Scurit de processLa norme IEC61508 est maintenant connue depuis une dizaine dannes. Critique ses dbuts pour sa grande complexit, elle est devenue aujourdhui un rfrentiel bien accept pour dvelopper les applications de scurit bass sur des systmes lectriques et lectroniques, programmables ou pas. Larrive de normes filles, sectorielles et faciles mettre en uvre, assoit un peu plus le succs de lIEC 61508.

Dossier

POUR LA SCURIT DE PROCESS, TOUT TOURNE AUTOUR DE LIEC 61508

SOMMAIRE

page 24Scurit fonctionnelle : on commence y voir plus clair

page 28LIEC61508 simpose, sa famille aussi

page 32Dans la scurit, ce qui compte avant tout , cest la dmarcheEmerson

page 36La redondance ? Oui mais laquelle ?

page 40Pas de SIL qui tienne sans tests priodiques

Il y a encore des accidents, parfois mortels. Et il y en aura toujours. Parce que la scurit cote cher et que les solutions dployes assument toujours un risque calcul. Dans ce dossier, nous nous sommes limits un aspect particulier de la scurit des process, savoir la sret de fonctionnement des installations de contrle de process. La solution la plus rpandue consiste prvoir un automate de scurit charg de surveiller que le process ne franchisse pas certaines limites (au-del desquelles il pourrait devenir dangereux) et dactionner les organes de scurit lorsquun tel danger se prsente. Toute la difficult est destimer le risque que prsente le process et dvaluer la diminution du risque que doit apporter le systme instrument de scurit. La norme IEC61508 prsente le gros intrt de formaliser la dmarche. Pour tre plus facilement mise en uvre, des normes filles sectorielles ont t imagines : cest le cas notamment de lIEC61511, spcialement pense pour mettre en uvre les systmes instruments de scurit. Ce dossier aborde diffrents aspects techniques pour mettre en uvre cette norme, notamment lincidence des redondances de lautomate de scurit. Il aborde galement des thmes plus gnraux, concernant notamment la perception par les industriels franais des nouvelles normes

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

23

Dossier scurit de processRGLEMENTATION

La scurit fonctionnelle, on commence y voir plus clairw

Avant, il y a quelques dcennies, chacun faisait plus ou moins la scurit quil voulait. Puis les lois, les directives et les normes sont arrives pour rationaliser les approches. Au fil du temps, les choses finissent par se mettre en place, avec une organisation cohrente et commune. LIneris a dvelopp une approche globale dvaluation des fonctions de scurit des procds. Dans le prolongement dune analyse de risque, celle-ci consiste valuer les Equipements dits Importants Pour la Scurit, en tenant compte des conditions dutilisation et dinstallation.

T

out dabord le contexte. La scurit des procds industriels telle quelle sorganise aujourdhui pour les installations classes, prend fortement en compte larrt et la circulaire ministriels du 10 mai 2000 qui transposent en droit franais la directive europenne Seveso II (96/82/CE). Celle-ci demande aux exploitants des tablissements considrs comme les plus dangereux de mettre en place une politique de prvention des accidents majeurs et un Systme de Gestion de la Scurit (SGS). Aujourdhui, en France, plus de 1000 sites sont concerns et ont mis en place un SGS. Toujours selon cette directive, chaque Etat se doit de transcrire les exigences de scurit prescrites. Et de dpasser ce prrequis sil le souhaite. Cest une diffrence importante avec dautres directives, comme la directive Atex (94/9/CE) notamment, qui imposent aux Etats de transposer strictement le texte , souligne Dominique Charpentier, responsable du laboratoire des quipements lectriques lIneris (Institut National de lEnvironnement Industriel et des Risques) et dlgu scientifique la direction de la certification. Cest ainsi que lEtat franais a repris tous les lments de la directive Seveso et a introduit une notion supplmentaire : celle des EIPS, ou Elments Importants Pour la Scurit.

EIPS, une notion franaiseCette notion made in France vient, lorigine, du secteur du nuclaire o lon parle dEPS, Elments Pour la Scurit. Un lment IPS peut tre un quipement, un dispositif ou un groupe de dispositifs de protection, ou encore une opration ralise par un individu. On distingue les lments matriels passifs (soupapes), actifs (systmes instruments de scurit) et les lments organisationnels (procdures, mthodes, facteurs humains). Larrt et la circulaire ne dfinissent pas prcisment la notion dEIPS, laissant lexploitant la responsabilit de ses choix. Elle reste

de deux trois cents fonctions IPS au maximum pour les plus gros sites industriels. Il arrive aussi, par un raccourci de langage, de parler de paramtre IPS parce que, souvent, un lment IPS vise contrler les drives dangereuses dun ou plusieurs paramtres physiques ou chiDans le prolongement dune analyse de risque, lIneris a dvelopp une mthode dvaluation des fonctions miques (niveau, de scurit des process. pression, tempraainsi sujette interprtation. Pour certains, ture, conductivit, rsistance, pH, concentratout dispositif technique ou organisationnel tion). Cest notamment le cas dans les sysde scurit est Important Pour la Scurit. tmes instruments de scurit (SIS) qui sont Pour dautres, seuls quelques-uns de ces dis- constitus au minimum dun capteur, dune positifs doivent tre qualifis dIPS. Il y a intelligence (un automate, un calculateur) eu au dpart un peu dhsitation, prcise M. Char- et dun actionneur. pentier. Certains industriels ne voulaient en dnombrer Suite lexplosion de lusine AZF en 2001 aucun, estimant que tous taient importants. A linver- Toulouse, la rglementation de la scurit se, dautres les comptaient pas milliers . Aujourdhui, industrielle sest encore renforce. Une loi on estime que lordre de grandeur doit tre parat au Journal Officiel du 30 juillet 2003 relative la prvention des risques technologiques et naturels. Les chapitres les plus importants de cette loi abordent la matrise de lurbanisation autour des tablissements industriels risques et prvoient la mise en uvre de ce que lon nomme aujourdhui un PPRT, cest--dire un plan de prvention des risques technologiques. Elle introduit galement une notion qui ne peut Le processus de matrise des risques permet de passer de risques daccidents majeurs des risques plus chapper aux indusdits rsiduels. triels : la notion dtudeMESURES 779 - NOVEMBRE 2005 - www.mesures.com

24

doc. Ineris

Dossier scurit de processde danger probabiliste. Larticle 4 du chapitre 2 prcise en effet : Le demandeur fournit une tude de dangers qui prcise les risques auxquels linstallation peut exposer, directement ou indirectement, les intrts Cette tude donne lieu une analyse de risques qui prend en compte la probabilit doccurrence, la cintique et la gravit des accidents potentiels selon une mthodologie quelle explicite . Cette approche probabiliste rompt avec les pratiques dterministes auxquelles des gnrations dingnieurs ont t habitues. Le calendrier faisant parfois bien les choses, quelques mois aprs, en dcembre 2003, parat la norme IEC 61511. Dessence probabiliste, comme la norme plus gnrale sur la scurit fonctionnelle IEC/EN 61508 dont elle est issue, la 61511 (qui est devenue aussi une norme europenne en avril 2005) se penche sur les systmes instruments de scurit pour les procds industriels. Elle peut donc apporter une rponse pour se conformer la loi du 30 juillet 2003. A condition que lon ait affaire un site qui sy prte, souligne M. Charpentier. Ce nest pas le cas de certains procds, dans le domaine de leau ou dans le stockage par exemple, pour lesquels les lments de scurit sont en grande majorit organisationnels .

Quelques bonnes questionsCritresIndpendance du systme de scurit Dimensionnement adapt Concept prouv Scurit positive Tolrance la premire dfaillance Rsistance aux contraintes spcifiques Testabilit Inspection et maintenance

Exemples de questions se poserLe systme considr est-il ddi des actions de scurit ? Est-il indpendant du systme de contrle des installations ? La cause de laccident peut-elle tre lorigine de la dfaillance du systme ? Le dimensionnement (capacit de rponse, temps de rponse) est-il adapt aux risques devant tre matriss ? Sagit-il dun systme classique pour lequel un retour dexprience important est disponible ? Comment le systme se comporte-t-il en cas de pertes dutilit ? La dfaillance dun composant peut-elle entraner la dfaillance du systme ou des redondances permettent-elles de maintenir la fonction de scurit Le systme est-il apte (moyennant des mesures particulires) travailler dans des conditions particulires (ambiances agressives) ? Le systme peut-il tre test et quelle priodicit ? Quelles oprations sont mises en uvre lors des tests ? Le systme fait-il lobjet dinspections et doprations de maintenance ? Comment la fonction de scurit est-elle assure lorsque le systme est indisponible pour cause de maintenance ?

Critres non exhaustifs, inspirs des travaux de lUnion des Industries Chimiques (1999), pouvant servir de base de rflexion pour lvaluation des performances des barrires de scurit.

Une approche globaleCest dans ce contexte-l que lIneris propose aujourdhui une approche globale pour la mise en place dun systme de gestion de scurit prconis par la directive europenne Seveso II, tout en respectant la dmarche probabiliste de la loi franaise du 30 juillet 2003. Classiquement, lanalyse des risques est au cur de cette approche. Cest--dire quelle dbute par un gigantesque remue-mninges en groupe qui vise imaginer tous les scnarios daccidents possibles, leur probabilit doccurrence, leur gravit, leur consquence Une seconde tape consiste identifier les barrires de dfense qui, si elles sont correctement dimensionnes, minimisent dune manire significative les risques identifis. Ainsi, pour chacun des scnarios daccident majeur, le groupe de travail doit dfinir les fonctions IPS assurer. Pour chacune de ces fonctions de scurit, il dresse la liste des barrires de scurit pouvant remplir a priori la fonction considre. A ce stade, lIneris choisit de classer les barrires en fonction de leurs performances pour accomplir la fonction IPS dsire. Dans une premire valuation, LIneris sappuie sur des critres simples, tablis sous forme dune grille dvaluation et qui suffiront pour la majorit des lments (voir encadr les bonnes questions).

