safebk-rm-3a-fr-p, process safebook 1 · ce guide pratique aborde les principes de la sécurité,...

PRO

CESS

SAF

EBO

OK

1

Sécurité fonctionnelle dansl’industrie des procédésPrincipes, normes et mise en œuvre

Siège des activités « Power, Control and Information Solutions »Amériques : Rockwell Automation, 1201 South Second Street, Milwaukee, WI 53204-2496 Etats-Unis, Tél: +1 414.382.2000, Fax : +1 414.382.4444Europe / Moyen-Orient / Afrique : Rockwell Automation NV, Pegasus Park, De Kleetlaan 12a, 1831 Diegem, Belgique, Tél: +32 2 663 0600, Fax : +32 2 663 0640Asie Pacifique : Rockwell Automation, Level 14, Core F, Cyberport 3, 100 Cyberport Road, Hong Kong, Tél: +852 2887 4788, Fax : +852 2508 1846

Canada : Rockwell Automation, 3043 rue Joseph A. Bombardier, Laval, Québec, H7P 6C5, Tél: +1 (450) 781-5100, Fax: +1 (450) 781-5101, www.rockwellautomation.caFrance : Rockwell Automation SAS – 2, rue René Caudron, Bât. A, F-78960 Voisins-le-Bretonneux, Tél: +33 1 61 08 77 00, Fax : +33 1 30 44 03 09Suisse : Rockwell Automation AG, Av. des Baumettes 3, 1020 Renens, Tél: 021 631 32 32, Fax: 021 631 32 31, Customer Service Tél: 0848 000 278

www.rockwel lautomation.com

Publication : SAFEBK-RM003A-FR-P – Mars 2013 © 2013 Rockwell Automation, Inc. Tous droits réservés. PRO

CESS

SA

FEBO

OK

1–

Sécu

rité

fonc

tionn

elle

dan

s l’in

dust

rie d

es p

rocé

dés/

Prin

cipe

s, no

rmes

et m

ise e

n œ

uvre

Également disponible :Safebook 4 – Systèmes de commande de sécurité pourmachines.Ce guide pratique aborde les principes de la sécurité, lalégislation, la théorie et la pratique relatives aux machines.Numéro de publication : SAFEBK-RM002B

Pour obtenir un exemplaire de ce guide, contactez votrereprésentant Rockwell Automation ou visitez le sitewww.rockwellautomation.com

PROCESS SAFEBOOK 1

Sécurité fonctionnelle dans l’industrie des procédés

1

Table des matières

Chapitre 1 Introduction à la norme CEI 61511.......................................................... 3

Chapitre 2 Cycle de vie de la sécurité ...................................................................... 11

Chapitre 3 Dangers et leur identification................................................................ 19

Chapitre 4 Risque et réduction du risque................................................................ 30

Chapitre 5 Le principe ALARP................................................................................... 41

Chapitre 6 Détermination des objectifs SIL ............................................................ 47

Chapitre 7 Graphiques de risque ............................................................................. 62

Chapitre 8 Méthode LOPA (Layer of Protection Analysis)...................................... 68

Chapitre 9 Allocation des fonctions de sécurité ................................................... 81

Chapitre 10 Spécification des prescriptions de sécurité pour le SIS ....................... 85

Chapitre 11 Conception et ingénierie du SIS ............................................................ 87

Chapitre 12 Techniques de fiabilité ........................................................................... 89

Chapitre 13 Vérification SIL...................................................................................... 121

Chapitre 14 Probabilité de défaillance de la fonction SIF, CEI 61511-1 ............... 135

Chapitre 15 Installation, mise en service et validation, CEI 61511-1 ................... 148

Chapitre 16 Fonctionnement et maintenance, CEI 61511-1.................................. 150

Chapitre 17 Modification et mise hors service, CEI 61511-1 ................................. 152

Chapitre 18 Sécurité fonctionnelle, évaluation et audit........................................ 154

Chapitre 19 Références ............................................................................................. 161

Chapitre 20 Définitions............................................................................................. 162

Chapitre 21 Abréviations.......................................................................................... 169

2

PROCESS SAFEBOOK 1


Avant-propos

La norme CEI 61508 traite de la gestion de la sécurité des systèmes électriques,électroniques et électroniques programmables tout au long de leur durée de vie, duconcept jusqu’à la mise hors service. Elle introduit des principes de sécurité dans la gestiondes systèmes et des principes d’ingénierie de la sécurité dans leur développement.

Le principe fondamental de la norme prévoit que des objectifs de sécurité basés sur une évaluation des risques doivent être définis dans la planification de la sécurité, puisque la rigueur de la gestion et des procédés mis en œuvre doit être adaptée à leurréalisation. Autrement dit, cette norme est plus axée sur des objectifs et est moinsprescriptive. D’autre part, la conformité à cette norme n’exonère pas les utilisateurs detoute responsabilité en cas de problème de sécurité.

La norme vise à servir de base pour la préparation de normes plus spécifiques et aussipour une utilisation autonome. Toutefois, la première application est préférée. Ladeuxième application nécessitera une adaptation de la norme, une compréhensionpoussée de cette dernière par la direction et une planification considérable de sonintroduction et de son utilisation.

La norme se révèle ardue à lire et à comprendre pour nombre de personnes. Quoi qu’il ensoit, son influence est déjà particulièrement prépondérante. Elle forme et continuera deformer la base des normes de sécurité modernes et des cadres légaux. Il est donc essentielque toutes les personnes assumant des responsabilités à un stade ou un autre de la vie d’unsystème lié à la sécurité fassent un effort de compréhension exhaustive de cette norme.

Ce document est une introduction à la sécurité fonctionnelle et un guide concernantl’application de la norme CEI 61511, laquelle est l’implémentation spécifique à l’industriedes procédés de la norme CEI 61508. Bien qu’elle repose sur la norme CEI 61511, la normeaméricaine ANSI/ISA-84.00.01 est globalement identique, de sorte que le présent guides’applique aux deux.

La finalité de ce document est de fournir des informations et directives, afin que le lecteuracquière une meilleure compréhension des normes et de leurs exigences et prescriptions.Le document est rédigé dans un langage simple. Il est illustré par des exemples pratiquesbasés sur des projets réels, afin d’expliquer les principes et exigences de base, ainsi que lestechniques permettant de respecter ces exigences.

Clause de non-responsabilité

Même si les techniques présentées ici ont été employées avec succès afin de démontrer laconformité de projets réels, il convient de noter que la conformité, les techniques servant

PROCESS SAFEBOOK 1

Introduction à la norme CEI 61511

3

à démontrer cette dernière et la collecte des preuves à l’appui continuent d’incomber autitulaire des obligations.

L’utilisation de crochets [ ] signale une référence croisée à une section dans ce document.

1. Introduction à la norme CEI 61511

1.1. Présentation des normes CEI 61508 et CEI 61511

CEI 61508 désigne une norme internationale publiée par la Commission électrotechniqueinternationale (CEI). Elle traite principalement des aspects à considérer lors de l’utilisationde systèmes électriques, électroniques ou électroniques programmables (E/E/PE) pourassurer des fonctions de sécurité.

CEI 61508 [19.1] est une norme générique qui s’applique à tous les systèmes E/E/PE liésà la sécurité, indépendamment de leur utilisation ou de leur application. L’intitulé de lanorme est le suivant :

CEI 61508:2010 « Sécurité fonctionnelle des systèmes électriques,électroniques et électroniques programmables relatifs à la sécurité ».

La norme repose sur le principe principal selon lequel un procédé peut présenter unrisque pour la sécurité ou l’environnement en cas d’anomalie liée au procédé ou àl’équipement. Par conséquent, la norme concerne les problèmes de procédé et lesdéfaillances de système, par opposition aux dangers pour la santé et la sécurité tels queles faux pas et les chutes, et permet une gestion systématique de la sécurité des procédésbasée sur les risques.

La norme part du principe que des fonctions de sécurité doivent être fournies afin deréduire ces risques. Ensemble, les fonctions de sécurité peuvent constituer un systèmeinstrumenté de sécurité (SIS), et leur conception ainsi que leur fonctionnement doiventreposer sur une évaluation et une compréhension des risques présents.

Un objectif secondaire de la norme CEI 61508 est de permettre la conception de systèmesE/E/PE liés à la sécurité, lorsqu’il n’existe aucune norme pour le secteur d’application. Ces directives secondaires dans l’industrie des procédés sont couvertes par la normeinternationale CEI 61511 [19.2]. L’intitulé de cette norme est le suivant :

CEI 61511:2004 « Sécurité fonctionnelle – Systèmes équipés pour la sécuritéet destinés aux industries de procédés ».

La norme CEI 61511 n’est pas une norme de conception, mais porte plutôt sur la gestionde la sécurité pendant la durée de vie d’un système, de la conception jusqu’à la mise hors

4

PROCESS SAFEBOOK 1


service. L’aspect fondamental de cette approche est le cycle de vie de la sécuritéglobale, lequel décrit les activités en rapport avec la spécification, la mise au point,le fonctionnement ou la maintenance d’un SIS.

1.2. Qu’est-ce que la sécurité fonctionnelle ?

La norme CEI 61511-1, clause 3.2.25 en fournit la définition suivante.

« La sécurité fonctionnelle est le sous-ensemble de la sécurité globale se rapportant auprocessus et au BPCS (Basic Process Control System), qui dépend du fonctionnementcorrect du SIS et d’autres couches de protection. »

Pour faire plus simple, la sécurité fonctionnelle est la réduction des risques fournie par lesfonctions mises en œuvre afin de garantir l’exploitation sécurisée du procédé.

1.3. CEI (Commission électrotechnique internationale)

La Commission électrotechnique internationale a été créée en 1906, avec comme premierprésident le scientifique anglais Lord Kelvin. Elle est établie à Genève, en Suisse. La CEIprépare et publie des normes internationales pour tout ce qui a trait à l’électrotechnologie,à savoir l’électricité, l’électronique et les technologies connexes.

La CEI soutient la sécurité et les performances environnementales de l’électrotechnologie,promeut l’efficacité énergétique et les sources d’énergie renouvelables, et gère l’évaluationde la conformité des équipements, systèmes ou composants par rapport à ses normesinternationales.

La norme et toutes les autres publications de la CEI sont protégées et sont soumises àcertaines conditions dans le cadre des droits d’auteur, mais peuvent être achetées outéléchargées à partir du site Internet de la CEI [http://www.iec.ch].

1.4. La structure de la norme

La norme se décompose en trois parties, comme illustré sur la figure 1.

PROCESS SAFEBOOK 1


5

Exigences techniques

Parties annexes

Partie 1CEI 61511-1, 8 : Développement des exigences globales de sécurité (concept, définition du domaine d’application, analyse de danger et de risque)

Partie 1CEI 61511-1, 9, 10 : Allocation des exigences de sécurité aux fonctions instrumentées de sécurité et développement de la spécification des exigences de sécurité

Partie 1CEI 61511-1, 11, 12 :

Phase de conception pour les systèmes instrumentés de sécurité

Phase de conception pour les logiciels des systèmes instrumentés de sécurité

Partie 1CEI 61511-1, 13, 14, 15 : Essais de recette en usine, installation et mise en service, et validation de la sécurité des systèmes instrumentés de sécurité

Partie 1CEI 61511-1, 16, 17, 18 : Exploitation et maintenance, modification et remise à niveau, mise hors service ou au rebut des systèmes instrumentés de sécurité

Partie 1CEI 61511-1, 2 : RéférencesCEI 61511-1, 3 : Définitions et abréviationsCEI 61511-1, 4 : ConformitéCEI 61511-1, 5 : Gestion de la sécurité fonctionnelleCEI 61511-1, 6 : Exigences du cycle de vie de sécuritéCEI 61511-1, 7 : VérificationCEI 61511-1, 19 : Exigences d’informationsCEI 61511-1, Annexe A : DifférencesPartie 2CEI 61511-2 : Lignes directives pour l’application de la partie 1Partie 3CEI 61511-3 : Conseils pour la détermination desniveaux exigés d’intégrité de sécurité

Figure 1 : structure de la norme

6

PROCESS SAFEBOOK 1


La partie 1 présente les exigences liées à la conformité. Elle définit la planification deprojet, la gestion, la documentation et les exigences en matière de compétences, ainsique les exigences techniques de réalisation de la sécurité tout au long du cycle de viede la sécurité.

En règle générale, la partie 1 est « normative », car elle définit des exigences spécifiquespour la conformité et adopte une structure cohérente permettant une démonstration parclauses de la conformité.

La partie 2 fournit des directives sur l’utilisation de la partie 1.

La partie 3 propose des exemples pratiques d’évaluation des risques menant àl’affectation des niveaux d’intégrité de sécurité ou SIL, [4].

Les parties 2 et 3 ont un caractère ‘informatif’ et fournissent des directives sur lesexigences normatives.

1.5. Conformité à la norme CEI 61511

1.5.1. Prescriptions de la loi britannique Health and Safety at Work Act etc. de 1974

La loi Health and Safety at Work Act etc. 1974 (HASAW ou HSW) constitue la principalelégislation au Royaume-Uni pour la santé et à la sécurité au travail. Le bureau pour lasanté et la sécurité HSE (Health and Safety Executive) est chargé de l’application de laloi et d’autres lois et textes réglementaires pertinents pour l’environnement de travail.

Remarque : d'autres pays dans le monde entier ont des réglementations ou directivessimilaires à la loi britannique sur la santé et la sécurité au travail de 1974. Pour des raisonsde simplicité dans ce document, veuillez considérer lorsque la loi sur la santé et la sécuritéau travail est mentionnée, que cela concerne également des lois et directives apparentéesqui pourraient exister dans votre pays.

Le texte complet de la loi est disponible auprès de l’Office of Public Sector Information(OPSI) ou en téléchargement gratuit. Les utilisateurs d’informations juridiques doivent fairepreuve de prudence. Les documents imprimés ou en ligne peuvent ne pas être à jour. Parconséquent, les utilisateurs doivent obtenir un avis juridique indépendant ou consulter laligne d’informations du bureau HSE, [http://www.hse.gov.uk/contact/index.htm].

Pour faire simple, selon la loi britannique sur la santé et la sécurité, il incombe à chaqueemployeur de veiller, dans la mesure du raisonnable, à la santé, à la sécurité et au bien-être de tous ses employés sur le lieu de travail. Cela inclut la fourniture et la maintenancede l’usine et des systèmes de travail qui sont, dans la mesure du raisonnable, sûrs et sansrisque pour la santé.

PROCESS SAFEBOOK 1


7

Par ailleurs, il incombe à chaque employeur de diriger son entreprise de telle sorte que,dans la mesure du raisonnable, les personnes autres que ses employés susceptibles d’êtreaffectées ne soient pas ainsi exposées à des risques pour leur santé ou leur sécurité.

1.5.2. Exigences de conformité

La norme CEI 61511 stipule que la revendication de conformité doit démontrer que lesexigences de la norme ont été respectées concernant les critères requis et que, pour touteclause ou sous-clause, l’ensemble des objectifs ont été atteints.

Dans la pratique, il est généralement difficile de démontrer la pleine et entière conformitévis-à-vis de toute clause et sous-clause de la norme, et un certain discernement estnécessaire afin de déterminer le degré de rigueur appliqué pour le respect des exigences.En général, le degré de rigueur exigé dépend, entre autres, des facteurs suivants :

• la nature des dangers ;• la gravité des conséquences ;• la réduction nécessaire du risque ;• la phase du cycle de vie concernée ;• la technologie concernée ;• le caractère novateur du concept.

En d’autres termes, la décision à prendre doit être basée sur le risque. En cas de manqued’expérience, une intervention extérieure donnera plus de crédibilité à la revendication.

1.5.3. Conséquences de la non-conformité

La norme n’a pas valeur de loi. Par conséquent, que vous respectiez ou non ses prescriptions,vous devez avoir connaissance des conséquences d’une non-conformité. En tant qu’employeur,titulaire d’obligations ou propriétaire d’un risque, vous avez l’obligation de gérer le risque survotre lieu de travail, en vertu de la loi britannique sur la santé et la sécurité au travail.

La norme propose une approche systématique pour la gestion de toutes les activités ducycle de vie de la sécurité servant à accomplir des fonctions de sécurité et, à ce titre,constitue une bonne source d’informations et de techniques. S’il se produit une situationentraînant des blessures corporelles ou une maladie et si vous n’avez pas exploité les meilleures informations à votre disposition pour gérer le risque concerné, vous vousexposerez à une procédure d’enquête et à des poursuites pénales en vertu de la loibritannique sur la santé et la sécurité au travail.

Les informations que vous collectez et l’analyse que vous fournissez dans le cadre durespect des prescriptions de la norme CEI 61511 deviennent en effet votre défense devantun tribunal en cas de survenance d’un incident.

8

PROCESS SAFEBOOK 1


1.5.4. Exigences de conformité pour une nouvelle usine

Si vous êtes concerné par une partie ou une autre du cycle de vie de la sécurité, il estclairement raisonnable d’attendre de votre part que vous appliquiez les meilleuresinformations disponibles afin d’assurer une gestion des risques de votre usine à un niveautolérable. Il pourrait être avancé que les meilleures informations disponibles sont lanorme CEI 61511 et, donc, en cas d’incident, que toute inobservation de celle-ci pourraitêtre assimilé à une négligence.

1.5.5. Exigences de conformité pour une usine existante

De nombreuses usines ont été conçues et construites antérieurement à la publicationofficielle et à la disponibilité générale de la norme CEI 61511. Cette situation ne modifieen rien vos responsabilités et si vous êtes en charge d’une quelconque partie du cycle de vie de la sécurité d’une ancienne usine, par ex. du fonctionnement, de lamaintenance etc., vos obligations en vertu de la loi britannique sur la santé et la sécuritéau travail demeurent, et les risques doivent être gérés en conséquence. De ce fait, lanorme s’applique aussi à ces anciennes usines.

La norme ANSI/ISA-84 traite spécifiquement des systèmes existants, en stipulant quepour un SIS existant, conçu et construit conformément à la législation, aux normes et auxpratiques applicables avant la publication de la norme, le propriétaire/l’exploitant doitdéterminer que l’équipement est conçu, géré, inspecté, testé et exploité d’une manièresûre. En effet, vous devez vérifier que vos systèmes existants sont sûrs en utilisant lesmeilleures méthodes à votre disposition.

En réalité, vous éprouverez peut-être le besoin de revenir aux premières parties du cycle devie de la sécurité pour l’usine existante et de revisiter, voire de conduire une toute nouvelleétude HAZOP (Hazard and Operability). En menant le processus jusqu’à sa conclusion, vousidentifierez peut-être des risques non couverts par des fonctions de sécurité existantes et ilvous incombera de gérer ces risques d’une manière ou d’une autre.

Selon toute probabilité, il ne sera pas rentable de concevoir de nouvelles fonctionsinstrumentées de sécurité (SIF) pour une usine de 20 ans. Néanmoins, si votre établissementa fonctionné de manière sûre pendant un laps de temps raisonnable, les risques que vousidentifierez et leur probabilité, compte tenu des mesures de protection existantes, peuventd’ores et déjà être tolérables.

Au minimum, vous avez l’obligation de documenter le procédé : afin d’être certain quetous les dangers ont été identifiés, que les risques ont été évalués et que l’efficacité desfonctions ou mesures de protection actuellement en place a été analysée. Dans ce cas,vous avez suffisamment de recul et vous pouvez quantifier les fréquences de danger plusprécisément, au moyen de vos propres enregistrements d’historique, que vous pourriez le

PROCESS SAFEBOOK 1


9

faire avec une nouvelle installation. Par conséquent, vous devez démontrer, par le biais del’analyse, que les risques identifiés par vos soins sont tolérables.

Dans le pire des cas, si vous vous retrouvez dans une situation où des dangers ne sont pascouverts ou que des mesures supplémentaires de réduction du risque sont nécessaires,vous devez le savoir et prendre les mesures qui s’imposent alors.

1.5.6. Raisons de la conformité à la norme CEI 61511

Hormis les obligations juridiques implicites découlant de la loi britannique sur la santé etla sécurité au travail, d’autres raisons peuvent imposer une conformité à la norme :

• exigences contractuelles ;• optimisation de l’architecture de conception ;• atout marketing possible.

