Photovoltaïque : normes et règlements, premiers retours experience
Sécurité fonctionnelle et niveaux d'intégrité de sécurité (SIL)
1. Sécurité fonctionnelle et niveaux d’intégrité de sécurité (SIL)
Vers une sécurité accrue
de vos équipements
et installations
2. Parce que le système de sécurité parfait
n’existe pas, …
Dans les établissements industriels, les
systèmes de sécurité ont pour objectif
de réduire le risque d’occurrence des
défaillances dangereuses du matériel.
L’utilisation des fonctions de sécurité
permet à l’opérateur de satisfaire le
service demandé tout en garantissant la
protection de l’équipement, des per-
sonnes, de l’environnement et des biens.
Les Systèmes de Sécurité couvrent des
domaines variés tels les process pétro-
chimiques, les machines-outils, les
presses, les scies circulaires, mais aussi
les systèmes de freinage automobile, les
ascenseurs, etc.
Utilisés parfois comme moyens de
prévention, ces systèmes comportent
une proportion grandissante de systèmes
électriques, électroniques ou encore
électroniques programmables (E/E/EP).
Ces nouveaux équipements sont habi-
tuellement complexes; dans la pratique,
ceci rend difficile la détermination de
chaque mode de défaillance par l’examen
de tous les comportements possibles et la
prévision de leurs performances en
termes de sécurité.
«Bonjour!
Ce document a pour but de vous
aider à mieux cerner les nouveaux
enjeux de la sécurité des équipements
et systèmes industriels.
Les nouvelles normes, d’application
volontaire, mettent à votre disposition
des méthodologies qui vous aideront
à concevoir et mettre en œuvre un
Système de Sécurité.
Leur application exige cependant
une certaine expertise ; ce document
guidera vos premiers pas pour vous
permettre de tirer le meilleur parti
de ces outils… si vous adoptez une
démarche rigoureuse.
Au bout du chemin, des bénéfices
conséquents pour vous : un système
plus sûr génère moins d’incidents !»
page 2
Parallèlement à ce constat, la responsa-
bilité croissante attribuée à l’employeur
vis-à-vis de son personnel, les pressions
environnementales de plus en plus
fortes, l’augmentation des prix des
matières premières et le coût toujours
plus important d’une immobilisation
impromptue accentuent la nécessité pour
le responsable d’un établissement indus-
triel de définir des exigences de sécurité
de plus en plus draconiennes.
C’est pourquoi, la conception et la mise
en oeuvre d'un Système de Sécurité
doivent aujourd’hui satisfaire un niveau
d'exigence non seulement en termes
de sécurité mais aussi en termes de
disponibilité.
Pour répondre à ce nouvel état de fait,
les dernières normes de sécurité
fonctionnelle, d’application volontaire,
proposent de nouvelles méthodes de
management des risques dès la concep-
tion, en s’appuyant sur des notions
comme le niveau d’intégrité de sécurité
(SIL) et en faisant largement appel aux
concepts déjà développés par la sûreté
de fonctionnement.
3. … mettez à profit les nouveaux
outils méthodologiques!
Qu’est-ce que la
sécurité fonctionnelle?
La sécurité globale, c'est l'absence de
risques inacceptables qui pourraient
engendrer des blessures physiques,
atteindre la santé des personnes direc-
tement ou indirectement, dégrader
l'environnement ou altérer la propriété.
La sécurité fonctionnelle est une partie
de la sécurité au sens général, qui
dépend d’un système ou d’un équipe-
ment répondant correctement aux
entrées de ce dernier.
> Par exemple, un dispositif de protection de
surchauffe, qui utilise une sonde de température
dans les bobinages d'un moteur électrique et
coupe l’alimentation du moteur avant que les
bobinages ne dépassent une température excessive,
est un exemple de la sécurité fonctionnelle.
Mais prévoir une isolation spécifique pour
résister à des températures élevées n'est pas un
exemple de la sécurité fonctionnelle (même s’il
est du ressort de la sécurité et peut protéger
contre le même danger).
Les fonctions de sécurité et les
systèmes relatifs à la sécurité
D'une façon générale, les phénomènes
dangereux significatifs pour un équipe-
ment et tous ses systèmes de contrôle-
commande associés doivent être identifiés
par le spécificateur ou le concepteur à
partir d'une analyse des phénomènes
dangereux. Si une réduction des risques
est nécessaire, alors la sécurité fonction-
nelle doit être prise en considération d'une
façon appropriée dans la conception.