Si cette valuation sur papier ne suffit pas, des tudes au cas par cas peuvent tre entreprises. Les performances des quipements seront alors values partir de trois principaux critres : - Leur ralisation. Exemple : vrifier quune tour de neutralisation de gaz toxique est suffisante pour limiter grandement les effets associs une fuite particulire. Dans ce cas, il sagira de raliser un calcul de distances deffets en prenant en compte le taux dabattage de cette tour. - Leur temps de rponse. Exemple valider le temps de rponse de dbitmtres devant dtecter une chute de dbit sur une longue canalisation. Il sagira alors de mener une tude hydraulique en tudiant la dcom-

pression dans la canalisation - Leur intgrit de scurit partir doutils issus de la Sret de Fonctionnement. En raison de leur cot, de telles tudes particulires doivent tre rserves des cas jugs particulirement critiques. Lvaluation des diffrents lments nest pas une fin en soi car cest toute larchitecture globale qui doit prouver son efficacit. Lvaluation de larchitecture est de mon point de vue la plus importante, car rien ne sert de mettre un trs bon automate de scurit sil est connect de trs mauvais capteurs , note M. Charpentier. Il est galement indispensable de sassurer de ladquation entre les performances et lutilisation sur site des Equipements Importants Pour la Scurit. On ne demandera pas les mmes

EIPS ou les barrires de dfenseLexploitant a la responsabilit de choisir ses Elments Importants Pour la Scurit (EIPS). Selon lIneris, pour tre qualifi dIPS, un lment (opration ou quipement) doit tre choisi parmi les barrires de dfense destines prvenir loccurrence ou limiter les consquences dun vnement redout susceptible de conduire un accident majeur. Linstitut classe les barrires de scurit selon leur fonction (prvention, protection ou intervention) et leur type active ou passive. Une barrire active ncessite une source dnergie ou une sollicitation automatique ou manuelle (exemples : barrire infrarouge, actionneur). A linverse, une barrire passive na pas besoin dnergie ni de sollicitation (exemple : soupape). Une barrire de prvention permet de prvenir un vnement redout. Elle peut aussi assurer une surveillance dun paramtre (exemple : les systmes de scurit instruments) qui, en cas de drive, peut entraner la perte de contrle de linstallation. Enfin, une barrire de protection permet de limiter les consquences dun vnement redout afin den limiter les consquences (exemples : le confinement dun produit dans un btiment, un rservoir).

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

25

Dossier scurit de processIdentificationdesEIPSdanslestudesdedangersGuide pratique dapplication de la norme CEI/EN 61511LExera vient de publier un guide pratique destin toute personne charge de la conception, de lutilisation et de la maintenance de systmes instruments de scurit. Il sagit dun mode opratoire de la norme CEI/EN 61511. Il est construit partir dune tude de cas base sur une installation dun mthaneur qui sert de fil conducteur tout au long du document. Ce guide a t rdig par Ahmed Adjadj et Dominique Charpentier, de la direction de certification de lIneris. (Rens. exera@wanadoo.fr) Analyse des risques Scnarios daccidents Majeurs Fonctions IPS Performances des barrires Choix des EIPS Validation des EIPS Prsentation des EIPSLa dtermination des EIPS (lments importants pour la scurit) se fonde principalement sur lanalyse des risques qui permet denvisager les scnarios daccidents majeurs.

caractristiques pour une sonde plonge dans leau ou dans un hydrocarbure. De mme, le taux de dfaillance dune soupape sur une unit de vapeur nest pas le mme que celui de la mme soupape installe sur une conduite de fluides sales. Ce travail de terrain se fait forcement en collaboration avec lindustriel. Plus ce dernier aura un retour dexprience, plus il pourra affiner son analyse de risque. Cest ce qui nous manque parfois le plus, le manque dhistorique sur le site ou sur

des sites quivalents , relve M. Charpentier. Autre difficult, les donnes dentre des matriels. Le taux de dfaillance donn par les fournisseurs est thorique, il ne prend pas en compte lusage. De plus, une indication par exemple sur le MTBF (Mean Time between Failure) napporte pas dinformation sur la nature des dysfonctionnements (est-ce une led qui ne clignote plus ou lquipement tout entier qui sarrte de fonctionner?). Et rien ne dit si ces dysfonctionnements peuvent porter atteinte ou non la fonction scurit de lquipement.

Du SIL de partoutOn les retrouve dans toutes les normes qui sont labores partir de la CEI/EN 61508, savoir la EN 61511 pour les procds industriels, la EN 61513 pour le nuclaire, les normes EN 50128/50129 pour le secteur ferroviaire ou encore la EN 62061 pour les machines. Par dfinition, quand on monte dun niveau (en passant dun SIL1 un SIL2, ou dun SIL2 un SIL3), la probabilit de dfaillance dun quipement est rduite dun facteur 10 La dfinition des SIL permet davoir un langage commun, souligne M. Charpentier. Aujourdhui, quand on parle SIL, tout le monde de la scurit connat . Le concept SIL constitue un rfrentiel de conception des quipements de scurit, qui deviendra dapplication obligatoire dans certains domaines. Par exemple, le projet de norme (pr EN 50402) pour les dtecteurs de gaz pour atmosphre explosible reprend cette notion de SIL ; lorsque cette norme fera partie des normes harmonises de la directive Atex, la majorit des constructeurs de dtecteurs de gaz lappliquera.

Une valuation probabiliste des EIPSCest la raison pour laquelle la Direction de la Certification de lIneris a men un programme de recherche sur les mthodes dvaluation et les essais associs. Aujourdhui, linstar des TV en Allemagne qui en furent les initiateurs, il est en mesure de certifier des quipements en terme de sret de fonctionnement. Conforme une approche probabiliste, lIneris sappuie l encore sur la norme de la scurit fonctionnelle CEI/EN 61508. Elle dtermine ainsi pour lquipement un niveau de confiance, quivalent aux niveaux de scurit SIL (Security Integrity Level) dfinis dans la norme CEI/EN 61508. LIneris sattache uniquement la certification de matriels lectriques, mais aux matriels mcaniques et encore moins aux lments non matriels (procdures). La norme CEI/EN 61508 a t crite par des lectroniciens, remarque M. Charpentier, et elle est plus difficile mettre en uvre pour des lments non lectriques . On peut aussi lui reprocher un manque de prcision : pour un SIL donn, la probabilit de dfaillance sur sollici-

tation peut varier dun facteur 10. Le type de dfaillance considrer mriterait dtre mieux prcis. Il faut toujours associer une probabilit de dfaillance ou pour tre plus exact, une probabilit de dfaillance dangereuse quon narrive pas dtecter. Car les dfaillances non dangereuses, ou les dfaillances dangereuses facilement dtectables, ne sont pas en soi un risque pour la scurit . Mais attention, dans ce cadre-l, lvaluation dun quipement porte uniquement sur ses fonctions de scurit. On raisonne scurit et non disponibilit . Ainsi, pour un variateur de vitesse lvaluation portera sur sa fonction arrt durgence. Il en est de mme pour un dtecteur de gaz o lon examinera le dclenchement dalarme en cas de dfaut et non le dclenchement intempestif de lalarme. Le niveau requis est, quant lui, dfini ds le dbut au niveau de lanalyse de risque. Nous avons dj certifi des quipements pour des fournisseurs franais. A la demande de Schneider Electric, nous avons valu des quipements ayant des fonctions de scurit . Mais pour lIneris, la certification dun quipement ne peut suffire si lon ne prend pas en compte son environnement dutilisation. A cette fin, il a inclus dans son rfrentiel dvaluation la dlivrance dun avis technique. Celui-ci prend en compte les conditions dinstallation et dutilisation de lquipement quil nonce sous la forme de recommandations ou de prescriptions. La mission de lIneris sarrte ainsi la qualification des systmes dans leur environnement industriel. Mme sil prconise une priodicit de maintenance et quelques prcautions dusage, il ne sengage en rien sur lvolution dans le temps des systmes de scurit. Marie-Pierre Vivarat-Perrin

26

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

Dossier scurit de processNORMES

LIEC 61508 simpose, sa famille aussiw

Il est devenu difficile de tenir une conversation sur la scurit sans faire rfrence lIEC 61508. Cette norme qui a pratiquement dix ans et qui est devenue une norme franaise en 1999, constitue un vritable guide mthodologique pour concevoir et mettre en uvre un systme de scurit lectronique ou lectrique, semble simposer. Pour faciliter sa mise en uvre, des normes sectorielles ont t dveloppes, notamment la 61511 pour les systmes instruments de scurit pour process industriels.

