3. Sur la Base
Des Normes
IEC-61508, IEC-61511 & ISA TR 84.00.02
Système Instrumenté de Sécurité Fonctionnelle
pour le Secteur de l’Industrie des Procédés
4. Basé
sur
IEC-61508, IEC-61511 et ISA TR
84.00.02 Standards
Système instrumenté de sécurité fonctionnelle
pour le secteur de l'industrie des procédés
5. Contenu
Contexte des Normes
Gestion de la Sécurité Fonctionnelle
Dangers et Risques
Fonctions Instrumentées de Sécurité (SIF)
Détermination SIL par les Méthodes Qualitatives
6. 7 Pièces:
1. Critères généraux
2. Critères pour les systèmes relatifs à la sécurité E / E / PE
3. Logiciels requis
4. Definitions et abbréviations
5. Exemples de méthodes pour la détermination des Niveaux
d’Intégrité de la Sécurité
6. Directives pour l'application des Parties 2 et 3
7. Vue d'ensemble des techniques et des mesures
IEC 61508
TOC
7. Il y avait peu d'indications sur l'intégrité de la conception requise des
fonctions de protection, autre que le QRA
L'avènement des problèmes d'intégrité présentés des PLC
lntégrité du matériel et des logiciels
Fonctions de sécurité d'ingénierie dans les systèmes de commande
et vice versa
Contexte de la Norme 61508 CEI
TOC
8. C’est une des normes spécifiques du secteur
Sécurité fonctionnelle: Systèmes Instrumentés de Sécurité (SIS) pour le secteur des
industries des procédés
En deçà de la norme générique IEC 61508
Publication - 2016 en 3 parties
Partie 1. Cadre général, logiciel de système de définitions
et Critères matériels
Partie 2. Directives de l'application de la partie 1
Partie 3. Directives pour l'application de l'analyse des dangers et des risques
Norme IEC 61511
TOC
9. Process (produits chimiques, pétrole et gaz, papier, production d'énergie
non nucléaire)
Système Instrumenté de Sécurité de bout en bout (SIS)
H / W (matériels), application S / w (logiciels), Gestion et Facteurs
Humains
A l'exclusion des logiciels embarqués ou intégrés
Non destinée aux fournisseurs d'équipements
Gestion du cycle de vie avec 11 phases
(Note: la norme IEC 61508 comporte 16 phases)
Portée de la norme IEC 61511
TOC
10. La Norme IEC-61508 et les Normes
Spécifiques du Secteur
IEC 61508
ED 2-2010
IEC 61513
Industrie
nucléaire
EN 50128
Chemin de
fer
IEC 60601
Équipement
médical
IEC 61511
Industrie Procédés
ED 2-2016
EN 50156
Fours
IEC 62061
Machines
IEC 61800-5-2
Entraînements
électriques
TOC
11. NORMES
SYSTÈME DE
SÉCURITÉ
SECTEUR
PROCEDES
MATÉRIEL
SECTEUR
PROCEDES
LOGICIEL
SECTEUR
PROCEDES
Développement
de nouveaux
dispositifs
matériels
Suivre
IEC 61508
Utilisation de
dispositifs
matériels
éprouvés
Suivre
IEC 61511
Utilisation de
matériels
développés et
evalués selon
IEC 61508
Suivre
IEC 61511
Développement
de logiciel
intégré
(système)
Suivre
IEC 61508-3
Développement
d’un logiciel
d’application
en utilisant
pleinement
les languages
de variabilité
Suivre
IEC 61508-3
Développement
d’un logiciel
d’application
en utilisant
une variabilité
limitée
ou des
programmes fixes
Suivre
IEC 61511
La Relation entre les Normes
IEC 61508 et IEC 61511
TOC
12. Application de Systèmes Instrumentés de Sécurité pour les Industries
des Procédés
Norme nationale des États-Unis
Remplacée par le contenu de la IEC 61511
Nouvelle Norme ANSI / ISA-84.00.01-2015 Parties 1-3 (IEC 61511
Mod), « Sécurité Fonctionnelle: Systèmes Instrumentés de Sécurité
pour le Secteur des Industries des Procédés »
Contexte: ANSI / ISA-TR84.00.02
TOC
13. La norme IEC 61508 définit;
La sécurité comme « la protection contre un risque inacceptable»
La Sécurité Fonctionnelle comme "partie de la sécurité globale
concernant le process et le Système de Contrôle du Process de Base
(BPCS) qui dépend du bon fonctionnement du SIS et des autres couches de
protection” .
Sécurité Fonctionnelle
Définition
TOC
14. Un danger a une ou des
cause (s) spécifique (s)/
et une fréquence ou une
probabilité d’occurrence
d’un événement
ATTENUER LES CONSÉQUENCES
Entraînerait
P
R
É
V
E
N
I
R
Un événement
dangereux avec
des conséquences
indésirables
Contexte et Portée de la Sécurité
Fonctionnelle
TOC
15. Votre sécurité…….
La Sécurité de tous .......
