Sécurité fonctionnelle et niveaux d’intégrité de sécurité (SIL)Vers une sécurité accruede vos équipementset installations
Parce que le système de sécurité parfaitn’existe pas, …Dans les établissements industriels, lessystèmes de sécurité ont po...
… mettez à profit les nouveauxoutils méthodologiques!Qu’est-ce que lasécurité fonctionnelle?La sécurité globale, cest labs...
La norme CEI 61508, pour prendre en comptela sécurité fonctionnelleLa norme CEI 61508 utilise une approchebasée sur le ris...
Le SIL, une mesure dela sécurité fonctionnellepage 5Safety Integrity LevelSIL 4SIL 3SIL 2SIL 1Facteur de réduction du risq...
Comment déterminerun SIL ?Cas concret proposé par la norme CEI 62061page 6Qu’est-ce qui est SIL x ?Veillez à éviter un abu...
Comparaison SIL / Niveau de performancepage 7Le graphe ci-dessous permet d’établir un parallèle entre la notion de SIL (se...
©GimélecPromotion-Editionnovembre2004-TousdroitsréservésCréditsphotosDigitalVision,Photodisc,GoodshootIllustrationLuximage...
Prochain SlideShare
Chargement dans…5
×

Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)

1 472 vues

Publié le

Vers une sécurité accrue de vos équipements et installations

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 472
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
28
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)

  1. 1. Sécurité fonctionnelle et niveaux d’intégrité de sécurité (SIL)Vers une sécurité accruede vos équipementset installations
  2. 2. Parce que le système de sécurité parfaitn’existe pas, …Dans les établissements industriels, lessystèmes de sécurité ont pour objectifde réduire le risque d’occurrence desdéfaillances dangereuses du matériel.L’utilisation des fonctions de sécuritépermet à l’opérateur de satisfaire leservice demandé tout en garantissant laprotection de l’équipement, des per-sonnes, de l’environnement et des biens.Les Systèmes de Sécurité couvrent desdomaines variés tels les process pétro-chimiques, les machines-outils, lespresses, les scies circulaires, mais aussiles systèmes de freinage automobile, lesascenseurs, etc.Utilisés parfois comme moyens deprévention, ces systèmes comportentune proportion grandissante de systèmesélectriques, électroniques ou encoreélectroniques programmables (E/E/EP).Ces nouveaux équipements sont habi-tuellement complexes; dans la pratique,ceci rend difficile la détermination dechaque mode de défaillance par l’examende tous les comportements possibles et laprévision de leurs performances entermes de sécurité.«Bonjour!Ce document a pour but de vousaider à mieux cerner les nouveauxenjeux de la sécurité des équipementset systèmes industriels.Les nouvelles normes, d’applicationvolontaire, mettent à votre dispositiondes méthodologies qui vous aiderontà concevoir et mettre en œuvre unSystème de Sécurité.Leur application exige cependantune certaine expertise ; ce documentguidera vos premiers pas pour vouspermettre de tirer le meilleur partide ces outils… si vous adoptez unedémarche rigoureuse.Au bout du chemin, des bénéficesconséquents pour vous : un systèmeplus sûr génère moins d’incidents !»page 2Parallèlement à ce constat, la responsa-bilité croissante attribuée à l’employeurvis-à-vis de son personnel, les pressionsenvironnementales de plus en plusfortes, l’augmentation des prix desmatières premières et le coût toujoursplus important d’une immobilisationimpromptue accentuent la nécessité pourle responsable d’un établissement indus-triel de définir des exigences de sécuritéde plus en plus draconiennes.C’est pourquoi, la conception et la miseen oeuvre dun Système de Sécuritédoivent aujourd’hui satisfaire un niveaudexigence non seulement en termesde sécurité mais aussi en termes dedisponibilité.Pour répondre à ce nouvel état de fait,les dernières normes de sécuritéfonctionnelle, d’application volontaire,proposent de nouvelles méthodes demanagement des risques dès la concep-tion, en s’appuyant sur des notionscomme le niveau d’intégrité de sécurité(SIL) et en faisant largement appel auxconcepts déjà développés par la sûretéde fonctionnement.