L

a principale vocation de la scurit est dliminer les risques inacceptables qui pourraient tre responsable de blessures physiques, datteindre la sant des personnes ou dgrader lenvironnement. Pour assurer cette scurit, il faut dabord avoir une bonne organisation. Chacun peut utiliser ses propres approches. Un effort de standardisation avait t fait avec la norme Iso 18000 mais celle-ci na jamais rellement vu le jour car les diffrents organismes nationaux participant llaboration de cette norme internationale nont pu se mettre daccord. Ceci a permis dautres rfrentiels de simposer : cest l e cas de lOSHAS 18000. La scurit, ce nest videmment pas que de lorganisation. Cest aussi des mthodologies suivre, des moyens techniques dployer. Et pour cela, une norme sest impose lchelon international : lIEC 61508. Il sagit dune norme oriente performances, cest--dire quelle laisse lutilisateur le soin de raliser son analyse du risque et elle lui propose des moyens pour rduire ce risque. Elle porte plus particulirement sur le systme E/E/PE (Electrical/Electronic/Programmable Electronic Safety-related systems), cest--dire les systmes lectroniques et lectriques de scurit. En principe, elle ne concerne pas les systmes simples, pour lesquels le mode de dfaillance de chaque lment est clairement dfini et pour lesquels le comportement du systme peut tre totalement dtermin dans le cas dune dfaillance. Par exemple, un systme comportant des fins de course et des relais lectromcaniques relis un disjoncteur peut tre tudi sans avoir recours lIEC 61508. Cette norme comprend 7 parties, afin de couvrir les multiples aspects des systmes E/E/PE : - 61508-1 : Prescriptions gnrales - 61508-2 : Prescriptions propres aux systmes E/E/PE - 61508-3 : Prescriptions relatives au logiciel - 61508-4 : Dfinitions et abrviations

PROTECTION Conduite et Surveillance PROCESS

Les systmes instruments de scurit (SIS) ne constituent quun tout petit lment du vaste problme de la scurit.

- 61508-5 : Exemples de mthodes pour dterminer le niveau dintgrit de la scurit - 61508-6 : Guides pour lapplication des parties 2 et 3 de la norme - 61508-7 : Tour dhorizon des techniques et des mesures La norme propose une approche oprationnelle pour mettre en place un systme de scurit E/E/PE, en partant de ltude des exigences de scurit (avec une dfinition du primtre couvert, une analyse et une valuation du risque) et en prenant en compte toutes les tapes du cycle de vie du systme E/E/PE. Un des intrts de cette norme est dtre gnrique et donc dtre applicable dans tous les secteurs o la scurit peut tre traite avec des systmes E/E/PE : industries manufacturires, industries des process continus, pharmaceutiques, nuclaire, ferroviaire, etc. Malgr tout, peuton lire dans un document dit par ISA France et le Club Automation (tlchargeable sur Internet), le dploiement de lIEC 61508 et de ses normes filles se heurte des difficults diverses. La disparit des institutions rglementant la scurit des installations, les intrts contradictoires des acteurs industriels, les aspects juridiques et le manque de formation sont autant dobstacles une dif-

fusion large de ces normes dont la mise en uvre nest dj plus un choix. Ailleurs, dans le mme document, on relve en guise dexplication que lapproche propose est inhabituelle pour les utilisateurs franais, gnralement confronts des normes dterministes dfinissant des architectures et des prescriptions techniques trs strictes. LIEC 61508 leur laisse au contraire beaucoup dinitiative.

Deux paramtres essentiels : le PFD et le PFHLIEC 61508 traite de la scurit fonctionnelle, qui a un champ dapplication plus rduit que celui de la scurit globale car elle ne sintresse quaux systmes E/E/PE. Un systme de dclenchement pour mettre un process chimique dans une situation non dangereuse, un arrt durgence sur une machine constituent des exemples de systmes E/E/PE. Pour spcifier de tels systmes, il faut commencer par faire une analyse approfondie des phnomnes dangereux et voir comment on va sy prendre pour amener le risque un niveau acceptable. Le systme instrument de scurit constitue un des moyens pour rduire ce risque. Pour dfinir le niveau de rduction du risque,

28

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

Dossier scurit de processlIEC 61508 a dfini le SIL (Security Integrity Level), cest--dire le niveau dintgrit de la scurit que doit avoir le systme de protection. Plus le SIL a une valeur leve, plus la rduction du risque est importante. Par exemple, un systme de scurit SIL4 apporte une rduction de risque comprise entre 10 100000 alors que pour un systme SIL1, cette rduction est comprise entre 10 100 seulement. La norme IEC sapplique aussi bien aux systmes de scurit qui fonctionnent sur sollicitation (lorsquune dfaillance apparat) que ceux qui travaillent en permanence pour maintenir un process dans un tat non dangereux. Le premier cas (systme sur sollicitation) peut tre illustr par un systme darrt durgence qui va commander louverture dune vanne de scurit si la pression dans un ballon devient trop leve. Le deuxime cas (fonctionnement permanent) peut tre illustr par le contrle de la vitesse dune machine papier, qui doit tre maintenu une vitesse trs lente pendant que les oprateurs sont en train de raliser une opration de maintenance. Pour dfinir ces deux cas, le SIL est spcifi de deux faons : PFD (Probability of Failure on Demand) et PFH (Probability of dangerous Failure per Hour). Dans la conception dun systme E/E/PE de scurit, le dfi est dviter les pannes dangereuses ou de les contrler si elles surviennent. Les causes de ces pannes sont trs nombreuses : erreurs sur les spcifications (avec des oublis, par exemple), pannes matrielles (systmatiques ou alatoires), erreurs sur les logiciels, erreurs de mode commun, influence de lenvironnement (lectromagntique, temprature, vibrations), perturbations de lalimentation lectrique. Tous ces lments doivent tre pris en compte pour calculer le PFD ou le PFH du systme. Ces calculs reposent sur des analyses mathmatiques probabilistes. Dans le calcul du PFD (ou du PFH), de nombreux lments interviennent, notamment le taux de dfaillance. Le PFD se dgrade avec le temps et le rle de lintervalle de test est de dfinir la dure pendant laquelle le PFD restera dans les limites annonces, par exemple entre 10-3 et 10-4 (correspondant SIL3). Si lintervalle de test est de 3 ans et quon neffectue pas de test, au-del de 3 ans, le dispositif ne peut plus tre garanti SIL3.

Estimation du risqueRisque = C x F x P x WConsquences du risque (C) C1 Mineures C2 Blessures dune ou plusieurs personnes, dcs dune personne C3 Dcs de plusieurs personnes C4 Dcs de trs nombreuses personnes Frquence dexposition (F) F1 Rare assez souvent F2 Frquent permanent Possibilit dviter lvnement (P) P1 Possible sous certaines conditions P2 Pratiquement impossible Probabilit dvnement indsir (W) W1 Trs faible W2 Faible W3 Relativement lev

Risque

SIL pour les composants individuels ?Normalement, lIEC 61508 sapplique lensemble du systme E/E/PE de scurit, cest--dire la boucle complte, avec le capteur, lautomate et la vanne. Le SIL concerne donc le systme dans son ensemble, pas les lments qui le composent. Cela na pas empch les fabricants de produits entrant dans la conception de ces systmes dattribuer un SIL leurs produits. Cela na pas de sens proprement parler mais a peut permettre de faciliter la slection des lments de scurit. Pour preuve, les groupes de travail de la CEI qui ont uvr pour la 61508 travaillent en ce moment sur une norme produit relative aux variateurs de vitesse. En prenant tout de mme quelques prcautions au niveau du vocabulaire, du genre variateur avec une capacit SIL2, ou variateur apte tre utilis dans une fonction SIL3. Une prcision qui a son importance parce que lIEC 61508 exige uniquement quune valeur de PFH/PFD soit spcifie

Niveau de scurit atteindrea b, c d e, f g h

Niveau dintgrit de la scuritnant SIL1 SIL2 SIL3 SIL4 Protection par SIS impossibleDoc. Hima