Dépend du bon fonctionnement de la boucle de sécurité
C'est pourquoi vous avez besoin de la Gestion de la Sécurité Fonctionnelle
Gestion de la Sécurité Fonctionnelle
TOC
16. Spécification des
critères 44%
Changements après
Mise en service 20%
Fonctionnement
&
Entretien
15%
Installation &
mise en service
6%
Conception / Mise
en œuvre 15%
Une exigence de gestion multi- disciplinaire et multi organisationnelle - pas facile
Statistiques HSE sur les Causes des
Accidents
TOC
17. Si l’évaluation SIL indique que vous avez besoin d'une boucle de sécurité de
type SIL 1, cela signifie alors que sans cette boucle de sécurité, le risque
réel de décès * est plus de 10 fois supérieur à la limite de tolérabilité.
Une boucle de type SIL 2 signifie que sans cette boucle, le risque réel d'un
accident final est plus de 100 fois supérieur à la limite de votre cible
tolérable.
Une boucle de type SIL 3 signifie que sans cette boucle, le risque réel d'un
accident final est plus de 1000 fois supérieur à la limite de votre cible
tolérable.
Gestion de la Sécurité Fonctionnelle
TOC
18. Une boucle de type SIL 4 signifie que sans cette boucle, le risque réel d'un
accident final est plus de 10.000 fois supérieur à votre cible tolérable.
La boucle SIL a été prévue pour la protection des personnes. La boucle SIL
peut avoir été prévue pour la protection de l'environnement ou des actifs.
Gestion de la sécurité fonctionnelle
TOC
19. Exigences:
Générales:
Politique et stratégie définies pour réaliser la sécurité
Moyens définis pour évaluer sa réalisation
Un Système de Gestion de la Sécurité
Pour s’assurer que les systèmes instrumentés de sécurité sont appropriés.
Organisation:
Personnes, départements et organisations responsables
Identifiés pour chacune des phases du cycle de vie
S’assurer de la compétence à chaque étape
Connaissances, formation, expérience et application
Connaissance des dispositions légales et de sécurité
Compréhension des risques et des conséquences
Compréhension de la nouveauté et de la complexité de la technologie
Gestion de la sécurité fonctionnelle
TOC
20. Exigences:
Maintenance de l’Information (Test d’Audit)
Résultats de l'évaluation des dangers et des risques
Exigences en matière de Sécurité
Equipement utilisé pour les SIFs
Organisation responsable de la sécurité fonctionnelle
Procédures pour le développement et la maintenance du SIS
Informations relatives aux modifications
Evaluation et Gestion des risques
Identifier et évaluer les dangers
Déterminer les mesures nécessaires de réduction des risques
Planification
Activités, départements et personnes ( « Plan de Sécurité »)
Gestion de la Sécurité Fonctionnelle
TOC
21. Exigences
Mise en œuvre et suivi des procédures
Analyse des dangers et évaluation des risques
Conception
Activités d'évaluation
Activités de vérification
Activités de validation
Gestion de la configuration du logiciel
Planification et procédures pour
Acquisition de logiciels
Développement
Intégration
Vérification
Validation
Modification
Gestion de la Sécurité Fonctionnelle
TOC
22. Exigences
Évaluation, audit et révisions
Evaluation de la sécurité fonctionnelle (membres de l'équipe)
Etape 1- après évaluation des dangers et des risques, spécification des exigences
des couches de protection et de sécurité requises
Etape 2- Après la conception du SIS
Etape 3- Après que les procédures d’installation, de pré-mise en service, de
validation finale, d’exploitation et de maintenance ont été développées
Étape 4- Après avoir acquis une expérience dans l'exploitation et la maintenance
Etape 5- Avant le déclassement (mise hors service) d'un SIS
Gestion de la sécurité fonctionnelle
TOC
23. 9. Spécification des exigences
Sécurité E / E / PE
10. Réalisation des systèmes liés à la
sécurité E / E / PE
12. Installation et
mise en service générales
13. Validation générale de sécurité
2. définition globale de la portée
3. Analyse des dangers et des risques
4. Exigences générales de sécurité
5. Allocation des exigences générales de sécurité
14. Exploitation, maintenance et réparation
générales
16. Mise hors service ou
élimination
Retour à la phase générale du cycle
de vie de sécurité appropriée
7. Planification
générale de la
validation de la
sécurité
8. Planification
générale de
l'installation et de la
mise en service
11. Mesures extérieures
de réduction des risques:
Spécification et Réalisation
Cycle de Vie de la Sécurité Générale
CEI 61508
15. Modification et modernisation générales
Planification générale
6. Planification
générale de
l’exploitation et
de la
maintenance
1. Concept
TOC
24. Gestion
de la Sécurité
Fonctionnelle
et
Évaluation
de la sécurité
Fonctionnelle
et
Audit
Article 5
Structure et
planification
du cycle de
vie de la
sécurité
Article 6.2
Vérification
Articles 7,
12.4, et 2.7
10 11 9
Analyse des dangers et
des risques
Article 8
1 Répartition des fonctions de
sécurité selon les couches de
protection
Article 9
2
Spécification des exigences de sécurité
pour le système instrumenté de
sécurité
Articles 10 et 12
3
Conception et ingénierie du
Système Instrumenté de
Sécurité
Articles 11 et 12
4
Conception et
Développement
d'autres moyens de ·
réduction des Risques
Article 9
Installation, mise en service
et validation
Articles 14 et 15
5
Exploitation et Maintenance
Article 16
6
Modification
Article 17
7
Mise hors service
Article 18
8
Légende:
Direction typique du flux
d'information
Pas d'exigences détaillées
mentionnées dans cette norme
REMARQUES:
1. Les étapes 1 à 5 inclusivement sont
définies dans l’Article 5.2.6.1.3.
