Post on 29-Dec-2014
Sécurité fonctionnelle et niveaux d’intégrité de sécurité (SIL)
Vers une sécurité accruede vos équipements
et installations
Parce que le système de sécurité parfaitn’existe pas, …
Dans les établissements industriels, lessystèmes de sécurité ont pour objectif de réduire le risque d’occurrence desdéfaillances dangereuses du matériel.L’utilisation des fonctions de sécurité permet à l’opérateur de satisfaire le service demandé tout en garantissant laprotection de l’équipement, des per-sonnes, de l’environnement et des biens.
Les Systèmes de Sécurité couvrent desdomaines variés tels les process pétro-chimiques, les machines-outils, lespresses, les scies circulaires, mais aussiles systèmes de freinage automobile, lesascenseurs, etc.
Utilisés parfois comme moyens de prévention, ces systèmes comportentune proportion grandissante de systèmesélectriques, électroniques ou encoreélectroniques programmables (E/E/EP).Ces nouveaux équipements sont habi-tuellement complexes ; dans la pratique,ceci rend difficile la détermination dechaque mode de défaillance par l’examende tous les comportements possibles et laprévision de leurs performances entermes de sécurité.
« Bonjour !Ce document a pour but de vous aider à mieux cerner les nouveauxenjeux de la sécurité des équipementset systèmes industriels.
Les nouvelles normes, d’applicationvolontaire, mettent à votre dispositiondes méthodologies qui vous aideront à concevoir et mettre en œuvre unSystème de Sécurité.
Leur application exige cependant une certaine expertise ; ce documentguidera vos premiers pas pour vous permettre de tirer le meilleur parti de ces outils… si vous adoptez unedémarche rigoureuse.
Au bout du chemin, des bénéficesconséquents pour vous : un systèmeplus sûr génère moins d’incidents ! »
page 2
Parallèlement à ce constat, la responsa-bilité croissante attribuée à l’employeurvis-à-vis de son personnel, les pressionsenvironnementales de plus en plusfortes, l’augmentation des prix desmatières premières et le coût toujoursplus important d’une immobilisationimpromptue accentuent la nécessité pourle responsable d’un établissement indus-triel de définir des exigences de sécuritéde plus en plus draconiennes.
C’est pourquoi, la conception et la miseen oeuvre d'un Système de Sécurité doivent aujourd’hui satisfaire un niveaud'exigence non seulement en termes de sécurité mais aussi en termes de disponibilité.
Pour répondre à ce nouvel état de fait, les dernières normes de sécurité fonctionnelle, d’application volontaire,proposent de nouvelles méthodes demanagement des risques dès la concep-tion, en s’appuyant sur des notionscomme le niveau d’intégrité de sécurité(SIL) et en faisant largement appel auxconcepts déjà développés par la sûretéde fonctionnement.
… mettez à profit les nouveauxoutils méthodologiques !
Qu’est-ce que la sécurité fonctionnelle ?
La sécurité globale, c'est l'absence derisques inacceptables qui pourraientengendrer des blessures physiques,atteindre la santé des personnes direc-tement ou indirectement, dégraderl'environnement ou altérer la propriété.La sécurité fonctionnelle est une partiede la sécurité au sens général, quidépend d’un système ou d’un équipe-ment répondant correctement auxentrées de ce dernier.
> Par exemple, un dispositif de protection de surchauffe, qui utilise une sonde de températuredans les bobinages d'un moteur électrique etcoupe l’alimentation du moteur avant que lesbobinages ne dépassent une température excessive,est un exemple de la sécurité fonctionnelle.Mais prévoir une isolation spécifique pourrésister à des températures élevées n'est pas unexemple de la sécurité fonctionnelle (même s’ilest du ressort de la sécurité et peut protégercontre le même danger).
Les fonctions de sécurité et les systèmes relatifs à la sécurité
D'une façon générale, les phénomènesdangereux significatifs pour un équipe-ment et tous ses systèmes de contrôle-commande associés doivent être identifiéspar le spécificateur ou le concepteur àpartir d'une analyse des phénomènes dangereux. Si une réduction des risquesest nécessaire, alors la sécurité fonction-nelle doit être prise en considération d'unefaçon appropriée dans la conception.
> La sécurité fonctionnelle est juste une façond’éliminer ou de réduire les phénomènes dan-gereux. D’autres moyens, tels que la sécuritéintrinsèque utilisée dans la conception, sontd’une importance primordiale.
