en gnral, et peuvent inclure les lments
suivants :
Dcs vits ;
Blessures vites (graves mineures) ;
Pathologies vites ;
Atteintes environnementales vites.
Dcembre 2015
50

Certains indicateurs financiers utilisables.
1 336 800
Dcs
Blessure entranant une invalidit permanente. Certaines
restrictions permanentes pour les activits de loisir et peut-tre
certaines activits professionnelles.
207 200
Grave. Certaines restrictions pour les activits professionnelles

et/ou les loisirs pendant plusieurs semaines/mois.
20 500
Blessure lgre de type coupures mineures et ecchymoses, avec

rtablissement rapide et complet.
300
Maladie entranant une invalidit permanente. Comme pour les

blessures.
193 100
Maladie
Autres cas de maladie. Plus dune semaine dabsence. Pas de

consquences permanentes pour la sant.
2300 + 180
par jour
dabsence
Affection
mineure
Jusqu une semaine dabsence. Pas de consquences

permanentes pour la sant.
530
Blessure
Dcembre 2015
51

Exemple: Considrons une usine dont une explosion dun procd
pourrait aboutir :
20 dcs ;
40 personnes souffrant de squelles permanentes ;
100 personnes gravement blesses ;
200 personnes lgrement blesses.
La frquence de survenance de cette explosion est, aprs analyse,
denviron 1E-5 par an, ce qui quivaut 1 sur 100 000 par an. La
dure de vie estime de lusine est de 25 ans.
Quel montant lentreprise pourrait-elle raisonnablement investir afin
dliminer le risque dexplosion ?
Dcembre 2015
52

Solution:
1. Dcs : 20 x 1336 800 x 1E-5 x 25 ans = 6 684
2. Personnes souffrant de squelles permanentes : 40 x 207 200 x 1E-5 x 25 ans
= 2 072
3. Personnes gravement blesses : 100 x 20 500 x 1E-5 x 25 ans = 512.5
4. Personnes lgrement blesses : 200 x 300 x 1E-5 x 25 ans = 15
) Bnfice total = 9 283.5 .
Dans notre cas, le FD refltera le fait que les consquences de telles explosions
sont leves, donc un FD suprieur 10 est improbable et, par consquent, il
peut tre envisageable raisonnablement deffectuer un investissement de lordre
de 93 000 (9 283.5 x 10) pour liminer le risque dexplosion.
Dcembre 2015
53

Application du principe ALARP
Un cot de 2 millions par objectif de vie sauve est employ dans un secteur
particulier.
Une cible de risque tolrable maximum de 1E-5 pa a t tablie pour un danger

particulier, lequel est susceptible de provoquer 2 dcs.
Le systme de scurit propos a t valu et un risque de 8,0 x 1E-6 pa a t

prvu.
Comme le risque largement acceptable (ngligeable) est 10-6 pa, lapplication

du principe ALARP est ncessaire.
Dans cet exemple, pour un cot de 10 000 , des instruments supplmentaires

et des mesures de redondance abaisseront le risque 2,0 x 10-6 pa (juste audessus de la rgion ngligeable) pendant la dure de vie de lusine ( savoir 30
ans).
La proposition doit-elle tre adopte ?

Dcembre 2015
54

Le nombre de vies sauves pendant la dure de vie de lusine est donn par :
N = (rduction de la frquence de dcs) x nombre de dcs par incident x dure
de vie de lusine
= (8,0 x 10-6 2,0 x 10-6) x 2 x 30= 3,6 x 10-4
Par consquent, le cot par vie sauve est :
VPF = 10 000 /3,6 x 10-4 = 27,8 millions
La valeur VPF calcule est suprieure 10 fois le critre de cot cible par vie
sauve de 2 millions . Par consquent, la proposition doit tre rejete.
Dcembre 2015
55
MTHODES DANALYSE ET
DALLOCATION DU SIL
CIBLE.
Dcembre 2015
56
Dtermination des objectifs SIL

Lors de lvaluation de la dfaillance dun systme de scurit,
deux options principales sont disponibles, selon le mode de
fonctionnement:
1. Systmes fonctionnent sur sollicitation;
2. Systmes fonctionnement en mode permanent ou continu.
Dcembre 2015
57

Systmes fonctionnent sur sollicitation:
fonctionnent sur sollicitation (lorsquune dfaillance apparat).
Elles se caractrisent par:
gnralement spares du procd ;
la dfaillance de la fonction de scurit aboutit la perte de
protection, mais nest pas proprement parler dangereuse ;
la frquence de sollicitations de la fonction est faible,
savoir moins dune fois par an.
Dcembre 2015
58