> La sécurité fonctionnelle est juste une façon
d’éliminer ou de réduire les phénomènes dan-
gereux. D’autres moyens, tels que la sécurité
intrinsèque utilisée dans la conception, sont
d’une importance primordiale.
Le terme «relatif à la sécurité» est
employé pour décrire les systèmes qui
sont prescrits pour réaliser une fonction
ou des fonctions spécifiques pour
s’assurer que les risques sont maintenus
à un niveau acceptable. De telles fonc-
tions dont la défaillance peut entraîner
un accroissement immédiat du ou des
risques sont, par définition, des fonc-
tions de sécurité.
Comment prendre en compte la sécurité fonctionnelle
Le défi est de concevoir le système de façon à empêcher des défaillances
dangereuses ou de les maîtriser quand elles surviennent.
> Les défaillances dangereuses peuvent provenir des :
- spécifications incorrectes du système, du matériel ou du logiciel,
- omissions dans les spécifications des prescriptions concernant la sécurité,
- mécanismes de défaillance aléatoire du matériel,
- mécanismes de défaillance systématique du matériel,
- erreurs de logiciel,
- défaillances de mode commun,
- erreurs humaines,
- influences environnementales,
- perturbations du système d’alimentation électrique
- etc.
La sécurité fonctionnelle correspond à la réduction des risques à un
niveau inférieur ou égal au risque tolérable. On obtient généralement cette
réduction par l’action cumulée de plusieurs types de systèmes de sécurité
(voir illustrations ci-dessous).
Risque brut
initial
Sans aucune
sécurité
Niveau du risque
Niveaudeprotection
Risque
tolérable
Avec les
sécurités
Risque
résiduel
Réduction nécessaire du risque
Réduction réelle du risque
réalisée par tous les systèmes relatifs à la sécurité et
les dispositifs externes de réduction du risque
Systèmes E/E/EP relatifs à la sécurité
Systèmes relatifs à la sécurité
basés sur d'autres technologies
Moyen(s) externe(s) de réduction du risque
Passif (mur, fossé, ... )
Actif (soupape, disque de rupture, ...)
Sécurité Fonctionnelle
Intervention humaine
Process
t1 t2 t3 t4 temps
page 3
4. La norme CEI 61508, pour prendre en compte
la sécurité fonctionnelle
La norme CEI 61508 utilise une approche
basée sur le risque encouru afin de déterminer
les prescriptions nécessaires concernant l'inté-
grité de sécurité des systèmes E/E/EP relatifs
à la sécurité. Elle contient des exemples illus-
trant cette démarche.
Elle décrit un modèle de cycle de vie de
sécurité global servant de cadre aux activités
qui sont nécessaires pour s’assurer que la
sécurité fonctionnelle est réalisée par les
systèmes E/E/EP relatifs à la sécurité. Elle
couvre toutes les activités de ce cycle de vie de
sécurité depuis la conceptualisation initiale, en
passant par l'analyse des dangers et l’évaluation
du risque, la détermination des prescriptions
concernant la sécurité, la conception, l’exploi-
tation, la maintenance, les modifications,
jusqu’à la mise hors service et la dépose.
La norme CEI 61508 englobe les aspects aléa-
toires (ex. défaillance des composants) et les
aspects systématiques (ex. erreurs de concep-
tion). Elle comporte à la fois les prescriptions
pour empêcher les défaillances (évitant l'intro-
duction de pannes) et les prescriptions pour le
contrôle des défaillances (assurant la sécurité
même lorsque les pannes sont présentes).
Enfin, elle spécifie les techniques et les
mesures qui sont nécessaires pour réaliser
l'intégrité de sécurité prescrite.
fréquence
gravité
Deux voies de réduction des risques
Zone de risques inacceptables
Zone de risques tolérables
Prévention
Protection
page 4
« La norme CEI 61511 s'adresse aux
concepteurs de systèmes, la CEI 61508
aux concepteurs de dispositifs (produits),
pour les produits incluant une SIF
(Fonction instrumentée de sécurité).