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

29

Dossier scurit de processpour chaque fonction de scurit. Le fabricant dun lment de scurit ne peut sengager que sur la fraction de la valeur globale du PFH/PFD pour laquelle llment est prvu. Par exemple, sil annonce un PFH de 0,0008, son produit entre dans la catgorie SIL3 mais il ne couvre pas toute cette catgorie (pour laquelle le PFH est compris entre 0,0001 et 0,001). Un document rdig par un technicien de Vega portait le titre IEC 61508 and 61511 means 2 + 2 = 3 and 2 + 2 = 1. Ce titre veut dire que lorsque lon a plusieurs lments de scurit avec chacun un SIL donn, le niveau dintgrit de scurit rsultant nest pas obtenu par une addition des diffrents SIL. La premire quation 2 + 2 = 3 signifie que si on met deux lments SIL2 en redondance, lensemble peut atteindre SIL3 ( condition que la redondance soit bien faite). Quant la deuxime quation (2 + 2 = 1), elle signifie que la mise en srie de deux lments de scurit SIL2 peut donner un niveau global SIL1. Voyons cela plus prcisment. Lorsquun systme comporte plusieurs lments, et cest le cas de tous les systmes instruments de scurit, le PFD de lensemble est obtenu en additionnant les PFD des diffrents lments. Par exemple, pour un systme comportant un capteur, un automate et une vanne, on aura : PFDSIS = PFDcapteur + PFDautomate + PFDvanne Si on utilise un capteur donn avec un PFD de 0,005 (SIL2), un automate avec un PFD de 0,0005 (SIL3) et une vanne avec un PFD de 0,05 (SIL1), on obtient un PFDSIS gal 0,0555, ce qui correspond SIL1. Cest le maillon le plus faible de la boucle qui a le plus dincidence sur la valeur du SIL. Dans le mme ordre dide, si tous les lments de la boucle ont le mme niveau SIL, ce nest pas pour autant que lensemble de la boucle a le mme niveau de SIL. Prenons le cas dun capteur avec un PFD de 0,006 (SIL2), un automate avec un PFD de 0,0015 (SIL2) et une vanne avec un PFD de 0,008 (SIL2), laddition des trois donne un PDF de 0,0155,ce qui correspond un SIL1 lise des normes autres que les normes harmonises, il est libre de le faire mais il faut alors quil dmontre que ses choix permettent de rpondre aux prescriptions de la directive. La directive Seveso II modifie (2003/105/CE) est a priori celle qui est la mieux concerne par les normes IEC 61508 et 61511. Toutes deux couvrent en effet le domaine des process continus. La seule rserve est que les industries impliques ont dj une culture de la scurit et quelles ont leurs propres normes. Dautre part, cette directive porte surtout sur lorganisation de la scurit et nest pas prescriptive sur le plan technique. La directive Machines met en uvre des systmes lectroniques de scurit et elle est prescriptive. Les normes IEC 61508 sont donc applicables. Mais dans cet univers trs disparate (il y a beaucoup de types de machines), il existe de nombreuses normes harmonises sectorielles. Dans la note dapplication de cette norme rdige par lISA et le Club Automation, on peut lire : La norme IEC 62061 a t rdige dans lobjectif de devenir une norme europenne harmonise pour la directive machines. Ceci a t rendu possible en rduisant le primtre de lIEC 61508 pour ninclure que des exigences concernant des produits. Il faut toutefois noter que bien que cela fournira une prsomption de conformit certaines exigences essentielles de la directive machine, cela nempchera pas dutiliser dautres moyens (dautres normes) pour remplir ces exigences. La commission europenne reconnat implicitement que lEN 954-1 (Iso 13489) est notoirement insuffisante ds que les chanes de scurit des machines contiennent des automatismes programms. Elle recommande (sans encore limposer) dappliquer lIEC 62061. Par ailleurs, un groupe de travail de la CEI prpare actuellement une nouvelle norme sur la scurit fonctionnelle des variateurs de vitesse concerns par la scurit. Il sagit de lIEC 61800-5-2 qui portera sur les composants, prenant en compte le fait que dans de nombreux cas, le variateur de vitesse est un composant dune installation concerne par la scurit.Cet article sappuie sur de nombreux articles publis sur le site Internet ww.safetyusersgroup.com, trs complet (mais la plupart des articles sont en anglais). De nombreux lments ont galement t puiss dans le document trs pratique (et en franais) rdig par Bertrand Ricque et Jean Vieille portant le titre Guide dinterprtation et dapplication de la norme IEC 61508 et des normes drives qui est tlchargeable gratuitement. Citons enfin le document Vers une scurit accrue de vos quipements et installation publi par le Gimelec sur www.eleclive.com.

Des normes filles ciblesDe lavis gnral, lIEC 61508 est assez complexe apprhender parce que trs gnrale. Cest pour cela que ses concepteurs ont dvelopp des normes filles sappliquant des secteurs bien prcis. En voici quelques-unes : - 61511 : process industriels - 62061 : machines - 61513 : nuclaire - 50126/8/9 : ferroviaire Dans ces normes sectorielles, une distinction est faite entre lapplication du systme E/E/PE de scurit (qui dpend du secteur) et les spcifications dtailles de conception (qui sont indpendantes du secteur). Les spcifications indpendantes du secteur font rfrence des parties et paragraphes de lIEC 61508 et vitent les rptitions. Les utilisateurs qui veulent mettre en uvre une norme sectorielle ont donc besoin de lIEC 61508. Du coup, le message que font passer certains professionnels selon lequel lIEC 61508 concerne les constructeurs et les normes sectorielles les utilisateurs est sans doute un peu rducteur. Dautant que lIEC 61508 concerne normalement la chane complte, pas les produits Les directives europennes pourraient servir de tremplin pour certaines directives europennes. Chacun sait en effet que la scurit est au cur de nombreuses, si ce nest de la plupart, des directives europennes. Pour faciliter leur mise en pratique, les directives comportent en gnral une liste de normes dites harmonises : si ces normes sont correctement appliques, le produit concern bnficie dune prsomption de conformit. Si lindustriel uti-

chelle des niveaux SILrares PFD** Sollicitations du SIS frquentes PFH*** 10-8 < 10-7 10-7 < 10-6 10-6 < 10-5 10-9 < 10-8

SIL*4 3 2 1

Facteur de rduction du risque10 000 100 000 1 000 10 000 100 1 000 10 100

10-4 < 10-3 10-3 < 10-2 10-2 < 10-1 10-5 < 10-4

* Safety Integrity level, niveau dintgrit de la scurit **Probability of Failure on low Demand, probabilit davoir une dfaillance (pour raliser la fonction de scurit prvue) au moment dune sollicitation ***Probability of a dangerous Failure per Hour ou Probability of Failure on High demand, probabilit dune dfaillance dangereuse par heure

JFP

30

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

Dossier scurit de processMISE EN UVRE DE LIEC 61508

Dans la scurit, ce qui compte avant tout, cest la dmarchew

Bureau Veritas est impliqu de longue date dans les applications de scurit et a t un des premiers soutenir la norme IEC 61508. La socit insiste ici sur limportance de la dmarche et invite chacun ne pas se laisser obnubiler par les SIL qui sont distribus parfois un peu trop la lgre. Elle dplore aussi que les Franais soient aussi timors dans lapplication des nouvelles normes Mesures. Pouvez-vous rsumer trs brivement lactivit du Bureau Veritas. Michel Suzan. Pas simple, pour un groupe qui emploie aujourdhui plus de 20000 personnes, est prsent dans 140 pays et a plus de 200000 clients. Pour rsumer, disons que le groupe assure des activits de certification de systmes de management (qualit scurit, sant, environnement), dattestation de conformit, de formation et enfin de conseil et assistance technique. Ces diffrentes activits sont relativement cloisonnes. Cest ainsi quil y a une totale indpendance entre les prestations de vrification de conformit rglementaire dune part, et de conseil et assistance technique dautre part. Ces deux prestations sont assures par des quipes diffrentes. Il est exclu que lquipe spcialise dans le conseil prolonge sa prestation par de la vrification de conformit. Mesures. Cela semble pourtant sinscrire dans une certaine logique. Vous montreriez vos clients que les conseils que vous leur donnez ne sont pas gratuits, et quen les mettant en pratique pour aboutir une vrification de conformit, vous prendriez vos responsabilits Michel Suzan. Peut-tre mais la question ne se pose pas : les autorits administratives, et notamment le Cofrac, qui nous ont mandats pour dlivrer des attestations de conformit imposent de ne pas mlanger les genres. Cest aussi une rgle dthique et de bon sens. Notre indpendance, une de nos valeurs fondamentales, en dpend. Jajouterai que nos diffrentes prestations ne sont pas seulement assures par des quipes diffrentes, elles peuvent tre assures par des socits diffrentes lintrieur du groupe. Par exemple, la certification des systmes de management est assure par BVQI, et non par Bureau Veritas. Par contre, cest Bureau Veritas qui dlivrera lattestation de conformit dune boucle de scurit, Jajouterai que dans le groupe, nous avons aussi une activit de certification des produits lectriques et lectroniques : celle-ci est assure par le LCIE. Ainsi, lattestation de conformit et la certification de la scurit fonctionnelle de produits sont dsormais confies au LCIE.Michel Suzan, Responsable Equipements et Procds industriels Bureau Veritas.

Mesures. Venons-en aux activits dans le domaine de la scurit. Vous tes

depuis la premire heure un ardent dfenseur de lIEC 61508 et de ses drives. On voit de plus en plus de confrences sur le sujet. Cette reconnaissance est plutt bon signe, non ? Michel Suzan. Cest vrai que beaucoup nous ont embot le pas, ce qui montre bien que cette norme, malgr les critiques dont elle a t lobjet un moment (on lui prtait une certaine complexit), est en train de faire lunanimit auprs des professionnels. Certains sy sont rallis un peu la manire des ouvriers de la 25me heure. A Bureau Veritas, nous nous y sommes intresss ds sa gense. Soutenue au dpart par Bureau Veritas Consulting, son utilisation a t tendue aujourdhui lensemble du groupe. Elle constitue pour nous un vritable rfrentiel pour traiter les problmes de scurit. Et puis il y a eu des avances importantes faites autour de lIEC 61508, notamment au niveau de sa mise en pratique. Pour rendre les choses plus simples, lIEC 61508 a t dcline pour rpondre des besoins particuliers : la 61511 pour les systmes instruments de scurit, la 61512 pour les procds batch, la 62061 pour la scurit des machines, la 61513 pour le nuclaire, les EN 50128 et EN 50129 pour le ferroviaire. Dautres sont en prparation. Un autre lment est venu renforcer sa crdibilit : cest la loi du 30 juillet 2003 sur les risques technologiques et naturels majeurs, dite loi Bachelot, qui introduit la notion de probabilits dans lvaluation des risques, ce qui ne peut quapporter de leau au moulin de lIEC 61508, qui est dessence probabiliste. Ceux qui ne juraient que par lapproche dterministe pour traiter les problmes de scurit ont d rviser leur jugement. Patrick Teixeira. Cette loi impose de faire la preuve de la diminution de la probabilit de risque, ce qui ntait pas le cas auparavant. La loi nimpose pas en tant que tel de quantifier cette probabilit mais de mettre