Systmes fonctionnement permanent:
travaillent en permanence pour maintenir un process dans un
tat non dangereux.
Les caractristiques cls dune fonction de scurit en mode
continu sont :
elle fournit gnralement une fonction de rgulation ;
la dfaillance de la fonction de scurit aboutit gnralement
une situation dangereuse ;
la frquence de sollicitations de la fonction est leve,
savoir plus dune fois par an, voire en continu.
Dcembre 2015
59

PFD et PFH
Les objectifs quantifies associes au SIL, dependent du type de

sollicitation de la fonction.
La frontire entre faible et forte sollicitation est fixe a 1 par an ou a 2

fois la frquence des tests priodiques.
Pour les faibles sollicitations, on se rfre a la moyenne de la

probabilit de dfaillance a la demande sur [0, t] : PFDavg (average
Probability of Failure on Demand).
Pour les fortes sollicitations, on se rfre a la probabilite de dfaillance

dangereuse par heure sur [0, t] : PFH (Probability of Failure per Hour).
Dcembre 2015
60

PFD et PFH
Supposons usine a une moyenne de 1 incendie tous les 2 ans et que, si

nous ne faisons rien dautre, cet incendie provoquera un dcs. Donc
on dit que la frquence de dcs est de 0.5/an (le scnario le plus
dfavorable).
Si on Installe un dtecteur de fume qui fonctionne 9 sur 10. Donc la

frquence de dcs diminuerait de 1 dcs sur 2 ans 1 dcs sur 20
ans.
Ainsi la probabilit de dfaillance sur sollicitation (PFD) de ce dtecteur

est de 1 sur 10 (10 %), dans ce cas, PFD = 0,1.
En rsum, le dtecteur de fume avec une valeur PFD de 0,1 rduirait

la frquence de dcs dun facteur 10, soit un facteur de rduction de
risque (RRF) de 10. PFD = 1/RRF.
Dcembre 2015
61
Exemple de cible de SIL
1.
Dterminer la frquence de danger, si cest pas maitriser, e.g.

1dcs/an
2.
spcifier un risque tolrable maximum; e.g.10-4 par an.
3.
inclure toutes les mesures de protection existantes pouvant rduire la

frquence du risque
Dcembre 2015
62
4.
lalarme rduit la frquence de la consquence du danger de sa

valeur PFD, mais le risque rsiduel global, reste suprieur au risque
tolrable maximum.
Dcembre 2015
63
5.
Dautres mesures de rduction des risques peuvent inclure des

appareils mcaniques (limiteur de pression),des commandes de
procd, instruments de mesure ou procdures, et chacune peut
rduire le risque rsiduel de leur valeur PFD respective.
Dcembre 2015
64
6.
il faut encore une autre couche, avec PFD 0,1. Cest la tche du SIS.
Ce calcul, bien queffectu ici sous forme graphique, fournit la valeur
PFD cible pour notre SIS et permet de dterminer le niveau SIL
cible.
Dcembre 2015
65

SIL
Pour spcifier de tels systmes de scurit , il faut commencer par

faire une analyse approfondie des phnomnes dangereux et voir
comment on va sy prendre pour amener le risque un niveau
acceptable. Le systme instrument de scurit constitue un des
moyens pour rduire ce risque.
Pour dfinir le niveau de rduction du risque, lIEC 61508 a dfini le

SIL (Security Integrity Level), cest--dire le niveau dintgrit de la
scurit que doit avoir le systme de protection.
Dcembre 2015
66

SIL
Dans lapplication de la norme IEC 51508 et de celles qui en sont

issues, la performance dun quipement de scurit est quantifie par
son SIL (Safety Integrity Level), cest--dire son niveau dintgrit de
la scurit. Le SIL dfinit la probabilit de dfaillance dangereuse que
lon sautorise.
Le SIL ne peut prendre que 4 valeurs possibles (de 1 4), et on ne

cherche donc pas dfinir des valeurs prcises des probabilits de
dfaillance dangereuses, mais il faut que la valeur obtenue se trouve
lintrieur de la fourchette dfinie par le SIL.
Dcembre 2015
67

Niveaux SIL cible
La norme CEI 61511-1, clause 9.2.4 regroupe les probabilits PFD cible
en bandes ou niveaux dintgrit de scurit (SIL).
Plus le SIL a une valeur leve, plus la rduction du risque est

importante.
Par exemple, un systme de scurit SIL4 apporte une rduction de

risque comprise entre 10 000 100000 alors que pour un systme
SIL1, cette rduction est comprise entre 10 100 seulement.
Dcembre 2015
68
Dcembre 2015
69

exemple : une zone de procd est gre par un oprateur 2 heures
par jour. Une surpression du procd aboutira une fuite de gaz et,
selon les estimations, 1 fuite de gaz sur 10 entranera une explosion et
la
mort
de
loprateur. Lanalyse
indique
que
la
condition
de
surpression se produira tous les 5 ans (taux de 0,2 pa).