Certains pourraient arguer que la fonction première d’une entreprise est sa survie et queson objectif ne doit pas être la maximisation du profit, mais la prévention des pertes. Àpartir de là, vous devez vous demander si vous préférez apprendre des erreurs des autresou les commettre vous-même.

1.6. Application de la norme CEI 61511

La sécurité fonctionnelle peut uniquement être appliquée à des fonctions complètesconstituées généralement d’un capteur, d’un ordinateur ou automate programmableindustriel (API) et d’un appareil commandé. Cela n’a aucun sens de l’appliquer à desproduits : des parties d’équipements telles que des capteurs ou ordinateurs.

Par conséquent, lorsqu’un fabricant affirme, par exemple, que son produit est un capteurde pression SIL2 ou un API SIL3, cela signifie en fait que le capteur de pression est adaptéà une utilisation au sein d’une fonction de sécurité SIL2 ou que l’API convient pour unefonction de sécurité SIL3.

Le fabricant doit assortir les revendications de réserves et de restrictions concernantl’utilisation, par exemple les exigences pour la tolérance aux pannes [13.3.1] ou les testsde validité [12.8], par exemple, afin d’obtenir le niveau SIL revendiqué.

Les revendications du fabricant peuvent même être étayées par un certificat SIL délivrépar une instance indépendante, mais cela ne signifie pas que la fonction de sécuritéstandard sera conforme à la norme SIL. Le certificat SIL ne remplace pas la démonstrationde la conformité et le titulaire d’une obligation ne peut pas utiliser les affirmationsconcernant les produits pour se décharger de ses responsabilités au regard de la loibritannique sur la santé et la sécurité au travail.

10

PROCESS SAFEBOOK 1


1.7. Obligation ou non de se conformer à la norme

1.7.1. Nouveau bâtiment

Comme indiqué précédemment, certaines obligations juridiques implicites imposentune conformité à la norme. Autrement dit, la norme n’est pas la loi, mais la loi impose au titulaire d’une obligation ou au propriétaire d’un risque de gérer le risque à un niveauacceptable. La norme propose une approche systématique pour y parvenir et en casd’incident aboutissant à des blessures corporelles, l’inutilisation des meilleuresinformations disponibles pourrait être interprétée comme une indication de négligenceet pourrait entraîner des poursuites pénales.

1.7.2. Usine existante

Concernant les usines existantes, la loi britannique sur la santé et la sécurité au travailcontinue de s’appliquer et, par conséquent, les risques doivent là aussi être identifiés etgérés comme il se doit, [1.5.5]. La norme CEI 61511 continue de proposer un modèleapplicable à la gestion des risques des usines existantes conçues et exploitées avant sapublication.

PROCESS SAFEBOOK 1

Cycle de vie de la sécurité globale

11

2. Cycle de vie de la sécurité globale

2.1. Cycle de vie de la sécurité

Le cycle de vie de la sécurité encapsule toutes les activités nécessaires concernant laspécification, le développement, le fonctionnement ou la maintenance du SIS. En fonctiondu périmètre de vos activités, seules certaines phases peuvent vous concerner, par ex., lefonctionnement et la maintenance, mais vous devez connaître l’approche du cycle de viecomplet.

Le cycle de vie de la sécurité est présenté sur la figure 2.

2.2. Phases du cycle de vie

La phase 1 définit le périmètre en termes de limites physiques, sociales et politiques,et elle traite des implications de la sécurité en matière de dangers et de perception du

Gestion de

la sécurité

fonctionnelle,

évaluation et

audit de

la sécurité

fonctionnelle

10

Planification et

structure

du cycle de

vie

de la

sécurité

11

Vérification

9Évaluation des dangers etdes risques

1

Allocation des fonctions de sécu-rité aux couches de protection

Conception et élaboration

d’autres moyens de réduction du risque

2

Spécification des prescriptionsde sécurité pour le SIS3

Conception et ingénierie du SIS4

Installation, mise en service et validation5

Fonctionnement et maintenance6

Modification7

Mise hors service8

Figure 2 : CEI 61511 Cycle de vie de la sécurité

12

PROCESS SAFEBOOK 1


risque. Cet aspect est fondamental pour appréhender les dangers et risques associés auprocédé.

Une fois la réduction nécessaire du risque déterminée, les moyens d’y parvenir sontspécifiés pendant la phase 2 d’allocation et la phase 3 des prescriptions de sécurité globale.

Au cours de la phase 4, les prescriptions de sécurité globale deviennent des fonctions desécurité. L’optimisation des fonctions, la séparation et d’autres questions de conception,telles que la philosophie des tests sont examinées à ce stade et la planification de cesactivités est traitée dans le cadre de la phase 11.

Les phases 5 à 10 montrent que la norme n’est pas limitée au développement dessystèmes, mais qu’elle couvre la gestion de la sécurité fonctionnelle tout au long dela durée de vie d’un système.

Nombre des prescriptions de la norme sont de nature technique, mais l’approche ducycle de vie accorde une importance égale aux activités de gestion efficaces telles que laplanification, la documentation, le fonctionnement, la maintenance et la modification, etces activités doivent être intégrées à toutes les phases. Les activités de documentation, degestion et d’évaluation se déroulent parallèlement et s’appliquent à toutes les phases etactivités du cycle de vie illustrées sur la figure 2.

2.3. Prescriptions de conformité

Dans la mesure où la norme n’est pas prescriptive, la conformité n’est jamais simple etdirecte. La quantité de travail plus ou moins conséquente accomplie pour revendiquervotre conformité constitue un choix personnel, mais vous devez éprouver la satisfactiond’en avoir fait suffisamment. Une approche de conformité par clauses est recommandéeafin d’être certain d’avoir pris en compte tout ce que l’on peut raisonnablement attendrede votre part. En d’autres termes, vous devez montrer toute la rigueur de votre approche.

La conformité à la norme impose que vous démontriez, preuve à l’appui, qu’une approchesystématique a été adoptée pour gérer les risques et que ladite approche a été appliquéeaux parties appropriées du cycle de vie. L’approche systématique est fournie par la normeet est basée sur le cycle de vie de la sécurité.

La conformité à la norme nécessite la compréhension du cycle de vie, ainsi que l’exécutionet la documentation des activités spécifiées. Le respect du cycle de vie n’est pas un exerciceadministratif se limitant à produire des rapports et documents, et à cocher des cases. La conformité impose l’exécution efficace des activités et la production d’informations àchaque phase, afin de permettre l’exécution des phases suivantes.

PROCESS SAFEBOOK 1


13

Un périmètre limité de l’activité s’applique rarement et il est recommandé de prendreen considération toutes les phases du cycle de vie. Par exemple, pour un opérateur, la modification de la phase de fonctionnement et de maintenance peut imposer uneréévaluation de décisions et d’évaluations antérieures, telles que l’étude HAZOP etl’analyse des risques, en revenant en arrière dans le cycle de vie.

2.4. Phases 1 et 2 du cycle de vie de la sécurité

Chaque phase du cycle de vie décrit une activité et chaque activité est assortie de besoinsd’informations en entrée. Chaque phase est constituée d’une activité, pour laquelle vousdevez avoir des procédures documentées produisant en sortie des informationsutilisables au cours des phases suivantes.

La figure 3 présente les activités et besoins d’informations pour la phase 1 (Évaluation desdangers et des risques) et la phase 2 (Allocation des prescriptions de sécurité). La figuremontre les informations requises en entrée (Entrée) de l’activité, ainsi que les informationsproduites par l’activité en vue de leur utilisation au cours de la phase suivante.

Vous remarquerez que même si la norme décrit les phases du cycle de vie et les besoinsd’informations de chaque phase, dans la pratique, certaines des phases et leursdocuments associés peuvent, le cas échéant, être combinés. La clarté et la simplicité sontimportantes, et il convient de réaliser les activités et de présenter les informations de lamanière la plus efficace possible.

La sortie de la phase 3 sera généralement une étude HAZOP et une analyse des risques,lesquelles viseront à identifier les prescriptions de fonction de sécurité et les objectifs deréduction du risque.

La phase 4 traite de l’allocation des fonctions de sécurité sur la base des prescriptions desécurité identifiées au cours de la phase précédente. L’allocation des prescriptions desécurité est le processus qui consiste à traiter chacune des prescriptions de sécurité et àallouer les fonctions instrumentées de sécurité. Ce processus itératif doit prendre encompte le procédé et d’autres mesures de réduction du risque éventuellement disponiblespour respecter les exigences d’intégrité de la sécurité globale.

Il est important, au début de l’allocation des fonctions de sécurité, de planifier aussiles prochaines phases, notamment l’installation, la mise en service et la validation, lefonctionnement et la maintenance (cf. aussi la figure 5).

14

PROCESS SAFEBOOK 1


Toutes les informations pertinentes nécessaires pour respecter les exigences de la sous-clause.Familiarité avec le procédé, les fonctions de commande, l’environnement physique ; dangers et sources de danger ; informations sur les dangers, par ex. toxicité, durées et sources de danger ; informations sur les dangers, par ex., toxicité, durées, exposition ; réglementations actuelles ; dangers résultant d’interactions avec d’autres systèmes.

Informations concernant le procédé, son environnement et les dangers. Définissent les limites du procédé, le système BPCS, d’autres systèmes, les opérateurs ; équipement physique ; spécifient l’environnement, les événements extérieurs à prendre en compte ; d’autres systèmes ; les types d’événements déclencheurs : erreurs de procédures, erreur humaine, mécanismes de défaillance.

Description de et informations relatives à l’analyse des dangers et des risques. Analyse des dangers et des risques : Dangers ; fréquences d’événement déclencheur ; autres mesures de réduction des risques ; conséquences ; risque ; prise en compte du risque tolérable maximum ; disponibilité des données ; hypothèses documentées.Spécification des prescriptions de sécurité globale en termes d’exigences de fonctions de sécurité et d’exigences d’intégrité de sécurité. Remarque : Fonctions de sécurité non spécifiques à la technologie. Le niveau SIL cible doit spécifier la fiabilité cible.

Spécification des fonctions de sécurité.Informations sur l’allocation des fonctions de sécurité globale, leurs mesures de défaillance cible et les niveaux d’intégrité de sécurité associés. Hypothèses émises concernant d’autres mesures de réduction du risque qui doivent être gérées tout au long de la vie du procédé.

Définir le périmètre de l’analyse de danger.

11. Planifica-tion

1. Analyse des dangers et des risques

2. Allocation des prescriptions de sécurité.

Entrée

Sortie

Entrée

Sortie

Figure 3 : phases 1 et 2 du cycle de vie de la sécurité

PROCESS SAFEBOOK 1


15

Spécification des fonctions de sécurité.Informations sur l’allocation des fonctions de sécurité globale, leurs mesures de défaillance cible et les niveaux d’intégrité de sécurité associés. Hypothèses émises concernant d’autres mesures de réduction du risque qui doivent être gérées tout au long de la vie du procédé.

Spécification des prescriptions de sécurité pour le SIS.Peut inclure les C&E.Doit inclure :a) spécification de l’état de sécurité ;b) exigence pour les tests de validité ;c) temps de réponse ;d) interfaces opérateur nécessaires ;e) interfaces avec d’autres systèmes ;f ) modes de fonctionnement ;g) comportement lors de la détection d’un défaut ;h) exigences d’arrêt manuel ;i) exigences pour les logiciels d’application ;j) SIL et mesure de fiabilité cible ;k) cycle de service et durée de vie ;l) conditions environnementales susceptibles d’être rencontrées ;m) limites CEM ;n) contraintes dues aux CCF.Cf. la norme CEI 61511-1, clause 10.3 pour des exigences complètes.

Réalisation de chaque fonction SIF selon la spécification des prescriptions de sécurité pour le SIS

Réalisation de chaque mesure de réduction du risque selon les prescriptions de sécurité pour cette mesure

Conception et développement d’autres mesures

3. Spécification des prescriptions de sécurité

4. Conception et ingénierie du SIS

Entrée

Sortie

Entrée

Sortie


16

PROCESS SAFEBOOK 1



La phase 3 aborde la spécification des prescriptions de sécurité (SRS), laquelle permet lelancement de la phase 4 de conception et d’ingénierie (cf. la figure 4).

Votre organisation dispose peut-être d’une liste de contrôle qui doit être incluse dansune spécification de conception. Ce faisant, chaque projet produira une spécificationcomplète et exhaustive, et contribuera à réduire au minimum les défaillances de lafonction de sécurité imputables à des erreurs de spécification.

La phase 4 peut être traitée de manière adaptée dans une spécification fonctionnelle(FDS) ou un document similaire, qui définit l’implantation, le procédé, ainsi que les aspectsenvironnementaux et opérationnels, puis établit le périmètre des phases suivantes.


Les phases 5 et 6 identifient les exigences concernant l’installation, la mise en service, lefonctionnement et la maintenance des SIS (cf. la figure 5).


Les entrées, sorties et activités associées à la phase 7 de modification sont, pourl’essentiel, identiques à celles de la phase 8 de mise hors service. En effet, la mise horsservice est une modification qui intervient à la fin du cycle de vie, est déclenchée avecles mêmes contrôles et est gérée avec les mêmes mesures de protection (cf. la figure 6).

PROCESS SAFEBOOK 1


17

Un plan pour la validation de la sécurité globale du SIS.Fournit une planification pour la validation de la sécurité du SIS par rapport à la spécification SRS et à d’autres informations de référence, à savoir les graphiques de causes et effets. La validation inclura tous les modes de fonctionnement pertinents (démarrage, arrêt, maintenance, conditions anormales, etc.), procédures, techniques et mesures à employer, planning, personnel et départements responsables. Sera aussi incluse la planification de validation pour le logiciel d’application de sécurité.

Réalisation de chaque fonction SIF selon la spécification des prescriptions de sécurité pour le SIS

Un plan pour l’installation et la mise en service du SIS. Fournit une planification pour les activités d’installation et de mise en service ; les procédures, techniques et mesures à employer ; le planning ainsi que le personnel et les départements responsables.

Confirmation que le SIS est conforme à la spécification des prescriptions de sécurité globale en termes d’exigences SIF et d’exigences d’intégrité de sécurité, en tenant compte de l’allocation des prescriptions de sécurité. Les exigences de documentation incluent ce qui suit : activités de validation chronologique ; version des prescriptions de sécurité ; fonction de sécurité validée ; outils et équipements, résultats ; élément testé, procédure appliquée et environnement de tests ; écarts ; décisions résultantes adoptées.Une plan pour le fonctionnement et la maintenance du SIS.Fournit la planification pour les activités de fonctionnement périodiques et anormales ; les tests de validité, les activités de maintenance, les procédures, techniques et mesures à employer, le planning, le personnel et les départements responsables, la méthode de vérification par rapport aux procédures de fonctionnement et de maintenance.

SIS complètement installé et en service :Document d’installation ; référence aux rapports de défaillances ; résolution des défaillances.

Poursuite de la réalisation de la sécurité fonctionnelle requise pour le SIS. Les éléments suivants doivent être implémentés : Plan O&M ; procédures de fonctionnement, de maintenance et de réparation ; implémentation des procédures ; respect des plannings de maintenance ; gestion de la documentation ; réalisation d’audits FS réguliers ; modifications des documents ; documentation chronologique du fonctionnement et de la maintenance du SIS ;

5. Installation, mise en service et validation

6. Fonctionnement, maintenance et réparation

Entrée

Sortie

Entrée

Sortie


18

PROCESS SAFEBOOK 1


Poursuite de la réalisation de la sécurité fonctionnelle requise pour le SIS. Les éléments suivants doivent être implémentés : Plan O&M ;Procédures de fonctionnement, de maintenance et de réparation ;Implémentation des procédures ;Respect des plannings de maintenance ;Gestion de la documentation ;Réalisation d’audits FS réguliers ;Modifications des documents ;Documentation chronologique du fonctionnement et de la maintenance du SIS.

Réalisation de la sécurité fonctionnelle requise pour le SIS, pendant et après la gestion de la phase de modification. La modification doit uniquement être déclenchée à la suite d’une demande autorisée conformément à la procédure de gestion FS. La demande doit inclure : les dangers susceptibles d’être affectés ; le changement proposé (matériel et logiciels) ; le motif du changement. L’analyse d’impact doit être effectuée. Documentation chronologique du fonctionnement et de la maintenance du SIS.

7. Modification8. Mise hors service

Entrée

Sortie


PROCESS SAFEBOOK 1

Dangers et leur identification

19

3. Dangers et leur identification


La figure 7 montre la phase applicable du cycle de vie.

L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, clause 8.1, consisteà déterminer :

• les dangers/événements dangereux du procédé et des équipements associés, laséquence des événements qui aboutissent au danger et les risques concernéspour le procédé [3.2 – 3.7] ;

• les prescriptions relatives à la réduction du risque [5 et 6] ;• les fonctions de sécurité requises pour atteindre la réduction du risque

nécessaire [7 et 8].

Gestion de

la sécurité

fonctionnelle,

évaluation et

audit de

la sécurité

fonctionnelle

10

Planification et

structure

du cycle de

vie

de sécurité

11

Vérification


1




2





Modification7

Mise hors service8

Figure 7 : phase 1 du cycle de vie

20

PROCESS SAFEBOOK 1


3.2. Dangers

La signification du terme danger peut prêter à confusion. Bien souvent, les dictionnairesne donnent pas de définitions spécifiques ou ils l’associent au terme « risque », parexemple sous la forme « un danger ou un risque », d’où l’utilisation indifférenciée destermes par nombre de personnes.

Dans le contexte de la sécurité fonctionnelle, les dangers sont des événementssusceptibles d’occasionner un préjudice, par exemple des blessures corporelles, oudes dommages à l’environnement ou à l’entreprise.

Voici quelques exemples de dangers au domicile d’un particulier :

• Bris de glace, car ils peuvent provoquer des blessures par entaille ;• Bassins et étangs, car il est possible de glisser et de tomber ;• Trop de fiches sur une multiprise pourraient entraîner une surcharge et

provoquer un incendie.

Voici quelques exemples de dangers au travail :

• Bruit intense, car il peut occasionner une perte de l’audition ;• Poussière d’amiante inhalée, car elle peut provoquer un cancer.

L’industrie des procédés peut inclure les dangers suivants :

• Niveau de liquide dans un récipient ou un réservoir : un niveau élevé peutentraîner un débordement de liquide dans le flux gazeux ou un déversementde produit chimique dangereux ou de liquide inflammable. Un niveau baspeut aboutir à une pompe fonctionnant à vide ou à une fuite de gaz dans lesrécipients en aval.

• Pression de liquide dans un récipient ou un réservoir : une pression élevée peutentraîner une perte de confinement, des fuites ou une rupture de récipient ouréservoir.

La première étape d’évaluation du risque consiste à identifier les dangers. Un certainnombre de techniques permettent d’identifier les dangers, mais la plus courante estl’étude HAZOP (Hazard and Operability).

3.3. Utilisation des études HAZOP dans l’industrie

À l’origine, les études HAZOP ont été mises au point au Royaume-Uni par ICI, après lacatastrophe de Flixborough en 1974, et elles ont commencé à se généraliser dansl’industrie des procédés.

PROCESS SAFEBOOK 1


21

Le samedi 1er juin 1974, le site Nypro (Royaume-Uni) de Flixborough a été gravementendommagé par une explosion importante qui a tué 28 ouvriers et blessé 36 autres. Il aété admis que le nombre de victimes aurait été nettement plus important si l’incidents’était produit un jour de semaine, car la tour de bureaux principale était inoccupée. Selonles rapports, 53 personnes extérieures au site ont été blessées et des propriétésavoisinantes ont aussi été endommagées.

Les 18 décès dans la salle de contrôle ont été provoqués par les vitres qui ont volé en éclatet par l’effondrement du toit. Il n’y a eu aucun survivant. Il a fallu plusieurs jours pouréteindre les incendies et ceux-ci ont entravé les opérations de secours pendant 10 jours.

Les études HAZOP ont d’abord été adoptées par l’industrie chimique puis, via des échangesgénéraux d’idées et de personnel, elles ont ensuite été adoptées par l’industrie pétrolière,laquelle présente un potentiel similaire de catastrophes majeures. Les secteurs de l’alimen -taire et de l’eau ont suivi, car les dangers potentiels y sont aussi grands, quoique plus axés surles problèmes de contamination que les explosions et les rejets de produits chimiques.

