MESURES 813 - MARS 2009 - www.mesures.com 21

Sur la longue route de la norme CEI 61511

Selon une étude américaine du cabinet Arc, la sécurité fonctionnelle se porte bien. Matériel, logiciels, services, le marché mondial devrait continuer à croître d’au moins 11 % par an, passant d’environ 1 milliard de dollars en 2006 à près de 1,5 milliard de dollars en 2010. Même si la crise actuelle peut modérer cette croissance, la sécurité reste une priorité des industriels. Aujourd’hui, la mise en place de fonctions de sécurité instrumentées est guidée par deux textes de références, les normes internationales CEI 61508 et 61511. En France, l’application de ces normes n’est pas obligatoire, mais elle est fortement recommandée par des organismes de tutelle ou de contrôle. Ainsi, sous la contrainte, vous êtes de plus en plus nombreux à mettre une infrastructure “sécurité fonctionnelle” selon l’approche probabiliste définie par les normes CEI 61508 et 61511. Alors premier conseil : ne pas se décourager. Car plus on avance dans le processus de mise en place de fonctions instru-mentées de sécurité, plus on s’aperçoit que le chemin est long et escarpé. Plus on s’ap-plique à comprendre tous les alinéas des normes CEI 61508 et 61511, plus on s’aperçoit que c’est compliqué et que ça ne finit jamais. Il ne suffit pas d’acheter du matériel “qua-lifié” pour construire sa sécurité. Il faut développer toute une organisation, avec des outils matériels et logiciels mais aussi des documents, des bases de données, des moyens d’ex-ploitation, de suivi et bien sûr des compétences… « Oui, c’est un très gros travail, disent les experts, mais c’est la meilleure méthode si on ne veut pas avoir d’accidents. »

Sécurité fonctionnelle

Page 22Définir, réaliser, maintenir la fonction de sécurité

Page 24Première étape : la maîtrise des sigles

Page 26Trois méthodes pour évaluer le SIL

Page 30Côté systèmes, SIS et SNCC cherchent à cohabiter en toute sécurité

Page 33Formation : la certification des compétences se met en marche

Page 34Instrumentation : des équipements à surveiller de près

Dossier réalisé par Marie-Pierre Vivarat-Perrin avec l’aide des documents fournis notamment par l’Ineris, l’Exera, ArcWeb, Emerson Process Management, Hima, Pr Electronic, Endress + Hauser…

SOMMAIRE

Dossier

Iso

Ingé

nier

ie

Him

a

Pr E

lect

roni

c

Iner

is

MESURES 813 - MARS 2009 - www.mesures.com

tion de sécurité. Il existe pour cela toute une batterie de moyens : tests périodiques, fonc-tions d’autodiagnostics, maintenance, retour d’expérience.Mais, bien avant d’en arriver là, se lancer dans l’approche sécurité de la norme CEI 61511, c’est d’abord être confronté à des difficultés d’interprétation. Entre la norme CEI 61508 qui s’adresse aux cons-tructeurs de matériels et la norme CEI 61511 qui s’adresse aux utilisateurs et intégrateurs, il peut y avoir quelques malentendus. Par exemple, pour affecter un niveau SIL à leurs instruments et équipements de process, les constructeurs suivent les prescriptions de la CEI 61508. Pour affecter un niveau SIL à leurs fonctions SIF, les utilisateurs suivent les prescriptions de la norme 61511. Et ce n’est pas la même chose. Ce n’est pas parce que vous achetez des composants certifiés SIL 2 que votre fonction de sécurité sera SIL 2. Si on additionne les probabilités moyennes de défaillance (PFD) des différents composants, on peut se trouver dans le cas de figure où le total des PFD sera supérieur à la valeur cor-respondante au SIL requis pour l’ensemble de la fonction. Donc méfiez-vous aux abus de langage : dire qu’un instrument est SIL X signifie simplement qu’il peut rentrer dans une fonction de sécurité SIL X. Cela veut dire qu’il est “qualifié pour” ou si l’on retient le terme anglais qu’il est “capable” (SIL Capability). Autre point d’incompréhension : demandez à un constructeur si un équipement SIL 3 peut être intégré sans aucune redondance dans une SIF SIL 3. Il vous répondra oui, sans aucun doute. L’utilisateur, quant à lui, vous assurera que, pour garantir, un niveau SIL 3, il a été obligé de doubler son point de mesure. Là encore, personne n’a tort, personne n’a raison, c’est une question d’interprétation. La norme CEI 61508 introduit la notion de SFF (Safety Failure Fraction), taux de défaillances n’ayant pas le potentiel de mettre le système relatif à la sécurité dans un état dangereux ou inacceptable. Un niveau élevé, comme le