Le terme « relatif à la sécurité » estemployé pour décrire les systèmes quisont prescrits pour réaliser une fonctionou des fonctions spécifiques pour s’assurer que les risques sont maintenusà un niveau acceptable. De telles fonc-tions dont la défaillance peut entraînerun accroissement immédiat du ou desrisques sont, par définition, des fonc-tions de sécurité.
Comment prendre en compte la sécurité fonctionnelle
Le défi est de concevoir le système de façon à empêcher des défaillancesdangereuses ou de les maîtriser quand elles surviennent.
> Les défaillances dangereuses peuvent provenir des :
- spécifications incorrectes du système, du matériel ou du logiciel,- omissions dans les spécifications des prescriptions concernant la sécurité,- mécanismes de défaillance aléatoire du matériel,- mécanismes de défaillance systématique du matériel,- erreurs de logiciel,- défaillances de mode commun,- erreurs humaines,- influences environnementales,- perturbations du système d’alimentation électrique- etc.
La sécurité fonctionnelle correspond à la réduction des risques à unniveau inférieur ou égal au risque tolérable. On obtient généralement cetteréduction par l’action cumulée de plusieurs types de systèmes de sécurité(voir illustrations ci-dessous).
Risque brutinitial
Sans aucunesécurité
Niveau du risque
Niv
eau
de p
rote
ctio
n
Risquetolérable
Avec les sécurités
Risquerésiduel
Réduction nécessaire du risque
Réduction réelle du risqueréalisée par tous les systèmes relatifs à la sécurité et
les dispositifs externes de réduction du risque
Systèmes E/E/EP relatifs à la sécuritéSystèmes relatifs à la sécurité basés sur d'autres technologies
Moyen(s) externe(s) de réduction du risque
Passif (mur, fossé, ... )
Actif (soupape, disque de rupture, ...)
Sécurité Fonctionnelle
Intervention humaine
Process
t1 t2 t3 t4 temps
page 3
La norme CEI 61508, pour prendre en compte la sécurité fonctionnelle
La norme CEI 61508 utilise une approchebasée sur le risque encouru afin de déterminerles prescriptions nécessaires concernant l'inté-grité de sécurité des systèmes E/E/EP relatifs à la sécurité. Elle contient des exemples illus-trant cette démarche.Elle décrit un modèle de cycle de vie desécurité global servant de cadre aux activitésqui sont nécessaires pour s’assurer que lasécurité fonctionnelle est réalisée par les systèmes E/E/EP relatifs à la sécurité. Ellecouvre toutes les activités de ce cycle de vie desécurité depuis la conceptualisation initiale, enpassant par l'analyse des dangers et l’évaluationdu risque, la détermination des prescriptionsconcernant la sécurité, la conception, l’exploi-tation, la maintenance, les modifications, jusqu’à la mise hors service et la dépose.
La norme CEI 61508 englobe les aspects aléa-toires (ex. défaillance des composants) et lesaspects systématiques (ex. erreurs de concep-tion). Elle comporte à la fois les prescriptionspour empêcher les défaillances (évitant l'intro-duction de pannes) et les prescriptions pour lecontrôle des défaillances (assurant la sécuritémême lorsque les pannes sont présentes).Enfin, elle spécifie les techniques et lesmesures qui sont nécessaires pour réaliser l'intégrité de sécurité prescrite.
fréquence
gravitéDeux voies de réduction des risques
Zone de risques inacceptables
Zone de risques tolérables
Prévention
Protection
page 4
« La norme CEI 61511 s'adresse aux concepteurs de systèmes, la CEI 61508aux concepteurs de dispositifs (produits),pour les produits incluant une SIF(Fonction instrumentée de sécurité). Une fonction instrumentée est unefonction réalisée à partir de capteurs etd'actionneurs gérés par un API ou unsystème de commande réparti. »
«Chaque risque est le produit d’unegravité par une fréquence d’occurence.Pour le réduire, on cherchera à diminuerla probabilité qu’il survienne (c’est lafonction des systèmes de prévention)et à en atténuer les conséquences (en améliorant la protection) . La normeCEI 61508 aide à structurer une poli-tique de prévention et de protection. »
Sécurité systèmes Sécurité équipements/systèmes
Process(continu et batch)
CEI 61511 CEI 61508-3
ENISO 13849-1
ProjetCEI 61800-5-2 CEI 61508
Machines(process manufacturier)
Automatismes pour
machines (logiciel inclus)
Electromécanique et électroniqueComposants
simples
EntraînementsLogiciels
CEI 62061
Des normes complémentaires
Deux types de prescriptions sont nécessairespour réaliser la sécurité fonctionnelle :- les prescriptions concernant la fonction de
sécurité (ce que réalise la fonction),- les prescriptions concernant l'intégrité de
sécurité (la probabilité pour qu'une fonctionde sécurité soit réalisée d'une manièresatisfaisante).