2. Toutes les références sont pour la
partie 1, sauf indication contraire.
Étape 1
étape 2
étape 5
Etape 4
étape 3
Cycle de vie général Sécurité IEC
61511
IEC 61511 - Partie 1 -
phases du cycle de vie de
sécurité du SIS et étapes
d'évaluation de la sécurité
fonctionnelle
Exigences mentionnées dans la
présente norme.
TOC
25. Sécurité du cycle de vie
Planifica
tion
Evaluer la
sécurité
fonct'I
Evaluer des
risques
Concevoir
de manière
appropriée
Identifier les
dangers
Spec;
exigences
SIS
Évaluer la
sécurité
fonct'I
Evaluer la
sécurité fonct'I
Evaluer la
sécurité
fonct'I
Evaluer la
sécurité fonct'I
Installer et
mettre en
service
Valider les
exigences
Exploiter et
Maintenir
Enregistrer
et répertorier
Surveiller
Examiner et
vérifier
Modifier
TOC
26. La première étape la plus fondamentalement importante dans la sélection des
cibles SIL, et de l'ensemble du cycle de vie de sécurité, consiste à identifier les
dangers et les risques d'un process. Comme on pouvait s'y attendre, si les
dangers et les risques ne sont pas connus, il est extrêmement difficile de les
gérer.
Qu'est-ce qu'un risque?
La source potentielle de dommage.
Le dommage étant:
Une blessure ou un dommage physique à la santé des personnes ou un dommage
aux biens ou à l'environnement
Le dommage causé aux personnes peut être direct ou indirect à la suite de dommages
aux biens ou à l'environnement.
Dangers et risques
TOC
27. Etudes des Dangers Process
Etude des Dangers................... ...... .1 ..2 ... ..3 ......... 4 .................. 5 ......... ..6
Développement de process .......
Définition du process ................
Conception du Process……………………..
Achat et Construction .....................
Mise en service ......................................................... ..
Exploitation………………………………………………………….........
Phases de l‘Etude du Danger
TOC
28. Étude de danger 1:
S’assurer que la compréhension du projet, des process et des matériaux mis en
jeu est suffisant pour permettre la prise en compte adéquate des questions liées
à la sécurité, à la santé et à l'environnement.
Matériaux, transport, process, localisation, codes de pratiques, etc.
Étude de danger 2:
Identifier les dangers importants et veiller à ce qu’il y ait des mesures
appropriées pour éliminer le risque ou réduire les risques à un niveau tolérable.
Identification des dangers, causes, conséquences, mesures de réduction
des risques, philosophie de secours et de contrôle, procédures d'urgence,
etc.
BUT DES ÉTUDES DE DANGER
TOC
29. Étude de danger 3 - HAZOP:
Identifier les dangers ou les problèmes de fonctionnement sur la
base des écarts crédibles par rapport à l'intention de conception.
Réalisée pour chaque ligne de process et chaque noeud principal
d’équipements
La méthodologie est basée sur des paramètres et un« examen des
mots-guides » des éléments d'une installation ou d'un système
BUT DES ÉTUDES DE DANGER
TOC
30. Quand faut-il effectuer l'étude HAZOP?
P & ID
Schémas et
interfaces
Conception de
Base Engg.
Sortie pour la
conception
détaillée et la
construction
Conception des
garde-fous
HAZOP
PHA / Haz 2
Etude de Danger 3 - HAZOP
P & ID
P & ID
P & ID
P & ID
Voyages et
alarmes
TOC
31. Études HAZOP
Introduites pour la 1ere fois par l’ICI suite à la catastrophe
de Flixborough (Nypro UK), en 1974
28 personnes ont été tuées
36 autres ont été blessées
Une étude détaillée et un reporting technique pour identifier
les dangers en:
Interrogeant systématiquement chaque partie d'un process;
Établissant la manière dont les écarts par rapport à l'intention de
conception peuvent se produire
Identifier la nécessité de garde-fous
Dangers et Opérabilité
TOC
32. HAZOP
La Directive Seveso II de
l’Union européenne impose
aux opérateurs de MENER
DES ACTIONS en vue
d’identifier tous les dangers.