SIL 3, impose obligatoirement une tolérance aux défaillances. Ainsi, les constructeurs déve-loppent des produits intrinsèquement sûrs en doublant les composants internes. De son côté, l’intégrateur qui suit la norme CEI 61511 cherche à réduire sa probabilité moyenne de défaillance (PFD) de l’ensemble de la partie mesure. Celle-ci comprend bien sûr les interfaces avec le procédé (piquages, réchauffage, qualité du produit, etc.) qui ne sont jamais prises en compte au niveau des constructeurs. Pour un niveau SIL 3 d’une fonction SIF, il doit en effet doubler la me-sure. La redondance du capteur peut être un des moyens mais ce n’est pas le seul. Il peut aussi mettre en place deux mesures diffé-rentes (par exemple, une mesure de tempé-rature et une mesure de pression). « Lorsqu’il s’agit de réduire le PFD, on pense tout de suite à re-dondance, mais celle-ci n’est qu’un moyen, il peut y en avoir d’autres », précise Dominique Pedron.

Le SIL ne suffit pasAprès avoir déjoué tous les pièges des textes normatifs, il ne faut pas céder à la facilité. « Ces notions de PFD et de niveaux de confiance SIL sont aujourd’hui à peu près bien comprises mais elles ne sont pas suffisantes pour construire ses fonctions de sécurité, souligne Brice Lanternier. Lorsque l’on achète les différents composants qui constitueront la fonction de sécurité, il y a d’autres informations à demander que le seul SIL des équipements. » Pour chaque dispositif, il est, par exemple, impor-tant de connaître les taux de défaillance en fonction des modes de défaillance. Il est éga-lement nécessaire de choisir le taux de dé-faillance de l’équipement selon son fonction-nement. En d’autres termes, il est essentiel de connaître les caractéristiques les plus impor-tantes pour son application. « Le taux de dé-faillance correspondant au mode de défaillance “ouver-ture d’une vanne”, alors que celle-ci doit se fermer pour mettre en sécurité le process, n’est pas très im-portant, illustre Brice Lanternier. Le temps de réponse est un paramètre bien plus crucial. » Cette connaissance des besoins doit être également