Supposons que la frquence tolrable maximum pour le danger (dcs de
loprateur suite lexplosion) est 10-4 pa.
Quelle est la probabilit PFD requise pour le SIS ?
Rponse : le taux de dcs est : 0,2 pa x 2/24 x 1/10= 1,67 x 10-3 pa
Par consquent, le systme de scurit doit avoir une probabilit de
dfaillance sur sollicitation := 10-4 pa/1,67 x 10-3 pa = 6,0 x 10-2, ce
qui quivaut au niveau SIL1
Dcembre 2015
70
Mthodes dallocation du SIL cible

1) Graphe de risque
Le graphique de risque est une technique rapide et utile, applicable
lorsque les dangers valuer sont trop nombreux.
Le graphe de risque consiste hirarchiser les niveaux de scurit
partir de quatre paramtres lis :
1.
la consquence du risque sur le personnel ou l'environnement (C),
2.
la frquence d'exposition au risque (F),
3.
la possibilit d'viter le danger (P),
4.
la probabilit d'occurrence du danger (W).
Dcembre 2015
71

1) Graphe de risque
Dcembre 2015
72

1) Graphe de risque
Exemple de classification des paramtres du risque
CA
CB
CC
CD
Blessure mineure
Blessure srieuse touchant une ou
plusieurs personnes, mortel pour une
personne
Mort de plusieurs personnes
Grand nombre de morts
Temps dexposition au
risque
FA
FB
Rare
Frquent
Probabilit dviter le
phnomne dangereux
PA
PB
Possible
Invraisemblable
Probabilit dapparition
dun accident
W1
W2
W3
Trs faible probabilit

Faible probabilit
Forte probabilit
Gravit des
consquences
Dcembre 2015
73

1) Graphe de risque
La classification repose sur une hirarchisation en 6 classes
d'exigences gradues de "a" "b" en passant par SIL1 SIL 4.
La
catgorie
"a"
correspond
alors
"aucune
exigence
particulire de scurit
Les numros 1, 2, 3 et 4 reprsentent les quatre SIL.
la catgorie "b" correspond une situation inacceptable (le
systme instrument est insuffisant).
Dcembre 2015
74

1) Graphe de risque
Exemple1: une cuve de stockage de ptrole peut dborder et dgager
des vapeurs susceptibles de senflammer, avec comme consquence
plusieurs dcs sur le site. La probabilit de la survenance du danger
pourrait tre W1 (probabilit trs faible). Il ny a aucun moyen pour les
employs de lusine dviter le danger si celui-ci se concrtise. Le
personnel de lusine est sur site trs rarement pour les activits de
maintenance, lesquelles durent gnralement moins dune heure par
jour.
Dcembre 2015
75

1) Graphe de risque
Dcembre 2015
76

1) Graphe de risque
Exemple2: un danger peut aboutir de nombreux dcs, avec
une exposition rare et un taux de sollicitation de 0,05/an, le
taux de sollicitation se trouve quelque part entre les catgories
faible et moyen, et une dcision doit tre prise concernant le
choix de la colonne (w1/w2) .
Une approche prudente rsulterait en un niveau cible SIL3.
Une interprtation moins prudente aurait donn un niveau cible
SIL2.
Dcembre 2015
77

1) Graphe de risque
Une phase de calibration ou d'talonnage du diagramme de
risque est ncessaire.
Elle permet d'adapter les paramtres en prenant en compte les
spcificits de l'entreprise et la rglementation.
La difficult est alors de calibrer le graphe. L'talonnage des
paramtres doit permettre de prendre en compte toutes les
situations sans pour autant obtenir une chelle trop large qui ne
permettrai pas une prcision suffisante.
En effet, selon les choix de l'analyste, les rsultats peuvent
rapidement passer d'un niveau d'intgrit un autre.
Dcembre 2015
78

2) Matrice de risque
La formule de calcul de risque :
risque =criticit=vraisemblance*gravit=probabilit*impact.
Classiquement, la reprsentation graphique de cette mesure est une
matrice dont labscisse correspond la gravit (ou impact) et
lordonne la vraisemblance (ou probabilit).
La gravit des consquences peut tre classe au moyen de
descriptions gnriques : ngligeable, mineure, grave, catastrophique.
La quantification de la vraisemblance de survenance peut tre classe
de manire descriptive de trs frquente trs rare, et il est possible
daffecter des plages de frquence chaque catgorie.
Ainsi, le tableau rsultant permet une classification des risques allant
de trs faible (TF), faible (F), moyen (M), lev (E) et trs lev (TE),
en fonction de la catgorie de gravit et de la frquence.
Dcembre 2015
79

frquences
< 0,001/an
A
< 0,01/an
B
> 1/an
C
>2/an
D
trs rare
rare
frquente
trs frquence
TF
TF
F
M
TF
F
M
E
F
M
E
TE
M
E
TE
TE
consquences
ngligeable
mineure
grave
catastrophique
Dcembre 2015
80