3.4. Les raisons en faveur de l’adoption des études HAZOP

Bien que la conception de l’usine se fonde sur les réglementations et normes applicables,le processus HAZOP a offert la possibilité de les compléter par une anticipation ingénieusedes écarts susceptibles de se produire en raison, par exemple, de conditions ou problèmesde procédé, du dysfonctionnement d’un équipement ou d’une erreur humaine.

Par ailleurs, les pressions imposées par les calendriers des projets peuvent aboutir à deserreurs ou des omissions, et les études HAZOP permettent de les corriger avant que detels changements deviennent trop onéreux. Comme elles sont faciles à comprendre et peuvent être adaptées à n’importe quel procédé ou activité, les études HAZOP sontdevenues la méthode la plus employée pour l’identification des dangers.

3.5. Écart par rapport à l’intention de conception

Tous les procédés, équipements commandés ou usines de production ont une intention deconception. Il peut s’agir d’atteindre une capacité de production cible en termes de tonnageannuel d’un produit chimique particulier ou un nombre spécifié d’objets manufacturés.

Toutefois, une intention de conception secondaire importante peut consister à exploiterle procédé d’une manière sûre et efficace, ce qui impose un fonctionnement performantde chaque équipement. C’est cet aspect qui peut être pris en compte pour l’intention deconception de l’équipement concerné.

Par exemple, dans le cadre des exigences de production de notre usine, nous avons peut-être besoin d’une installation d’eau de refroidissement contenant un circuit d’eau derefroidissement avec une pompe de circulation et un échangeur de chaleur, commeillustré sur la figure 8.

22

PROCESS SAFEBOOK 1


L’intention de conception de cette petite section de l’usine pourra être une circulationpermanente de l’eau de refroidissement à une température de x ºC et à un débit dexxx litres par heure. L’étude HAZOP s’adresse généralement à ce niveau détailléd’intention de conception. L’utilisation du terme écart devient désormais plus facile àcomprendre. Un écart ou une divergence par rapport à l’intention de conceptiondans notre exemple d’installation d’eau de refroidissement pourra être une réduction dudébit de circulation ou une augmentation de la température de l’eau.

Notez la différence entre un écart et sa cause. Dans le cas ci-dessus, une défaillance de lapompe constituera une cause, pas un écart.

Dans cet exemple, une augmentation de la température de l’eau constituerait le danger,car elle serait potentiellement préjudiciable en provoquant des blessures corporelles oudes dommages à l’environnement ou à l’entreprise.

3.6. Technique HAZOP

Les études HAZOP servent à identifier des dangers potentiels et des problèmesd’exploitabilité provoqués par des écarts vis-à-vis de l’intention de conception des usinesde procédés nouvelles ou existantes, et elles sont généralement réalisées régulièrementpendant toute la durée de vie de l’usine. Une étude HAZOP initiale ou préliminaire doitassurément être réalisée très tôt au cours de la phase de conception. Le procédé doit êtreexaminé pendant l’avancement du développement, à chaque proposition de modificationsmajeures et, enfin, à la fin du développement, afin de garantir l’absence de risque résiduelavant l’étape de construction.

Échangeur de chaleur

Alimentation enliquide de

refroidissement

Pompe

Réservoir

Ventilateur derefroidissement

Figure 8 : intention de conception

PROCESS SAFEBOOK 1


23

Une étude HAZOP est réalisée au cours de réunions organisées entre les partiesconcernées ayant une connaissance et une expérience suffisantes du fonctionnement et de la maintenance de l’usine. La réunion est une session structurée de réflexion, aucours de laquelle des mots-guides servent à stimuler la production d’idées sur les dangerspotentiels. Le procès-verbal de la réunion consigne les discussions et collecte lesinformations sur les dangers potentiels, leurs causes et leurs conséquences.

3.6.1. Équipe d’étude HAZOP

Il est important qu’une équipe HAZOP soit constituée de personnes qui apportent àl’étude le meilleur équilibre possible entre les connaissances et l’expérience sur le typed’usine envisagé. Une équipe HAZOP type sera constituée comme suit :

3.6.2. Informations utilisées dans l’étude HAZOP

Les éléments suivants doivent être consultables par l’équipe HAZOP :

• Diagrammes de tuyauterie et d’instrumentation (P&ID) pour l’installation ;• Documentation de philosophie ou de description de procédé ;• Procédures de fonctionnement et de maintenance existantes ;• Diagrammes de causes et effets (C&E) ;• Plans d’aménagement d’usine.

Nom Rôle

Président Explique le processus HAZOP, dirige les discussions et facilite l’étudeHAZOP. Personne ayant une bonne expérience de la méthode HAZOP,mais pas directement impliquée dans la conception, afin de garantir lerespect scrupuleux de la méthode.

Secrétaire Consigne les discussions de la réunion HAZOP et fournit un compte-rendu de celles-ci. Consigne les recommandations ou actions.

Ingénieur de procédé Généralement l’ingénieur responsable de l’organigramme desopérations de procédé et de l’élaboration des diagrammes de tuyauterieet d’instrumentation (P&ID).

Utilisateur/opérateur Fournit des conseils sur l’utilisation et l’opérabilité du procédé, ainsi quesur l’incidence d’écarts.

Spécialiste C&I Personne ayant les connaissances techniques adaptées en commandeset instrumentation.

Technicien demaintenance

Personne chargée de la maintenance du procédé.

Représentant del’équipe de conception

Fournit des détails relatifs à la conception ou des informationssupplémentaires.

24

PROCESS SAFEBOOK 1


3.6.3. La procédure HAZOP

La procédure HAZOP consiste à prendre une description complète du procédé et àremettre systématiquement en question chacune de ses parties, afin de détermineren quoi des écarts vis-à-vis de l’intention de conception peuvent avoir une incidencenégative sur l’exploitation sûre et efficace de l’usine.

La procédure est appliquée de manière structurée par l’équipe HAZOP et repose surl’utilisation de l’imagination de ses membres en vue d’identifier des dangers crédibles.

Dans la pratique, de nombreux dangers auront un caractère évident, notamment uneaugmentation de température, mais la force de cette technique réside dans sa capacitéà identifier des dangers nettement moins manifestes, aussi improbables qu’ils puissentparaître de prime abord.

3.6.4. Mots-guides

Le processus HAZOP utilise des mots-guides afin de focaliser l’attention de l’équipe surles écarts vis-à-vis de l’intention de conception, ainsi que sur leurs éventuelles causes etconséquences. Ces mots-guides sont répartis en sous-ensembles :

• Mots-guides principaux, qui focalisent l’attention sur un aspect particulierde l’intention de conception ou une condition ou un paramètre de procédéassocié, à savoir le débit, la température, la pression, le niveau, etc. ;

• Mots-guides secondaires qui, s’ils sont combinés à un mot-guide principal,suggèrent des écarts possibles, par ex. plus de température, moins de niveau,pas de pression, écoulement inverse, etc.

Toute la technique dépend de l’utilisation efficace de ces mots-guides, de sorte que leursignification et leur utilisation doivent être parfaitement comprises par l’équipe.

Il convient de noter que le recours à des mots-guides sert simplement à stimulerl’imagination sur les événements pouvant se produire. Les mots-guides ne sont pas tousporteurs de sens et les dangers ne sont pas tous crédibles. Dans ces cas, il est recommandéà l’équipe d’identifier les événements sans signification ou non crédibles, puis de lesconsigner comme tels, afin que l’équipe ne perde pas de temps et passe à autre chose.

3.6.5. Modes de fonctionnement

Puisqu’une étude HAZOP met l’accent sur les dangers et l’exploitabilité, il est importantde considérer non seulement le fonctionnement normal du procédé, mais aussi d’autresmodes anormaux, tels que la mise en route, l’arrêt, le remplissage, la vidange, ladérivation et les tests de validité.

PROCESS SAFEBOOK 1


25

Pour ce faire, il est possible d’envisager chaque mode de fonctionnement spécifié dans lepérimètre comme un exercice distinct et de produire des analyses HAZOP séparées pourchacun. Pour les systèmes relativement simples, une autre possibilité consiste à inclureune colonne supplémentaire dans les fiches afin d’identifier le mode. Une analyse HAZOPunique peut ainsi prendre en considération tous les modes de fonctionnement.

3.6.6. Consignation de l’étude HAZOP

Des outils logiciels sont disponibles pour vous guider tout au long du processus HAZOP.Autre possibilité, une feuille de calcul toute simple peut être élaborée afin de consignerles discussions et les conclusions. Les feuilles de calcul facilitent les opérations de tri et declassement. Elles fournissent aussi une visibilité et une traçabilité entre les entrées, d’oùune gestion possible des références croisées avec d’autres analyses.

Il est recommandé de consigner tous les événements et toutes les combinaisons de mots-guides envisagés. Le cas échéant, il est possible de consigner les éléments suivants : Pasde cause crédible, Pas de conséquence ou Pas de danger. L’ensemble est classé commeun enregistrement complet, qui aboutit à un rapport HAZOP démontrant qu’une étudeexhaustive et rigoureuse a été effectuée. Son utilité sera incalculable pour évaluer lasécurité et l’exploitabilité de modifications ultérieures de l’usine.

Outre ce qui précède, les mots secondaires « Tout » et « Reste » sont souvent employés.Par exemple, certaines combinaisons de mots-guides principaux peuvent être identifiéescomme ayant des causes crédibles, par ex., Débit/Aucun, Débit/Inverse. Pour d’autrescombinaisons (Débit/Moins, Débit/Plus, Débit/Autre), où aucune cause crédible ne peutêtre identifiée, la combinaison « Débit/Reste » peut être employée.

3.6.7. Identification des dangers – En-tête de fiche HAZOP

Le tableau suivant présente un exemple de fiche HAZOP pour la chambre de décompression.Notez qu’il s’agit purement d’une représentation, qui n’illustre en aucun cas un système réel.

Référence

Il est toujours utile d’inclure une colonne de référence, afin que chaque entrée puisse êtreréférencée à partir d’autres analyses et fournisse aussi une traçabilité vers des analysesconsécutives, par ex., LOPA [8].

Mots-guides

Des mots-guides principaux et secondaires doivent être employés. Internet peut fournirdifférentes listes de mots-guides qui s’appliquent à différents secteurs d’activité etindustries.

26

PROCESS SAFEBOOK 1


Écart

L’écart désigne une divergence par rapport à l’intention de conception définie par lesmots-guides principaux et secondaires, et il représente le danger identifié.

Cause

Causes potentielles pouvant aboutir à la survenance de l’écart. Il est important d’incluredes informations spécifiques sur la cause. Par exemple, si nous devions nous préoccuperd’une augmentation de la concentration en oxygène liée à une défaillance de sonde O2,le capteur pourrait subir différentes défaillances, mais seule la lecture d’une faibleconcentration d’O2 erronée pourrait aboutir à la condition de danger.

Conséquence

Les conséquences qui découleraient de l’effet de l’écart et, le cas échéant, de la causeproprement dite. Il convient d’être toujours explicite dans la consignation des conséquences.Ne partez pas du principe qu’à une date ultérieure le lecteur comprendra la nature du dangerou ses conséquences.

Lors de la documentation des conséquences, il est important d’avoir à l’esprit que l’étudeHAZOP peut servir à déterminer un risque. Par conséquent, une description complète desévolutions possibles du danger et des conséquences associées est essentielle. Parexemple, les conséquences peuvent être décrites comme suit :

« Surpression potentielle pouvant conduire à une rupture de la tuyauterie de décharge de gazet à une perte de confinement. Les rejets importants de gaz s’enflamment au contact del’échappement des machines chaudes, d’où une explosion ou une inflammation instantanéepouvant entraîner la mort d’au moins deux techniciens de maintenance. Dommages aucompresseur pouvant atteindre 2 millions € et perte de production pendant au maximum 1 an »

Lors de l’évaluation des conséquences, il est important de ne pas inclure lessystèmes de protection ou instruments déjà inclus dans la conception.

Mesures de protection

Tout équipement de protection existant qui évite la cause ou protège des conséquencessera consigné dans cette colonne. Les mesures de protection ne doivent pas être limitéesau matériel et, le cas échéant, il est possible de prendre en considération des aspects deprocédure tels les inspections régulières de l’usine (si vous êtes certain qu’elles sonteffectuées ET qu’elles peuvent avoir un rôle de prévention ou de protection).

PROCESS SAFEBOOK 1


27

3.7. Exemple d’étude HAZOP

3.7.1. Séparateur

L’exemple suivant présente un schéma simplifié d’un récipient séparateur de procédé. Leliquide de procédé arrive dans le récipient et est chauffé par un brûleur à gaz. La vapeurest séparée du liquide de procédé et dirigée vers une sortie. Le reste du liquide concentréest évacué par le fond du récipient une fois la réaction terminée (cf. la figure 9).

Le récipient est équipé d’un système numérique de contrôle-commande (SNCC), lequelcontrôle le niveau de liquide dans le récipient, la pression du gaz et la température.

Un exemple d’étude HAZOP pour ce séparateur est illustré sur le schéma suivant.

Sortie de liquide

Arrivée de gaz combustible

Arrivée de liquide

Sortie de gaz

XV101

LL101

TT100

FCV100

FCV100 XV100

T

P

Brûleur

LH101

FCV102

XV102

PT102

LH

LL

Figure 9 : séparateur

28

PROCESS SAFEBOOK 1


3.7.2. Étude HAZOP de séparateurRé

f.Mot-guide

princ

ipal

Mot-guide

secon

daire

Écart

Source

de da

nger

Cons

éque

nce

01.01

Débit élevé de

liquide de

procédé

en

entrée de

récipient.

Le débit élevé en

entrée de

récipient pourrait

aboutir

à un niveau

élevé, transfert

de liquide

dans

la sortie

de gaz.

Dom

mages

aux

équipem

ents

en aval

nécessitant

le remplacem

ent du

récipient estimés

à 10 millions

€ et arrêt

de procédé pendant 6

mois.

01.02

Débit élevé de

liquide de

procédé

en

sortie

de récipient.


sortie

de récipient pourrait aboutir à un

niveau

bas, fuite

de gaz dans

la sortie

de liquide.

Dom

mages

aux

équipem

ents

en aval

nécessitant

le nettoyage

du récipient

estim

és à

2 millions

€ et arrêt


sem

aines.

01.03

Débit élevé de

gaz

en sortie

du

récipient.

Pas de

danger crédible

Aucun.

01.04

Débit faible

de liquide

de procédé

en entrée de

récipient.

Le débit faible

en entrée

de récipient pourrait aboutir à un

niveau

bas, fuite

de gaz dans

la sortie

de liquide.

Dom

mages

aux

équipem

ents

en aval

nécessitant

le nettoyage

du récipient

estim

és à

2 millions

€ et arrêt


sem

aines.

01.05

Débit faible

de liquide

de procédé

en sortie

de récipient.

Le débit faible

en sortie

de récipient pourrait

aboutir

à un niveau

élevé, transfert

de liquide

dans

la sortie

de gaz.

Dom

mages

aux

équipem

ents

en aval

nécessitant

le remplacem

ent du

récipient estimés

à 10 millions

€ et arrêt


mois.

01.06

Débit faible

de gaz en

sortie

du

récipient.

Pas de

danger crédible

Aucun.

01.07

Inverse

Pas crédible.

Pas de

danger crédible

Aucun.

01.08

Aussi

Pas crédible.

Pas de

danger crédible

Aucun.

01.09

Autre

Pas crédible.

Pas de

danger crédible

Aucun.

01.10

Plus

Pression

élevée dans

le récipient.

Rupture

de récipient et rejet

de gaz.

Le

gaz

libéré

s’enflam

me sur le brûleur et au contact des

surfaces chaudes.

Décès

possible

de deux

techniciens de

maintenance. Dom

mages

aux

équipem

ents

nécessitant

le remplacem

ent du récipient estimés

à 10 millions

€ et arrêt

de

procédé pendant 1

année. Dégagem

ent m

ineur dans l’environnem

ent.

01.11

Moins

Pression

faible

dans le

récipient.

Rupture


de gaz.

Le

gaz

libéré

s’enflam


surfaces chaudes.

Décès

possible de

deux techniciens de

maintenance. Dom

mages

aux

équipements

nécessitant

le remplacem


à 10 millions

€

et arrêt


année. Dégagem

ent m


ent.

01.12

Inverse

Pas crédible.

Pas de

danger crédible

Aucun.

01.13

Aussi

Pas crédible.

Pas de

danger crédible

Aucun.

01.14

Autre

Pas crédible.

Pas de

danger crédible

Aucun.

01.15

Plus

Température

élevée dans

le

récipient.

La température

élevée aboutit

à une

pression

élevée, à

la rupture du

récipient et au rejet de gaz.

Le

gaz

libéré

s’enflam


surfaces chaudes.

Décès

possible

de deux

techniciens de

maintenance. Dom

mages

aux

équipem

ents

nécessitant

le remplacem


à 10 millions

€ et arrêt

de

procédé pendant 1

année. Dégagem

ent m


ent.

01.16

Moins

Température

basse

dans le

récipient.

Gel

potentiel de liquide

(solidification), rupture

de

récipient et perte

de confinement.

Dom

mages

aux

équipem

ents

nécessitant

le remplacem

ent du

récipient estimés

à 10 millions

€ et arrêt


mois.

Rejet dans l’environnem

ent nécessitant

une

déclaration.

01.17

Inverse

Pas crédible.

Pas de

danger crédible

Aucun.

01.18

Aussi

Pas crédible.

Pas de

danger crédible

Aucun.

01.19

Autre

Pas crédible.

Pas de

danger crédible

Aucun.

01.20

Plus

Niveau élevé dans

le récipient.

Le niveau élevé dans

le récipient pourrait aboutir

à un

transfert de liquide

dans la

sortie

de gaz.

Dom

mages

aux

équipem

ents

en aval

nécessitant

le remplacem

ent du

récipient estimés

à 10 millions

€ et arrêt


mois.

01.21

Moins

Niveau bas dans

le récipient.

Le niveau bas dans


à une fuite

de gaz dans

la sortie

de liquide.

Dom

mages

aux

équipem

ents

en aval

nécessitant

le nettoyage

du récipient

estim

és à

2 millions

€ et arrêt


sem

aines.

01.22

Inverse

Pas crédible.

Pas de

danger crédible

Aucun.

01.23

Aussi

Pas crédible.

Pas de

danger crédible

Aucun.

01.24

Autre

Pas crédible.

Pas de

danger crédible

Aucun.

Niveau

Écoulement

Plus

Moins

Pression

Température

PROCESS SAFEBOOK 1


29

3.7.3. Résultats d’étude HAZOP

En guise de synthèse, les dangers identifiés sont les suivants :

La liste des dangers identifiés forme un journal des dangers pour le système. Ce journaldoit demeurer un document dynamique pendant toute la durée de vie du système etpeut faire l’objet d’ajouts ou de révisions après la réalisation d’autres études.

Chaque danger identifié pourrait avoir des conséquences en matière de sécurité,d’environnement et d’activité commerciale, mais pour traiter les obligations en vertu dela loi britannique sur la santé et la sécurité au travail [1.5.1], nous devons déterminer leniveau de risque associé à chacun des dangers [4].

Danger Conséquence

Le niveau élevé dans lerécipient pourrait aboutirà un transfert de liquidedans la sortie de gaz.

Dommages aux équipements en aval nécessitant le remplacementdu récipient estimés à 10 millions € et arrêt de procédé pendant6 mois.

La pression élevéeprovoque une rupture durécipient et un rejet degaz.

Le gaz libéré s’enflamme sur le brûleur et au contact des surfaceschaudes. Décès possible de deux techniciens de maintenance.Dommages aux équipements nécessitant le remplacement durécipient estimés à 10 millions € et arrêt de procédé pendant1 année. Dégagement mineur dans l’environnement.

La température élevéeaboutit à une pressionélevée, à la rupture durécipient et au rejet degaz.


Le niveau bas dans lerécipient pourrait aboutirà une fuite de gaz dans lasortie de liquide.

Dommages aux équipements en aval nécessitant le nettoyagedu récipient estimés à 2 millions € et arrêt de procédé pendant6 semaines.

La pression faibleprovoque une rupture durécipient et un rejet degaz.


Température basse, gelpotentiel de liquide(solidification), rupturede récipient et perte deconfinement.

Dommages aux équipements nécessitant le remplacement durécipient estimés à 10 millions € et arrêt de procédé pendant 6 mois.Rejet dans l’environnement nécessitant une déclaration.