Une fonction instrumentée est une
fonction réalisée à partir de capteurs et
d'actionneurs gérés par un API ou un
système de commande réparti.»
«Chaque risque est le produit d’une
gravité par une fréquence d’occurence.
Pour le réduire, on cherchera à diminuer
la probabilité qu’il survienne (c’est la
fonction des systèmes de prévention)
et à en atténuer les conséquences
(en améliorant la protection). La norme
CEI 61508 aide à structurer une poli-
tique de prévention et de protection.»
Sécurité systèmes Sécurité équipements/systèmes
Process
(continu et batch)
CEI 61511 CEI 61508-3
EN
ISO 13849-1
Projet
CEI 61800-5-2
CEI 61508
Machines
(process manufacturier)
Automatismes
pour
machines
(logiciel inclus)
Electromécanique
et électronique
Composants
simples
EntraînementsLogiciels
CEI 62061
Des normes complémentaires
Deux types de prescriptions sont nécessaires
pour réaliser la sécurité fonctionnelle :
- les prescriptions concernant la fonction de
sécurité (ce que réalise la fonction),
- les prescriptions concernant l'intégrité de
sécurité (la probabilité pour qu'une fonction
de sécurité soit réalisée d'une manière
satisfaisante).
Les prescriptions concernant la fonction de
sécurité sont dérivées de l'analyse des
phénomènes dangereux et les prescriptions
concernant l’intégrité de sécurité sont dérivées
d'une évaluation du risque. Plus le niveau
d'intégrité de sécurité est élevé, plus la pro-
babilité de défaillance dangereuse est faible.
5. Le SIL, une mesure de
la sécurité fonctionnelle
page 5
Safety Integrity Level
SIL 4
SIL 3
SIL 2
SIL 1
Facteur de réduction du risque
10-5 à 10 -4
10-9 à 10 -8
10-4 à 10 -3
10-8 à 10 -7
10-3 à 10 -2
10-7 à 10 -6
10-2 à 10 -1
10-6 à 10 -5
10 000 à 100 000
---
1 000 à 10 000
---
100 à 1 000
---
10 à 100
---
Systèmes fortement sollicités (plus d'une fois par an) : PFHd = λDU équivalent
λDU = taux de défaillance dangereuse non détectée par auto-test ou test de diagnostic
PFHd = nombre moyen de passages à l'état dangereux sur la durée de vie du produit
(exprimé en h
-1
)
Systèmes faiblement sollicités (moins d'une fois par an) :
PFDaverage = Probabilité moyenne de défaillance lors d'une sollicitation
PFDaverage dépend du λDU , de l'architecture (redondances), de TI (périodicité du test),
du MTTR et de ß (facteur de mode commun)
PFHd
(pour des systèmes fortement sollicités*)
PFDaverage
(pour des systèmes faiblement sollicités*)
*
PFDaverage =
PFHd =
La CEI 61508 définit 4 niveaux de performance
de sécurité pour une fonction de sécurité.
Ceux-ci s'appellent des niveaux d'intégrité de
sécurité. Le niveau 1 d'intégrité de sécurité
(SIL1) est le niveau le plus bas tandis que le
niveau 4 (SIL4) est le niveau le plus élevé.
La norme détaille les prescriptions nécessaires
pour répondre aux exigences de chaque
niveau d'intégrité de sécurité. Ces prescriptions
deviennent plus rigoureuses à mesure que le
niveau de SIL s’élève en vue d’obtenir la
probabilité d’une défaillance dangereuse de
plus en plus faible.
La CEI 62061 s’est quant à elle limitée à
l’utilisation des 3 premiers niveaux de SIL
pour l’application machines.
Un système E/E/EP relatif à la sécurité intégrera
souvent plus d'une fonction de sécurité. Si les
prescriptions concernant l'intégrité de sécurité
pour ces fonctions de sécurité diffèrent, les
prescriptions, applicables au niveau approprié le
plus élevé d'intégrité de sécurité, s'appliqueront
au système entier E/E/EP relatif à la sécurité, à
moins qu'il y ait une indépendance suffisante
d’intégration entre ces fonctions.
6. Comment déterminer
un SIL ?
Cas concret proposé par la norme CEI 62061
page 6
Qu’est-ce qui est SIL x ?