IEC 61882 - Guide
d'application études
Hazop
Réactions et
Finalisation
Identifier les
garde-fous
Conception des
procédés
mécaniques,
procédurale, etc.
Garde-fous basés
sur les instruments
Évaluation des
risques SIL
MENER DES
Actions
Vue d'ensemble HAZOP
TOC
33. Paramètre ou
élément
Qui peuvent donner mots guides une combinaison significative
Débit Aucun;plus de; moins de; inverse; autre part; ainsi que
Température Plus élevé; Inférieur
Pression Plus haute; Inférieure; inverse
Niveau Aucun;Plus élevé; Inférieur
Mélange Moins;Plus; Aucun
Réaction
Plus élevé (taux de); plus faible (taux de); aucun; inverse; ainsi
que
Phase Autre; inverse; ainsi que
Composition Partie de; ainsi que
Communication Aucun;partie de; plus de; moins de; ainsi bien
Paramètres typiques et mots-guides
TOC
34. Guideword Sens
PAS ou NON (aucun) Aucune des intentions de conception n’est réalisée
PLUS (plus de, plus élevé, haute) Augmentation quantitative
MOINS Diminution quantitative
AINSI QUE (plus de)
Modification qualitative ou une activité
supplémentaire se produit
PARTIE DE
Seule une partie de l'intention de conception est
réalisée
INVERSE inverse logique de l'intention de conception
AUTRE QUE Substitution achevée - une autre activité a lieu
Mots-guides de Base et Significations
TOC
35. La combinaison de paramètres et de mots-guides génère des
déviations (écarts), dont certaines sont crédibles et d’autres pas.
Mot-Guide Paramètre Déviation Possible
+
Créer des Déviations
L'équipe de l'étude Hazop a pour tâche de
décider quels éléments sont applicables et
de décider ensuite quels écarts sont
crédibles pour chaque élément
TOC
36. Causes et conséquences
Déviation possible Causes Conséquences
MOT-GUIDE DEVIATION La déviation est-elle possible? Oui ou non
Quelles sont les causes?
A quelle fréquence la déviation se produit-elle?
Quelles sont les conséquences?
Quelle est la gravité des conséquences?
Quels sont les garde-fous existants pour, soit éviter la
déviation, soit se protéger contre les conséquences?
La situation est-elle acceptable? (Risque)
Que faut-il faire pour prévenir l'événement ou s’en
protéger? Recommandations, actions)
Par qui ? (Désignez une personne dans l'équipe) TOC
37. Étude de danger 4:
Pour s’assurer que ce projet a été construit comme prévu et que les actions
des études antérieures Hazop ont été réalisées et intégrées dans la
conception et l'installation.
Examen de la conception et de la construction fait après que la construction
soit complètement achevée, mais avant que les documents de process soient
introduits
Equipements et matériels selon la conception
Validation de l'achèvement des actions des précédentes études Hazop
Systèmes et procédures d'urgence sont en place
Mode d'emploi est disponible et formation adéquate des employés
BUT DES ÉTUDES DE DANGER
TOC
38. Étude de danger 5:
Donner l’opportunité aux responsables de la sécurité des personnes, de la
protection de la santé des employés et de l'environnement sur le site de
s'assurer que le projet répond aux exigences de la société, aux exigences
légales et et aux exigences législatives.
S’assurer que les systèmes de sécurité, de gestion de l'environnement et de
santé et que les procédures sont en place;
S’assurer que les systèmes d'urgence sont opérationnels.
Étude de danger 6:
Passer en revue les premières périodes d’exploitation (après 3-6 mois) pour
s’assurer que tout est conforme à l'intention de conception, en matière de
sécurité, de santé et d'environnement.
S’assurer que tous les documents ont été mis à jour;
S’assurer que les modifications apportées lors de la mise en service et le
démarrage n‘ont pas changé le profil de risque;
S’assurer de la conformité aux conditions du consentement;
S’assurer du suivi de la santé des employés sur le lieu de travail
BUT DES ÉTUDES DE DANGER
TOC
39. Si vous ne savez pas ce que représente un danger:
Vous ne pouvez pas déterminer les risques
Mais qu’est ce qu’un risque?
Une combinaison de la probabilité d’occurrence d’un dommage et de
la gravité de ce dommage.
Risques et risques
TOC
40. Risque = dommage x fréquence de l’événement
Risque individuel
risques par année courus par la personne la plus exposée
(Normalement, une valeur maximale qui peut être tolérée
pour tous les risques).
Risque sociétal -
Le risque total par an courus par tous les individus
exposés (risques normalement réduits jusqu'à ce que la
réduction du risque soit disproportionnée par rapport au
coût de la réduction des risques)
Risque de Perte d'actifs
Risque Environnemental
Risque
TOC
41. Il existe différents niveaux de risque:
Faible ou négligeable
par exemple, être frappé par la foudre
Approximativement, la même probabilité que gagner à la loterie!