  3. 3. … mettez à profit les nouveauxoutils méthodologiques!Qu’est-ce que lasécurité fonctionnelle?La sécurité globale, cest labsence derisques inacceptables qui pourraientengendrer des blessures physiques,atteindre la santé des personnes direc-tement ou indirectement, dégraderlenvironnement ou altérer la propriété.La sécurité fonctionnelle est une partiede la sécurité au sens général, quidépend d’un système ou d’un équipe-ment répondant correctement auxentrées de ce dernier.> Par exemple, un dispositif de protection desurchauffe, qui utilise une sonde de températuredans les bobinages dun moteur électrique etcoupe l’alimentation du moteur avant que lesbobinages ne dépassent une température excessive,est un exemple de la sécurité fonctionnelle.Mais prévoir une isolation spécifique pourrésister à des températures élevées nest pas unexemple de la sécurité fonctionnelle (même s’ilest du ressort de la sécurité et peut protégercontre le même danger).Les fonctions de sécurité et lessystèmes relatifs à la sécuritéDune façon générale, les phénomènesdangereux significatifs pour un équipe-ment et tous ses systèmes de contrôle-commande associés doivent être identifiéspar le spécificateur ou le concepteur àpartir dune analyse des phénomènesdangereux. Si une réduction des risquesest nécessaire, alors la sécurité fonction-nelle doit être prise en considération dunefaçon appropriée dans la conception.> La sécurité fonctionnelle est juste une façond’éliminer ou de réduire les phénomènes dan-gereux. D’autres moyens, tels que la sécuritéintrinsèque utilisée dans la conception, sontd’une importance primordiale.Le terme «relatif à la sécurité» estemployé pour décrire les systèmes quisont prescrits pour réaliser une fonctionou des fonctions spécifiques pours’assurer que les risques sont maintenusà un niveau acceptable. De telles fonc-tions dont la défaillance peut entraînerun accroissement immédiat du ou desrisques sont, par définition, des fonc-tions de sécurité.Comment prendre en compte la sécurité fonctionnelleLe défi est de concevoir le système de façon à empêcher des défaillancesdangereuses ou de les maîtriser quand elles surviennent.> Les défaillances dangereuses peuvent provenir des :- spécifications incorrectes du système, du matériel ou du logiciel,- omissions dans les spécifications des prescriptions concernant la sécurité,- mécanismes de défaillance aléatoire du matériel,- mécanismes de défaillance systématique du matériel,- erreurs de logiciel,- défaillances de mode commun,- erreurs humaines,- influences environnementales,- perturbations du système d’alimentation électrique- etc.La sécurité fonctionnelle correspond à la réduction des risques à unniveau inférieur ou égal au risque tolérable. On obtient généralement cetteréduction par l’action cumulée de plusieurs types de systèmes de sécurité(voir illustrations ci-dessous).Risque brutinitialSans aucunesécuritéNiveau du risqueNiveaudeprotectionRisquetolérableAvec lessécuritésRisquerésiduelRéduction nécessaire du risqueRéduction réelle du risqueréalisée par tous les systèmes relatifs à la sécurité etles dispositifs externes de réduction du risqueSystèmes E/E/EP relatifs à la sécuritéSystèmes relatifs à la sécuritébasés sur dautres technologiesMoyen(s) externe(s) de réduction du risquePassif (mur, fossé, ... )Actif (soupape, disque de rupture, ...)Sécurité FonctionnelleIntervention humaineProcesst1 t2 t3 t4 tempspage 3
  4. 4. La norme CEI 61508, pour prendre en comptela sécurité fonctionnelleLa norme CEI 61508 utilise une approchebasée sur le risque encouru afin de déterminerles prescriptions nécessaires concernant linté-grité de sécurité des systèmes E/E/EP relatifsà la sécurité. Elle contient des exemples illus-trant cette démarche.Elle décrit un modèle de cycle de vie desécurité global servant de cadre aux activitésqui sont nécessaires pour s’assurer que lasécurité fonctionnelle est réalisée par lessystèmes E/E/EP relatifs à la sécurité. Ellecouvre toutes les activités de ce cycle de vie desécurité depuis la conceptualisation initiale, enpassant par lanalyse des dangers et l’évaluationdu risque, la détermination des prescriptionsconcernant la sécurité, la conception, l’exploi-tation, la maintenance, les