32

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

Dossier scurit de processen place un indicateur dvolution de la probabilit du risque. Mesures. Comment se concrtise sur le terrain toute cette effervescence autour de lIEC 61508? Michel Suzan. Au niveau des acteurs de la scurit, ainsi que je lai dit, lIEC 61508 est devenue un standard. Depuis quelle a reu lonction officielle, cette norme sert dargument marketing pour les constructeurs dautomates ou de capteurs destins aux applications de scurit. Voyez les catalogues des constructeurs, vous verrez que des capteurs ou des automates qui avaient dj une longue carrire sont dsormais attifs dun niveau SIL (le paramtre de base de lIEC 61508) et, dans certains cas, proposs un prix plus lev Patrick Teixeira. En matire de produits destins aux applications de scurit, il y a une certaine confusion. Certains produits sont dment certifis, dautres ne le sont pas. De plus, il y a aussi une grande disparit entre les approches des organismes de certification des produits, chacun a son propre rfrentiel. Mesures. Pour linstant, vous ne dlivrez pas de certification, vous ntes donc pas concern Patrick Teixeira. En France, on ne simprovise pas organisme de certification de produits. Avec le LCIE, Bureau Veritas dispose dune bonne base. Mais pour linstant, nous ne sommes pas entrs dans ce domaine. Ce que nous faisons, cest dlivrer des attestations de conformit, cest--dire que nous prenons la responsabilit daffirmer quun produit a t conu en tant conforme un rfrentiel (lIEC 61508, par exemple) et nous fournissons les lments permettant de le justifier. Mesures. Revenons lapplication de la norme IEC 61508, de plus en plus prise par les constructeurs de matriels. Est-ce que sur les sites industriels, les choses avancent? Michel Suzan. Vous avez parl il y a un instant de leffervescence autour de la norme. Cest vrai mais il faut tout de mme voir quelle trahit une ralit peu glorieuse : elle donne penser que tout est nouveau alors quen fait beaucoup de choses existent depuis des annes. En fait, on a perdu beaucoup de temps et aujourdhui encore, le march na toujours pas rellement dcoll, la 61508 et la 61511 sont encore peu appliques en milieu industriel. Avec larrive massive de matriels (capteurs, automates, vannes, etc.) conformes lIEC 61508, on peut penser que les choses vont sacclrer Mais attention tout de mme de ne pas traiter les problmes de scurit par le petit bout de la lorgnette. Raliser une fonction de scurit, ce nest pas utiliser tel ou tel quipement conforme aux normes. Cest beaucoup plus que cela, cest adopter une dmarche. Il faut partir de la notion de scurit fonctionnelle, valuer le risque, choisir des moyens pour chercher le rduire, vrifier que dans le temps le risque rsiduel est matris. Et cette dmarche que nous prconisons est loin dtre une pratique courante sur les sites industriels. De plus, les difficults financires que connaissent bien des entreprises narrangent pas les choses. Patrick Teixeira. Le plus difficile dans tout cela, cest lanalyse du risque et elle est souvent mal faite. Mesures. Pourtant, les Drire, qui sont charges de donner lautorisation dexploiter les installations, doivent vrifier tout cela Patrick Teixeira. Oui mais leur rle nest pas facile. Les industriels qui exploitent des usines dangereuses ne sont pas fous, ils tiennent ce quelles fonctionnent correctement. Et ceci dautant quils sont lgalement responsables de tout accident qui pourrait arriver et de ses consquences. Les industriels en question mettent en uvre des stratgies de scurit, avec leurs propres recettes, souvent rodes par des dcennies de pratique. Et ils arrivent en gnral de trs bons rsultats. Les Drire examinent le dossier et donnent leur feu vert dexploitation. Cela dit, maintenant quil existe des rfrentiels, les choses devraient changer. Les industriels ont tout intrt les appliquer, ne seraitce que pour pouvoir prouver, en cas daccident, quils avaient suivi une dmarche rigoureuse. Les Drire, qui connaissent bien entendu ces rfrentiels, deviennent quant elles beaucoup plus exigeantes. Mesures. Quel est prcisment votre rle? Michel Suzan. Notre principal rle, cest vraiment de sensibiliser les industriels bien apprhender le risque. Cela fait, il est relativement simple de se fixer un objectif atteindre et des solutions techniques mettre en uvre. Bureau Veritas apporte un rel savoir-faire dans tous ces domaines. Les industriels ont parfois tendance sous-dimensionner le risque, car ils savent que plus le risque est lev, plus les solutions mettre en uvre seront coteuses et plus il y aura des contraintes au niveau de lorganisation et du comportement des personnes. Alors quil y a quelques annes, ils faisaient un peu linverse, il leur arrivait de faire de la sur-scurit. La crise que lon connat a fait voluer les comportements Nous sommes neutres, nous les sensibilisons limportance de la dmarche, les aidons se poser les bonnes questions. Mesures. Revenons lIEC 61508. Outre sa complexit, certains lui ont reproch de laisser trop de place aux interprtations Michel Suzan. Je ne comprends pas ce reproche. Pratiquement toutes les normes ont une marge pour linterprtation. Et cest le rle des spcialistes dapporter leur

Patrick Teixeira, responsable des activits Sret de fonctionnement et mise en conformit CE des machines Bureau Veritas.

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

33

Dossier scurit de processpropre interprtation pour atteindre lobjectif de scurit. Bureau Veritas, en proposant son interprtation, apporte une relle valeur ajoute. Mesures. Parmi ces interprtations, certains disent que lIEC 61508 sapplique aux constructeurs et lIEC 61511 aux intgrateurs. Etes-vous daccord? Michel Suzan. Que lIEC 61511 est destine aux intgrateurs et aux utilisateurs, cest une certitude. Pour lIEC 61508, on ne peut avoir un avis aussi tranch parce quil sagit dune norme gnrique, applicable par tous. Mais, ainsi que vous lavez soulign, elle est difficile mettre en uvre. Du coup, de fait, ce sont surtout les constructeurs de matriels qui lappliquent Mesures. La notion de SIL (Safety Integrity Level, niveau dintgrit de la scurit) fait galement dbat. Normalement, elle sapplique un systme complet (capteur, contrleur, vanne). Certains attribuent pourtant un Sil chacun des lments du systme Patrick Teixeira. Le niveau Sil sapplique en effet la boucle complte. Mais dans une installation, il y a par exemple des vannes manuelles qui contribuent la rduction du risque, au mme titre quun systme instrument de scurit. Il ny a donc pas dhrsie lui attribuer un niveau SIL, en tant quobjectif de fiabilit (car la norme et les SIL tels quils y sont dfinis, ne sapplique quaux systmes lectriques, lectroniques et lectroniques programmables). LIEC 61508 aborde dailleurs la notion dlments de scurit, avec un niveau SIL pour chacun deux. Il peut tre pertinent daffecter un SIL un sous-ensemble. L-dessus, les fabricants de capteurs se sont engouffrs dans la brche et attribuent des SIL leurs produits, sans prciser dans quelles conditions ils sont obtenus ni ce quil faut faire pour les maintenir dans le temps. L, il faut tre trs prudent Michel Suzan. Prenez lexemple dun capteur de vitesse. Selon quil est utilis sur un compresseur, une turbine vapeur ou une pompe, les conditions dutilisation seront radicalement diffrentes, les constantes de temps seront diffrentes. Il est difficile dans ce cas-l de dire si le niveau SIL annonc sera tenu dans les diffrentes situations. Nous ne sommes pas pour autant des intgristes de lIEC 61508. Disposer dun niveau SIL pour un capteur, cest mieux que rien : il faudrait simplement que les constructeurs prcisent les conditions dans lesquelles il a t obtenu et son champ prcis dapplications. De ce ct-l, il reste du travail faire. Mais il faut bien reconnatre que laffectation de SIL aux diffrents lments dun systme est pour beaucoup dans lattrait du standard Patrick Teixeira. Lorsque Bureau Veritas dlivre une attestation de conformit pour un sousensemble, avec un SIL donn, les hypothses faites pour arriver au rsultat sont clairement explicites. Les conditions remplir pour que ce niveau SIL soit maintenu dans le temps (le type et la frquence des autotests) sont galement trs clairement mentionnes. Ce faisant, lintgrateur qui utilise un tel sous-ensemble a beaucoup moins de questions se poser. Mais cette approche nest malheureusement pas adopte par tout le monde et nous voyons beaucoup de cas o des SIL sont attribus sans autre prcision et il est ncessaire de faire des tudes complmentaires Cette rflexion est valable aussi bien pour les SIL obtenus grce une solide tude thorique (en utilisant des techniques de sret de fonctionnement, arbres de dfaillances, les diagrammes de Markov et autres) que ceux attribus par exprience (pour attribuer un SIL, la norme, avec la notion de proven in use, donne la possibilit dexploiter les donnes obtenues en exploitation). Mesures. Y-a-t-il un moyen de vrifier la validit du SIL obtenu? Michel Suzan. Certains disent Nous avons fait des millions de test sur ce produit, vous pouvez lutiliser sans problme dans votre application de scurit. Mais cela ne prouve pas tout! Ce qui importe, cest lapproche retenue pour dvelopper le constituant ou lapplication de scurit. Le rfrentiel IEC 61508 ne donne pas dindications sur la manire avec laquelle doivent tre effectus les tests. Lorganisme qui dlivre une certification de produits ou une attestation de conformit doit surtout sattacher valider le processus de dveloppement qui a t mis en place pour arriver la scurit, valider la pertinence des choix qui ont t retenus. Mesures. Une autre question revient souvent dans les applications de scurit : Faut-il sparer les systmes traitant de la scurit et ceux traitant du contrle-commande? Patrick Teixeira. La norme nest pas si prcise et comme vous le savez, il y a des bus de terrain o les signaux de contrle-commande et de scurit utilisent le mme cble, il y a aussi des automates de contrle-commande qui abritent lapplication de scurit. Cela dit, quand on est valuateur, on aime bien que tout soit spar : il y a forcment beaucoup moins de modes communs, il est plus facile de dmontrer que la scurit est assure Mesures. Un mot enfin sur le logiciel, qui fait lobjet de beaucoup moins de discussions que les matriels. Est-il bien trait dans la norme? Patrick Teixeira. Encore une fois la norme met en valeur limportance de la dmarche. Dans un systme programmable, laspect logiciel est aussi important que laspect matriel (voire plus, mais comme il est souvent moins bien matris ou quon y accorde trop de confiance, on sy attarde moins). Quand nous faisons une valuation de conformit, nous validons le systme dans son ensemble. Mesures. Donc avec le logiciel applicatif? Patrick Teixeira. Bien entendu. Et pour cela, comme pour le reste, nous mettons laccent sur la dmarche suivie par le dveloppeur. Nous nous assurons aussi quil applique un certain nombre de rgles de codage, quil utilise des outils de vrification du code. Mesures. Parmi ces outils de vrification, utilisez-vous la technique de la preuve formelle? Patrick Teixeira. Le cas ne sest pas prsent mais pourquoi pas ? La mthode de la preuve formelle consiste lister les proprits qui dcoulent du cahier des charges et apporter la preuve (mathmatique) que, une par une, toutes ces proprits sont respectes. La mthode de la preuve formelle est trs efficace mais elle est lourde mettre en uvre et impose une application ds la conception du logiciel. Du coup, seules les applications complexes en aronautique ou dans le transport par rail y ont recours car, dans ces cas-l, les pannes peuvent amener des accidents catastrophiques sur le plan humain et il faut donc rduire leur probabilit un niveau extrmement faible. Mesures. Peut-on envisager des certifications ou des attestations de conformit pour des logiciels applicatifs standard? Patrick Teixeira. Bien sr et cela se pratique dj. Cest ainsi quil est possible de certifier des blocs de fonction proposs dans les ateliers logiciels des automates programmables. Propos recueillis par Jean-Franois Peyrucat