Tellement élevé qu’il en devient inacceptable
par exemple, l'exposition à des niveaux élevés de
rayonnement
Tolérable ou acceptable
Se place entre négligeable et inacceptable
par exemple, conduire une voiture
Les avantages l'emportent sur les inconvénients
Risque
TOC
42. Taux de Mortalité
Activité
Probabilité
(par an)
Activité
Probabilité
(par an)
Voyage Volontaire
Air 2 X 10-6 Les comprimés 2 X 10-5
Train 3 X 10-6 Escalade de montagne 1,4 X 10-4
Autobus 2 X 10-4 Tabagisme 5 X 10-3
Voiture 2 X 10-4 Involontaire
Moto 2 X 10-2 Météorite 6 X 10-11
Occupation Crash d’avion 2 X 10-8
Industrie chimique 5 X 10-5 Catastrophes naturelles 2 X 10-6
Navigation maritime 9 X 10-4 Cancer 2,5 X 10-5
Mine de charbon 2 X 10-4 Feu 2 X 10-5
Être assassiné (UK) 1,3 X 10-5
TOC
43. Les risques que nous rencontrons sur notre lieu de travail
doivent aussi être acceptables
Alors :
La conception du process;
Les systèmes de protection;
Les procédures:
devraient tous être appropriés pour réduire les risques à un
niveau acceptable ou tolérable.
Risque
TOC
44. As Low As Reasonably Praticable
Aussi Bas que Raisonnablement Praticable
zone intolérable
L’ALARP ou
la zone de tolérance
(Réduire le risque jusqu'à ce que le
coût de la réduction des risques soit
« Exagérément disproportionnée »)
Zone globalement acceptable
(Pas besoin de travail détaillé
pour démontrer l’ALARP)
Risque
HSE au
Royaume-Uni
R2P2
Document
Société 1,0E-04
Les employés 1,0E-03
l.0E-6 Employés et Société
risque négligeable
HSE UK: 1 à 10 millions par personnes / an
Ou dois-je
faire plus?
risque
tolérable?
TOC
45. Réduction du Risque
Exemples de méthodes de réduction des risques:
Conception (probabilité d'occurrence)
Force mécanique (probabilité d'occurrence)
Emplacement (Probabilité d'occurrence et la conséquence)
Contrôle (probabilité d'occurrence)
Alarmes (probabilité d'occurrence)
Fonctions instrumentées de sécurité (probabilité d'occurrence)
SRSs Autre technologie - régulation mécanique (conséquence)
TOC
46. Process
Couche Contrôle Process
Systèmes d’atténuation et
Procédures d‘Intervention d’Urgence
Couche Alarme
Systèmes Instrumentés de Sécurité
Autres Couches de Protection
ex: régulation mécanique
Couches de Réduction des Risques
TOC
47. Couches de Réduction des Risques
La couche de protection avec <100% Fiabilité
Chaque couche réduit la probabilité
de l'événement
Danger avec
une certaine
fréquence ou
probabilité
probabilité
modifiée
d'événement
TOC
48. Réduction des Risques - Concepts
Généraux
Risque avec l'ajout
d'autres mesures de
réduction de risques
et de SIS
RISQUE RÉEL
RESTANT
ALARP
(Aussi bas que
Raisonnablement
Praticable)
RISQUE
TOLÉRABLE
Risque avec l'ajout
d'autres mesures de
réduction des risques
RISQUE
INTERMÉDIAIRE
Risque sans l'ajout de
dispositifs de
protection
RISQUE
INITIAL
RÉDUCTION DES RISQUES MINIMUM NECESSAIRE
risque partiel couvert par d'autres mesures
et technologie de réduction des risques
risque partiel couvert par SIS
Réduction totale des risques
Risque en
augmentation
TOC
49. Risques et Concepts de l’Intégrité de
la Sécurité
Conséquences
de l'événement
dangereux
Conception,
procédures
d’exploitation
etc.
Confiance accordée à l'intégrité de la sécurité de la
conception des process, des procédures
d'exploitation et des autres technologies liées à la
sécurité. Le SIS est ensuite adapté à la réduction
des risques nécessaire pour atteindre le risque
tolérable.
Réduction nécessaire des risques
Fréquence de
l'événement
dangereux
Risque de
process SIS
Autres systèmes
technologiques
liés à la sécurité
Risques
tolérable
cible
TOC
50. Quand utiliser la SIF?
La Fonction Instrumentée de Sécurité doit être utilisée lorsque des
moyens plus simples de réduction des risques ne sont pas
suffisants, sont trop coûteux du point de vue du cycle de vie, ou
lorsque les SIFs sont l'option optimale pour gérer le risque.
L'ordre préféré des options de réduction des risques suivant est
donné dans la série de normes sur la sécurité des machines
AS4024. 1201-2006 (1.5).