Veillez à éviter un abus de langage fréquent:
c’est la fonction de sécurité réalisée par un produit qui est SIL x
et non le produit en tant que tel. Il est plus correct de dire que le
produit «a une capacité de SIl x» (SILcapability) s’il est utilisé
conformément à son manuel de sécurité (safety manual).
2ème
étape
Estimation du risque, conduite pour chaque
phénomène dangereux en déterminant les
paramètres du risque, c'est-à-dire la sévérité
des blessures ou dommages à la santé (Se) et
la probabilité d'apparition d'un dommage.
Cette dernière est fonction de :
• la fréquence et la durée d'exposition (Fr)
• la probabilité d'un événement dangereux
(Pr)
• la probabilité d'évitement ou de limitation
d'un dommage (Av)
La somme de ces trois paramètres détermine la
classe de probabilité d’un dommage.
1ère
étape
Identification des phénomènes dangereux y
compris ceux résultant d'un mauvais usage
raisonnablement prévisible.
L'utilisation du tableau aboutit à un niveau de
SIL 3 attribué au système de sécurité destiné à
traduire ce phénomène dangereux particulier.
N° Phénomène dangereux Se Fr Pr Av Cl
1 x 3 4 5 5 14
2
+ + =
+ + =
Classe Cl Fréquence et
durée (Fr)
Probabilité d’évén.
dangereux (Pr)
Evitement
(Av)
Conséquences
Mort, perte d’un œil ou d’un bras 4 SIL 2 SIL 2 SIL 2
3-4 5-7 8-10
SIL 2 SIL 3 < 1 h Très forte
11-13 14-15
Sévérité
(Se)
N° Phénomène dangereux Se Fr Pr Av Cl
1 x
2
+ =
+ + =
Permanentes, perte des doigts 3 AM SIL 1 SIL 2 SIL 3 > 1 h < 1 jour Probable
Réversibles, suivi médical 2 AM SIL 1 SIL 2 > 1 jour < 2 sem. Possible
Réversibles, premiers soins 1
5
5
4
3
2
5
4
3
2
1
5
3
1
AM
AM : autres mesures
SIL 1 > 2 sem. < 1 an Rare
> 1 an Négligeable
Impossible
Possible
Probable
7. Comparaison SIL / Niveau de performance
page 7
Le graphe ci-dessous permet d’établir un parallèle entre la notion de SIL (selon la CEI 61508)
et de niveau de performance (selon la prEN ISO 13849-1) :
Première
défaillance
Détection
+
diagnostic
Réparation
Réglages
+
tests
Remise en
service
Mise en
service
Remise en
service
Seconde
défaillance
Temps
Etat de marche
Etat de panne
MTTR
MTTF MTBF
MDT MUT MDT MUT
MTBF
MTBF Moyenne des temps de bon fonctionnement
(Mean operating Time Between Failure)
Espérance mathématique de la durée de bon fonctionnement
MTTR Durée moyenne de panne; moyenne des temps
pour la tâche de réparation (Mean Time To Repair)
Espérance mathématique de la durée de panne.
MUT Durée moyenne de disponibilité (Mean Up Time)
Espérance mathématique de la durée de temps de disponibilité
MDT Durée moyenne d’indisponibilité (Mean Down Time)
Espérance mathématique de la durée de temps d’indisponibilité
B
nulle
1
nulle
2
faible
2
moyen
3
faible
3
moyen
4
élevé
a
b
c
d
e
Niveau de performance
prEN ISO 13849-1
SIL
CEI 61508
Catégorie
Probabilité de défaillance
dangereuse par heure
Couverture
du diagnostic
Défaillances dangereuses par année
et pour 10 000 systèmes
0,9
1
1
2
3
9
90
900
9000
MTTFd = faible
MTTFd = moyen
MTTFd = élevé
(MTTFd pour un seul canal)
10-4
10-5
10-6
10-7
10-8
* Aucune prescription de sécurité particulière
*
MTTF, MTBF : des définitions à préciser
MTTF Durée moyenne de fonctionnement avant
défaillance (Mean Time To Failure)
Espérance mathématique de la durée de fonctionnement avant défaillance
MTTFd Durée moyenne de fonctionnement
avant défaillance dangereuse
Espérance mathématique de la durée de fonctionnement avant
défaillance dangereuse