34

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

Dossier scurit de processAUTOMATES DE SCURIT

La redondance? Oui, mais laquelle?w

Sils sont trop frquents, les arrts durgence sur les process industriels se rvlent conomiquement prjudiciables, voire dangereux. Pour les limiter, il est impratif que les architectures des automates de scurit fournissent la fois de la scurit et de la disponibilit. Ceci passe par la mise en uvre darchitectures redondantes. Dans cet article, Hima brosse un rapide tableau des diffrents types darchitectures, en mettant laccent sur la solution Quad quelle soutient.

T

out systme lectronique, quel quil soit, est caractris par une certaine sret de fonctionnement et une certaine disponibilit. Ces deux paramtres dpendent notamment de la manire dont sont conus les systmes, de la qualit des composants et des techniques de fabrication utiliss. Ils dpendent aussi de la manire dont travaillent les systmes en interne, notamment des outils dautodiagnostic et de la frquence des tests embarqus mis en uvre. Bien conu, fabriqu avec soin, utilis normalement, un systme lectronique permet dobtenir des performances trs acceptables pour rpondre la plupart des besoins. Mais il est des applications o cela ne suffit pas. Pour aller plus loin encore, on ajoute des redondances, en multipliant le nombre des processeurs utiliss, et/ou ventuellement des entres et/ou des sorties. Il existe plusieurs types de redondances, qui donnent des rsultats diffrents. Dans certaines applications, comme par exemple les serveurs utiliss dans les tl-

coms, la redondance sera surtout pratique pour obtenir une trs grande disponibilit du systme (quel usager du tlphone ou dInternet accepte les interruptions de service?). Sil sagit de piloter un procd dangereux, la redondance servira garantir que le systme de scurit met le process dans un tat sr quelles que soient les circonstances. Selon le rsultat que lon recherche, les redondances ne se font pas de la mme faon. Le choix dune architecture plutt quune autre dpend en effet du niveau de scurit que lon veut atteindre mais aussi du niveau de disponibilit que lon souhaite. Avec les redondances relativement simples, on ne peut en gnral pas obtenir la fois un niveau lev de scurit et une haute disponibilit. Cest lun ou lautre. Avec les redondances plus sophistiques, il est possible davoir les deux, mais avec des gradations qui dpendent de larchitecture retenue. Architecture une seule unit centrale. Comme son nom lindique, il ny a pas de redondance. Si un dfaut dangereux est dtect au niveau de lunit centrale, un

module de diagnostic externe (watchdog) permet de dclencher immdiatement un arrt durgence de faon mettre le process en scurit. Les pannes non dangereuses entranent galement un dclenchement de larrt durgence.

Les multiples variantes des architectures dupliquesLes systmes deux units centrales existent en de multiples variantes. Les deux units centrales peuvent avoir des entres et des sorties communes, ou alors des entres et des sorties spares. Ce qui distingue aussi ces systmes, cest la manire dont travaillent les units centrales (types dchanges quil y a entre elles) et la faon dont sont cbles les sorties qui commandent larrt du process (en parallle ou en srie). Prenons par exemple le cas dune architecture deux units centrales, chacune ayant ses propres entres et ses propres sorties. On a donc deux canaux indpendants. Si les sorties sont cbles en srie, il suffit quune des deux soit en dfaut pour dclencher larrt durgence du process. On se trouve alors dans une configuration 1oo2 ou, si lon prfre 2-0. Le systme est sr mais il nest pas tolrant aux pannes (sa disponibilit est peu leve). Si au contraire les sorties sont cbles en parallle, il faut que les deux sorties soient simultanment en dfaut pour dclencher larrt durgence du process. Ceci rduit le nombre de dclenchements intempestifs. On se trouve alors dans une configuration 2oo2 (ou 2-1-0), qui assure une disponibilit leve, mais dont la performance de scurit est trs pauvre. Dans loptique de fournir une disponibilit et une scurit importantes, les architectures doubles sont maintenant ralises dans une configuration 1oo2D, o on trouve un double cblage des sorties, la fois srie et parallle. Cette architecture tolrante aux pannes fonctionne normalement dans un mode 2oo2 (2-1-0), mais revient un mode 1oo2 (2-0) si une panne se produit et

36

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

Dossier scurit de processArchitecture HiQuad

diagnostics et affichage

diagnostics et affichage

ne peut pas tre rsolue. De ce fait, sa performance de scurit dpend videmment de lefficacit des diagnostics internes du systme, et sa disponibilit oprationnelle de la capacit de ce dernier rsoudre les erreurs et disoler le canal en faute, tout en continuant fonctionner en scurit sur le canal valide. Les systmes 1oo2D ne sont pas tous identiques, et quelques expriences significatives ont dmontr un manque de disponibilit rsultant de lexcution des diagnostics de comparaison requis.

Un bon compromis : les architectures tripliquesTous les systmes dupliqus un problme en commun : une svre restriction du temps de fonctionnement en mode canal unique. Quelques fournisseurs tentent de contourner cette restriction en utilisant un modle mathmatique pour prvoir le taux dexigence du process, et ainsi allonger le temps de fonctionnement autoris en canal unique. Cette approche nest certainement pas recommande pour la scurit car les donnes exploites dans de tels modles ne sont quapproximatives, et les rsultats obtenus sont inappropris

pour tre utiliss dans des dcisions critiques de scurit. Les systmes tripliqus (TMR) sont constitus de trois canaux, avec des sorties cbles la fois en srie et en parallle. Ils sont trs rpandus et sont souvent utiliss dans des situations sans relle justification technique ou conomique. Larchitecture TMR est la fois sre et disponible, elle doit fonctionner en mode 2oo3 (3-2-0) pour des applications de scurit. Le systme TMR ralise des diagnostics par vote ou comparaison. De ce fait, il nest pas autoris fonctionner en canal unique, car il manque de diagnostic interne dtaill et ne peut pas tre considr comme sr. En fait, les limitations de temps sont imposes pour deux canaux en fonctionnement, et des tapes doivent tre respectes pour sassurer que le systme sarrtera aprs la perte du second canal. Un autre problme affecte larchitecture TMR : sa plus grande sensibilit (3 fois suprieure) concernant une erreur de mode commun due dune part au troisime niveau de redondance et dautre part au fait que les canaux multiples partagent un ensemble hardware commun, telle une entre-sortie commune, un

module processeur etc. De plus, le cot initial et le cot de fonctionnement (incluant la maintenance) du systme sont levs.