Exemple matrice de risque :
Personnes
Actif
Environnement
Rputation
Pas de
blessure
pas de
dommage
pas d'effet
pas d'effet
Blessure lgre
(< 1/an)
Dommage
lger (< 10
000 $)
Effet
lger
Lgre
incidence
Blessure
mineure (<
1E-01/an)
Dommage
mineur
(< 100 000 $)
Effet
mineur
Incidence
mineure
Effet
localis
Incidence
considrable
Effet
majeur
Incidence
nationale
Effet
massif
Incidence
internationale
Blessure
Dommage
majeure
majeur
(< 1E-02/an) (< 500 000 $)
Dommage
Dcs
majeur
unique
(< 10 millions
(< 1E-03/an)
$)
Dommages
Plusieurs
tendus
dcs
(> 10 millions
(< 1E-04/an)
$)
< 0,01/an
<
0,05/an
< 0,25/an
> 1/an
> 2/an
Jamais
Jamais
entendu
survenu
parler dans dans le
le secteur secteur
Dj
survenu
dans
lentreprise
Se produit
Se produit
puslieurs
puslieurs
fois/an dans fois/an dans
lentreprise linstallation
SIL1
SIL1
SIL1
SIL1
SIL1
SIL2
SIL1
SIL1
SIL2
SIL3
SIL1
SIL1
SIL2
SIL3
N/A
SIL1
SIL2
SIL3
N/A
N/A
Dcembre 2015
81

1. les frquences de survenance doivent tre quantifies dune manire
que soit cohrente avec la description et qui aboutisse au niveau SIL
cible correct.
2. les frquences de risque tolrable maximum doivent tre appropries.
3. pour que les niveaux SIL cible soient incrments par ligne et par
colonne, les frquences de survenance doivent aussi augmenter
considrablement entre chaque colonne.
4. pour les catgories commerciales, la frquence de survenance des
dommages aux actifs doit tre raliste et cohrente avec le cot
dimplmentation de la fonction instrumente de scurit (SIF) requise.
5. Aucune protection nest ncessaire en labsence dvnement
dangereux.
Dcembre 2015
82

la matrice de risque ncessite un talonnage
Dcembre 2015
83

3) LOPA
Lanalyse des couches de protection ou LOPA est une mthode
structure, se droule de manire similaire une tude HAZOP, pour
calculer lobjectif de rduction du risque et les niveaux SIL cible.
Elle value la rduction du risque en analysant la contribution de
toutes les couches de protection de l'entreprise en cas d'accident.
Elle est utilise pour dterminer quel SIL est assign chaque FIS et
elle permet de dterminer combien de couches de protection sont
ncessaires pour ramener le risque un niveau tolrable.
Dcembre 2015
84

3) LOPA
L'analyse comprend les tapes suivantes:
La dfinition de l'impact de l'vnement redout (gravit) ;
La dtermination et l'numration de tous les vnements initiateurs;
La dtermination et l' numration de toutes les couches de protection

qui empchent la propagation de l'vnement initiateur conduisant
l'vnement redout;
La
dtermination
de
l'efficacit
des
couches
de
protection
en
probabilit de dfaillance sur demande;
Le calcul de la frquence de l'vnement redout.
La quantit totale de rduction du risque est ensuite dtermine, et le

besoin dune rduction du risque supplmentaire est analys.
Si une protection supplmentaire doit tre fournie sous la forme dun

SIS, LOPA dterminera le niveau SIL appropri et de la PFD requise.
Dcembre 2015
85

3) LOPA
Les principales tapes de la mthode LOPA
Dcembre 2015
86

3) LOPA
L quipe dtude LOPA:
Prsident: explique le processus LOPA;
Ingnieur de procd responsable de lorganigramme des oprations

de procd;
Utilisateur/oprateur;
Spcialiste C&I;
Technicien de maintenance .
Informations utilises dans ltude LOPA
Diagrammes P&ID pour linstallation ;
Documentation de philosophie ou de description de procd ;
Procdures de fonctionnement et de maintenance existantes ;
Plans damnagement dusine