modifications,jusqu’à la mise hors service et la dépose.La norme CEI 61508 englobe les aspects aléa-toires (ex. défaillance des composants) et lesaspects systématiques (ex. erreurs de concep-tion). Elle comporte à la fois les prescriptionspour empêcher les défaillances (évitant lintro-duction de pannes) et les prescriptions pour lecontrôle des défaillances (assurant la sécuritémême lorsque les pannes sont présentes).Enfin, elle spécifie les techniques et lesmesures qui sont nécessaires pour réaliserlintégrité de sécurité prescrite.fréquencegravitéDeux voies de réduction des risquesZone de risques inacceptablesZone de risques tolérablesPréventionProtectionpage 4« La norme CEI 61511 sadresse auxconcepteurs de systèmes, la CEI 61508aux concepteurs de dispositifs (produits),pour les produits incluant une SIF(Fonction instrumentée de sécurité).Une fonction instrumentée est unefonction réalisée à partir de capteurs etdactionneurs gérés par un API ou unsystème de commande réparti.»«Chaque risque est le produit d’unegravité par une fréquence d’occurence.Pour le réduire, on cherchera à diminuerla probabilité qu’il survienne (c’est lafonction des systèmes de prévention)et à en atténuer les conséquences(en améliorant la protection). La normeCEI 61508 aide à structurer une poli-tique de prévention et de protection.»Sécurité systèmes Sécurité équipements/systèmesProcess(continu et batch)CEI 61511 CEI 61508-3ENISO 13849-1ProjetCEI 61800-5-2CEI 61508Machines(process manufacturier)Automatismespourmachines(logiciel inclus)Electromécaniqueet électroniqueComposantssimplesEntraînementsLogicielsCEI 62061Des normes complémentairesDeux types de prescriptions sont nécessairespour réaliser la sécurité fonctionnelle :- les prescriptions concernant la fonction desécurité (ce que réalise la fonction),- les prescriptions concernant lintégrité desécurité (la probabilité pour quune fonctionde sécurité soit réalisée dune manièresatisfaisante).Les prescriptions concernant la fonction desécurité sont dérivées de lanalyse desphénomènes dangereux et les prescriptionsconcernant l’intégrité de sécurité sont dérivéesdune évaluation du risque. Plus le niveaudintégrité de sécurité est élevé, plus la pro-babilité de défaillance dangereuse est faible.
  5. 5. Le SIL, une mesure dela sécurité fonctionnellepage 5Safety Integrity LevelSIL 4SIL 3SIL 2SIL 1Facteur de réduction du risque10-5 à 10 -410-9 à 10 -810-4 à 10 -310-8 à 10 -710-3 à 10 -210-7 à 10 -610-2 à 10 -110-6 à 10 -510 000 à 100 000---1 000 à 10 000---100 à 1 000---10 à 100---Systèmes fortement sollicités (plus dune fois par an) : PFHd = λDU équivalentλDU = taux de défaillance dangereuse non détectée par auto-test ou test de diagnosticPFHd = nombre moyen de passages à létat dangereux sur la durée de vie du produit(exprimé en h-1)Systèmes faiblement sollicités (moins dune fois par an) :PFDaverage = Probabilité moyenne de défaillance lors dune sollicitationPFDaverage dépend du λDU , de larchitecture (redondances), de TI (périodicité du test),du MTTR et de ß (facteur de mode commun)PFHd(pour des systèmes fortement sollicités*)PFDaverage(pour des systèmes faiblement sollicités*)*PFDaverage =PFHd =La CEI 61508 définit 4 niveaux de performancede sécurité pour une fonction de sécurité.Ceux-ci sappellent des niveaux dintégrité desécurité. Le niveau 1 dintégrité de sécurité(SIL1) est le niveau le plus bas tandis que leniveau 4 (SIL4) est le niveau le plus élevé.La norme détaille les prescriptions nécessairespour répondre aux exigences de chaqueniveau dintégrité de sécurité. Ces prescriptionsdeviennent plus rigoureuses à mesure que leniveau de SIL s’élève en vue d’obtenir laprobabilité d’une défaillance dangereuse deplus en plus faible.La CEI 62061 s’est quant à elle limitée àl’utilisation des 3 premiers niveaux de SILpour l’application machines.Un système E/E/EP relatif à la sécurité intégrerasouvent plus dune fonction de sécurité. Si lesprescriptions concernant lintégrité de sécuritépour ces fonctions de sécurité diffèrent, lesprescriptions, applicables au niveau approprié leplus élevé dintégrité de sécurité, sappliquerontau système entier E/E/EP relatif à la sécurité, àmoins quil y ait une indépendance suffisanted’intégration entre ces fonctions.