30

PROCESS SAFEBOOK 1


4. Risque et réduction du risque

4.1. Concept de risque

Un risque représente la vraisemblance qu’un danger provoque un effet dommageablemesurable.

Par conséquent, il s’agit d’un concept à deux composantes indissociables. La vraisemblancepeut être exprimée de différentes manières, par exemple sous forme de probabilité : un surmille, en tant que fréquence : 1000 cas par an, ou de manière qualitative : négligeable ousignificatif.

L’effet peut être décrit d’une multitude de manières. Par exemple :

• Blessure grave ou décès d’un employé ;• Blessures de tiers ;• Public exposé à des gaz toxiques.

Le risque annuel d’un accident mortel pour un employé [effet] au travail lors d’un contactavec des machines ou pièces de machine en mouvement [danger] est inférieur à un pour100 000 [vraisemblance].

Par conséquent, le risque doit être quantifié selon deux dimensions. L’incidence oules conséquences du danger doivent être évaluées, de même que la probabilité desurvenance de celui-ci. Pour faire simple, évaluez chacune sur une échelle de 1 à 4,comme illustré sur la figure 10, où plus la valeur est élevée, plus l’incidence ou laprobabilité de survenance l’est également. En guise de principe général, l’utilisationd’une matrice de risque telle que celle-ci permet d’établir des priorités et d’évaluer lerisque.

Gravité des conséquences

Faible

1

1

2

3

4

2 3 4

Élevée

Moyenne Critique

Probabilité

de

survenance

Figure 10 : matrice de risque

PROCESS SAFEBOOK 1

Risque et réduction du risque

31

Si la probabilité de survenance est élevée et si la gravité des conséquences est faible, lerisque peut être qualifié de moyen. En revanche, si la gravité des conséquences est élevéeet si la probabilité de survenance est faible, le risque peut être considéré comme élevé. Engénéral, un risque éloigné d’événement catastrophique doit attirer plus l’attention qu’unproblème mineur qui survient fréquemment.

Jusqu’à présent, les exemples de risques font uniquement référence à la sécurité dupersonnel, mais rien n’empêche d’adopter la même approche pour des risques touchant àl’environnement ou à l’entreprise en termes de risques concernant un actif ou la capacitéà générer du chiffre d’affaires, voire en termes de réputation de l’entreprise ou de sécuritédes approvisionnements pour des producteurs d’électricité.

4.2. Analyse des dangers (HAZAN)

Une premier passe d’évaluation du risque se déroule généralement dans le cadre del’étude HAZOP et est appelée analyse des dangers (HAZAN). Comme le montre lafigure 10, chaque danger peut être classé en termes de gravité (généralement 1 à 4,4 désignant le niveau le plus élevé) et de probabilité de survenance, ou fréquence(1 à 4, où 4 désigne le niveau le plus probable).

L’exemple HAZOP [3.7.2] peut être développé et la multiplication des catégories de gravitéet de fréquence fournit une mesure préliminaire sous forme d’un nombre de priorité derisque (NPR), lequel peut servir à hiérarchiser les actions de réduction du risque, [4.3].

4.3. Étude HAZAN pour le séparateur

La colonne Action fournit une opportunité d’effectuer des recommandations afind’initier des actions correctives, par exemple afin d’examiner les mesures de protectionsupplémentaires envisageables.

Les actions possibles se classent dans les deux groupes suivants :

• Actions qui éliminent la cause ;• Actions qui atténuent les conséquences.

L’élimination de la cause du danger constitue de loin la solution privilégiée. L’atténuationdes conséquences doit uniquement être envisagée lorsque la première solution estimpossible.

4.3.1. Actions HAZOP

Les fiches HAZOP identifient aussi les actions aux fins d’investigation supplémentaire.Dans cet exemple, les actions suivantes ont été identifiées.

32

PROCESS SAFEBOOK 1


Réf.

Écart

Source

de da

nger

Cons

éque

nce

Cat.

grav.

Cat.

fréq

.NPR

Mesures

de

protection

Action

01.01

Débit élevé de

liquide de

procédé

en

entrée de

récipient.


entrée de

récipient

pourrait aboutir

à un niveau

élevé,


dans la

sortie

de gaz.

Dom

mages

aux

équipem

ents

en aval

nécessitant

le remplacem

ent du

récipient estimés

à 10 millions

€ et arrêt


mois.

3

26

Contrôle

de niveau.

Envisager l’installation

d’une alarme de

niveau

haut.

01.02

Débit élevé de

liquide de

procédé

en

sortie

de récipient.


sortie

de récipient pourrait aboutir à

un niveau bas,

fuite

de gaz dans

le liquide

Dom

mages

aux

équipem

ents

en aval

nécessitant

le nettoyage

du récipient

estim

és à

2 millions

€ et arrêt


sem

aines.

21

2Contrôle

de niveau.

Envisager l’installation d’une

alarme de

niveau bas.

01.03

Débit élevé de

gaz

en sortie

du

récipient.

Pas de

danger crédible

Aucun.

Aucun.

01.04

Débit faible

de liquide

de procédé

en entrée de

récipient.

Le débit faible

en entrée

de récipient pourrait aboutir à

un niveau bas,

fuite

de gaz dans

le liquide

Dom

mages

aux

équipem

ents

en aval

nécessitant

le nettoyage

du récipient

estim

és à

2 millions

€ et arrêt


sem

aines.

2

24

Contrôle

de niveau.


alarme de

niveau bas.

01.05

Débit faible

de liquide

de procédé

en sortie

de récipient.

Le débit faible

en sortie

de récipient

pourrait aboutir

à un niveau

élevé,


dans la

sortie

de gaz.

Dom

mages

aux

équipem

ents

en aval

nécessitant

le remplacem

ent du

récipient estimés

à 10 millions

€ et arrêt


mois.

3

13

Contrôle

de niveau.


d’une alarme de

niveau

haut.

01.06

Débit faible

de gaz en

sortie

du

récipient.

Pas de

danger crédible

Aucun.

Aucun.

01.07

Pas crédible.

Pas de

danger crédible

Aucun.

Aucun.

01.08

Pas crédible.

Pas de

danger crédible

Aucun.

Aucun.

01.09

Pas crédible.

Pas de

danger crédible

Aucun.

Aucun.

01.10

Pression

élevée dans

le récipient.

Rupture


de gaz.

Le

gaz

libéré

s’enflam


surfaces chaudes.

Décès

possible

de deux

techniciens de

maintenance. Dom

mages

aux

équipem

ents

nécessitant

le remplacem


à 10 millions

€ et arrêt

de

procédé pendant 1

année. Dégagem

ent m


ent.

42

8

Contrôle

de pression.


d’une alarme de

niveau

haut.

01.11

Pression

faible

dans le

récipient.

Rupture


de gaz.

Le

gaz

libéré

s’enflam


surfaces chaudes.

Décès

possible

de deux

techniciens de

maintenance. Dom

mages

aux

équipem

ents

nécessitant

le remplacem


à 10 millions

€ et arrêt

de

procédé pendant 1

année. Dégagem

ent m


ent.

41

4

Contrôle

de pression.


d’une alarme de

niveau

bas.

01.12

Pas crédible.

Pas de

danger crédible

Aucun.

Aucun.

01.13

Pas crédible.

Pas de

danger crédible

Aucun.

Aucun.

01.14

Pas crédible.

Pas de

danger crédible

Aucun.

Aucun.

01.15

Température

élevée dans

le

récipient.

La température

élevée aboutit

à une

pression

élevée,

à la

rupture du

récipient et au rejet de gaz

Le gaz

libéré

s’enflam


surfaces chaudes.

Décès

possible

de deux

techniciens de

maintenance. Dom

mages

aux

équipem

ents

nécessitant

le remplacem


à 10 millions

€ et arrêt

de

procédé pendant 1

année. Dégagem

ent m


ent.

41

4

Contrôle

de

température.


d’une alarme de

température

élevée.

01.16

Température

basse

dans le

récipient.

Gel

potentiel de liquide

(solidification),

rupture de

récipient et perte

de

confinement.

Dom

mages

aux

équipem

ents

nécessitant

le remplacem

ent du

récipient estimés

à 10 millions

€ et arrêt


mois.

Rejet dans l’environnem

ent nécessitant

une

déclaration.

3

13

Contrôle

de

température.


d’une alarme de

température

basse.

01.17

Pas crédible.

Pas de

danger crédible

Aucun.

Aucun.

01.18

Pas crédible.

Pas de

danger crédible

Aucun.

Aucun.

01.19

Pas crédible.

Pas de

danger crédible

Aucun.

Aucun.

01.20

Niveau élevé dans

le récipient.

Le niveau élevé dans

le récipient

pourrait aboutir

à un transfert de

liquide

dans la

sortie

de gaz.

Dom

mages

aux

équipem

ents

en aval

nécessitant

le remplacem

ent du

récipient estimés

à 10 millions

€ et arrêt


mois.

3

26

Contrôle

de niveau.


d’une alarme de

niveau

haut.

01.21

Niveau bas dans

le récipient.

Le niveau bas dans


à une fuite

de gaz dans

la sortie

de liquide.

Dom

mages

aux

équipem

ents

en aval

nécessitant

le nettoyage

du récipient

estim

és à

2 millions

€ et arrêt


sem

aines.

2

12

Contrôle

de niveau.


alarme de

niveau bas.

01.22

Pas crédible.

Pas de

danger crédible

Aucun.

Aucun.

01.23

Pas crédible.

Pas de

danger crédible

Aucun.

Aucun.

01.24

Pas crédible.

Pas de

danger crédible

Aucun.

Aucun.

PROCESS SAFEBOOK 1


33

Réf. Danger Conséquence Action Actionallouée

Date de fin

01.01 Le débit élevé en entréede récipient pourraitaboutir à un niveauélevé, transfert de liquidedans la sortie de gaz.

Dommages auxéquipements en aval.

Envisagerl’installation d’unealarme de niveauhaut.

S Smith Dépt C&I 14 avril 12

01.02 Le débit élevé en sortiede récipient pourraitaboutir à un niveau bas,fuite de gaz dans la sortiede liquide.


Envisagerl’installation d’unealarme de niveaubas.


01.04 Le débit faible en entréede récipient pourraitaboutir à un niveau bas,fuite de gaz dans la sortiede liquide.




01.05 Le débit faible en sortiede récipient pourraitaboutir à un niveauélevé, transfert de liquidedans la sortie de gaz.




01.10 Rupture de récipient etrejet de gaz.

Décès possibles detechniciens demaintenance. Dommagesaux équipements. Rejetdans l’environnement.

Envisagerl’installation d’unealarme de pressionélevée.

J Jones Déptprocédé

21 avril 12

01.11 Rupture de récipient etrejet de gaz.


Envisagerl’installation d’unealarme de pressionbasse.

J Jones Déptprocédé

21 avril 12

01.15 La température élevéeaboutit à une pressionélevée, à la rupture durécipient et au rejet degaz.


Envisagerl’installation d’unealarme detempérature élevée.

V White Dépt C&I 21 avril 12

01.16 Gel potentiel de liquide,rupture de récipient etperte de confinement.

Dommages auxéquipements. Rejet dansl’environnement.

Envisagerl’installation d’unealarme detempérature basse.

V White Dépt C&I 21 avril 12

01.20 Le niveau élevé dans lerécipient pourrait aboutirà un transfert de liquidedans la sortie de gaz.




01.21 Le niveau bas dans lerécipient pourrait aboutirà une fuite de gaz dans lasortie de liquide.




34

PROCESS SAFEBOOK 1


4.4. Exemples de classements de matrice de risque

La figure 11 présente des informations similaires à la matrice de risque toute simpleemployée ci-dessus. La gravité des conséquences a été classée au moyen de descriptionsgénériques simples, par ex. négligeable, mineure, grave, catastrophique, etc. Si une étudeHAZOP a été réalisée, les conséquences probables des dangers identifiés serontprobablement connues et elles peuvent être regroupées et classées.

La quantification de la vraisemblance de survenance est plus difficile. La figure 11 exposeune approche, où la vraisemblance est classée de manière descriptive de très fréquente(par ex., le danger se produit plusieurs fois par an sur le site) à très rare (par ex., jamaisrencontré dans le domaine d’activité ou dans aucun secteur d’activité). Avec une telledescription qualitative de la vraisemblance de survenance, il est possible d’affecter desplages de fréquence à chaque catégorie.

Ainsi, le tableau résultant permet une classification des risques allant de très faible (TF), àfaible (F), moyen (M), Élevé (E) et très élevé (TE), en fonction de la catégorie de gravité etde la fréquence.

PROCESS SAFEBOOK 1


35

Jamais entendu

parler dans un

secteur/type

de travail

Jamais entendu

parler dans le

secteur/type

de travail

Entendu parler dans

le secteur/type de

travail

Survenu au

sein

de l’entreprise

Survient

plusieurs

fois

dans

l’entreprise

Survient

sur

site

Survient

plusieurs fois

sur site

Survient

plusieurs fois

par an sur site

AB

CD

EF

GH

Catastrophique

10-6/an

Grave

10-5/an

Majeure

10-4/an

Moyenne

10-3/an

Mineure

10-2/an

Négligeable

10-1/an

< 10

-6/an

10-6

– 10-5/an

10-5

– 10-4/an

10-4

– 10-3/an

10-3

– 10-2/an

10-2

– 10-1/an

10-1

– 1/an

> 1/an

TF

Vraisem

blan

ce

Gravité

6M

ETE

TFF

TETE

TE

5F

ME

TETE

TE

4TF

FM

ETE

TE

3TF

FM

ETE

2TF

FM

E

1TF

FM

Figure 11 : matrice de risque

36

PROCESS SAFEBOOK 1


4.5. Quantification des risques

La tolérance des risques a jusqu’à présent été qualitative. La quantification de la tolérancedes risques concernant la sécurité des personnes dépend du type de perception desrisques et les facteurs suivants, entre autres, peuvent l’influencer :

• Expérience personnelle d’effets dommageables ;• Contexte et croyances liés à la société ou à la culture ;• Degré de maîtrise individuel concernant un risque particulier ;• Étendue de collecte d’informations auprès de différentes sources, par ex.,

les médias.

Évidemment, certains risques sont tellement élevés qu’ils sont clairement inacceptables(par ex., le fait de fumer pendant la grossesse) et d’autres sont tellement faibles qu’ils endeviennent négligeables (par ex., le fait de faire bouillir une casserole de lait).Naturellement, la partie la plus intéressante pour les discussions est la zone de risquetolérable floue entre les deux. La tâche consiste, par conséquent, à définir les deuxconditions limites :

• entre le risque inacceptable et tolérable, et• entre le risque tolérable et acceptable.

Selon le document HSE intitulé Reducing Risks, Protecting People (R2P2) [19.3], unrisque individuel de décès d’un sur un million par an, pour les employés et le publiccorrespond à un niveau de risque très faible et doit être employé comme la limite derisque largement acceptable (négligeable).

Le R2P2 poursuit en suggérant qu’un risque individuel de décès de 1 sur 1000 paran doit représenter la condition limite entre ce qui est simplement tolérable pour unecatégorie substantielle d’ouvriers pendant une part importante de leur vie professionnelleet ce qui est inacceptable pour tous les groupes hormis des groupes relativementexceptionnels. Au Royaume-Uni, l’objectif de la santé et de la sécurité au travail estd’atteindre un niveau où quasiment toute la population pourrait être exposéequotidiennement sans effet dommageable.

Pour le public exposé malgré lui à un risque, cette limite est considérée commenettement inférieure à 1 sur 10 000 par an.

Les critères adoptés par le HSE peuvent être illustrés dans un cadre appelé tolérancedes risques (TOR, tolerability of risk), figure 12. Les critères du risque individuel tolérablemaximum et du risque largement acceptable ont été délimités.

PROCESS SAFEBOOK 1


37

4.6. Tolérance et acceptabilité des risques

Lors de la détermination du risque quantitatif lié aux dangers identifiés par exemple lorsd’une étude HAZOP, il est nécessaire de définir des critères de risque quantitatif et deprendre en compte d’autres dangers professionnels auxquels une personne peut êtreexposée pendant sa journée de travail. Il n’est pas déraisonnable de partir du postulatqu’une personne sera exposée à une dizaine de dangers de ce type. Les critères detolérance des risques (cf. la figure 12) peuvent ensuite être répartis entre ces 10 dangers,ce qui donne un risque individuel tolérable maximum de décès de 1 sur 10 000 par an,comme le montre la figure 13.

La limite de risque largement acceptable pour un risque individuel de décès concernantles employés et le public reste à un pour un million par an, car elle est déjà considéréecomme négligeable. La tolérance des risques peut être synthétisée comme illustré sur lafigure 14.

Région inacceptable

Région tolérable

Région largement acceptable

10-6 pa

10-3 pa

Augmentation du

risque

Figure 12 : tolérance des risques

Région inacceptable

Région tolérable

Région largement acceptable

10-6 pa

10-4 pa

Augmentation du

risque

Figure 13 : critères de risque individuels

38

PROCESS SAFEBOOK 1


À partir du risque individuel tolérable maximum de décès de 1 sur 10 000 par an, d’autresvaleurs de risque tolérable maximum peuvent être déterminées selon la gravité etl’implication ou non de tiers (cf. la figure 15).

RISQUE INDIVIDUEL par an

Conséquence Mineure/Grave Grave/Décès Plusieurs décès

Employé 10-3 10-4 10-5

Public 10-4 10-5 10-6

RISQUE LARGEMENT ACCEPTABLE (négligeable)


Employé 10-5 10-6 10-6

Figure 15 : synthèse des tolérances des risques

RISQUE INDIVIDUEL par an


Employé 10-3 10-4 10-5

Public 10-4 10-5 10-6

RISQUE LARGEMENT ACCEPTABLE (négligeable)


Employé 10-5 10-6 10-6


PROCESS SAFEBOOK 1


39

4.7. Tolérance des risques

La synthèse de la tolérance des risques [figure 15] peut être représentée sous formegraphique comme illustré sur la figure 16.

Plusieursdécès

Risque tolérablemaximumemployées

Risque tolérablemaximum

public

Risque négligeable

10-6 10-5 10-4 10-3

Fréquence (/an)

Gravité

des

conséquences

Décèsunique

Blessures


40

PROCESS SAFEBOOK 1


4.8. Exigences de conformité

Les exigences concernant les niveaux d’intégrité de sécurité découlent des fréquencesprobables d’événements dangereux. Selon les conséquences d’un danger, une fréquencetolérable maximum sera déterminée et une fonction de sécurité sera élaborée afind’abaisser la fréquence à un niveau tolérable.

La réduction du risque nécessaire de la fonction de sécurité constitue la premièreexigence pour la conformité à la norme : il s’agit de la mesure de fiabilité numérique.

La mesure de fiabilité numérique est classée par valeur en bandes ou niveauxd’intégrité de sécurité (SIL). Il existe quatre niveaux SIL basés sur la mesure de fiabilitécible nécessaire. Le niveau SIL4 fournit le niveau le plus élevé d’intégrité, la plus grandeproportion de réduction du risque et la cible de fiabilité la plus onéreuse. Le niveau SIL1fournit le niveau d’intégrité le plus bas et la cible de fiabilité la moins onéreuse.

4.9. Le principe ALARP

La présentation ci-dessus de l’analyse des dangers et des risques illustre la manière dontles risques de procédé peuvent être déterminés et la manière dont le risque tolérablemaximum est atteint. Toutefois, dans le cadre de la loi britannique HSAWA, des effortssupplémentaires doivent encore être réalisés afin de réduire plus avant le risque. End’autres termes, il faut poursuivre jusqu’à ce que le risque soit aussi faible queraisonnablement envisageable (principe ALARP (As Low As Reasonably Practicable)),autrement dit jusqu’à ce que toute autre réduction du risque ne soit pas rentable, [5].

PROCESS SAFEBOOK 1

Le principe ALARP

41

5. Le principe ALARP

5.1. Avantages et sacrifices

La notion « raisonnablement envisageable », au lieu d’être prescriptive, définit desobjectifs pour les titulaires d’obligations. Cette flexibilité constitue un avantageimportant, en ce sens où les titulaires d’obligations sélectionnent la méthode la plusappropriée pour eux et où elle soutient l’innovation. Néanmoins, elle présente aussi desinconvénients. Le fait de décider si un risque est du type ALARP peut constituer un déficar les titulaires d’obligations et les évaluateurs doivent faire preuve de discernement.