Les prescriptions concernant la fonction desécurité sont dérivées de l'analyse des phénomènes dangereux et les prescriptionsconcernant l’intégrité de sécurité sont dérivéesd'une évaluation du risque. Plus le niveaud'intégrité de sécurité est élevé, plus la pro-babilité de défaillance dangereuse est faible.
Le SIL, une mesure de la sécurité fonctionnelle
page 5
Safety Integrity Level
SIL 4
SIL 3
SIL 2
SIL 1
Facteur de réduction du risque
10 -5 à 10 -4
10 -9 à 10 -8
10 -4 à 10 -3
10 -8 à 10 -7
10 -3 à 10 -2
10 -7 à 10 -6
10 -2 à 10 -1
10 -6 à 10 -5
10 000 à 100 000---
1 000 à 10 000---
100 à 1 000---
10 à 100---
Systèmes fortement sollicités (plus d'une fois par an) : PFHd = λDU équivalentλDU = taux de défaillance dangereuse non détectée par auto-test ou test de diagnosticPFHd = nombre moyen de passages à l'état dangereux sur la durée de vie du produit (exprimé en h-1)
Systèmes faiblement sollicités (moins d'une fois par an) : PFDaverage = Probabilité moyenne de défaillance lors d'une sollicitationPFDaverage dépend du λDU , de l'architecture (redondances), de TI (périodicité du test), du MTTR et de ß (facteur de mode commun)
PFHd
(pour des systèmes fortement sollicités*)
PFDaverage
(pour des systèmes faiblement sollicités*)
*
PFDaverage =
PFHd =
La CEI 61508 définit 4 niveaux de performancede sécurité pour une fonction de sécurité.Ceux-ci s'appellent des niveaux d'intégrité desécurité. Le niveau 1 d'intégrité de sécurité(SIL1) est le niveau le plus bas tandis que leniveau 4 (SIL4) est le niveau le plus élevé.
La norme détaille les prescriptions nécessairespour répondre aux exigences de chaqueniveau d'intégrité de sécurité. Ces prescriptionsdeviennent plus rigoureuses à mesure que leniveau de SIL s’élève en vue d’obtenir la probabilité d’une défaillance dangereuse deplus en plus faible.
La CEI 62061 s’est quant à elle limitée à l’utilisation des 3 premiers niveaux de SILpour l’application machines.
Un système E/E/EP relatif à la sécurité intégrerasouvent plus d'une fonction de sécurité. Si lesprescriptions concernant l'intégrité de sécuritépour ces fonctions de sécurité diffèrent, les prescriptions, applicables au niveau approprié leplus élevé d'intégrité de sécurité, s'appliquerontau système entier E/E/EP relatif à la sécurité, àmoins qu'il y ait une indépendance suffisanted’intégration entre ces fonctions.
Comment déterminer un SIL ?
Cas concret proposé par la norme CEI 62061
page 6
Qu’est-ce qui est SIL x ?Veillez à éviter un abus de langage fréquent : c’est la fonction de sécurité réalisée par un produit qui est SIL x et non le produit en tant que tel. Il est plus correct de dire que le produit « a une capacité de SIl x » (SIL capability) s’il est utiliséconformément à son manuel de sécurité (safety manual).
2ème étapeEstimation du risque, conduite pour chaquephénomène dangereux en déterminant lesparamètres du risque, c'est-à-dire la sévéritédes blessures ou dommages à la santé (Se) etla probabilité d'apparition d'un dommage.
Cette dernière est fonction de :• la fréquence et la durée d'exposition (Fr)• la probabilité d'un événement dangereux
(Pr)• la probabilité d'évitement ou de limitation
d'un dommage (Av)
La somme de ces trois paramètres détermine laclasse de probabilité d’un dommage.