Conception pour la sécurité intrinsèque / élimination des dangers
Garde-fous passifs
Garde-fous actifs / dispositifs de commande (une Fonction
Instrumentée de Sécurité)
Procédures sécurisées de travail
Équipement de protection individuelle TOC
51. Réduction de risque:
Fonctions Instrumentées de Sécurité
L'une des méthodes les plus utilisées pour la protection
contre les dangers liés au process
Elles contribuent à la réduction globale des risques
Pourraient éventuellement apporter une contribution majeure
TOC
52. Sous-système
capteur:
Détecte une anomalie
dans le processus –
anomalie qui
représente un DANGER
potentiel
Sous-système
Logic Solver :
Actionne une
réponse exécutive à un
événement dangereux
Sous-système Actionneur:
(« Elément Final » dans la
norme IEC 61511) Activé pour
empêcher l'événement dangereux
de survenir ou en atténuer les
conséquences
Fonction Instrumentée de Sécurité
(SIF)
par exemple, ESD, PSD, EDP et F & G
TOC
53. Une SIF protège contre un seul danger, mais un Système
Instrumenté de Sécurité (SIS):
Met en œuvre un ou plusieurs SIFs
Etablit souvent une connectivité multiple entre:
Un initiateur et plusieurs éléments finaux;
Un élément final et plusieurs initiateurs.
La logique de Cause à Effet
SIF vs SIS
TOC
55. Fonction Instrumentée de Sécurité
Logique
Solver
Logique
Solver
XZV1
PZA1
prise
PICA
LICA
PCV
PSV Torchère
Système de gaz de carburant
Démarrage pompe d'incendie
Activation déluge dans la zone
Sortie
LCV
Fonction Instrumentée de sécurité - SIF
• Protège contre un danger
• En général, « sur sollicitation ou demande »
Certaines SIF atténuent les
conséquences après évènement,
par exemple le système anti
incendie “Fire & Gas” réduit la
propagation ou l’escalade.
TOC
58. Exercice:
Q: Le rôle d’une SIF d’atténuation consiste-t-il à:
(a) prévenir le danger? (b) réduire la propagation?
R:
Q: Combien de sous-systèmes composent une SIF?
R:
Q: Nommer les sous-systèmes basiques d’une SIF?
R:
TOC
59. prise
Sortie huile
Compression de gaz
Torchère
voting 2sur3
Voting 1sur2
PSVI
PZA PZA PZA
PZA 001
XZV1 XZV2
XZV4 LCV
XZV3
PICA
LZA1
LZA2
LICA
HH
LL
PCV
Détection de gaz
Q: Lier les Fonctions Instrumentées de Sécurité, combien y en a-t-il?
R:
Exercice: Identification SIF
TOC
60. SIF - Initiateurs
éléments finaux
Initiateur par exemple PZA1
XZV3-
Compression gaz
XZV4- Sortie Huile
XZV1 / 2- Prise
Système
Instrumenté
De Protection
Fonction 1
fonction 2
fonction 3
TOC
61. SIF - Élément final
Système
Instrumenté
De Protection
élément final
initiateurs
fonction 1
fonction 2
fonction 3
PZA1
Haut niveau
Confirmé
De Gaz
LZA1
XZV1 / 2- Prise
TOC
62. Cause et effets et SIFs
Effet Élément
final
XZV1
Élément
final
XZV2
Élément
final
XZV3
Élément
final
XZV4
Elément
final
5
Elément
final
6
Initiateur1
(PZA 1)
X X X X X
Initiateur 2 X X X
Initiateur 3 X X X X
Initiateur 4 X X X X
Initiateur 5 X X X X
Cause
TOC
63. Ou non SIF SIF
Quelles fonctions sont des SIF?
Fonctions de trip (déclenchement de l’arrêt)
Certaines fonctions d'alarme
Fonctions de commutation
Verrouillages, permissives, blocages (automatique)
Quelles fonctions ne sont pas des SIF?
La plupart des alarmes
Les commandes Process
Les commandes manuelles
Contournements
TOC
64. Conséquences de la Défaillance
Si une SIF ne fonctionne pas:
Il y aura certaines conséquences qui pourraient
entraîner:
Des dommages
Des dommages aux équipements et / ou une perte de production
Des dommages à l'environnement
TOC
65. Caractère Critique d'une SIF
Risque = Conséquence x Fréquence (probabilité)
Sécurité du personnel (dommages)
Perte financière
Environnementale
Les SIF réduisent principalement la fréquence d'un événement:
Fmodifié = F demande X PFD
Où PFD = probabilité de défaillance d’une SIF à la demande
Le caractère critique d'une SIF est exprimé en catégories de SIL:
1 à 4
TOC
67. Analyse simple de la :
Fréquence de l'événement (probabilité)
Gravité des conséquences
Relativement rapide et conservatrice
A tendance à être assez simpliste
Limite les options de réduction des risques
Peut-être qualitative ou calibrée
Fonctionne mieux si elle est calibrée
Matrice des risques
TOC
69. Il y a des problèmes avec une approche purement qualitative à
l'analyse des risques:
Comment peut-on chiffrer une:
Fréquence relativement élevée;
Fréquence basse;
Fréquence très basse?