Les principaux tests appliqués pour la régulation des risques industriels consistent àdéterminer si :

a) le risque est tellement élevé qu’il doit être refusé en bloc ;b) le risque est ou a été rendu tellement faible qu’il est négligeable ;c) le risque se situe entre les deux états spécifiés aux points a) et b) ci-dessus,

et a été réduit à un niveau du type ALARP.

La notion « raisonnablement envisageable » est difficile à quantifier. Elle implique uncalcul visant à comparer la réduction de risque additionnelle réalisable et le sacrifice quecela implique (en termes d’argent, de temps ou de problèmes) pour y parvenir. En cas dedisproportion grossière entre eux : le bénéfice étant insignifiant dans la relation au coût;le risque est considéré comme ALARP.

Ce faisant, la démonstration selon laquelle les risques ont été réduits jusqu’au niveauALARP inclut une évaluation :

• du risque à éviter ;• du sacrifice (en termes d’argent, de temps ou de problèmes) résultant de

l’adoption des mesures visant à éviter ce risque ;• une comparaison des deux.

Ce processus peut impliquer différents degrés de rigueur qui dépendant de :

• la nature du danger ;• l’étendue du risque ;• des mesures de maîtrise à adopter.

Toutefois, les titulaires d’obligations (et le régulateur) ne doivent pas être surchargéssi une telle rigueur n’est pas garantie. Plus le niveau initial de risque pris en compte estélevé, plus le degré de rigueur doit l’être également.

42

PROCESS SAFEBOOK 1


5.2. Disproportionnalité

Une analyse coûts-bénéfices (CBA, Cost Benefit Analysis) peut aussi aider un titulaired’obligations à déterminer si des mesures supplémentaires de réduction du risquesont justifiées. De telles mesures peuvent être considérées comme raisonnablementenvisageables, à moins que les coûts de leur mise en œuvre présentent une disproportiongrossière par rapport aux bénéfices retirés. Pour faire simple, si coûts/bénéfices > FD, oùFD est le ‘facteur de disproportion’, la mesure peut être considérée comme inutile parrapport à la réduction du risque obtenue.

Le FD qui peut être considéré comme grossier à partir de 1, selon un nombre de facteursincluant la gravité des conséquences et la fréquence de leur concrétisation. Autrementdit, plus le risque est élevé, plus le FD l’est également.

5.3. Définition de la disproportion grossière

Le HSE n’a pas formulé d’algorithme utilisable afin de déterminer le degré dedisproportion jugé comme « grossier ». Les tribunaux ne fournissent pas de directivesfaisant autorité concernant les facteurs à prendre en considération pour déterminer si lescoûts présentent une disproportion grossière. Par conséquent, une appréciation doit êtreeffectuée au cas par cas et certaines indications ou directives peuvent être obtenues àpartir d’enquêtes effectuées au cours d’accidents majeurs.

À partir de l’enquête de 1987 concernant la centrale de Sizewell B, les FD suivants ont étéemployés :

• pour des risques faibles concernant le public, un facteur 2 ;• un facteur jusqu’à 3 (à savoir, des coûts trois plus élevés que le bénéfice)

appliqués aux risques concernant les ouvriers ; • un facteur 10 pour les risques élevés.

5.4. Analyse coûts-bénéfices (CBA)

Pour de nombreuses décisions ALARP, le HSE n’escompte pas que les titulairesd’obligations effectuent une analyse coûts-bénéfices (CBA) détaillée. Une simplecomparaison des coûts et des bénéfices peut suffire.

Une analyse CBA doit uniquement servir à étayer des décisions ALARP. Elle ne doit pasconstituer le seul argument d’une décision ALARP, ni servir à saper des normes etpratiques d’excellence existantes. Une analyse CBA seule ne constitue pas un cas ALARPet ne peut pas servir d’argument contre des obligations statutaires, ni justifier des risquesintolérables ou une ingénierie à l’évidence médiocre.

PROCESS SAFEBOOK 1

Le principe ALARP

43

Les coûts justifiables suivants sont susceptibles d’être pris en compte dans une analyseCBA :

• Installation ;• Fonctionnement ;• Formation ; • Toute maintenance supplémentaire ;• Pertes d’activité consécutives à un arrêt décidé exclusivement en vue de mettre

la mesure en place ;• Intérêt d’un report de production, par ex. pétrole ou gaz non extrait pendant

des travaux sur une plate-forme ;• Tous les coûts revendiqués doivent être ceux contractés par le titulaire des

obligations (les coûts supportés par d’autres parties, par ex. des particuliers,ne doivent pas être comptabilisés) ;

• Les coûts considérés doivent uniquement être ceux nécessaires àl’implémentation de la mesure de réduction du risque (pas de mesuressuperflues ou visant à réaliser un gain financier).

Les bénéfices justifiables susceptibles d’être revendiqués dans une analyse CBA peuventinclure les avantages d’une implémentation complète d’une mesure d’amélioration de lasécurité, à condition qu’ils ne soient en aucune manière sous-estimés. Les bénéficesdoivent inclure toute réduction du risque pour le public, les ouvriers et la société engénéral, et peuvent inclure les éléments suivants :

• Décès évités ;• Blessures évitées (graves à mineures) ;• Pathologies évitées ;• Atteintes environnementales évitées, si cela s’applique (par ex., COMAH).

Les bénéfices revendiqués doivent aussi inclure la prévention du déploiement de servicesd’urgence et la prévention de contre-mesures, telles que l’évacuation et la décontaminationpost-accident, le cas échéant. Toutefois, afin de comparer les bénéfices de l’implémentationd’une mesure d’amélioration de la sécurité avec les coûts associés, la comparaison doit êtreréalisée sur une base commune. Une méthode simple de filtrage grossier des mesures placeles coûts et bénéfices dans un format commun de « € par an » pour la durée de vie d’uneusine.

44

PROCESS SAFEBOOK 1


Le tableau 1 présente certains indicateurs financiers utilisables.

Tableau 1 : Compensations types octroyées par des tribunaux (2003)

5.5. Exemple

Question : Considérons une usine dont une explosion d’un procédé pourrait aboutir à :

• 20 décès ;• 40 personnes souffrant de séquelles permanentes ;• 100 personnes gravement blessées ;• 200 personnes légèrement blessées.

La fréquence de survenance de cette explosion est, après analyse, d’environ 10-5 par an, cequi équivaut à 1 sur 100 000 par an. La durée de vie estimée de l’usine est de 25 ans. Quelmontant l’entreprise pourrait-elle raisonnablement investir afin d’éliminer le risqued’explosion ?

Décès 1 336 800 € (multipliépar 2 pour un cancer)

Blessure Blessure entraînant une invaliditépermanente. Certaines restrictionspermanentes pour les activités de loisir etpeut-être certaines activités professionnelles.

207 200 €

Grave. Certaines restrictions pour les activitésprofessionnelles et/ou les loisirs pendantplusieurs semaines/mois.

20 500 €

Blessure légère de type coupures mineures etecchymoses, avec rétablissement rapide etcomplet.

300 €

Maladie Maladie entraînant une invaliditépermanente. Comme pour les blessures.

193 100 €

Autres cas de maladie. Plus d’une semained’absence. Pas de conséquences permanentespour la santé.

2300 € + 180 € par jourd’absence

Affection mineure Jusqu’à une semaine d’absence. Pas deconséquences permanentes pour la santé.

530 €

PROCESS SAFEBOOK 1

Le principe ALARP

45

Réponses : Si le risque d’explosion devait être éliminé, les bénéfices pourraient êtreévalués comme suit :

Décès : 20 x 1336 800 € x 10-5 x 25 ans = 6684 €Personnes souffrant de séquelles permanentes : 40 x 207 200 € x 10-5 x 25 ans = 2072 €Personnes gravement blessées : 100 x 20 500 € x 10-5 x 25 ans = 512 €Personnes légèrement blessées : 200 x 300 € x 10-5 x 25 ans = 15 €Bénéfice total = 9283 €

Le montant de 9283 € correspond au bénéfice estimé d’une élimination de l’explosionaccidentelle majeure sur le site de l’usine en évitant les dommages corporels. (Cetteméthode n’inclut pas la déflation ou l’inflation.)

Pour qu’une mesure soit considérée comme raisonnablement envisageable, le coût doitprésenter une disproportion grossière par rapport au bénéfice. Dans notre cas, le FDreflétera le fait que les conséquences de telles explosions sont élevées. Un FD supérieurà 10 est improbable et, par conséquent, il peut être envisageable raisonnablementd’effectuer un investissement de l’ordre de 93 000 € (9300 € x 10) pour éliminer le risqued’explosion. Le titulaire des obligations devra justifier l’utilisation d’un FD plus bas.

Ce type d’analyse toute simple peut servir à éliminer ou inclure certaines mesures encalculant les coûts de différentes méthodes d’élimination ou de réduction des risques.

Approche alternative

Il est plus vraisemblable qu’une mesure d’amélioration de la sécurité n’éliminera pas unrisque, mais le réduira d’un certain montant. Il faudra donc évaluer la réduction du risquefournie en tant que bénéfice par rapport au coût d’implémentation.

En règle générale, les entreprises appliquent un objectif de coût par vie sauvée (ou unevaleur de prévention d’un décès statistique ou VPF (Value of Preventing a statistical Fatality)).

Le coût de prévention des décès sur la durée de vie de l’usine est rapprochée de la valeurVPF cible.

Les améliorations seront mises en œuvre, à moins que les coûts soient grossièrementdisproportionnés.

46

PROCESS SAFEBOOK 1


5.6. Exemple

Question : Application du principe ALARP

Un coût de 2 millions € par objectif de vie sauvée est employé dans un secteur particulier.Une cible de risque tolérable maximum de 10-5 pa a été établie pour un danger particulier,lequel est susceptible de provoquer 2 décès.

Le système de sécurité proposé a été évalué et un risque de 8,0 x 10-6 pa a été prévu.Comme le risque largement acceptable (négligeable) est 10-6 pa, l’application du principeALARP est nécessaire.

Dans cet exemple, pour un coût de 10 000 €, des instruments supplémentaires et desmesures de redondance abaisseront le risque à 2,0 x 10-6 pa (juste au-dessus de la régionnégligeable) pendant la durée de vie de l’usine (à savoir 30 ans).

La proposition doit-elle être adoptée ?

Réponse : Le nombre de vies sauvées pendant la durée de vie de l’usine est donné par :

N = (réduction de la fréquence de décès) x nombre de décès par incident x durée de vie de l’usine

= (8,0 x 10-6 – 2,0 x 10-6) x 2 x 30= 3,6 x 10-4

Par conséquent, le coût par vie sauvée est :

VPF = 10 000 €/3,6 x 10-4

= 27,8 millions €

La valeur VPF calculée est supérieure à 10 fois le critère de coût cible par vie sauvée de2 millions €. Par conséquent, la proposition doit être rejetée.

PROCESS SAFEBOOK 1

Détermination des objectifs SIL

47

6. Détermination des objectifs SIL

6.1. Fonctions de sécurité en mode de sollicitation et en mode continu

Lors de l’évaluation de la défaillance d’un système de sécurité, deux options principalessont disponibles, selon le mode de fonctionnement. Si la fréquence de sollicitations d’unsystème de sécurité est faible, à savoir en général moins d’une fois par an, il est considérécomme fonctionnant en mode de sollicitation. L’airbag de voiture constitue un exempled’un tel système de sécurité.

Les freins d’une voiture sont un exemple de système de sécurité en mode continu : ils sontemployés (quasiment) en continu. Pour les systèmes de sécurité en mode de sollicitation, ilest courant de calculer la probabilité moyenne de défaillance sur sollicitation (PFD), alorsque la probabilité de défaillance dangereuse par heure (PFH) est employée pour lessystèmes de sécurité fonctionnant en mode continu.

6.2. Fonction de sécurité en mode de sollicitation

Supposons dans notre usine que nous ayons en moyenne 1 incendie tous les deux ans etque, si nous ne faisons rien d’autre, cet incendie provoquera des décès. Nous pourrionstracer un graphique de notre fréquence de décès (cf. la figure 17), laquelle est de 0,5/an.

Incendie d’usine

Fréquence de décès

Fréquence de danger

Une fois tous les 2 ans

Entraîne des décès

Risque inhérent au procédé

Figure 17 : fréquence de décès

48

PROCESS SAFEBOOK 1


Dans ce cas, il est vital, lors de l’examen des conséquences de l’incendie, que nous neprenions pas en considération d’éventuelles mesures de sécurité en place. Noussouhaitons examiner les conséquences dans le scénario le plus défavorable.

Si nous installions un détecteur de fumée capable, par exemple, de fonctionner 9 fois sur10, nous pourrions escompter un décès dans le cas sur 10 incendies où le détecteur defumée ne se déclenche pas. Dans notre exemple, notre fréquence de décès diminueraitde 1 décès sur 2 ans à 1 décès sur 20 ans.

Ainsi, si le détecteur de fumée fonctionne 9 fois sur 10, la probabilité de défaillance sursollicitation (PFD) sera de 1 sur 10, soit 10 %. Dans ce cas, PFD = 0,1. Le détecteur defumée avec une valeur PFD de 0,1 réduirait la fréquence de décès d’un facteur 10, soitun facteur de réduction de risque (RRF) de 10.

En résumé, PFD = 1/RRF.

Il est utile de rappeler que, mathématiquement parlant, la valeur PFD est une probabilitéet, par conséquent, une quantité sans dimension ayant une valeur entre zéro et 1.

6.3. Exemple de cible de niveau d’intégrité de sécurité

L’approche de détermination d’un objectif SIL consiste à calculer la réduction du risquenécessaire pour abaisser la fréquence des conséquences d’un danger à un niveau tolérable.

Incendie d’usine

Détecteur de fumée

Fréquence de décès

Fréquence de danger

Une fois tous les 20 ans Une fois tous les 2 ans

Fréquence de décès 1 tous les 20 ans



Le détecteur de fumée fonctionne 9 fois sur 10

Figure 18 : fréquence de décès réduite

PROCESS SAFEBOOK 1


49

L’approche recommandée de détermination des niveaux d’intégrité de sécurité ou SIL(Safety Integrity Level) consiste à évaluer le risque posé par chaque danger pour l’usine.Si nous effectuons une étude HAZOP sur notre usine et si nous identifions un dangerpotentiellement préjudiciable dans le procédé, mais que nous n’agissons pas, nousdevons évaluer les conséquences potentielles. Ces scénarios les plus défavorablesdéterminent ensuite la fréquence tolérable maximum pour ce danger.

Si notre danger peut entraîner le décès d’un employé, alors selon la tolérance etl’acceptabilité des critères de risque [4.6], nous pouvons allouer une fréquence tolérablemaximum pour le danger. En d’autres termes, pour le danger identifié, nous pouvonsspécifier un risque tolérable maximum de 10-4 par an.

L’analyse des causes déclenchantes du risque permet d’estimer la vraisemblance du danger,à supposer que nous ne fassions rien d’autre, et de la comparer à la fréquence tolérablemaximum spécifiée. Nous pouvons, par exemple effectuer une analyse, puis déterminerque notre danger, s’il n’est pas maîtrisé, se produira une fois par an. Cela représente, parconséquent, un écart de risque : il convient de traiter le problème (cf. la figure 19).

Nous pouvons alors inclure toutes les mesures de protection existantes pouvant réduire lafréquence du risque, par exemple une alarme (figure 20). Dans ce cas, l’alarme réduit lafréquence de la conséquence du danger de sa valeur PFD. Ainsi, l’écart de risque est réduit,mais le risque résiduel global, bien que plus petit, reste supérieur au risque tolérablemaximum.

Danger de procédé

Fréquence de danger10-4/an 1/an

Écart de risque



Niveau de risque tolérable

Figure 19 : écart de risque

50

PROCESS SAFEBOOK 1


AlarmesMéca.Autre

Danger de procédé

Fréquence de danger10-4/an 10-3/an 10-2/an 0,1/an 1/an

Écart de risque




PFD < 0,1 PFD = 0,1 PFD = 0,1 PFD = 0,1

Risqueintermédiaire

Figure 21 : prise en compte d’autres couches de protection

Alarmes

Danger de procédé

Fréquence de danger10-4/an 0,1/an 1/an

Écart de risque




PFD = 0,1

Figure 20 : prise en compte des alarmes

PROCESS SAFEBOOK 1


51

La prise en compte d’autres couches de protection peut réduire encore le risque résiduel.Il peut y avoir des appareils mécaniques, tels qu’un limiteur de pression, un mur anti-souffle ou un bac de rétention. D’autres mesures de réduction des risques peuvent incluredes commandes de procédé, instruments de mesure ou procédures, et chacune peutréduire le risque résiduel (cf. la figure 21) de leur valeur PFD respective. Dans cet exemple,nous avons intégré les différentes mesures de protection existantes dans l’usine et il resteun écart de risque résiduel. Nous pouvons voir que pour réduire la fréquence de dangeren dessous de la fréquence tolérable maximum, il faut une autre couche, avec une valeurPFD inférieure à 0,1. C’est la tâche du SIS (cf. la figure 22). Ce calcul, bien qu’effectué icisous forme graphique, fournit la valeur PFD cible pour notre SIS et permet de déterminerle niveau SIL cible. Il s’agit d’un exemple de fonction de sécurité en mode de sollicitation.

AlarmesMéca.Autre

Danger de procédé

Fréquence de danger10-4/an 10-3/an 10-2/an 0,1/an 1/an

Écart de risque



Niveau derisque tolérable

Risquerésiduel

PFD < 0,1 PFD = 0,1 PFD = 0,1 PFD = 0,1

Risqueintermédiaire

SIS

Figure 22 : probabilité PFD cible

52

PROCESS SAFEBOOK 1


6.4. Fonctions de sécurité

En général, l’implantation d’un SIS et son procédé sont exposés comme à la figure 23.

La fonction instrumentée de sécurité surveille certains paramètres de procédé et réagitafin de garantir la sécurité de ce dernier, dès lors que certaines limites sont franchies. Unexemple simple de l’industrie des procédés est présenté sur la figure 24.

Transmetteur de pression

Pressostat

Logique ESD

Électro-vanne

Alimentationhydraulique

Mise à l’air librecircuit hydraulique

Entréegazoduc

Sortiegazoduc

Vanne d’arrêt

Régulateur depression

Taré à 139 bars Taré à 48 bars

PC

SPT

Figure 24 : exemple de fonction instrumentée de sécurité

SISSystème instrumenté

de sécurité

Procédé

Figure 23 : système instrumenté de sécurité

PROCESS SAFEBOOK 1


53

La figure montre un gazoduc qui alimente une centrale électrique. Le gaz s’écoule de lagauche vers la droite, à travers une vanne d’arrêt, puis arrive au régulateur de pression(PCV). Le PCV est commandé par un pressostat (PC), lequel maintient la pression du gazau-dessous de 48 bars, qui est la capacité nominale de sécurité du gazoduc d’exportation.La défaillance de cette fonction de régulation de pression pourrait entraîner unesurpression dans le gazoduc aval, avec un risque de rupture, d’inflammation et de décès.Par conséquent, une fonction de sécurité a été mise en place afin d’éviter ce scénario. Lafonction de sécurité est constituée d’un transmetteur de pression (PT), d’une logiqued’arrêt d’urgence (ESD) et d’une vanne d’arrêt (SDV), laquelle est commandée par unélectrovanne (SOV) hydraulique, qui interrompt l’alimentation en gaz lorsque la pressionaval dépasse un niveau de déclenchement prédéfini.

6.5. Exemple de fonction de sécurité en mode de sollicitation

Il s’agit d’un exemple de fonction de sécurité en mode de sollicitation. Les caractéristiquesclés d’une fonction de sécurité en mode de sollicitation sont les suivantes :

• elle est généralement séparée du procédé ;• la défaillance de la fonction de sécurité aboutit à la perte de protection, mais

n’est pas à proprement parler dangereuse ;• la fréquence de sollicitations de la fonction est faible, à savoir moins d’une fois

par an.


PressostatProcédé et BPCS

Fonction instrumentée de sécurité

Logique ESD

Électro-vanne


Mise à l’airlibre circuithydraulique

Entréegazoduc

Sortiegazoduc

Vanne d’arrêt



PC

SPT

Figure 25 : fonction de sécurité en mode de sollicitation

54

PROCESS SAFEBOOK 1


Les fonctions de sécurité en mode de sollicitation incluent l’arrêt du procédé (PSD), l’arrêtd’urgence (ESD) et les systèmes de protection contre les pressions à haute intégrité (HIPPS).