1ère étapeIdentification des phénomènes dangereux ycompris ceux résultant d'un mauvais usageraisonnablement prévisible.
L'utilisation du tableau aboutit à un niveau deSIL 3 attribué au système de sécurité destiné àtraduire ce phénomène dangereux particulier.
N° Phénomène dangereux Se Fr Pr Av Cl1 x 3 4 5 5 142
+ + =+ + =
Classe Cl Fréquence etdurée (Fr)
Probabilité d’évén.dangereux (Pr)
Evitement(Av)
Conséquences
Mort, perte d’un œil ou d’un bras 4 SIL 2 SIL 2 SIL 2
3-4 5-7 8-10
SIL 2 SIL 3 < 1 h Très forte
11-13 14-15
Sévérité(Se)
N° Phénomène dangereux Se Fr Pr Av Cl1 x2
+ =+ + =
Permanentes, perte des doigts 3 AM SIL 1 SIL 2 SIL 3 > 1 h < 1 jour Probable
Réversibles, suivi médical 2 AM SIL 1 SIL 2 > 1 jour < 2 sem. Possible
Réversibles, premiers soins 1
5
5
4
3
2
5
4
3
2
1
5
3
1
AM
AM : autres mesures
SIL 1 > 2 sem. < 1 an Rare
> 1 an Négligeable
Impossible
Possible
Probable
Comparaison SIL / Niveau de performance
page 7
Le graphe ci-dessous permet d’établir un parallèle entre la notion de SIL (selon la CEI 61508)et de niveau de performance (selon la prEN ISO 13849-1) :
Premièredéfaillance
Détection +
diagnostic
Réparation
Réglages+
tests
Remise en service
Mise enservice
Remise en service
Secondedéfaillance
Temps
Etat de marche
Etat de panne
MTTR
MTTF MTBF
MDT MUT MDT MUT
MTBF
MTBF Moyenne des temps de bon fonctionnement(Mean operating Time Between Failure) Espérance mathématique de la durée de bon fonctionnement
MTTR Durée moyenne de panne; moyenne des tempspour la tâche de réparation (Mean Time To Repair) Espérance mathématique de la durée de panne.
MUT Durée moyenne de disponibilité (Mean Up Time)Espérance mathématique de la durée de temps de disponibilité
MDT Durée moyenne d’indisponibilité (Mean Down Time)Espérance mathématique de la durée de temps d’indisponibilité
Bnulle
1nulle
2faible
2moyen
3faible
3moyen
4élevé
a
b
c
d
e
Niveau de performanceprEN ISO 13849-1
SILCEI 61508
Catégorie
Probabilité de défaillancedangereuse par heure
Couverturedu diagnostic
Défaillances dangereuses par annéeet pour 10 000 systèmes
0,9
1
1
2
39
90
900
9000
MTTF d = faibleMTTF d = moyenMTTF d = élevé
(MTTF d pour un seul canal)
10-4
10-5
10-6
10-7
10-8
* Aucune prescription de sécurité particulière
*
MTTF, MTBF : des définitions à préciser
MTTF Durée moyenne de fonctionnement avantdéfaillance (Mean Time To Failure) Espérance mathématique de la durée de fonctionnement avant défaillance
MTTFd Durée moyenne de fonctionnement avant défaillance dangereuseEspérance mathématique de la durée de fonctionnement avantdéfaillance dangereuse
© Gi
mél
ec P
rom
otio
n -
Editi
on n
ovem
bre
2004
- T
ous
droi
ts r
éser
vés
Créd
its p
hoto
s Di
gita
lVisi
on, P
hoto
disc
, Goo
dsho
ot
Illus
trat
ion
Luxi
mag
e
Pour en savoir plus…Glossaire Sources CEI 61508 et VEI 191
Documentations de référence :
* CEI 61508-0
* CEI 61508-1 à 7
* CEI 61511-1 à 3
* CEI 61800-5-2
* CEI 62061
* prEN ISO 13849-1 (EN 954-1)
* EN ISO 13849-2 (EN 954-2)
Les adhérents du secteur «Automatismes, contrôle-commande et instrumentation »du Gimélec :
Sécurité fonctionnelle (Functional safety) Sous-ensemble de la sécurité globale se rapportant à l’Equipement(EUC) et au système de commande de l’Equipement (EUC) qui dépenddu fonctionnement correct des systèmes E/E/PE relatifs à la sécurité,des systèmes relatifs à la sécurité basés sur une autre technologie etdes dispositifs externes de réduction de risqueE/E/PE : Electrical and/or electronic and/or programmable electronicEUC: Equipment Under Control – Matériel commandé
Système de sécurité - Système relatif à la sécurité(Safety-related system) Un tel système est un système qui, à la fois- met en œuvre les fonctions de sécurité requises pour atteindre unétat de sécurité de l’Equipement (EUC) ou pour maintenir un tel état ;- est prévu pour atteindre, par lui même ou grâce à des systèmesE/E/PE relatifs à la sécurité, ou des systèmes relatifs à la sécurité baséssur une autre technologie ou des dispositifs externes de réduction derisque, le niveau d’intégrité de sécurité nécessaire à la mise en œuvredes fonctions de sécurité requises.