Dcembre 2015
87

3) LOPA
Contenu des tableaux dune revue LOPA:
ID/rf. de danger: fournit un identifiant pour chaque danger;
Description dvnement (danger);
la consquence du danger, en termes de scurit du personnel, de
risques pour lenvironnement et aussi de risques pour lactif;
Catgorie de gravit des consquences, peut tre class se forme dun
tableau; P1,P2,P3,E1,E2,E3..;
Risque tolrable maximum (MTR): la frquence tolrable maximum de
la consquence du danger;
Cause dclenchante du danger;
Taux de survenance de la cause dclenchante, (/an);
Modificateurs conditionnels, exemple: distribution de tailles de fuite;
Dcembre 2015
88

3) LOPA
Couches
de
protection
indpendantes
(IPL)
avec
ses
PFD
correspondantes, exemples:
Systme de contrle de procd de base (BPCS ou SNCC),
Alarmes indpendantes,
Attnuation supplmentaire (dtection et inspections rguliers);
Vraisemblance dvnement de niveau intermdiaire, est calcule en
multipliant la vraisemblance de dclenchement par les probabilits PFD
des couches de protection;
PFD ncessaire de SIL: le calcul est effectu en comparant le risque
tolrable maximum
et la vraisemblance dvnement de niveau
intermdiaire
Dcembre 2015
89

3) LOPA
SIL ncessaire de SIS: est obtenu partir du tableau suivant:
Exemple:
Dcembre 2015
90
LES SYSTMES
INSTRUMENTS DE
SCURIT
Dcembre 2015
91
Dfinition dun SIS

un systme E/E/PE utilis pour mettre en uvre une ou plusieurs
fonctions instrumentes de scurit. Il se compose de nimporte quelle
combinaison de capteur(s), dunits logique(s) et dlment(s) terminal
(aux).
un systme visant mettre le procd en tat stable ne prsentant pas
de risque pour lenvironnement et les personnes lorsque le procd
sengage dans une voie comportant un risque rel pour le personnel et
lenvironnement (explosion, feu).
La fonction de scurit SIF est la fonction qui doit tre ralise par
un SIS pour but de maintenir un tat scuris du process.
Dcembre 2015
92
Exemple dun SIS

Un
rservoir
sous
pression
contenant
un
liquide
inflammable
lorsquune haute pression a lieu lintrieur du rservoir, la fonction

SIF dans ce cas agira selon deux procdures :
1. Fermeture de la vanne pour arrter lalimentation du liquide.
2. Arrt de la pompe qui injecte le liquide dans le rservoir.
Les composants intervenant la ralisation de cette fonction

instrumente de scurit: transmetteur de pression, solveur, vanne,
pompe.
Dcembre 2015
93
Composition minimale d'un SIS

Les SIS sont constitus de diffrents lments unitaires relis entre
eux par des moyens de transmissions. Au minimum, on retrouve en
srie un capteur, une unit de traitement et un actionneur
Dcembre 2015
94
Redondance au sein d'un SIS

Pour amliorer le niveau de confiance d'un SIS, il est possible, de
doubler une partie de ses composants (redondance partielle) ou de la
doubler totalement (redondance totale)
la redondance peut tre ralise avec du matriel identique ou avec
du matriel de technologie diffrente, ce dernier type permet de
limiter les modes communs de dfaillance.
Tous les lments constituant un systme instrument de scurit
peuvent tre redonds : capteurs, unit de traitement, actionneurs et
mme les moyens de transmission.
Dcembre 2015
95

On peut distinguer plusieurs types de redondance :
La redondance active: tous les moyens d'accomplir une fonction

requise fonctionnent simultanment.
la
redondance
passive:
une
partie
seulement
des
moyens
d'accomplir une fonction requise est en fonctionnement, le reste

n'tant utilis sur sollicitation qu'en cas de dfaillance de la partie en
fonctionnement.
la redondance majoritaire m/n: une fonction n'est assure que si

au moins m des n moyens existants sont en fonctionnement.
Dcembre 2015
96

Convention de notation : MooN(M out of N)
La notation MooN est utilise pour caractriser larchitecture

dun systme pour laquelle il est ncessaire que M canaux (sur
les N que compte le systme) fonctionnent correctement pour
que la fonction de scurit soit excute (lorsquelle est sollicite)
Dans les architectures indices D, les tests de diagnostics,

lorsquils sont capables didentifier le canal dfaillant, agissent
directement sur la sortie
Dcembre 2015
97

1. Architecture 1oo1:
) Architecture 1 seul canal, pour lequel toute dfaillance
dangereuse empche le traitement de signal dalarme valide.
2. Architecture 1oo1D:
) 2 canaux ralisent la fonction de scurit. La fonction de scurit
est excute ds quun canal en fait la demande
) Il faut une dfaillance dangereuse dans les 2 canaux pour
conduire la dfaillance de la fonction de scurit
Dcembre 2015
98
Architectures types de SIS