Bien souvent, la confusion suivante consiste à croire que le transmetteur de pression (PT),qui fait partie de la fonction de sécurité, assure une surveillance continue de la pressiondu procédé, mais cela ne l’empêche pas d’être en mode de sollicitation. Le terme dedemande de sollicitation fait référence à la fréquence de demandes d’action, par ex. à lafréquence de phases de haute pression.

6.6. Exemple de fonction de sécurité en mode continu

La figure 26 présente un exemple de fonction de sécurité en mode continu.

CombustibleArrivée principale gaz

Volet

Air de

com

bustion

S

S

Système de gestion de

brûleur (BMS)

TT004

TE003

TE002

TT001

TT406

TE405

TE405

XY101

S XY101

TY102

HC201

HC202

S XY104

Figure 26 : fonction de sécurité de mode continu

PROCESS SAFEBOOK 1


55

Elle présente un système de gestion de brûleur (BMS) type servant à réguler un four. Lesystème commande l’arrivée du gaz et de l’air de combustion, puis surveille la flamme dubrûleur avec des détecteurs de flamme.

Lors d’une condition d’extinction de flamme, le système BMS doit couper l’arrivée du gazafin d’éviter une accumulation et un risque d’explosion. De même, avant l’inflammation, lebrûleur doit être purgé, afin d’éviter toute accumulation de gaz dans le four pouvantrésulter d’une fuite en aval des vannes ou de défaillances de régulation.

Par conséquent, le système BMS doit assurer la régulation via la séquence de mise enmarche, avec une purge appropriée, et doit aussi surveiller le fonctionnement aprèsl’inflammation. Dans cet exemple, le système BMS, ainsi que les capteurs et vannesassociés, constituent une fonction de sécurité en mode continu.

Les caractéristiques clés d’une fonction de sécurité en mode continu sont les suivantes :

• elle fournit généralement une fonction de régulation ;• la défaillance de la fonction de sécurité aboutit généralement à une situation

dangereuse ;• la fréquence de sollicitations de la fonction est élevée, à savoir plus d’une fois

par an, voire en continu.

Les fonctions de sécurité en mode continu incluent généralement des systèmes degestion de brûleur et de régulation de turbine.

6.7. Niveaux SIL cible en mode de sollicitation

La norme CEI 61511-1, clause 9.2.4 regroupe les probabilités PFD cible en bandes ouniveaux d’intégrité de sécurité (SIL). Dans l’exemple ci-dessus [6.3], nous avons uneprobabilité PFD cible < 10-1 pour notre fonction de sécurité, ce qui donne une exigenceSIL1 comme illustré dans le tableau 2.

Tableau 2 : Niveaux SIL cible en mode de sollicitation

Mode de fonctionnement sur sollicitation(Probabilité moyenne de défaillance pour accomplir safonction prévue sur sollicitation)

Niveau d’intégrité de sécurité

≥ 10-5 à < 10-4 4

≥ 10-4 à < 10-3 3

≥ 10-3 à < 10-2 2

≥ 10-2 à < 10-1 1

56

PROCESS SAFEBOOK 1


Remarque : la probabilité PFD cible est regroupée en bandes SIL car la norme exige undegré approprié de rigueur dans les techniques et mesures qui sont appliquées au niveaude la régulation et de la prévention des défaillances systématiques. Ces exigences sonttraitées plus en détail dans la section [12.15].

6.8. Niveaux SIL cible en mode continu

La norme CEI 61511-1, clause 9.2.4 fournit aussi des niveaux SIL cible pour le modecontinu (cf. le tableau 3).

Tableau 3 : Niveaux SIL cible en mode continu

Remarque : la mesure de défaillance cible pour les cibles en mode continu est laprobabilité de défaillance dangereuse par heure (PFH) ou le taux de défaillances.

Pied de page.

De prime abord, ces taux de défaillance cible peuvent sembler plus onéreux que lesniveaux cible pour les systèmes en mode de sollicitation, par ex. le niveau SIL1 (mode desollicitation) doit avoir une probabilité PFD < 10-1, alors que le niveau SIL1 (mode continu)a une probabilité PFH < 10-5 défaillances/heure.

Les tableaux peuvent être alignés, mais à condition de convertir les valeurs cible de modecontinu de défaillances/heure en défaillances/an. Cela représente approximativement10 4 heures dans une année (en fait 8760), de sorte que le tableau de mode continu peutêtre modifié comme illustré au tableau 4.

Tableau 4 : Niveaux SIL cible en mode continu (PA)

Mode de fonctionnement en continu(Probabilité de défaillance dangereuse par année)


≥ 10-5 à < 10-4 4

≥ 10-4 à < 10-3 3

≥ 10-3 à < 10-2 2

≥ 10-2 à < 10-1 1

Mode de fonctionnement en continu(Probabilité de défaillance dangereuse par heure, PFH)


≥ 10-9 à < 10-8 4

≥ 10-8 à < 10-7 3

≥ 10-7 à < 10-6 2

≥ 10-6 à < 10-5 1

PROCESS SAFEBOOK 1


57

6.9. Modes de fonctionnement (systèmes en mode de sollicitation et en mode continu)

Concernant la détermination du fonctionnement d’un SIS, la norme CEI 61511-1, clause3.2.43 propose les définitions suivantes.

Mode de sollicitation

• lorsqu’une action spécifiée est mise en œuvre en réponse à des conditionsde procédé ou d’autres sollicitations. En cas de défaillance dangereuse de lafonction instrumentée de sécurité (SIF), un danger potentiel se concrétiseuniquement s’il y a défaillance du procédé de système de contrôle de procédéde base (BPCS) ;

Mode continu

• en cas de défaillance dangereuse de la fonction SIF, un danger potentiel seconcrétise sans autre défaillance, à moins qu’une action soit prise pour le prévenir.

Une bonne règle empirique pour décider si votre fonction de sécurité a un niveau élevéou est en mode de sollicitation, consiste à identifier la valeur significative ou la mesure defiabilité.

Par exemple, les airbags d’un véhicule fournissent une fonction de sécurité très utile et,en tant que conducteur, je serai intéressé par leur probabilité de défaillance en cas desollicitation, ce qui indique qu’il s’agit d’une fonction en mode de sollicitation. En seréférant à la section [6.5], les caractéristiques clés d’une fonction en mode de sollicitationsont les suivantes :

• elle est généralement séparée du procédé ;• la défaillance de la fonction de sécurité aboutit à la perte de protection, mais

elle n’est pas à proprement parler dangereuse.

Par conséquent, le tableau 2 confirme que les valeurs cible pour les fonctions en mode desollicitation sont la probabilité de défaillance sur sollicitation.

Autre possibilité, pour les freins d’une voiture, la valeur significative sera un taux dedéfaillances ou une probabilité de défaillances par heure. En tant que conducteur, je seraitrès intéressé par le taux de défaillances de la fonction de sécurité. Par conséquent, celaindique bien qu’il s’agit d’une fonction en mode continu.

Pour étayer ce fait, les caractéristiques clés d’une fonction en mode continu sont lessuivantes :

• elle fournit généralement une fonction de régulation, dans ce cas le freinage ;

58

PROCESS SAFEBOOK 1


• la défaillance de la fonction de sécurité aboutit généralement à une situation dedanger, par exemple la perte de contrôle de la vitesse ;

Le tableau 3 confirme que les valeurs cible de mode continu sont la probabilité d’unedéfaillance dangereuse par heure.

6.10. Fonctions de sécurité en mode de sollicitation

6.10.1. Exemple

Question : une zone de procédé est gérée par un opérateur 2 heures par jour. Unesurpression du procédé aboutira à une fuite de gaz et, selon les estimations, 1 fuite de gazsur 10 entraînera une explosion et la mort de l’opérateur.

L’analyse indique que la condition de surpression se produira tous les 5 ans (taux de 0,2 pa).

Supposons que la fréquence tolérable maximum pour le danger (décès de l’opérateursuite à l’explosion) est 10-4 pa.

Quelle est la probabilité PFD requise pour le SIS ?

Réponse : le taux de décès est :

= 0,2 pa x 2/24 x 1/10= 1,67 x 10-3 pa

Par conséquent, le système de sécurité doit avoir une probabilité de défaillance sursollicitation :

= 10-4 pa/1,67 x 10-3 pa= 6,0 x 10-2, ce qui équivaut au niveau SIL1.

Il s’agit d’un exemple de SIS en mode de sollicitation qui intervient uniquement à unefréquence déterminée par le taux de défaillances de l’équipement régulé.

Nous pouvons confirmer que le résultat est réellement une probabilité PFD, car nousavons divisé un taux par un taux afin d’obtenir une quantité sans dimension, autrementdit une probabilité.

6.11. Fonctions de sécurité en mode continu

La figure 27 présente un exemple simple de fonction de sécurité en mode continu. Leproduit chimique dans la chaudière est chauffé au moyen d’une résistance électriquerégulée par un transmetteur de température effectuant une mesure en sortie.

PROCESS SAFEBOOK 1


59

Supposons qu’une surchauffe de la chaudière aboutit à une rupture, au dégagement deproduit chimique et à un incendie, avec une potentialité de décès. Il existe clairement unrisque à gérer. Dans cet exemple, le taux de défaillances du procédé complet ne doit pasdépasser le risque tolérable maximum pour le danger.

6.11.1. Exemple

Question : supposons que la défaillance de la chaudière entraîne une surchauffe et unincendie et, que 1 défaillance sur 400 aboutit à un décès. Supposons également que letaux de décès tolérable maximum est 10-5 pa (décès de tiers).

Quel est le taux de défaillances tolérable maximum de la chaudière ?

Réponse : comme le taux 1 défaillance sur 400 doit être inférieur ou égal au risquetolérable maximum, nous pouvons dire :

10-5 pa ≥ λB x 1/400

Où λB est le taux de défaillances de la chaudière.

Par conséquent :

λB = 400 x 10-5 pa= 4,0 x 10-3, ce qui équivaut au niveau SIL2.

Il s’agit d’un exemple d’un SIS en mode continu exposé à un risque continu, autrement ditfonctionnant en permanence. La chaudière a une fréquence de défaillances 400 fois plusélevée que le taux de défaillances tolérable maximum car seulement 1 défaillance sur 400aboutit au décès.

TT

Régulateur detempérature

ChaudièreEntrée deprocédé

Sortie deprocédé

Alimentationrésistancede chaudière

Résistance

Figure 27 : fonction de sécurité de mode continu

60

PROCESS SAFEBOOK 1


Dans cet exemple, nous devrions concevoir et mettre en place le procédé, à savoir lachaudière, la résistance chauffante et la sonde de température conformément au niveauSIL2, et le taux de défaillances devrait être inférieur à 4,0 x 10-3 pa. Cela constituerait unvéritable défi, mais une autre approche est possible.

6.11.2. Exemple

Supposons que vous ayez construit votre procédé de chaudière et calculé un taux dedéfaillances de 5,0 x 10-2 pa, ce qui dépasse largement la cible de 4,0 x 10-3 pa.

Si c’était le cas et si 1 défaillance sur 400 aboutit à un décès, la fréquence de décès serait lasuivante :

= 5,0 x 10-2 pa x 1/400= 1,25 x 10-4 pa

ce qui excède le taux tolérable maximum de 10-5 pa (décès de tiers).

Une autre approche peut consister à permettre une défaillance de la chaudière à cetaux élevé non satisfaisant et de mettre en place une fonction de sécurité en mode desollicitation afin d’abaisser la fréquence de décès au taux tolérable maximum (cf. lafigure 28).

TT TT

Régulateur detempérature

AlimentationEntrée deprocédé

Sortie deprocédé

Transmetteur de température

Alimentationrésistancede chaudière

Résistance

ESD

Relais


PROCESS SAFEBOOK 1


61

Dans cette configuration, nous avons un deuxième transmetteur de températureindépendant qui mesure la température en sortie et coupe l’alimentation de la résistanceélectrique via une logique ESD en cas de défaillance du procédé.

Nous pouvons dire ce qui suit :

10-5 pa ≥ λB x PFDT

où λB est le taux de défaillances de la chaudière, 1,25 x 10-4 pa et PFDT est la probabilité dedéfaillance sur sollicitation du système de coupure indépendant.

Par conséquent :

PFDT ≤ 10-5 pa/1,25 x 10-4 paPFDT ≤ 0,08

ce qui équivaut à une fonction de sécurité en mode de sollicitation SIL1.

Remarque : ces deux exemples offrent l’option d’une conception SIL2 du système dechaudière complet et des équipements régulés ou nous pouvons aussi permettre ladéfaillance du système de chaudière et le protéger avec une fonction de sécurité enmode de sollicitation SIL1. Les deux options respectent le risque tolérable maximumciblé, mais la mise en place d’un petit système SIL1 en mode de sollicitation est plusrentable que l’approche de système de commande de chaudière SIL2.

62

PROCESS SAFEBOOK 1


7. Graphiques de risque

7.1. Introduction

Les sections [6.10] et [6.11] présentent une méthode de détermination des niveauxSIL cible par le calcul, mais les graphiques de risque offrent une alternative utile, enparticulier s’il faut analyser de nombreux dangers. Le graphique de risque est unetechnique rapide et utile, applicable lorsque les dangers à évaluer sont trop nombreux.

Dès le début, les conséquences des dangers sont déterminées en premier lieu, à savoir Ca,Cb, Cc ou Cd.

Ensuite, la fréquence ou l’exposition de la personne courant le plus grand risque du fait dudanger doit être estimée et un choix doit être réalisé entre une exposition rare (Fa) ou uneexposition fréquente (Fb). En général, si la personne courant le plus grand risque a uneprobabilité de 10 % ou moins d’être dans la plage des effets dangereux, l’exposition rarepeut être sélectionnée. Sinon, l’exposition peut être considérée comme fréquente.

En se déplaçant sur le graphique de risque, si la personne exposée au risque est enmesure d’éviter le danger, par ex. en s’échappant, en étant alertée ou en étant protégéepar un dispositif ou autre, nous pouvons dire qu’il est possible d’éviter le danger et quecette option est sélectionnable sur le graphique de risque. Sinon, nous devons partir

CaBlessure grave

Démarrage

a

1

2

3

4

5

W3

--

a

1

2

3

4

W2

--

--

a

1

2

3

W1

CbBlessure grave,

un décès

CcPlusieursdécès

CdNombreuxdécès

Fa Expositionrare

Fb Expositionfréquente


Fa Expositionrare


Fa Expositionrare

Pb Préventionpeu probable

Pa Préventionpossible







Figure 29 : graphique de risque type

PROCESS SAFEBOOK 1

Graphiques de risque

63

du principe qu’il sera peu probable d’éviter le danger et, à un moment donné, nousarriverons à l’une des lignes des colonnes à droite du graphique de risque.

Enfin, nous devons sélectionner la probabilité que le danger se concrétise en sélectionnantla colonne W3 (probabilité relativement élevée de survenance), W2 (légère probabilité desurvenance) ou W1 (très légère probabilité de survenance). Au point de croisement de laligne et de la colonne sélectionnées, nous pouvons lire le niveau SIL nécessaire.

7.2. Exemple

Prenons l’exemple suivant : une cuve de stockage de pétrole peut déborder et dégagerdes vapeurs susceptibles de s’enflammer, avec comme conséquence plusieurs décès surle site. Nous avons évalué la fréquence des opérations de remplissage et décidé que laprobabilité de la survenance du danger pourrait être W1 (probabilité très faible). Il n’y aaucun moyen pour les employés de l’usine d’éviter le danger si celui-ci se concrétise.Le personnel de l’usine est sur site très rarement pour les activités de maintenance,lesquelles durent généralement moins d’une heure par jour. La figure 30 montre unepossibilité d’utilisation du graphique de risque pour obtenir un niveau SIL1 cible.

Dans cet exemple, la fonction de sécurité pourrait être un système de coupure sur niveauhaut, lequel ferme la vanne d’arrivée de la cuve. Son niveau cible serait SIL1.

CaBlessure grave

Démarrage

a

1

2

3

4

5

W3

--

a

1

2

3

4

W2

--

--

a

1

2

3

W1

CbBlessure grave,

un décès

CcPlusieursdécès

CdNombreuxdécès

Fa Expositionrare



Fa Expositionrare


Fa Expositionrare









Figure 30 : exemple d’utilisation de graphique de risque

64

PROCESS SAFEBOOK 1


Toutefois, le graphique de risque conventionnel peut être subjectif et pourrait être grevépar un problème d’interprétation des paramètres de risque. Ainsi, il peut aboutir à desrésultats incohérents et donc à des niveaux SIL cible pessimistes.

Sur le graphique de risque illustré, certaines des cases de niveau SIL cible ont le libellé« a » et « b ». Les termes SILa et SILb sont parfois employés dans le secteur industriel,même s’ils ne figurent pas dans la norme. SILa signifie généralement qu’une certaineréduction du risque doit être fournie, mais que le facteur de réduction du risque nedoit pas nécessairement être aussi élevé que SIL1. En d’autres termes, avec uneprobabilité PFD entre 1 (pas de réduction du risque) et 0,1, le niveau SIL1 est requis. Notezque certaines organisations peuvent faire référence à « SILa » comme « (SIL1) ».

SILb est affiché au-dessus de SIL4. En général, si vous avez une prescription SIL4, il estrecommandé de passer en revue le procédé car il est tout simplement trop dangereux.Une prescription SILb indique un danger encore plus élevé.

7.3. Exemple

La figure 31 montre un exemple de graphique de risque similaire à ceux employés dansl’industrie des procédés et qui illustre certains problèmes potentiels liés à l’interprétationdes paramètres de risque.

-- -- --

1 -- --

2 1 --

2 1 1

3 2 1

3 3 2

NR 3 3

NR NR NR


-- = Pas de caractéristiques spéciales requisesNR = Non recommandéÉlevé = 0,5 – 5 paMoyen = 0,05 – 0,5 paFaible < 0,05 pa

Exposition du personnel

Alternatives à la prévention du danger

Blessure mineure

Blessure grave ou un décès

Plusieurs décès

Catastrophique

Faible exposition

Faible exposition

Exposition élevée

Exposition élevée

Prévention possible

Prévention peuprobable



Taux de sollicitation

Élevé

Moyen

Faible

Catégories de prescription

Figure 31 : graphique de risque de l’industrie des procédés

PROCESS SAFEBOOK 1


65

Le principe d’utilisation est exactement le même que pour le graphique de risque illustrésur la figure 29 mais, dans ce cas, certaines directives sont fournies pour l’estimation dutaux de sollicitation.

Si, par exemple, un danger peut aboutir à de nombreux décès, avec une exposition rareet un taux de sollicitation de 0,05/an, le taux de sollicitation se trouve quelque part entreles catégories ‘faible’ et ‘moyen’, et une décision doit être prise concernant le choix de lacolonne. Une approche prudente résulterait en un niveau cible SIL3 (cf. la figure 32).

Une interprétation moins prudente aurait donné un niveau cible SIL2.

7.4. Exemple

La figure 33 présente un exemple de matrice de risque type. Les colonnes P, A, E et Rfournissent des descriptions de conséquences possibles de dangers, les fréquences desurvenance sont décrites en termes qualitatifs et les niveaux SIL cible correspondent auxintersections entre les lignes et les colonnes.

-- -- --

1 -- --

2 1 --

2 1 1

3 2 1

3 3 2

NR 3 3

NR NR NR


Exposition du personnel

Alternatives à la prévention du danger

Blessure mineure

Blessure grave ou un décès

Multiple Fatalities

Catastrophique

Faible exposition

Faible exposition

Exposition élevée

Exposition élevée





Taux de sollicitation

Élevé

Moyen

Faible

Catégories de prescriptionFigure 32 : exemple d’utilisation de graphique de risque

66

PROCESS SAFEBOOK 1


Cette approche semble simple et utile, mais elle recèle des problèmes potentiels sicertaines précautions ne sont pas prises.

A : les fréquences de survenance doivent être quantifiées d’une manière qui soitnon seulement cohérente avec la description, mais aussi qui aboutisse auniveau SIL cible correct.