maîtrisée au cours de l’exploitation et no-tamment lors des tests périodiques. Il s’agit de s’assurer qu’à un seuil prévu l’informa-tion d’un capteur arrivera bien à l’automate et que celui-ci transmettra l’information dans un temps suffisamment court à l’action-neur. « Pour cela, il ne suffit pas de vérifier les signaux d’entrée ou de sortie, indique Charles Milardo. Il faut savoir exactement ce que l’on veut vérifier, déterminer les tests adéquats, écrire des pro-cédures les plus détaillées possibles. » Les fonctions d’autodiagnostics sont également très utiles. Au niveau de l’automate, elles peuvent détec-ter jusqu’à 99 % des défaillances. « Pour le système logique, c’est plus facile car il est isolé du process, poursuit Charles Milardo. En revanche, les équipements de process peuvent avoir un très bon autodiagnostic mais ils ne sauront pas détecter une fuite ou un piquage défectueux ou encore un produit qui colmate. »Evidemment, les tests ne sont pas une fin en soi. Il faut ensuite savoir les interpréter, les exploiter, les faire fructifier. « Le retour d’expé-rience est une pierre angulaire de la norme CEI 61511 », souligne Dominique Pedron. Cette norme incite à s’assurer de l’adéqua-tion d’un appareil sur la base de son utilisa-tion antérieure. En d’autres termes, « le maté-riel doit être éprouvé par l’usage ». La validation de l’équipement par le fabricant ne suffit pas. « De plus, l’usage d’un matériel n’est pas le même sur une plate-forme off shore ou sur un site d’incinéra-tion, ce retour d’expérience doit être mis en place pour chaque type d’industrie », poursuit Dominique Pedron. Il convient donc que chaque indus-triel mette en place un suivi sur le long terme. « Avant d’intégrer un nouvel équipement dans une SIF, nous le testons sur un process classique jus-qu’à ce que nous ayons apporté la garantie de sa fia-bilité, précise Charles Milardo. Ensuite, nous conservons tous les historiques de tous les équipe-ments. » Il est évident que pour des petites ou moyennes entreprises, un tel suivi peut paraî-tre difficilement envisageable. « Il y a pourtant urgence, affirme Dominique Pedron, car le retour d’expérience est un maillon indispensable de toute la chaîne de sécurité. Et il faut au moins cinq ans pour en retirer les premiers bénéfices. Aujourd’hui, pour la plupart, c’est toujours un chaînon manquant. » ■

23MESURES 813 - MARS 2009 - www.mesures.com22

Etude du danger, définition des fonctions de sécurité avec allocation d’un niveau SIL, conception d’une architecture matérielle et logicielle, dossier d’évaluation, maintenance et suivi, retour d’expérience. C’est très rare qu’un industriel ait une parfaite maîtrise de l’ensemble de ces étapes. Elles sont pourtant toutes cruciales.

sécurité. » Le point de départ commence par l’analyse de risque. Avant même de cons-truire une fonction de sécurité, il faut mener certaines réflexions. L’étude du danger néces-site de faire le tour de l’usine pour détecter toutes les sources potentielles d’accidents. Cette première analyse doit aboutir, pour chaque fonction de sécurité définie, à allouer un niveau d’intégrité, ce que tout le monde appelle désormais le SIL et qui selon la norme s’échelonne de 0 à 4. Ce “SIL requis” est l’objectif à atteindre. Ce n’est qu’après avoir évalué le risque et alloué un SIL que l’on peut concevoir un système instrumenté de sécurité (SIS) qui devra assurer la fonction instrumentée de sécurité (SIF). Une fois cette architecture matérielle et logicielle mise en place, ce n’est pas fini. Il faut ensuite éta-blir un dossier d’évaluation de la fonction SIF afin de s’assurer que le niveau de “SIL réel” correspond bien au niveau de “SIL re-quis”. Dominique Pedron insiste sur ce point : « Trop souvent cette étape est négligée. C’est pourtant ce dossier qui peut faire foi auprès des tiers tels que les Drire, les assureurs ainsi que le personnel. » Après installation du SIS, le cycle de vie se poursuit. « La maintenance de la fonction de sécu-rité, c’est là toute la difficulté », avertit Charles Milardo. Le niveau d’intégrité n’est pas figé dans le temps. Il peut évoluer et se dégrader. C’est la raison pour laquelle il est indispen-sable de mettre en place un suivi de la fonc-

NORME CEI 61511

Définir, réaliser, maintenir la fonction de sécurité

Le SIL ne fait pas le SIS. En langage décodé : pour mettre en place un sys-tème instrumenté de sécurité (SIS) selon la norme CEI 61511, il ne suffit pas d’acheter du matériel qualifié Security Integrity Level (SIL). Il faut une organisa-tion, une architecture matérielle, une infrastructure logicielle, des documents, une base de données, une traçabilité et, également, des compétences pour interpréter, exploiter, améliorer… Bref, c’est un très gros travail qui ne finit jamais. De plus, il est fondamental de maîtriser toutes les étapes du cycle de vie de la fonction de sécurité.