) La fonction de scurit est excute ds quun canal en fait la
demande
) Si 1 canal fait lobjet de dfaillances, la sortie suit celle du canal
non-dfaillant
) La sortie se met en scurit si les tests de diagnostic dtectent
une dfaillance dans les deux canaux
) Les deux canaux doivent demander la fonction de scurit pour
que celle-ci soit active (opration logique ET )
) Le systme a un comportement dangereux ds quune dfaillance
dangereuse survient dans un des 2 canaux
Dcembre 2015
99
Architectures types de SIS

) Les 2 canaux doivent demander la fonction de scurit pour que
celle-ci soit active ( ET logique)
) La dtection dune dfaillance par les tests de diagnostic fait
passer la sortie du canal dfaillant en position de repli. La
fonction de scurit peut encore tre traite en mode dgrad par
le canal non dfaillant.
) La fonction de scurit ne sera donc pas assure ds quune
dfaillance dangereuse non dtecte est prsente dans 1 des 2
canaux
Dcembre 2015
100
Fiabilit du systme
Systmes srie
Rs(t) = R1(t) . R2(t) . R3(t)
R1(t)
R2(t)
R3(t)
Rs/n(t): fiabilit du systme/sous-systeme pour le

temps spcifi (t) ;
Systmes parallles
R1(t)
Rs(t) = 1 [ (1-R1(t)) . (1-R2(t)) ]

R2(t)
Dcembre 2015
101
Fiabilit du systme
Dfaillances dangereuses et non dangereuses
Le taux de dfaillances total dun lment, , est gal la
somme des taux de dfaillances lies la scurit et de
dfaillances non lies la scurit. En gnral, seuls D et
S sont inclus dans les calculs de fiabilit.
= D + S + non-SR
Dfaillances dtectes et non dtectes
Dcembre 2015
102
Fiabilit du systme
Classification des dfaillances et identification de leur
frquence doccurrence
Dcembre 2015
103
Fiabilit du systme
Dcembre 2015
104
Fiabilit du systme
Dfaillances dtectes et non dtectes
Le dfaut reste non dtect pendant 50 % de la priode de test.
MDT: le temps moyen dindisponibilit (Mean Down Time)
MTTR: dlai de rparation
MDT = intervalle de tests/2 + MTTR
TP: la priode de tests de validit .
Dfaillance dtect: MDT=MTTR
Dfaillance non dtect: MDT=TP/2.
Dcembre 2015
105
Fiabilit du systme
Modlisation du taux de dfaillances du systme (sys)
Ignor les termes dordre suprieure (cause commune)
Dcembre 2015
106
Fiabilit du systme
Modlisation du taux de dfaillances du systme (sys)
En utilisant DD et DU la place de dans le tableau prcdent, et
en employant le MDT ou Tp/2 selon le cas, il est possible de
driver le taux de dfaillances du systme d des dfaillances
dangereuses dtectes ou non dtectes
Dcembre 2015
107
Fiabilit du systme
Modlisation du taux de dclenchements intempestifs du
systme (STR)
Dcembre 2015
108
Fiabilit du systme
la disponibilit du systme de scurit en mode de sollicitation
La disponibilit du systme est Asys = Add . Adu . As
ADD = 1/( 1 + .DD(SYS).MDT )
ADD: la disponibilit due des dfaillances dangereuses dtectes
DD(SYS):le taux de dfaillances du systme dcoulant de dfaillances
dangereuses dtectes.
ADU = 1/( 1 + .DU(SYS).TP/2 )
ADu: la disponibilit due des dfaillances dangereuses non dtectes
Du(SYS):le taux de dfaillances du systme dcoulant de dfaillances
dangereuses non dtectes
AS = 1/( 1 + .S(SYS).MDT )
AS: la disponibilit due des dfaillances non dangereuses.
S(SYS):le taux de dfaillances du systme dcoulant de dfaillances
(non dangereuses) intempestives.
Dcembre 2015
109
Fiabilit du systme
la disponibilit du systme de scurit en mode continu
1. elles sont rpertories comme en mode continu du fait de la
frquence des sollicitations, savoir suprieure une fois par an.
Dans ce cas, la disponibilit peut tre calcule comme pour la
fonction de scurit en mode de sollicitation, except que lintervalle
de tests de validit TP doit tre remplac par lintervalle de
sollicitation TD.
2. Lorsque la fonction de scurit en mode continu fournit rellement un
contrle continu, la disponibilit peut tre calcule comme pour un
systme de commande
Dcembre 2015
110
Fiabilit du systme
la disponibilit dun systme de commande
La disponibilit du systme de commande peut tre modlise en
considrant le taux de dfaillances du systme total.
ASYS est donn par : ASYS = 1/( 1 + SYS.MDT )
o SYS est le taux de dfaillances du systme total dcoulant de toutes
les dfaillances
Dcembre 2015
111
Fiabilit du systme
Probabilit de dfaillance par heure (PFH) et probabilit de
dfaillance sur sollicitation (PFD)
1. Les formules PFH et PFD simplifies concernant les configurations
courantes pour les dfaillances dtectes
Dcembre 2015
112
Fiabilit du systme
Probabilit de dfaillance par heure (PFH) et probabilit de
dfaillance sur sollicitation (PFD)
2. Les formules PFH et PFD simplifies concernant les configurations
courantes pour les dfaillances non dtectes.
Dcembre 2015
113
Fiabilit du systme
Exemple de calcul de PFD architecture 1oo1:
Un SIS est dot dun capteur, dun rseau et dun circuit lectronique
qui coupe lalimentation moteur par lintermdiaire dun contacteur.
Le mode de fonctionnement du systme est faible sollicitation.
Dcembre 2015
114
Fiabilit du systme
Le concepteur envisage une autre configuration pour le SIS (2
contacteurs cbls en srie)
Dcembre 2015
115
Fiabilit du systme
Le concepteur envisage une autre configuration pour le SIS (2
contacteurs cbls en srie)
Dcembre 2015
116
Fiabilit du systme
INSTRUMENT TYPE Type A units are devices without a complex
microprocessor on board, and all possible failures on each component
can be defined. Type B units have a microprocessor on board
and the failure mode of a component is not well defined.
Dcembre 2015
117
Hardware Fault Tolerance.