Encore plus loin avec les architectures quadruplesLa nouvelle architecture Quad (QMR) est une avance importante au regard des performances lies la scurit. Cette architecture propose quatre processeurs (2 par canal) et remdie aux problmes associs aux architectures double processeurs, comme les fautes dangereuses dtectes dun des deux processeurs. Les deux paires des processeurs sont synchronises et utilisent le mme programme. Un comparateur hardware et un chien de garde fail-safe supervisent le fonctionnement de chaque paire de processeurs pour diagnostiquer et rsoudre les anomalies. De ce fait, cette architecture peut fonctionner en SIL3 (RC6) aussi bien sur un que deux canaux, pour une priode de temps illimite. Du fait de sa structure double et redondante, larchitecture Quad est intrinsquement plus disponible quune architecture triplique. Elle est galement meilleure en terme de scurit. Elle apporte une amliora-

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

37

Dossier scurit de processComparaison des diffrentes architecturesSystmes dupliqus - Diagnostics intrinsques aux modules. - Certains automates fonctionnent en disponibilit ou en scurit : les deux options ne sont pas obligatoirement cumulables. - Temps de fonctionnement trs restreint sur une seule unit centrale : disponibilit infrieure celle du TMR - Scurit comparable celle du TMR - Prix comptitifs. Systmes tripliqus (TMR) - Diagnostics par comparaisons - Certains automates fonctionnent uniquement en scurit. - Temps de fonctionnement restreint sur deux units centrales - Pas autoris fonctionner en mono canal (1 unit centrale). - Beaucoup de modes communs - Niveau de scurit comparable celui obtenu avec un systme dupliqu - Prix initial et maintenance levs : oblige souvent regrouper plusieurs units Systmes quadrupls (QMR) - Diagnostics intrinsques aux modules - Temps de fonctionnement illimit sur un seul canal : disponibilit suprieure celle du TMR. - Temps de fonctionnement illimit sur un seul canal en classe 6 (SIL3) : scurit suprieure celle du TMR - Trs peu de modes communs : sparation des canaux - MTBF suprieur celui du TMR - Cots dachat et de maintenance identiques celui du dupliqu : convient des projets de toutes tailles.

tion dun facteur trois, tant en disponibilit quen scurit, par rapport ce qui est normalement fourni par les architectures TMR. En outre, elle a une sensibilit significativement moindre aux erreurs de mode commun du fait dune totale sparation, isolation et fonctionnement des canaux redondants. Voyons plus prcisment le problme de la scurit. Dans les architectures dupli-

ques, le point crucial du problme concerne les erreurs dangereuses indtectes dun des deux processeurs. Un processeur unique ne peut pas sautocontrler suffisamment pour tre considr comme compltement sr, et il existe une possibilit quune telle erreur puisse mettre les deux canaux dans un tat dangereux, et rendre lautomate incapable de se positionner dans une configuration de scuri-

t. Cest pourquoi de svres restrictions de temps de fonctionnement sont imposes au niveau de SIL3 (RC6) pour les architectures doubles fonctionnant dans des conditions derreur. Larchitecture Quad (QMR) intgre une paire de doubles processeurs oprant dans un mode de scurit (2-0) pour chaque canal. Cette configuration augmente de faon significative les diagnostics des processeurs en opration, rpond parfaitement aux critres de scurit concernant les fautes dangereuses indtectes, et par consquent supprime toutes les restrictions de temps de fonctionnement du systme en mode mono canal. Une comparaison des performances de scurit (PFD, probabilit de dfaillance sur sollicitation) des diffrentes architectures de scurit peut tre tablie. Si lon se rfre lISA TR84.02, Part 2, 1998, on voit que larchitecture Quad (2oo4) est comparable celle de larchitecture ultra sre 1oo3, tandis que larchitecture TMR 2oo3 est identique larchitecture 1oo2D. Cette comparaison conclut la prdominance de larchitecture QMR 2oo4 par rapport larchitecture TMR 2oo3 ou duplique 1oo2D. Une autre considration importante dans la performance des systmes de scurit est leur capacit de dtection de fautes internes de faon rapide et correcte. En effet, les automates de scurit doivent tre capables de rpondre

Configurations des systmes programmables de scuritTypeSimple Duplique Triplique (TMR) Duplique Triplique (TMR) Quadruple (QMR)

Configuration1oo1 1oo2 1oo3 2oo2 2oo3 2oo4 1-0 2-0 3-0 2-1-0 3-2-0 4-2-0

Mode de fonctionnementFonctionnement avec 1 CPU puis arrt durgence aprs une panne de cette CPU Fonctionnement avec 2 CPU puis arrt durgence aprs une panne dune des 2 CPU Fonctionnement avec 3 CPU, puis arrt durgence aprs une panne dune des 3 CPU Fonctionnement avec 2 CPU, puis avec 1 CPU, puis arrt durgence aprs une panne de la dernire CPU Fonctionnement avec 3 CPU, puis avec 2 CPU, puis arrt durgence aprs une panne dune des 2 CPU restantes Fonctionnement avec 4 CPU, puis avec 2 CPU, puis arrt durgence aprs une panne dune des 2 CPU restantes

Nombre min. de canaux oprationnels1 2 3 1 2 2

Nombre de dfauts pour dclencher1 1 1 2 2 2

Systmes 1ooN : systme ddi la scurit, ou sous-ensemble dun tel systme, constitu de N canaux indpendants qui sont connects de telle sorte quil suffit quun seul canal soit oprationnel pour que la fonction de scurit soit assure. Systmes 2ooN : systme ddi la scurit, ou sous-ensemble dun tel systme, constitu de N canaux indpendants qui sont connects de telle sorte quil suffit que deux des canaux soient oprationnels pour que la fonction de scurit soit assure.

38

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

Dossier scurit de processdans le temps de scurit spcifi (safety time). Le temps de scurit du process (TSP) dun process donn est par essence le temps de tolrance aux pannes, avant datteindre une situation dangereuse. Ainsi, si une situation dangereuse existe pour un temps plus long que celui spcifi dans le TSP, le process entre dans un tat dangereux. Compte tenu de ces exigences, lautomate de scurit doit maintenir un niveau de scurit par la dtection interne de fautes dangereuses et les corriger sans dpasser le TSP, ou en consquence tre considr comme incapable de remplir les conditions de scurit de ce process. Comme exemple typique, on peut citer le Systme de Contrle de Brleur (SCB.) o le TSP dune seconde est dfini par le TV (DIN VDE 0116). Compte tenu que deux cycles dun automate sont demands pour dtecter et corriger une panne interne, le Temps de Dtection et de Correction de la Faute (TDCF) de lautomate ne peut pas dpasser 500 ms. Si lautomate de scurit ne peut remplir cette condition, il ne peut pas tre utilis pour la scurit dapplication du SCB. projets requrant un niveau de scurit SIL1 ou SIL2. Pour de tels projets, utiliser une architecture triplique (TMR) na pas de justification conomique, compte tenu du cot initial et du cot de fonctionnement. En outre, si un process peut tre dun niveau SIL1 ou SIL2 au lieu de SIL3, des conomies significatives peuvent tre ralises dans dautres domaines (comme les capteurs), ce qui permettra de ne pas utiliser darchitectures doubles ou tripliques comme demandes pour les applications SIL3. Larchitecture Quad peut tre configure pour rpondre aux exigences de performance des SIL1, 2 et 3. Elle peut fonctionner en canal unique ou redondant, en canal simple, redondant ou tripliqu un capteur ou un actionneur est demand pour fonctionner avec chaque boucle de scurit. Que ce soit dans une configuration simple, slectivement redondante ou compltement redondante, le niveau de scurit SIL3 est atteint. Si la redondance est ajoute, la disponibilit augmente considrablement et les performances de scurit sont maintenues. Ajouter la redondance ne reprsente pas un cot trs important car les prix du processeur et des modules E/S sont significativement moins levs que ceux des architectures alternatives. De plus, comme ces modules sont moins complexes, leur MTBF est de ce fait plus long et les dpenses de maintenance du systme sont substantiellement rduites. Du fait que cette nouvelle architecture est relativement conomique, elle apporte un bnfice additionnel au niveau du contrleur du process dont lautomate de scurit assure la protection. De nombreuses normes de scurit ne voient plus dinconvnient regrouper le contrleur du process et lautomate de scurit dans un mme systme. De mme, il ny a dsormais plus de justification conomique vouloir prendre un seul automate de scurit pour protger plusieurs contrleurs de process. Il en rsulte que linstallation du systme de scurit, les tests et la maintenance sont moins complexes et moins sujets lerreur humaine. De plus, pour augmenter la scurit, lautomate de scurit ddi un seul contrleur de process est nettement plus facile maintenir ou modifier. On limine aussi toute possibilit darrt durgence accidentel des autres units de process. Pascal Paumard Hima

Cot de fonctionnementLes normes de scurit existantes et venir demandent que le SIS (Safety Instrumented System/systme instrument de scurit) soit install de faon attnuer le risque associ au fonctionnement de process dangereux. Ignorer ces spcifications nest pas une option long terme. De mme, le cot initial et le cot de fonctionnement du SIS doivent tre considrs. Il est reconnu que quelques architectures, du fait de leur complexit inhrente, engendrent des cots dachat et de fonctionnement importants. Ceci se vrifie pour des projets de petite taille ou des

Fonctionnement de la scurit aprs la premire erreurArchitecture de baseSimplex Double TMR QMR 1oo1 1oo2D 2oo3 2oo4

Comportement aprs la premire erreurFail Safe (classe 4/SIL 2 seulement) 1oo1D Limitation svre du temps de fonctionnement 1oo2 Limitation du temps de fonctionnement 1oo2D Pas de limitation du temps de fonctionnement

Pour des applications de scurit, les systmes en canal unique (1-0) ne sont pas tolrants aux erreurs et doivent tre fail safe. Les architectures doubles peuvent fonctionner en fail safe ou en mode dgrad de fonctionnement en canal unique (2-1-0) sous des conditions spcifiques derreur, et avec des temps de limitation de fonctionnement dfinis dans leur rapport de certification de scurit. Obtenir une copie de ce rapport pour tout automate est grandement recommand. Les deux architectures TMR (3-2-0) et Quad (4-2-0) reviennent en mode de fonctionnement 2-0 aprs une premire erreur. Cependant, larchitecture Quad (QMR) garde ses diagnostics internes complets, elle na pas de restriction de temps de fonctionnement sous ce mode, et elle conserve son niveau de scurit maximum SIL3 (RC6). Le mode de fonctionnement dgrad au niveau de scurit SIL3 (RC6) demande que lautomate fournisse un circuit secondaire de dsactivation des sorties. Celui-ci peut tre externe ou intgr dans les modules de sortie, mais il doit tre en conformit avec les rgles de scurit. Les mmes restrictions sappliquent au fonctionnement de lautomate aprs une seconde erreur. Pour larchitecture TMR, la seconde erreur peut provenir de lunit centrale ou des entressorties. Une telle situation imposera larrt durgence du systme. Pour larchitecture QMR, seule une erreur de lUnit Centrale sur le second canal entranera un arrt durgence du systme, car des erreurs des entres-sorties peuvent tre gres indpendamment, du fait de ses diagnostics internes plus complets. En outre, larchitecture QMR propose une tolrance additionnelle aux erreurs, et un niveau plus lev de disponibilit oprationnelle.