Combien de personnes dans:
des décès multiples;
une catastrophe?
Sans une certaine calibration, l'analyse des risques sera
incohérente.
Calibration
TOC
71. La gravité des conséquences de la perte d'actifs peut être
calibrée:
En termes d’« argent » si nécessaire;
Les conséquences financières peuvent varier d’une
entreprise à une autre, et même d’une installation à
une autre.
Perte d'actifs
TOC
72. Gravité des
Conséquences
Fréquence
relativement
élevée
0-3 ans
Fréquence
basse
3-30 ans
Fréquence très
basse
> 30 ans
Pas de perturbation du fonctionnement ou
de dommages matériels
NR NR NR
Perturbation mineure du fonctionnement
ou dommages matériels mineurs
10-100k $
NR NR NR
Perturbation opérationnelle modérée
ou dommages matériels modérés
$ 100k-1 M
1 NR NR
Perturbation majeure du fonctionnement
ou dommages matériels majeurs
1 M $-10M
2 1 NR
Dommages aux
équipements essentiels ou
perte économique majeure
> 10 M $
3 2 1
Exemple de Matrice Calibrée des
risques sur les actifs
TOC
73. Gravité des
Conséquences
Fréquence
relativement
élevée
0-3 ans
Fréquence
basse
3-30 ans
Fréquence
très basse
> 30 ans
Aucun rejet ou impact
environnemental
négligeable
NR NR NR
Rejet avec impact mineur
sur l'environnement
- déclarable
1 NR NR
Rejet avec impact modéré
sur l'environnement
2 1 NR
Rejet avec impact majeur
temporaire
sur environnement
3 2 1
Rejet avec
impact majeur permanent
sur l'environnement
4 3 2
Exemple de Matrice des Risques à
l’Environnement
TOC
74. Matrice des risques à
l’Entreprise
Gravité
Probabilité
1 2 3 4 5
5 Désastreuse
MMR
(sites existants)
NON NON NON NON
4 Catastrophique MMR MMR NON NON NON
3 Importante MMR MMR MMR NON NON
2 Sérieuse MMR MMR NON
1 Modérée MMR
TOC
76. Prise en compte d'un certain nombre de paramètres:
Taux de demande (W)
Conséquence (C)
Présence sur le lieu (F) (Remarque: sécurité du personnel seulement)
Probabilité d'éviter le danger (P)
Ce sont des méthodes relativement rapides
Elles ont tendance à être conservatrices
Elles peuvent être qualitatives ou semi-quantitatives
Elles fonctionnent mieux lorsqu’elles sont semi-quantitatives
Graphiques de risque
TOC
77. Basée sur l'une des méthodes de l’IEC 61508 Partie 5, annexe D
Calibrée en termes de pertes humaines
Quatre paramètres sont pris en compte:
La Fréquence de la Demande
Point de départ recommandé
Les conséquences de la gravité d’une défaillance du SIS à la demande
La probabilité de l'exposition du personnel au danger
La présence sur les lieux en termes de nombre et de temps
Alternatives pour éviter le danger
Y a-t-il des facteurs alternatifs « après l'événement » pour réduire les conséquences
Ex: avertissement indépendant suffisant
Graphique sur la Sécurité du personnel
Résumé
TOC
79. Personnel de sécurité risque Paramètre Classification commentaires
Consequence (C) Nombre moyen d'accidents mortels; Ceci peut être calculé en
déterminant le nombre moyen de personnes présentes lorsque la zone est
occupée et en multipliant par la vulnérabilité aux dangers identifiés. La
vulnérabilité sera déterminée par la nature du danger contre lequel on se
protège. Les facteurs suivants sont proposés:
V = 0,01 Petit rejet de matières inflammables ou toxiques
V = 0,1 rejet important de matières inflammables ou toxiques
V = 0,5 Comme ci-dessus mais avec un risque élevé d'allumage ou hautement
toxique.
V = 1 rupture ou explosion
CUNE
CB
CC
Cré
Blessure mineure
Entre 0,01 et 0,1
Décès
Entre > 0,1 et 1,0
Décès
entre> 1,0 et 10
Décès
1. Le système de classification a
été mis au point pour prendre en
charge les blessures et décès
2. Pour l'interprétation de CA, CB,
Cc et CD, les conséquences de
l'accident et la guérison normale
seront pris en compte.
Probabilité d'exposition dans la zone dangereuse (F); ceci est calculé en
déterminant la durée pendant laquelle la zone est occupée pendant une
période de travail normale.
NOTE - Si le temps dans la zone dangereuse diffère en fonction des équipes,
alors le maximum doit être sélectionné.
NOTE – Il n’est approprié d'utiliser le FA que lorsque l’on peut démontrer que
le taux de demande est aléatoire et non lié au moment où la présence sur les
lieux pourrait être supérieure à la normale. Ce dernier cas est celui où il y a
des demandes qui se produisent au démarrage de l'équipement
FA
FB
Dans la zone
dangereuse.