Fonction de sécurité (safety function) Fonction à réaliser par un système E/E/PE relatif à la sécurité, par unsystème relatif à la sécurité basé sur une autre technologie, ou par undispositif externe de réduction de risque, prévue pour assurer ou maintenir un état de sécurité de l’Equipement (EUC) par rapport à unévénement dangereux spécifique (voir 3.4.1)
Intégrité de sécurité (Safety integrity) Probabilité pour qu’un système relatif à la sécurité exécute de manièresatisfaisante les fonctions de sécurité requises dans toutes les conditionsspécifiées et dans une période de temps spécifié.
Niveau d’intégrité : SIL (Safety Integrity Level) Niveau discret (parmi quatre possibles) permettant de spécifier les pres-criptions concernant l’intégrité de sécurité des fonctions de sécurité àallouer aux systèmes E/E/PE relatifs à la sécurité. Le niveau 4 d’intégritépossède le plus haut degré d’intégrité ; le niveau 1 possède le plus bas.
Dommage (Harm) Blessure physique ou atteinte à la santé affectant des personnes soitdirectement soit indirectement comme conséquence à un dégât causéaux biens ou à l’environnement.
Risque (Risk)Une combinaison de la probabilité d’un dommage et de sa gravité.
Risque tolérable (tolerable risk)Risque accepté dans un certain contexte et fondé sur les valeurs actuellesde la société.
Défaillance (Failure)Cessation de l’aptitude d’une entité à accomplir une fonction requise
Défaillance dangereuse (Dangerous failure)Défaillance qui a la potentialité de mettre le système relatif à la sécuritédans un état dangereux ou dans l'impossibilité d'exécuter sa fonction
Défaillance en sécurité (Safe faillure)Défaillance qui n’a pas la potentialité de mettre le système relatif à lasécurité dans un état dangereux ou dans l’impossibilité d’exécuter safonction
Panne (Fault)Etat d’une entité inapte à accomplir une fonction requise, non comprisel’inaptitude due à la maintenance préventive ou à d’autres actions pro-grammées ou due à un manque de moyens extérieurs.
Erreur (Error)Ecart ou discordance entre une valeur ou une condition calculée, observéeou mesurée, et la valeur ou la condition vraie, prescrite ou théoriquementcorrecte.
23 rue Galilée • 75116 Paris • Tél./Fax 01 40 70 07 69gimelec-promotion@gimelec-promotion.fr
ABB
ACTEMIUM
ALSTOM
AMEC SPIE
AREVA T&D
ATEMATION
AUTOMATISME & CONTRÔLE
BOSCH REXROTH
CEGELEC
CROUZET AUTOMATISMES
DANFOSS
DATA SYSTEMS & SOLUTIONS
DATASENSOR
EMERSON PROCESS MANAGEMENT
ENDRESS+HAUSER
FOXBORO
FUJI ELECTRIC
GE FANUC
HONEYWELL
IFM ELECTRONIC
INEO
KEB
KROHNE
LENZE
MOELLER ELECTRIC
MOTEURS LEROY-SOMER
OMRON ELECTRONICS
PEPPERL+FUCHS
PHOENIX CONTACT
PILZ
ROCKWELL AUTOMATION
SCHNEIDER ELECTRIC
SEW-USOCOME
SICK
SIEMENS
SSD DRIVES
TURCK-BANNER
YOKOGAWA