B : « Jamais entendu parler dans le domaine » peut être évalué en supposant parexemple 5000 usines fonctionnant plus de 20 ans, lesquelles pourraient avoirune fréquence de < 10-5/an et non de < 10-2/an comme illustré. Avec un risquetolérable maximum < 10-4/an, il n’y aurait pas de niveau SIL cible.

C : les fréquences de risque tolérable maximum doivent être appropriées. Unevaleur < 10-3/an pour un seul décès est trop élevée et résultera à un niveau SILcible optimiste, ainsi qu’à une réduction inappropriée du risque.

D : pour que les niveaux SIL cible soient incrémentés par ligne et par colonne,comme illustré sur la figure 33, les fréquences de survenance doivent aussiaugmenter considérablement entre chaque colonne.

PPersonnes

AActif

EEnvironne-

ment

RRéputation

< 0,01/an < 0,05/an < 0,25/an > 2/an > 2/an

Pas deblessure

Pas dedommage

Pas d’effet Pas d’effet(SIL1)

Blessurelégère(< 1/an)

Dommageléger

(< 10 000 $)

Effetléger

Légèreincidence (SIL1) SIL1

Blessuremineure

(< 1E-01/an)

Dommagemineur

(< 100 000 $)

Effetmineur

Incidencemineure (SIL1) SIL1 SIL2

Blessuremajeure

(< 1E-02/an)

Dommagemajeur

(< 500 000 $)

Effetlocalisé

Incidenceconsidérable (SIL1) SIL1 SIL2 SIL3

Décès unique

(< 1E-03/an)

Dommagemajeur

(< 10 millions $)

Effetmajeur

Incidencenationale (SIL1) SIL1 SIL2 SIL3 N/A

Plusieursdécès

(< 1E-04/an)

Dommagesétendus

(> 10 millions $)

Effetmassif

Incidenceinter-

nationaleSIL1 SIL2 SIL3 N/A N/A

A

A D

E

F

C

B

B C D E

Jamaisentenduparler dansle secteur

Jamaissurvenudans

le secteur

Déjà survenudans

l’entreprise

Se produitpuslieursfois/andans

l’entreprise

Se produitpuslieursfois/andans

l’installation

Figure 33 : exemple d’utilisation de matrice de risque

PROCESS SAFEBOOK 1


67

E : le niveau SIL cible (SIL1) signifie qu’une certaine réduction du risque estnécessaire, mais qu’il n’y a pas de conséquence. Aucune protection n’estnécessaire en l’absence d’événement dangereux.

F : enfin, pour les catégories commerciales, la fréquence de survenance desdommages aux actifs doit être réaliste et cohérente avec le coûtd’implémentation de la fonction instrumentée de sécurité (SIF) requise.

Par conséquent, la matrice de risque nécessite un étalonnage et l’approche suivante estsuggérée (cf. la figure 34).

7.5. Résumé

Les graphiques de risque et les matrices de risque peuvent être très utiles, en particuliercomme technique rapide initiale de filtrage de tous les niveaux SIL à l’exception desniveaux les plus élevés, à savoir SIL2 et au-dessus. Néanmoins, un étalonnage soigneuxdes techniques employées doit éviter des résultats incorrects découlant de certains deschausse-trappes illustrés ici.

PPersonnes

AActif

EEnvironne-

ment

RRéputation

< 1E-04/an < 1E-03/an < 1E-02/an < 0,1/an > 0,1 /an

Pas deblessure

Pas dedommage

Pas d’effet Pas d’effet

Blessurelégère< 0,1/an

Dommageléger

(< 10 000 $)

Effetléger

Légèreincidence (SIL1) SIL1

Blessuremineure

(< 1E-02/an)

Dommagemineur

(< 100 000 $)

Effetmineur

Incidencemineure (SIL1) SIL1 SIL2

Blessuregrave

(< 1E-03/an)

Dommagemajeur

(< 500 000 $)

Effetlocalisé

Incidenceconsidérable (SIL1) SIL1 SIL2 SIL3

Décès unique

(< 1E-04/an)

Dommagemajeur

(< 10 millions $)

Effetmajeur

Incidencenationale (SIL1) SIL1 SIL2 SIL3 N/A

Plusieursdécès

(< 1E-05/an)

Dommagesétendus

(> 10 millions $)

Effetmassif

Incidenceinter-

nationaleSIL1 SIL2 SIL3 N/A N/A

A B C D E

Jamaisentenduparler dansle secteur

Jamaissurvenudans

le secteur

Déjà survenudans

l’entreprise

Se produitplusieursfois/andans

l’entreprise

Se produitplusieursfois/andans

l’installation

Figure 34 : étalonnage de matrice de risque

68

PROCESS SAFEBOOK 1


8. Méthode LOPA (Layer of Protection Analysis)

8.1. Introduction

L’analyse des couches de protection ou LOPA (Layer of Protection Analysis) est uneméthode structurée pour calculer l’objectif de réduction du risque et les niveaux SIL cible.L’analyse LOPA se déroule de manière similaire à une étude HAZOP.

Les dangers potentiels sont généralement identifiés au moyen de l’approche HAZOP [3]et sont importés dans les fiches LOPA, afin de maintenir un lien traçable entre les deuxanalyses allant de l’identification des risques jusqu’à la prescription de réduction durisque et au niveau SIL cible. L’analyse LOPA peut être réalisée sous forme d’extension dela réunion HAZOP car il existe une progression naturelle de l’une à l’autre.

8.2. Équipe d’étude LOPA

Il est important que l’équipe LOPA soit constituée de personnes qui apportent à l’étudele meilleur équilibre possible entre les connaissances et l’expérience sur le type d’usineenvisagé. Une équipe LOPA type sera constituée comme suit :

Nom Rôle

Président Explique le processus LOPA, dirige les discussions et facilite l’étudeLOPA. Personne ayant une bonne expérience de la méthode LOPA,mais pas directement impliquée dans la conception, afin de garantirle respect scrupuleux de la méthode.

Secrétaire Consigne les discussions de la réunion LOPA et fournit une analyseen ligne des niveaux SIL cible. Consigne les recommandations ouactions.

Ingénieur de procédé Généralement l’ingénieur responsable de l’organigramme desopérations de procédé et de l’élaboration des diagrammes detuyauterie et d’instrumentation (P&ID).

Utilisateur/opérateur Fournit des conseils sur l’utilisation et l’opérabilité du procédé, ainsique sur l’incidence d’écarts.

Spécialiste C&I Personne ayant les connaissances techniques adaptées encommandes et instrumentation.

Technicien demaintenance

Personne chargée de la maintenance du procédé.

Représentant de l’équipede conception

Fournit des détails relatifs à la conception ou des informationssupplémentaires.

PROCESS SAFEBOOK 1

Méthode LOPA (Layer of Protection Analysis)

69

8.3. Informations utilisées dans l’étude LOPA

Les éléments suivants doivent être consultables par l’équipe LOPA :

• Diagrammes P&ID pour l’installation ;• Documentation de philosophie ou de description de procédé ;• Procédures de fonctionnement et de maintenance existantes ;• Plans d’aménagement d’usine.

8.4. Détermination des niveaux SIL cible

La technique LOPA, telle que décrite dans le document AIChE Centre for Chemical ProcessSafety, Layer of Protection Analysis, 2001 [19.4], peut servir à établir les niveaux SIL cibles.

L’analyse LOPA considère les dangers identifiés par d’autres moyens, par ex. étude HAZOP,mais elle peut être réalisée dans le cadre d’une réunion HAZOP, afin d’évaluer chaquedanger au fur et à mesure de leur identification.

L’équipe LOPA passe en revue chaque danger identifié et documente les causesdéclenchantes ainsi que les couches de protection qui préviennent ou atténuent ledanger. La quantité totale de réduction du risque est ensuite déterminée, et le besoind’une réduction du risque supplémentaire est analysé. Si une protection supplémentairedoit être fournie sous la forme d’un SIS, la méthodologie doit permettre la déterminationdu niveau SIL approprié et de la probabilité PFD requise.

Le processus LOPA est enregistré sur les fiches LOPA, lesquelles permettent de quantifierles événements déclencheurs et leurs fréquences, ainsi que de revendiquer la réductiondu risque fournie par les couches de protection indépendantes. Les intitulés de fiche sontdécrits dans les sections suivantes et un exemple d’analyse LOPA est fourni [8.5].

8.5. Exemple d’analyse LOPA

En considérant l’exemple de récipient sous pression [3.7], il est possible d’importer lesdangers identifiés dans la fiche LOPA et d’analyser les risques.

8.6. Fiches LOPA

8.6.1. Introduction

Les sections suivantes présentent les intitulés des fiches et fournissent des directivesconcernant la quantification.

Un exemple de fiche LOPA est présenté dans ce chapitre.

70

PROCESS SAFEBOOK 1


8.6.2. ID/réf. de danger

Fournit un identifiant pour chaque danger. Dans l’exemple, le danger envisagé pourl’analyse a la réf. 1.10 : Pression élevée dans le récipient. Cette référence fournit unetraçabilité ascendante avec d’autres études, dans notre cas, l’étude HAZOP, et à mesurede l’avancement du projet, elle fournira une traçabilité descendante avec l’allocationde fonction SIF et la vérification SIL.

8.6.3. Description d’événement (danger)

Fournit une description du danger potentiel identifié.

8.6.4. Conséquence

Décrit la conséquence du danger. Dans l’exemple LOPA, nous avons analysé lesconséquences du danger en termes de sécurité du personnel, de risques pourl’environnement et aussi de risques pour l’actif, à savoir de risques commerciaux.

8.6.5. Catégorie de gravité (Cat. grav.)

La gravité des conséquences documentées peut être classée et dérivée à partir d’untableau de classification des risques, par exemple le tableau 5.

8.6.6. Risque tolérable maximum (MTR)

La fréquence tolérable maximum de la conséquence du danger, telle qu’elle est appliquéeà la sécurité du personnel, mais généralement aussi à l’environnement, à la réputation del’organisation, aux dommages potentiels à l’environnement, ainsi qu’à la réputation del’entreprise et aux coûts commerciaux résultant de dommages aux actifs, de la perte dechiffre d’affaires ou de la sécurité des approvisionnements. Les fréquences tolérablesmaximum employées doivent être en phase avec les directives du HSE, par ex. R2P2 [19.3]pour la sécurité.

Toutefois, les fréquences tolérables maximum pour les risques touchant à l’environnement,à la réputation et aux aspects commerciaux doivent être une décision de l’entreprise. Letableau 5 présente des valeurs types utilisables.

PROCESS SAFEBOOK 1


71

Tableau 5 : Critères de risque

Conséquence Cat.grav.

Fréquencecible derisque (/an)

Description de conséquence

Sur site Hors site

Personnes(sécurité)

P1 1,0E-01 Traitement médical ou blessures entraînantdes limitations dans le travail pour un employé

Traitement médical ou blessures entraînantdes limitations dans le travail (tiers)

P2 1,0E-02 Accident entraînant des jours d’absenced’employé, mais sans effet permanent

Accident entraînant des jours d’absence detiers, mais sans effet permanent

P3 1,0E-03 Effet permanent pour employé Pas d’effets permanents

P4 1,0E-04 Décès d’un employé et/ou plusieurs invaliditéspermanentes

Effets permanents (tiers)

P5 1,0E-05 Plusieurs décès d’employés (2 – 10) Décès d’un tiers et/ou de nombreusesinvalidités permanentes

P6 1,0E-06 De nombreux décès d’employés (plus de 10) Plusieurs décès de tiers

Environnement E1 1,0E-01 Pas de déclaration aux autorités, maisnettoyage nécessaire

Pas de déclaration aux autorités, maisnettoyage mineur nécessaire. (par ex.,déversement de 1 – 100 litres avecdéploiement de kit)

E2 1,0E-02 Déclaration aux autorités, mais pas deconséquences environnementales

Déclaration aux autorités, mais pas deconséquences environnementales. (Par ex.déversement de > 100 litres dans les locaux declient avec bac de rétention/enceinte)

E3 1,0E-03 Pollution modérée dans les limites du site Pollution modérée nécessitant des travauxd’assainissement (par ex. site avec panache defumée, mais restant opérationnel)

E4 1,0E-04 Pollution importante dans les limites du site.Évacuation des personnes/fermeture temp. dusite OU pollution importante extérieure au site.Évacuation des personnes. (par ex., déversementhors site au niveau d’une station-service)

Pollution importante extérieure au site.Évacuation des personnes. (par ex.,déversement hors site au niveau d’une station-service)

E5 1,0E-05 Voir les conséquences hors site Pollution importante avec conséquencesenvironnementales réversibles extérieuresau site. (par ex., accident environnementalmajeur)

E6 1,0E-06 Voir les conséquences hors site Pollution majeure durable extérieure au siteet/ou perte complète de la vie aquatique(par ex., perte de cargaison de navire)

Coût C1 1,0E-01 Perte < 10 000 € N/A

C2 1,0E-02 Perte 10 000 € < 100 000 € N/A

C3 1,0E-03 Perte 100 000 € < 1,0 million € N/A

C4 1,0E-04 Perte 1,0 million € < 10 millions € N/A

C5 1,0E-05 Perte 10 millions € < 100 millions € N/A

C6 1,0E-06 Perte ≥ 100 millions € N/A

Réputation R1 1,0E-01 Pas de publicité. Population locale affectée. N/A

R2 1,0E-02 Presse locale N/A

R3 1,0E-03 Presse nationale N/A

R4 1,0E-04 Télévision nationale N/A

R5 1,0E-05 Presse internationale N/A

R6 1,0E-06 Télévision internationale N/A

72

PROCESS SAFEBOOK 1


Notez qu’en cas d’application à la sécurité individuelle, cela représente la fréquenced’exposition à un danger pour une personne courant le plus grand risque.

8.6.7. Cause déclenchante

Répertorie les causes identifiées du danger. Ces causes sont déterminées pendant laréunion LOPA à partir de l’expérience des personnes présentes. Dans l’exemple de dangerde surpression, les causes déclenchantes potentielles, leurs fréquences de survenance etla source des données sont présentées au tableau 6. L’analyse LOPA doit ainsi fournir unevisibilité concernant toutes les données en présentant l’ensemble des événementsdéclencheurs et fréquences, avec la référence aux sources de données.

Tableau 6 : Événements déclencheurs et fréquences

8.6.8. Vraisemblance de déclenchement (/an), colonne [a]

Quantifie le taux de survenance escompté de la cause déclenchante. Ce taux peut êtreestimé sur la base de l’expérience des personnes présentes et de toute informationhistorique disponible, ou il peut être dérivé de sources appropriées de taux dedéfaillances [14.6].

Les événements déclencheurs et leurs fréquences de survenance pour l’exemple sontprésentés au tableau 6.

Lorsque les vraisemblances de déclenchement sont basées sur des facteurs humains telsqu’une erreur d’un opérateur, l’estimation peut devenir un défi. Une technique consiste àbaser l’estimation sur la fréquence d’opportunités d’erreurs d’un opérateur et de factorisercet aspect par la probabilité qu’il commette une erreur dangereuse.

Cause déclenchante Vraisemblance dedéclenchement (pa)

Source de données

Le SNCC ne parvient pas à réguler la pression. 1,65E-02 Exida 2007, élément x.x.x

Le détecteur de niveau de liquide LL101 subit une défaillance et lit unniveau bas.

1,10E-02 Exida 2007, élément x.x.x

Le transmetteur TT100 subit une défaillance et lit une température basse. 2,68E-03 Exida 2007, élément x.x.x

Le transmetteur PT102 subit une défaillance et lit une pression faible. 8,58E-04 Exida 2007, élément x.x.x

Défaillance de vanne FCV102 de sortie de gaz en position fermée. 1,01E-02 Oreda 2002, élément x.x.x

Défaillance de vanne FCV100 de gaz combustible en position ouverte. 1,01E-02 Oreda 2002, élément x.x.x

Défaillance de vanne XV102 de sortie de liquide en position fermée. 2,89E-03 Oreda 2002, élément x.x.x

Défaillance de vanne XV102 d’arrivée de liquide en position ouverte. 2,89E-03 Oreda 2002, élément x.x.x

PROCESS SAFEBOOK 1


73

Par exemple, supposons qu’un opérateur déclenche une surpression dans un gazoduc enfermant une vanne. Normalement, l’opérateur ouvre une vanne de dérivation avant defermer la vanne principale et il le fait chaque mois. La fréquence de base λB pour cetteactivité est, par conséquent, 12 par an (une fois par mois).

Nous pouvons partir du principe que l’opérateur est bien formé, qu’il accomplit une tâchede routine et qu’il n’est pas soumis à un stress. Par conséquent, nous pouvons estimer laprobabilité qu’il commette une erreur, PE, par ex. qu’il omette d’ouvrir la vanne de dérivation,à 1 %. La fréquence d’événement déclencheur λINIT peut être estimée comme suit :

λINIT = λB x PE

λINIT = 12 x 1 %/anλINIT = 0,12/an

En général, nous pouvons effectuer un contrôle de sensibilité sur ces données endemandant aux participants de l’analyse LOPA s’ils ont une expérience de survenanced’un tel événement ou s’ils estiment que la fréquence est raisonnable. Une fréquencede 0,12/an équivaut à une erreur tous les 8 ans.

8.6.9. Modificateurs conditionnels

Distribution de tailles de fuite, colonne [b]

Dans cet exemple, les conséquences potentielles du danger de surpression seconcrétiseront uniquement si la condition de pression aboutit à une rupture de récipient.Nous pourrions faire valoir que la majorité des conditions de surpression entraîneraientune perte de confinement ou une fuite mineure, par exemple, au niveau d’une bride.Dans l’exemple, l’équipe LOPA a estimé que 10 % des événements déclencheursaboutiraient aux conséquences.

Probabilité d’inflammation, colonne [c]

Pour les conséquences potentielles en termes de sécurité et au niveau commercial, il fautune inflammation du gaz relâché. Dans cet exemple, nous avons fait référence à uneétude de sécurité incendie qui a prédit une probabilité d’inflammation de 75 %, au vu duscénario de rupture importante. Ce faisant, pour les conséquences en matière de sécurité,nous pouvons revendiquer 0,75 comme modificateur conditionnel et la fréquenced’événements déclencheurs sera réduite de ce facteur.

Pour ce qui est des conséquences environnementales, aucune réduction du risque nepeut être revendiquée puisque l’inflammation n’est pas nécessaire pour les conséquences.

74

PROCESS SAFEBOOK 1


Conception à usage général, colonne [d]

Un exemple de conception à usage général sera un tuyau gainé capable de fournir unecertaine protection en matière de perte de confinement. Dans l’exemple, la conceptionà usage général n’a pas été prise en compte car il n’existe pas de caractéristiques deconception spécifiques fournissant une réduction du risque.

8.6.10. Couches de protection indépendantes (IPL)

Chaque couche de protection est constituée d’un groupe d’équipements et/ou decommandes administratives qui fonctionnent de concert avec les autres couches.

Le niveau de protection fourni par chaque couche de protection indépendante (IPL,Independant Protection Layer) est quantifié par la probabilité qu’elle échouera à assurerla fonction spécifiée sur sollicitation, autrement dit par sa PFD, qui est un nombre sansdimension entre 0 et 1. Plus la valeur de la probabilité PFD est petite, plus grand est lefacteur de réduction du risque appliqué en tant que facteur modificateur à lavraisemblance de déclenchement calculée [8.6.8]. Ainsi, si aucune couche IPL n’estrevendiquée, un « 1 » est saisi sur la fiche LOPA.

Dans l’exemple, les couches IPL revendiquées dans les colonnes [e] à [h] peuvent êtrepersonnalisées en fonction de l’application. Des couches IPL types ont été présentées.

Système de contrôle de procédé de base (BPCS), colonne [e].

Une prise en compte peut être revendiquée si une boucle de contrôle dans le systèmeBPCS (SNCC) empêche la concrétisation du danger découlant d’une cause déclenchantepotentielle. Dans l’exemple, pour certaines causes déclenchantes, par ex. défaillance devanne d’arrivée de liquide XV102 en position ouverte, le système BPCS (SNCC) peutcompenser ce défaut en ouvrant la vanne de sortie de liquide et en empêchant la montéedu niveau. Une probabilité PFD de 0,1 a été revendiquée, ce qui signifie que le SNCCempêchera la survenance des conséquences pour 9 événements sur 10.