  6. 6. Comment déterminerun SIL ?Cas concret proposé par la norme CEI 62061page 6Qu’est-ce qui est SIL x ?Veillez à éviter un abus de langage fréquent:c’est la fonction de sécurité réalisée par un produit qui est SIL xet non le produit en tant que tel. Il est plus correct de dire que leproduit «a une capacité de SIl x» (SILcapability) s’il est utiliséconformément à son manuel de sécurité (safety manual).2èmeétapeEstimation du risque, conduite pour chaquephénomène dangereux en déterminant lesparamètres du risque, cest-à-dire la sévéritédes blessures ou dommages à la santé (Se) etla probabilité dapparition dun dommage.Cette dernière est fonction de :• la fréquence et la durée dexposition (Fr)• la probabilité dun événement dangereux(Pr)• la probabilité dévitement ou de limitationdun dommage (Av)La somme de ces trois paramètres détermine laclasse de probabilité d’un dommage.1èreétapeIdentification des phénomènes dangereux ycompris ceux résultant dun mauvais usageraisonnablement prévisible.Lutilisation du tableau aboutit à un niveau deSIL 3 attribué au système de sécurité destiné àtraduire ce phénomène dangereux particulier.N° Phénomène dangereux Se Fr Pr Av Cl1 x 3 4 5 5 142+ + =+ + =Classe Cl Fréquence etdurée (Fr)Probabilité d’évén.dangereux (Pr)Evitement(Av)ConséquencesMort, perte d’un œil ou d’un bras 4 SIL 2 SIL 2 SIL 23-4 5-7 8-10SIL 2 SIL 3 < 1 h Très forte11-13 14-15Sévérité(Se)N° Phénomène dangereux Se Fr Pr Av Cl1 x2+ =+ + =Permanentes, perte des doigts 3 AM SIL 1 SIL 2 SIL 3 > 1 h < 1 jour ProbableRéversibles, suivi médical 2 AM SIL 1 SIL 2 > 1 jour < 2 sem. PossibleRéversibles, premiers soins 15543254321531AMAM : autres mesuresSIL 1 > 2 sem. < 1 an Rare> 1 an NégligeableImpossiblePossibleProbable
  7. 7. Comparaison SIL / Niveau de performancepage 7Le graphe ci-dessous permet d’établir un parallèle entre la notion de SIL (selon la CEI 61508)et de niveau de performance (selon la prEN ISO 13849-1) :PremièredéfaillanceDétection+diagnosticRéparationRéglages+testsRemise enserviceMise enserviceRemise enserviceSecondedéfaillanceTempsEtat de marcheEtat de panneMTTRMTTF MTBFMDT MUT MDT MUTMTBFMTBF Moyenne des temps de bon fonctionnement(Mean operating Time Between Failure)Espérance mathématique de la durée de bon fonctionnementMTTR Durée moyenne de panne; moyenne des tempspour la tâche de réparation (Mean Time To Repair)Espérance mathématique de la durée de panne.MUT Durée moyenne de disponibilité (Mean Up Time)Espérance mathématique de la durée de temps de disponibilitéMDT Durée moyenne d’indisponibilité (Mean Down Time)Espérance mathématique de la durée de temps d’indisponibilitéBnulle1nulle2faible2moyen3faible3moyen4élevéabcdeNiveau de performanceprEN ISO 13849-1SILCEI 61508CatégorieProbabilité de défaillancedangereuse par heureCouverturedu diagnosticDéfaillances dangereuses par annéeet pour 10 000 systèmes0,911239909009000MTTFd = faibleMTTFd = moyenMTTFd = élevé(MTTFd pour un seul canal)10-410-510-610-710-8* Aucune prescription de sécurité particulière*MTTF, MTBF : des définitions à préciserMTTF Durée moyenne de fonctionnement avantdéfaillance (Mean Time To Failure)Espérance mathématique de la durée de fonctionnement avant défaillanceMTTFd Durée moyenne de fonctionnementavant défaillance dangereuseEspérance mathématique de la durée de fonctionnement avantdéfaillance dangereuse