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

39

Dossier scurit de processCAPTEURS-VANNES

Pas de SIL qui tienne sans tests priodiques!w

Le niveau SIL attribu un systme instrument de scurit est calcul en prvoyant des tests priodiques sur les diffrents lments qui composent le systme. Pour les vannes, llment le plus fragile de la boucle de scurit, ce test nest pas pratique sauf si on arrte le process. Il existe une alternative : le test sur une petite partie de la course.

D

ans lapplication de la norme IEC 51508 et de celles qui en sont issues, la performance dun quipement de scurit est quantifie par son SIL (Safety Integrity Level), cest--dire son niveau dintgrit de la scurit. Le SIL dfinit la probabilit de dfaillance dangereuse que lon sautorise. Le SIL ne peut prendre que 4 valeurs possibles (de 1 4), et on ne cherche donc pas dfinir des valeurs prcises des probabilits de dfaillance dangereuses, mais il faut que la valeur obtenue se trouve lintrieur de la fourchette dfinie par le SIL. Pour un SIL donn, la valeur de cette probabilit de dfaillance peut varier dans un rapport 10. Le concepteur dune application de scurit peut donc sautoriser une marge derreur, sans que la valeur du SIL soit remise en cause. Ceci tant, lorsque lon se trouve aux extrmits de la fourchette autorise, lerreur mme minime peut vite conduire un dclassement, et un systme qui tait par exemple SIL3 peut se retrouver en catgorie SIL2. Il faut savoir aussi quun niveau SIL nest pas garanti vie. Les lments du systme de scurit vieillissent, leurs performances se dgradent. Cest la raison pour laquelle le niveau SIL est considr comme valable tant que lon ne dpasse pas une dure bien dfinie. Le test en ligne et hors ligne des systmes de scurit est clairement mentionn dans les normes IEC 61508 et IEC 61511 comme tant une condition sine qua non pour maintenir le niveau SIL annonc. Si toutes les dfaillances taient auto-dtectes, il ne serait pas ncessaire de vrifier priodiquement les lments entrant dans la composition dun SIS. Des dtecteurs de niveau qui sont bloqus, des relais de commande dun pressostat qui sont colls, des vannes darrt qui sont bloques, cela est frquent et cela peut tre trs dangereux si de tels dfauts se rvlent au moment o le systme de scurit est sollicit. Le seul et unique objectif du test en ligne est de rvler ces dfauts. Bien entendu, dans un systme instrument de scurit, la frquence de test dpend du type dlment et de limportance du rle

quil joue dans le systme. La frquence des tests est calcule partir des lments fournis par les constructeurs. Pour les automates ddis la scurit, les priodes de test atteignent facilement plusieurs annes. Certains sont annoncs avec des priodes suprieures un sicle! Bien entendu, plus il y a des redondances, plus la priode de test sera importante. Mais PFD 10-2

structure quivalente, il peut aussi y avoir des grosses diffrences au niveau de la priode de test. Le choix des composants lectroniques joue en effet un rle important. Dans tout systme instrument de scurit, la vanne est le composant le plus fragile. Cela se comprend aisment, les vannes restent sans bouger pendant de longues priodes, et lobturateur aura tendance se coller. Et

SIL 2 10-3 SIL 3 10-4 10-5 10-6 0 1 1,6 2 3 4 Frquence de vrification (annes) 5 SIL 4

Emerson Process Management Comme on peut le voir ici, la valeur de la probabilit sur sollicitation (PFD) se dgrade au fil du temps. La courbe obtenue ici correspond un capteur de pression spcifi pour une application SIL3. Il reste SIL3 pendant 1,6 an, ensuite il passe en niveau SIL2.

PFD 10-2 Capteur A 10-3 SIL 3 10-4 10-5 Capteur B 10-6 0 1 2 3 4 5 SIL 4 SIL 2

Frquence de vrification (annes)Emerson Process Management Cette illustration prsente les valeurs PFD de deux capteurs de pression, tous deux spcifis pour une application SIL3. Le capteur A est SIL3 pendant 1 an. Au bout de cette priode, si on effectue un test et que ce test atteste du bon tat de fonctionnement du capteur, le capteur peut continuer tre utilis dans une application SIL3. Et ainsi de suite tous les ans. Le capteur B, par contre, conserve son niveau SIL3 pendant 5 ans, sans quaucun test ne soit ncessaire pendant toute cette priode.

40

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

Dossier scurit de processPFD 10-2 10-3 10-4 10-5 10-6intervalle de test intervalle de test Vanne teste sur la totalite de sa course Vanne teste sur (petite) partie de sa course

SIL 2

SIL 3 SIL 4

0

1

Emerson Process Management

2 3 4 Frquence de vrification (annes)

5

Pour maintenir un niveau de PFD relativement faible (et donc un SIL lev), les vannes de scurit doivent tre soumises des tests priodiques. Comme on le voit ici sur la courbe rouge, il est impossible davoir la fois un SIL lev et une priode de test longue. Une priode de test longue serait pourtant bien pratique car les tests des vannes ncessitent darrter le process (il existe des alternatives mais elles sont coteuses et peuvent tre dangereuses). Si on veut un SIL lev sur une longue priode sans test, la solution classique consiste prvoir une redondance au niveau de la vanne (mais cest une solution coteuse). La courbe verte prsente une alternative. Ici on pratique un test intervalles rapprochs mais sur une course partielle de la vanne, ce qui vite davoir arrter le process. On voit quil est ds lors possible de garantir un niveau SIL2 (voire SIL3) pendant une longue dure, avec une seule vanne.

donc ne pas se dcoller le jour o la vanne devra tre actionne. Emerson Process Management estime que 50 % des dfaillances viennent

des vannes tout-ou-rien. Il faut donc, bien videmment, pratiquer des tests priodiques. Le problme, cest que les arrts des process

pour maintenance sont de moins en moins frquents : il y avait autrefois un arrt par an, la tendance est de faire un arrt tous les trois cinq ans. Autrement dit, si on veut continuer faire comme par le pass un test annuel complet douverture de la vanne, il faut prvoir des dispositifs permettant de raliser quand mme ces tests. Il est par exemple possible de prvoir des dispositifs pneumatiques ou des bypass. Ces solutions sont ou coteuses ou potentiellement dangereuses. Dans le cas dun test ralis laide dun bypass, qui ncessite des interventions manuelles, que se passe-t-il si, au moment de raliser les tests, le systme scurit doit entrer en action? Pour contourner ces limitations, Emerson Process Management propose de raliser des tests en ligne douverture partielle (de 1 30 %) de la vanne, histoire de sassurer que la vanne nest pas colle. Bien entendu, si cest le cas, linformation est remonte au contrleur. Le gros avantage de cette technique est que les tests partiels peuvent tre pratiqus des priodes trs rapproches, ce qui permet de maintenir le SIL au niveau initial. Bien entendu, cela ne dispense pas de raliser des tests priodiques approfondis mais ceux-ci peuvent tre beaucoup plus espacs et tre pras tiqus lors des arrts du process.

Lintrt du test sur une partie de la course dune vanneLe tableau ci-contre montre les valeurs de SFF obtenues pour les vannes dans le cas o on pratique un test complet aux priodes normales (espaces) et dans le cas o on pratique un test sur une partie de la course (priodes beaucoup plus rapproches).

Test priodique normalDfaillance dangereuse dtecte (DD) Dfaillance dangereuse non dtecte (DU) Dfaillance non dangereuse dtecte (SD) Dfaillance non dangereuse non dtecte (SF) Pourcentage de dfaillance en scurit DD + SD + SF SFF = DD + DU + SD + SF 1 350 1 650 55 %

Avec test sur une partie de la course810 540 1 650

82 %

Le tableau ci-contre donne lincidence de la valeur du SFF sur larchitecture du systme de scurit (au niveau de la vanne). Une tolrance la faute de n signifie que sil y a n + 1 fautes, le systme de scurit nest plus oprationnel. Autrement dit, si on veut une tolrance 1 dfaillance, il faut prvoir une redondance simple et si on veut une tolrance 2 dfaillances, il faut prvoir une redondance double. Supposons que lapplication exige un SIL2. Ce tableau montre que pour une vanne prvue avec un test priodique normal (donne pour un SFF de 55 %), on

SFF< 60 % 60 % - 90 % 90 % - 99 % > 99 %

0SIL1 SIL2 SIL3 SIL3

Tolrance aux dfaillances 1SIL2 SIL3 SIL4 SIL4

2SIL3 SIL4 SIL4 SIL4

ne peut atteindre un SIL2 qu condition de prvoir une redondance simple (chiffre marqu en rouge). Si on utilise une vanne avec un test sur une partie de la course (SFF = 82 %), il est possible datteindre un SIL2 sans redondance (chiffre en vert).

Pour les mmes raisons, un SIL3 ne peut tre atteint dans le premier cas quavec une redondance double. Dans le deuxime cas (test sur une partie de la course), il peut tre atteint avec une redondance simple.

MESURES 779 - NOVEMBRE 2005 - www.mesures.com

41