Présence inférieure à
0,1
Exposition fréquente
à permanente dans
la zone dangereuse.
Présence supérieure
à 0,1
3. Voir le commentaire 1 ci-dessus
Paramètres de sécurité IEC 61511
TOC
80. Paramètre de Risque à la Sécurité du
Personnel
Classification commentaires
Possibilité d'éviter l'événement dangereux (P) si le système de protection ne
fonctionne pas.
PA
PB
Adoptée si toutes
les conditions dans la
colonne droite sont
remplies
Adoptée si toutes les
conditions ne sont pas
remplies
4. PA ne doit être sélectionné que
si toutes les conditions suivantes
sont remplies: -
• Les installations disposent de
dispositifs d’alerte pour que
l'opérateur sache que la
protection est défaillante.
•Les installations indépendantes
peuvent s’arrêter de sorte que le
danger peut être évité ou de
permettre à toutes les personnes
de se rendre dans une zone de
sécurité
• Le temps entre le moment où
l'opérateur est alerté et le
moment où un événement
dangereux se produit dépasse 1
heure ou est certainement
suffisant pour prendre les
mesures nécessaires.
Taux de la demande de l‘occurrence indésirable (W) sachant qu’il n’y a pas de
système de protection.
Pour déterminer le taux de la demande, il est nécessaire de prendre en
considération toutes les sources de défaillances qui conduiront à une demande
sur le système de protection. Pour déterminer le taux de la demande, on ne peut
accorder qu’une confiance limitée à la performance et à l’intervention du
système de commande. La performance attendue si le système de commande
n’est pas conçu et entretenu selon la norme IEC61508, sera en deçà des plages
de performances associées à SIL1.
W1
W2
W3
• Taux de demande
inférieur à 0,03 par an
• Taux de demande
entre 0,3 et 0,03 par an
• Taux de demande
entre 3 et 0,3
par an
5. Le but du facteur W est
d'estimer la fréquence de
l’occurrence du danger sans
l'ajout du SIS
6. Si le taux de demande est très
élevé (ex: 10 par an), il est donc
considéré comme une demande
élevée.
Paramètres de sécurité IEC 61511
TOC
82. Paramètres de perte d'actifs IEC 61511
Perte d'actifs Classification Commentaires
Conséquence (C) CA
CB
CC
Cré
Perturbation opérationnelle
mineure ou dommages
matériels mineurs
Perturbation opérationnelle
modérée ou dommages
matériels modérés
Perturbation opérationnelle
majeure ou dommages
matériels majeurs
Dommages aux équipements
essentiels, pertes économiques
majeures
Les valeurs monétaires
peuvent être attribuées à
chaque paramètre de suite
Possibilité d'éviter
l’évènement dangereux
(P) si le système de
protection ne fonctionne
pas.
PA
PB
Adoptée si toutes les conditions
de la colonne droite sont
remplies
Adoptée si toutes les conditions
ne sont pas remplies
REMARQUE:
les mêmes conditions que
celles pour la sécurité du
personnel s’appliquent
TOC
84. IEC 61511 Paramètres
d'impact environnemental
Environnement Classification commentaires
Conséquence (C) CUNE
CB
CC
Cré
Un rejet avec des dommages mineurs qui ne sont
pas très graves, mais assez importants pour être
signalés à la direction du complexe ou aux
autorités locales
Dégâts modérés, ex: rejet à l’intérieur de la
clôture avec des dommages importants
Dommages importants, ex: rejet à l'extérieur de la
clôture avec des dommages importants qui
peuvent être nettoyés rapidement sans
conséquences durables importantes
Graves dommages, ex: rejet à l'extérieur de la
clôture avec des dommages importants qui ne
peuvent pas être nettoyés rapidement ou avec
des conséquences durables
Un fuite modérée à partir d'une bride ou d'une vanne
Petit déversement de liquide
Pollution des sols à petite échelle sans affecter les eaux
souterraines
Un nuage de vapeur désagréable se déplace au-delà de
l'unité, à la suite de l’éclatement d’un joint de bride ou
de la défaillance du compresseur
Un dégagement de vapeur ou d'aérosol avec ou sans
retombées liquides qui provoquent des dommages
temporaires à la flore ou à la faune
Liquide qui se déverse dans la rivière ou la mer
Un dégagement de vapeur ou d'aérosol avec ou sans
retombées liquides qui provoquent des dommages
durables à la flore ou à la faune
Retombées solides (poussières, particules de catalyseur,
suie, cendres)
Retombées liquides qui pourraient affecter les eaux
souterraines
Possibilité d'éviter l’évènement
dangereux (P) si le système de
protection ne fonctionne pas.
PUNE
PB
Adoptée si toutes les conditions de la colonne 4
sont remplies
Adoptée si toutes les conditions ne sont pas
remplies
REMARQUE:
les mêmes conditions que celles pour la sécurité du
personnel s’appliquent.
TOC