  8. 8. ©GimélecPromotion-Editionnovembre2004-TousdroitsréservésCréditsphotosDigitalVision,Photodisc,GoodshootIllustrationLuximagePour en savoir plus…Glossaire Sources CEI 61508 et VEI 191Documentations de référence :* CEI 61508-0* CEI 61508-1 à 7* CEI 61511-1 à 3* CEI 61800-5-2* CEI 62061* prEN ISO 13849-1 (EN 954-1)* EN ISO 13849-2 (EN 954-2)Les adhérents du secteur «Automatismes, contrôle-commande et instrumentation»du Gimélec :Sécurité fonctionnelle (Functional safety)Sous-ensemble de la sécurité globale se rapportant à l’Equipement(EUC) et au système de commande de l’Equipement (EUC) qui dépenddu fonctionnement correct des systèmes E/E/PE relatifs à la sécurité,des systèmes relatifs à la sécurité basés sur une autre technologie etdes dispositifs externes de réduction de risqueE/E/PE : Electrical and/or electronic and/or programmable electronicEUC: Equipment Under Control – Matériel commandéSystème de sécurité - Système relatif à la sécurité(Safety-related system)Un tel système est un système qui, à la fois- met en œuvre les fonctions de sécurité requises pour atteindre unétat de sécurité de l’Equipement (EUC) ou pour maintenir un tel état ;- est prévu pour atteindre, par lui même ou grâce à des systèmesE/E/PE relatifs à la sécurité, ou des systèmes relatifs à la sécurité baséssur une autre technologie ou des dispositifs externes de réduction derisque, le niveau d’intégrité de sécurité nécessaire à la mise en œuvredes fonctions de sécurité requises.Fonction de sécurité (safety function)Fonction à réaliser par un système E/E/PE relatif à la sécurité, par unsystème relatif à la sécurité basé sur une autre technologie, ou par undispositif externe de réduction de risque, prévue pour assurer oumaintenir un état de sécurité de l’Equipement (EUC) par rapport à unévénement dangereux spécifique (voir 3.4.1)Intégrité de sécurité (Safety integrity)Probabilité pour qu’un système relatif à la sécurité exécute de manièresatisfaisante les fonctions de sécurité requises dans toutes les conditionsspécifiées et dans une période de temps spécifié.Niveau d’intégrité : SIL (Safety Integrity Level)Niveau discret (parmi quatre possibles) permettant de spécifier les pres-criptions concernant l’intégrité de sécurité des fonctions de sécurité àallouer aux systèmes E/E/PE relatifs à la sécurité. Le niveau 4 d’intégritépossède le plus haut degré d’intégrité ; le niveau 1 possède le plus bas.Dommage (Harm)Blessure physique ou atteinte à la santé affectant des personnes soitdirectement soit indirectement comme conséquence à un dégât causéaux biens ou à l’environnement.Risque (Risk)Une combinaison de la probabilité d’un dommage et de sa gravité.Risque tolérable (tolerable risk)Risque accepté dans un certain contexte et fondé sur les valeurs actuellesde la société.Défaillance (Failure)Cessation de l’aptitude d’une entité à accomplir une fonction requiseDéfaillance dangereuse (Dangerous failure)Défaillance qui a la potentialité de mettre le système relatif à la sécuritédans un état dangereux ou dans limpossibilité dexécuter sa fonctionDéfaillance en sécurité (Safe faillure)Défaillance qui n’a pas la potentialité de mettre le système relatif à lasécurité dans un état dangereux ou dans l’impossibilité d’exécuter safonctionPanne (Fault)Etat d’une entité inapte à accomplir une fonction requise, non comprisel’inaptitude due à la maintenance préventive ou à d’autres actions pro-grammées ou due à un manque de moyens extérieurs.Erreur (Error)Ecart ou discordance entre une valeur ou une condition calculée, observéeou mesurée, et la valeur ou la condition vraie, prescrite ou théoriquementcorrecte.23 rue Galilée • 75116 Paris • Tél./Fax 01 40 70 07 69gimelec-promotion@gimelec-promotion.frABBACTEMIUMALSTOMAMEC SPIEAREVA T&DATEMATIONAUTOMATISME & CONTRÔLEBOSCH REXROTHCEGELECCROUZET AUTOMATISMESDANFOSSDATA SYSTEMS & SOLUTIONSDATASENSOREMERSON PROCESS MANAGEMENTENDRESS+HAUSERFOXBOROFUJI ELECTRICGE FANUCHONEYWELLIFM ELECTRONICINEOKEBKROHNELENZEMOELLER ELECTRICMOTEURS LEROY-SOMEROMRON ELECTRONICSPEPPERL+FUCHSPHOENIX CONTACTPILZROCKWELL AUTOMATIONSCHNEIDER ELECTRICSEW-USOCOMESICKSIEMENSSSD DRIVESTURCK-BANNERYOKOGAWA

×