IEC61508-4 defines "fault tolerance" as the "ability of a functional unit to
continue to perform a required function in the presence of faults or
errors." Therefore, hardware fault tolerance is the ability of the
hardware (complete hardware and software of the transmitter) to
continue to perform a required function in the presence of faults or
errors. A hardware fault tolerance of 0 means that if there is one
fault, the transmitter will not be able to perform its function (measure
level). A hardware fault tolerance of N means that N+1 faults could
cause a loss of the safety function. When someone does an FMEDA on
a device, the resultant SFF has an associated hardware fault tolerance
of 0
Dcembre 2015
118
SIL-test
Il faut savoir aussi quun niveau SIL nest pas garanti vie. Les
lments
du
systme
de
scurit
vieillissent,
leurs
performances se dgradent. Cest la raison pour laquelle le

niveau SIL est considr comme valable tant que lon ne
dpasse pas une dure bien dfinie.
Dcembre 2015
119
SIL-test
Dcembre 2015
120
SIL-test(exemple)
Dcembre 2015
121
SIL pour les composants individuels ?

Normalement, lIEC 61508 sapplique lensemble du systme
E/E/PE de scurit, cest--dire la boucle complte, avec le
capteur, lautomate et la vanne. Le SIL concerne donc le
systme
dans
son
ensemble,
pas
les
lments
qui
le
composent. Cela na pas empch les fabricants de produits

entrant dans la conception de ces systmes dattribuer un SIL
leurs produits. Cela na pas de sens proprement parler mais
a peut permettre de faciliter la slection des lments de
scurit.(preuve, mesure dossier)
le PFD de lensemble est obtenu en additionnant les PFD des
diffrents lments. Par exemple, pour un systme comportant
un capteur, un automate et une vanne, on aura :
Dcembre 2015
122

PFDSIS = PFDcapteur + PFDautomate + PFDvanne
Si on utilise un capteur donn avec un PFD de 0,005 (SIL2),
un automate avec un PFD de 0,0005 (SIL3)
une vanne avec un PFD de 0,05 (SIL1),
on obtient un PFDSIS gal 0,0555, ce qui correspond SIL1.
Cest le maillon le plus faible de la boucle qui a le plus
dincidence sur la valeur du SIL.
Dcembre 2015
123