O ui, je m’inquiète toujours pour l’avenir, parce qu’il ne suffit pas d’installer un système instrumenté pour garantir à vie la sécurité d’un

site ». Pour Charles Milardo, ingénieur en sécurité fonctionnelle au sein de la compa-gnie pétrochimique LyondellBasell, l’applica-tion de la norme CEI 61511 implique toute une organisation qu’il faut mettre en place, avec les compétences nécessaires afin que le niveau de sécurité ne se dégrade pas dans le temps. En matière de sécurité fonctionnelle, cette norme destinée aux industries de pro-cédés, associée à la norme “mère” CEI 61508, est ce qui “se fait de mieux” aujourd’hui et elle est en passe de devenir un standard in-ternational. En France, elle n’est pas régle-mentaire. Pourtant, elle se diffuse inélucta-blement. Tout le monde y vient. Les organismes de tutelle (Drire, assureurs…) incitent de plus en plus à s’y conformer. Depuis la loi PPRT de 2003, les industriels concernés doi-vent effectuer des analyses de risques à carac-tère probabiliste. Dans ces nouvelles études de danger, la fiabilité des barrières présente un lien quasi naturel avec les prescriptions des normes CEI 61508 et 61511. « Les indus-triels doivent prouver le niveau de confiance de leurs barrières de sécurité. La norme CEI 61511 s’inscrit tout à fait dans cette démarche, elle est un outil de choix », précise Dominique Pedron, directeur d’Iso Ingénierie, société de conseil et de forma-

tion. Charles Milardo en est lui aussi con-vaincu : « Une chose est sûre, en appliquant cette norme, on peut se mesurer, connaître l’occurrence de ses anomalies, réfléchir, remettre en cause sa pratique existante, on peut exploiter le retour d’expérience. C’est la meilleure méthode si on ne veut pas avoir d’accidents. »

Une aventure qui ne finit jamaisSeulement voilà, rien n’est facile, « C’est un très gros travail, reconnaît Brice Lanternier, chargé de mission en sûreté de Fonctionnement à la Direction de la Certification à l’Ineris. Il ne s’agit pas seulement de mettre en place des équipe-ments de sécurité. Il faut développer toute une orga-nisation, avec des outils matériels, logiciels mais aussi des documents, des bases de données, des moyens d’ex-ploitation, de suivi et bien sûr des compétences. »La norme CEI 65611 introduit deux notions capitales : la première est celle liée à une approche probabiliste qui introduit une tolérance aux défaillances et un niveau de sécurité qui est défini par le niveau SIL (Security Integraty Level). La seconde est celle du cycle de vie d’une fonction de sécurité qui oblige l’industriel à définir le niveau de SIL optimal, à le mettre en place dans une fonction de sécurité et ensuite à le maintenir tout au long de l’exploitation. « Définir, réaliser, maintenir…, souligne Charles Milardo. En d’autres termes, il ne suffit pas d’acheter des équipe-ments “Silés” pour mettre en place une fonction de

Dossier sécurité fonctionnelle

La fonction instrumentée de sécurité (SIF) rentre dans le cadre général de l’ensemble des moyens mis en place pour une réduction maximale des risques.

Iso

Ingé

nier

ie

Iner

is

Pour en savoir plus- www.icsi-eu.org : ICSI, organisme créé en France suite à l’accident d’AZF à Toulouse en 2001. Sur son site, il met à la disposition de tous, gratuitement, une base de données notamment sur les fréquences d’événements initiateurs, ou sur les probabilités de défaillances des barrières de sécurité ;- www.exera.com : l’association française d’utilisateurs industriels a mis en place un groupe de travail sur les systèmes de sécurité ;- www.safetyusersgroup.com : groupe international d’utilisateurs vient d’éditer un DVD “Hardware Safety Systems Constraints Made Easy” qui décrit les différentes phases du cycle de vie des systèmes de sécurité.