si tous les lments de la boucle ont le mme niveau SIL, ce
nest pas pour autant que lensemble de la boucle a le mme
niveau de SIL.
Prenons le cas d
un capteur avec un PFD de 0,006 (SIL2),
un automate avec un PFD de 0,0015 (SIL2)
une vanne avec un PFD de 0,008 (SIL2),
laddition des trois donne un PDF de 0,0155,ce qui correspond
un SIL1
Dcembre 2015
124
AUTOMATES DE SCURIT
Dcembre 2015
125
La redondance
Le choix dune architecture plutt quune autre dpend en effet
du niveau de scurit que lon veut atteindre mais aussi du
niveau de disponibilit que lon souhaite.
Avec les redondances relativement simples, on ne peut en
gnral pas obtenir la fois un niveau lev de scurit et une
haute disponibilit. Cest lun ou lautre.
Avec les redondances plus sophistiques, il est possible davoir
les deux, mais avec des gradations qui dpendent de
larchitecture retenue.
Dcembre 2015
126
La redondance
Architecture une seule unit centrale:
Comme son nom lindique, il ny a pas de redondance. Si un
dfaut dangereux est dtect au niveau de lunit centrale, un
module de diagnostic externe (watchdog) permet de dclencher
immdiatement un arrt durgence de faon mettre le process
en scurit. Les pannes non dangereuses entranent galement
un dclenchement de larrt durgence.
Dcembre 2015
127
La redondance
Dcembre 2015
128
SIL et tests priodiques

(capteurs et vannes
Le niveau SIL attribu un systme instrument de scurit est
calcul en prvoyant des tests priodiques sur les diffrents
lments qui composent le systme. Pour les vannes, llment
le plus fragile de la boucle de scurit, ce test nest pas pratique
sauf si on arrte le process. Il existe une alternative : le test
sur une petite partie de la course.
Dcembre 2015
129
Semi-quantitative method (incorporating the use of fault and event

trees).
. Safety layer matrix method, described as a semi-qualitative method.
. Calibrated risk graph, described in the standard as a semi-qualitative
method, but by some practitioners as a semi-quantitative method.
. Risk graph, described as a qualitative method.
. Layer of protection analysis (LOPA). (Although the standard does not
assign this method a position on the qualitative/quantitative scale, it is
weighted toward the quantitative end.)
Dcembre 2015
130
fIN!
www.themegallery.com
Dcembre 2015

Sis Safety Instrumented System

Transféré par

Informations du document

Description :

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Description :

Droits d'auteur :

Formats disponibles

Sis Safety Instrumented System

Titre original :

Transféré par

Description :

Droits d'auteur :

Formats disponibles

Systmes instruments de scurit

F.BEKHSIS UFR IMT - IAP

viter les accidents

F.BEKHSIS UFR IMT - IAP

Prsentation des systmes

Alarme: niveau lev

L'oprateur dcide de fermer

Prsentation des systmes

Alarme: niveau lev

Prsentation des systmes

Scurit assure par une fonction

F.BEKHSIS UFR IMT - IAP

Prsentation des systmes

limiter les fuites en fermant automatiquement les vannes de scurit

Protger le personnel et les installations

Fonctionnement du systme SIS

Rapide, aprs avoir fourni aux oprateurs les alarmes correspondantes

Squence automatique : aucune action de l'oprateur ncessaire pendant

Prsentation des systmes

F.BEKHSIS UFR IMT - IAP

systmes instruments de scurit:

F.BEKHSIS UFR IMT - IAP

Prsentation des systmes

tablir une cible de scurit (risque acceptable) du procd et valuer

Identifier les fonctions de scurit requises et les affecter aux niveaux

Dterminer si la fonction instrumente de scurit est requise.

Implmenter la fonction instrumente de scurit dans un SIS et

Vrifier que le SIS permet d'atteindre la cible de scurit exige au

F.BEKHSIS UFR IMT - IAP

Prsentation des systmes

C'est un nombre allant de

Il reprsente l'ordre de grandeur de rduction de risque obtenu par la fonction

Plus le niveau SIL d'une boucle de scurit est lev :

plus l'impact d'une dfaillance d'une boucle de scurit est important

plus le taux de dfaillance acceptable est faible

SIL est le plus haut niveau de scurit et SIL le plus bas

La table donne le SIL du SIS en fonction de la valeur de son PFD et de sa

F.BEKHSIS UFR IMT - IAP

Prsentation des systmes

F.BEKHSIS UFR IMT - IAP

Prsentation des systmes

slectionnant un composant avec un taux de dfaillance faible (par

rduisant l'intervalle de test (par an)

Exigeant une disponibilit leve (Redondance quipement /

F.BEKHSIS UFR IMT - IAP

Prsentation des systmes

tape 1 : Choisir une mthode de calcul ;

tape 2 : Collecter et estimer les donnes ncessaires aux calculs ;

Pour ce faire, diffrentes mthodes peuvent tre appliques :

formules de calcul approches ;

F.BEKHSIS UFR IMT - IAP

ALARP : As Low As Reasonably Practicable

BPCS: Basic Process Control System

CBA, Cost Benefit Analysis

E/E/PE: Electriques/Electroniques/Electroniques Programmables de scurit.

ESD: Emergency Shut Down (systme darrt durgence)

HAZOP: HAZard and OPerability study

IEC: International Electrotechnical Comission (Commission International

IPL: Independent Protection Layers