Une probabilité PFD de 0,1 est généralement la réduction du risque la plus grandepouvant être revendiquée pour un système sans niveau SIL. Cela tient au fait que le SNCCpeut être réglé manuellement, qu’il n’y a généralement pas de contrôle strict des réglagesde point de déclenchement et que les tests ne sont pas aussi rigoureux que pour un SIS.

Alarmes indépendantes, colonne [f ].

Les alarmes indépendantes du système BPCS peuvent être revendiquées lorsqu’ellesalertent l’opérateur et utilisent l’action de ce dernier. Pour être revendiquée, l’alarme doit

PROCESS SAFEBOOK 1


75

être réellement indépendante du système BPCS et de la fonction SIF, et l’opérateur doitpouvoir répondre à l’alarme et prendre des mesures visant à rendre le procédé sûr dans ledélai de processus de sécurité.

En général, une probabilité PFD de 0,1 peut être revendiquée pour les alarmesindépendantes. Dans cet exemple, aucune prise en compte n’a été revendiquée.

8.6.11. Atténuation supplémentaire

Occupation, colonne [g].

Accès – Les couches d’atténuation peuvent inclure l’occupation, à savoir la proportionde temps qu’un opérateur est exposé à un danger, ainsi que l’accès restreint aux zonesdangereuses. Dans cet exemple, une occupation basée sur une équipe travaillant 8 heuresa été revendiquée.

Autre atténuation : colonne [h].

Les autres formes d’atténuation suivantes peuvent être disponibles :

• Physique – Les couches d’atténuation peuvent être des barrières physiquesqui assurent une protection contre le danger une fois celui-ci déclenché. Desexemples peuvent être des dispositifs de décompression et des bacs derétention.

• Action opérateur – La détection et les inspections à intervalles régulierspeuvent être revendiquées, à condition que l’opérateur puisse prendre lesmesures appropriées.

Dans cet exemple, aucune prise en compte n’a été revendiquée.

8.6.12. Vraisemblance d’événement de niveau intermédiaire

La vraisemblance d’événement intermédiaire est calculée en multipliant la vraisemblancede déclenchement par les probabilités PFD des couches de protection. Le nombre calculéest exprimé en unités d’événements par année. La vraisemblance de niveau intermédiairetotale indique le taux de sollicitation pour n’importe quelle fonction instrumentée desécurité (SIF) proposée.

8.6.13. PFD nécessaire de SIS

Le calcul est effectué en comparant le risque tolérable maximum λMTR et lavraisemblance d’événement de niveau intermédiaire ou la fréquence de danger λHAZ.

PFD = λMTR/λHAZ

76

PROCESS SAFEBOOK 1


8.6.14. SIL nécessaire de SIS

Est obtenu à partir du tableau 7 et correspond à la probabilité PFD requise du SIS.

Tableau 7 : PDF et taux de défaillances spécifiés de SIL

Il convient de noter que la probabilité PFD et le taux de défaillances pour chaque SILdépendent du mode de fonctionnement prévu du SIS, par rapport à la fréquence dessollicitations de celui-ci [8.6.12].

Les fiches LOPA suivent.

Niveau SIL Mode sollicitation Probabilitéde défaillance sur sollicitation

Mode continuTaux de défaillances par heure

SIL4 ≥ 10-5 à < 10-4 ≥ 10-9 à < 10-8

SIL3 ≥ 10-4 à < 10-3 ≥ 10-8 à < 10-7

SIL2 ≥ 10-3 à < 10-2 ≥ 10-7 à < 10-6

SIL1 ≥ 10-2 à < 10-1 ≥ 10-6 à < 10-5

PROCESS SAFEBOOK 1


77

BPCS

[SNCC

]Alarm

es

indépendan-

tes

Atténuation

supplémen-

taire

:Occupation

(Niveaux

d’effectifs)

Atténuation

supplémentaire,

par ex.

murs

coupe-feu/

procédures

opérationnelles/

limiteurs de

pression

Vraisem-

blance

d’événem

ent

de niveau

interm

édiaire

(pa)

PFD

requise

SRS

SIL

requis

SRS

Commentaires/hypothèses

[a]

[b]

[c]

[d]

[e]

[f][g]

[h]

Le SNCC

ne parvient

pas

à réguler la pression.

1,65E-02

0,10

0,75

0,33

4,13E-04

[a] Fait référence

aux

données

d’événem

ent déclencheur.

[b] L’équipe LO

PA estime la

probabilité

d’une

fuite

importante

(rupture) à

10 %.

[c] L’étude

de risque d’incendie

estim

e la

probabilité

d’in

flammation à 75

%.

[d] Pas

de prise en

com

pte des

caractéristiques de

conception.

[e] Le SNCC

est

la cause

déclenchante, par

conséquent

pas de

prise en

com

pte du

SNCC

.[f]

Pas

d’alarm

es indépendan-

tes disponibles. Pas de

prise en

compte.

[g] Zone de

récipient avec

personnel 8

h par

jour.

[h] Pas

de lim

iteur

de pression.

Pas de

prise en

com

pte.

Le transm

etteur

PT102

subit une

défaillance et

lit

une

pression faible

8,58E-04

0,10

0,75

0,33

2,15E-05

Comme ci-dessus.

Défaillance de

vanne

XV102 d’arrivée

de

liquide

en position

ouverte.

2,89E-03

0,10

0,75

0,10

0,33

7,23E-06

Comme ci-dessus sauf

:[e] Le SNCC

peut com

penser

les défaillances de

vanne

d’arrivée. PFD

estimée

= 0,1.

Défaillance de

vanne

FCV102

de sortie

de gaz

en position

ferm

ée.

1,01E-02

0,10

0,75

0,10

0,33

2,52E-05

Comme ci-dessus.

Défaillance de

vanne

XV102 de

sortie

de

liquide

en position

ferm

ée.

2,89E-03

0,10

0,75

0,10

0,33

7,23E-06

Comme ci-dessus.

Le transm

etteur

TT100

subit une

défaillance et

lit

une

température

basse

2,68E-03

0,10

0,75

0,10

0,33

6,70E-06

Comme ci-dessus.

Défaillance de

vanne

FCV100

de gaz

combustible

en position

ouverte.

1,01E-02

0,10

0,75

0,10

0,33

2,52E-05

Comme ci-dessus.

Le détecteur

de niveau

de

liquide LL101 subit

une défaillance

et lit

un niveau bas.

1,10E-02

0,10

0,75

0,10

0,33

2,74E-05

Comme ci-dessus.

5,34E-04

P51,00E-05

1,87E-02

Conséquence

1,10

Récipient

La pression

élevée

provoque

une rupture du

récipient et un

rejet de gaz.

Sécurité :

Le gaz

libéré

s’enflam

me

sur le brûleur

et au contact

des surfaces

chaudes.

Décès

possible

de deux

techniciens de

maintenance.

SIL1

Risque

tolérable

maximum

(pa)

Cause déclenchante

Vraisem-

blance

de

déclen-

chem

ent

(pa)

Distribution

de tailles

de

fuite

Probabilité

d’in

flam-

mation

Conception

à usage

général

(conception

nominale)

Couches de

protection indépendantes

ID/Réf.

Description

de zone

Description

d’événem

ent

(danger)

Catégorie

de

gravité

78

PROCESS SAFEBOOK 1


BPCS

[SNCC

]Alarm

es

indépendan-

tes

Atténuation

supplémen-

taire

:Occupation

(Niveaux

d’effectifs)

Atténuation

supplémentaire,

par ex.

murs

coupe-feu/

procédures

opérationnelles/

limiteurs de

pression

Vraisem-

blance

d’événem

ent

de niveau

interm

édiaire

(pa)

PFD

requise

SRS

SIL

requis

SRS


[a]

[b]

[c]

[d]

[e]

[f][g]

[h]

Le SNCC

ne parvient

pas à réguler la pression.

1,65E-02

0,10

1,65E-03


aux

données

d’événem

ent déclencheur.

[b] L’équipe LO

PA estime la

probabilité

d’une

fuite

importante

(rupture) à

10 %.

[c] Inflam

mation non requise

Pas de

réduction du

risque

prise

en com

pte

[d] Pas

de prise en

com

pte de


conception.

[e] Le SNCC

est

la cause

déclenchante, par

conséquent

pas de

prise en

com

pte du

SNCC.

[f] Pas

d’alarm

es indépendantes

disponibles. Pas de

prise en

compte.

[g] Risque pour

l’environnem

ent

24 h/24.

Pas

de prise en

com

pte

de réduction de

risque. 8

h

par jour.

[h] Pas

de lim

iteur

de pression.

Pas de

prise en

com

pte.

Le transm

etteur

PT102

subit une

défaillance et

lit

une

pression faible

8,58E-04

0,10

8,58E-05

Comme ci-dessus.

Défaillance de

vanne

XV102 d’arrivée

de

liquide

en position

ouverte.

2,89E-03

0,10

0,10

2,89E-05


:[e] Le SNCC

peut com

penser


vanne

d’arrivée. PFD

estimée

= 0,1.

Défaillance de

vanne

FCV102

de sortie

de gaz

en position

ferm

ée.

1,01E-02

0,10

0,10

1,01E-04

Comme ci-dessus.

Défaillance de

vanne

XV102 de

sortie

de

liquide

en position

ferm

ée.

2,89E-03

0,10

0,10

2,89E-05

Comme ci-dessus.

Le transm

etteur

TT100

subit une

défaillance et

lit

une

température

basse

2,68E-03

0,10

0,10

2,68E-05

Comme ci-dessus.

Défaillance de

vanne

FCV100

de gaz

combustible

en position

ouverte.

1,01E-02

0,10

0,10

1,01E-04

Comme ci-dessus.

Le détecteur

de niveau

de

liquide LL101 subit

une défaillance

et lit un

niveau

bas.

1,10E-02

0,10

0,10

1,10E-04

Comme ci-dessus.

2,14E-03

E21,00E-02

Aucune

Conséquence

1,10

Récipient

La pression

élevée

provoque

une rupture du

récipient et un

rejet de gaz.

Environnem

ent :

Rupture de

récipient, rejet

de gaz, pas

d’in

flammation.

Rejet sur

site. Nettoyage

et

déclaration

aux autorités

nécessaire, m

ais

pas de

conséquence

environnem

en-

tale.

Aucune

Risque

tolérable

maximum

(pa)

Cause déclenchante

Vraisem-

blance

de

déclen-

chem

ent

(pa)

Distribution

de tailles

de

fuite

Probabilité

d’in

flam-

mation

Conception

à usage

général

(conception

nominale)

Couches de


ID/Réf.

Description

de zone

Description

d’événem

ent

(danger)

Catégorie

de

gravité

PROCESS SAFEBOOK 1


79

BPCS

[SNCC

]Alarm

es

indépendan-

tes

Atténuation

supplémen-

taire

:Occupation

(Niveaux

d’effectifs)

Atténuation

supplémentaire,

par ex.

murs

coupe-feu/

procédures

opérationnelles/

limiteurs de

pression

Vraisemblance

d’événem

ent

de niveau

interm

édiaire

(pa)

PFD

requise

SRS

SIL

requis

SRS


[a]

[b]

[c]

[d]

[e]

[f][g]

[h]

Le SNCC

ne parvient

pas à réguler la pression.

1,65E-02

0,10

0,75

1,24E-03


aux

données

d’événem

ent déclencheur.

[b] L’équipe LO

PA estime la

probabilité

d’une

fuite

importante

(rupture) à

10 %.

[c] L’étude

de risque d’incendie

estim

e la

probabilité

d’in

flammation à 75

%.

[d] Pas

de prise en

com

pte des


conception.

[e] Le SNCC

est

la cause

déclenchante, par

conséquent

pas de

prise en

com

pte du

SNCC

.[f]

Pas

d’alarm

es indépendantes

disponibles. Pas de

prise en

compte.

[g] Zone de

récipient avec

personnel 8

h par

jour.

[h] Pas

de lim

iteur

de

pression. Pas

de prise en

com

pte.

Le transm

etteur

PT102

subit une

défaillance et

lit

une

pression faible

8,58E-04

0,10

0,75

6,44E-05

Comme ci-dessus.

Défaillance de

vanne

XV102 d’arrivée

de

liquide

en position

ouverte.

2,89E-03

0,10

0,75

0,10

2,17E-05


:[e] Le SNCC

peut com

penser


vanne

d’arrivée. PFD

estimée

= 0,1.

Défaillance de

vanne

FCV102

de sortie

de gaz

en position

ferm

ée.

1,01E-02

0,10

0,75

0,10

7,56E-05

Comme ci-dessus.

Défaillance de

vanne

XV102 de

sortie

de

liquide

en position

ferm

ée.

2,89E-03

0,10

0,75

0,10

2,17E-05

Comme ci-dessus.

Le transm

etteur

TT100

subit une

défaillance et

lit

une

température

basse

2,68E-03

0,10

0,75

0,10

2,01E-05

Comme ci-dessus.

Défaillance de

vanne

FCV100

de gaz

combustible

en position

ouverte.

1,01E-02

0,10

0,75

0,10

7,56E-05

Comme ci-dessus.

Le détecteur

de niveau

de

liquide LL101 subit

une défaillance

et lit

un niveau bas.

1,10E-02

0,10

0,75

0,10

8,21E-05

Comme ci-dessus.

1,60E-03

C51,00E-05

6,24E-03

Conséquence

1,10

Récipient

La pression

élevée

provoque

une rupture du

récipient et un

rejet de gaz.

Commercial

:Rupture de

récipient, rejet

de gaz,

inflammation et

endommage-

ment de l’actif.

Dom

mages

aux équipe-

ments

nécessitant

le

remplacem

ent

du récipient

estim

és

à 10

millions

€

et arrêt

de

production

pendant 1

année

SIL2

Risque

tolérable

maximum

(pa)

Cause déclenchante

Vraisem-

blance

de

déclenche-

ment

(pa)

Distribution

de tailles

de

fuite

Probabilité

d’in

flamm-

ation

Conception

à usage

général

(conception

nominale)

Couches de


ID/Réf.

Description

de zone

Description

d’événem

ent

(danger)

Catégorie

de

gravité

80

PROCESS SAFEBOOK 1


8.6.15. Résultats d’analyse LOPA

Les résultats du tableau 8 montrent que le danger de surpression a des conséquences enmatière de sécurité qui peuvent faire l’objet d’une protection avec une fonction SIF deniveau SIL1 ayant une probabilité PFD ≤ 1,87E-02. Toutefois, le risque commercial domineet nécessite une fonction SIF de niveau SIL2 avec une probabilité PFD ≤ 8,24E-03.

Tableau 8 : Résultats LOPA

Il n’est pas rare que des dangers non liés à la sécurité soient prédominants. Dans cetexemple, l’actif est toujours exposé au risque lié au danger et, en termes de sécurité, lepersonnel court un risque uniquement à temps partiel.

La fonction SIF qui doit être mise en place pour assurer la protection contre la surpressiondoit, par conséquent, être conforme aux objectifs commerciaux et la même fonction SIFfournira en conséquence une protection adéquate pour le personnel.

Danger Conséquence Niveau SILcible

ProbabilitéPFD cible

Sécurité Sécurité : Le gaz libéré s’enflamme sur lebrûleur et au contact des surfaceschaudes. Décès possible de deuxtechniciens de maintenance.

SIL1 1,87E-02

Environnement Environnement : Rupture de récipient,rejet de gaz, pas d’inflammation. Rejet sursite. Nettoyage et déclaration aux autoritésnécessaires, mais pas de conséquencesenvironnementales.

Aucun Aucun

Commercial Commercial : Rupture de récipient, rejet degaz, inflammation et endommagement del’actif. Dommages aux équipementsnécessitant le remplacement du récipientestimés à 10 millions € et arrêt deproduction pendant 1 année.

SIL2 6,24E-03

PROCESS SAFEBOOK 1

Allocation des fonctions de sécurité

81

9. Allocation des fonctions de sécurité



L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, clause 9.1, consisteà allouer les fonctions de sécurité aux couches de protection.

En entrée, la phase nécessite une description relative aux prescriptions de fonction desécurité et prescriptions d’intégrité de sécurité.

En sortie, la phase doit fournir des informations sur l’allocation des fonctions de sécuritéglobale, leurs mesures de défaillance cible et les niveaux d’intégrité de sécurité associés.Des hypothèses concernant d’autres mesures de réduction du risque à gérer tout au longde la durée de vie du procédé/de l’usine seront aussi définies.

Gestion de

la sécurité

fonctionnelle,

évaluation et

audit de

la sécurité

fonctionnelle

10

Planification et

structure

du cycle de

vie

de sécurité

11

Vérification


1




2





Modification7

Mise hors service8


82

PROCESS SAFEBOOK 1


9.2. Allocation des fonctions de sécurité

En reprenant l’exemple du séparateur de la section 3.7.1, les fonctions instrumentées desécurité (SIF) et prescriptions SIL suivantes ont été identifiées (cf. le tableau 9). L’analysede la référence de danger 1.10 a été illustrée en tant que partie intégrante de l’exempleLOPA [8.5]. L’analyse LOPA aurait été utilisée afin de déterminer les niveaux SIL cible et lesprobabilités PFD cible pour les dangers identifiés.

Tableau 9 : Prescriptions de fonctions SIF

La vraisemblance d’événement intermédiaire indiquée par l’analyse LOPA a déterminéque toutes les fonctions SIF seraient considérées comme étant en mode de sollicitation.

Réf HAZOP Danger Conséquence Niveau SILcible

ProbabilitéPFD cible

1.01 La pression élevéeprovoque une rupture durécipient et un rejet degaz.

Le gaz libéré s’enflamme sur le brûleur et aucontact des surfaces chaudes. Décès possiblede deux techniciens de maintenance.Dommages aux équipements nécessitant leremplacement du récipient estimés à 10millions € et arrêt de procédé pendant 1 année.Dégagement mineur dans l’environnement.

SIL2 6,24E-03

1.11 La pression faibleprovoque une rupture durécipient et un rejet degaz.


Aucun Aucun

1.15 La température élevéeaboutit à une pressionélevée, à la rupture durécipient et au rejet degaz.


Aucun Aucun

1.16 Température basse, gelpotentiel de liquide(solidification), rupture derécipient et perte deconfinement.

Dommages aux équipements nécessitant leremplacement du récipient estimés à 10millions € et arrêt de procédé pendant 6 mois.Rejet dans l’environnement nécessitant unedéclaration.

Aucun Aucun

1.20 Le niveau élevé dans lerécipient pourrait aboutirà un transfert de liquidedans la sortie de gaz.

Dommages aux équipements en avalnécessitant le remplacement du récipientestimés à 10 millions € et arrêt de procédépendant 6 mois.

SIL1 8,10E-02

1.21 Le niveau bas dans lerécipient pourrait aboutirà une fuite de gaz dans lasortie de liquide.

Dommages aux équipements en avalnécessitant le nettoyage du récipient estimés à2 millions € et arrêt de procédé pendant 6semaines.

SIL1 6,22E-02

PROCESS SAFEBOOK 1

Allocation des fonctions de sécurité

83

Les niveaux SIL1 cibles ont été établis pour le niveau élevé et le niveau faible, d’où laproposition des fonctions SIF suivantes. Pour atténuer la pression élevée, un limiteur depression a été mis en œuvre en tant que bonne pratique d’ingénierie et une fonction SIF aété établie comme illustré ci-dessous.

Les fonctions SIF individuelles forment ensemble le SIS global :

Systèmeinstrumentéde sécurité

PHH100 ESDV100

P

LHH101 ESDV101

L

LHH102 ESDV102

L

Figure 35b : phase 2 du cycle de vie

Fonctioninstrumentéede sécurité

LHH102 ESDV102

L


LHH101 ESDV101

L


PHH100 ESDV100

P

Figure 35a : phase 2 du cycle de vie

84

PROCESS SAFEBOOK 1


Le diagramme suivant illustre les fonctions SIF allouées :

Sortie de liquide

Arrivée de gaz combustible

Arrivée de liquide

Sortie de gaz

XV101ESDV101

LL101TT100

FCV100

FCV100 XV100

T

P

Brûleur

LH101

FCV102XV102

ESDV102

PT102PRV102

LH

LL

ESDV100

LLL101 SISLL

PHH100P

LHH102SISL

SIS

Figure 35c : phase 2 du cycle de vie

PROCESS SAFEBOOK 1

Spécification des prescriptions de sécurité pour le SIS

85

10. Spécification des prescriptions de sécurité pour le SIS



L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, clause 10.1, consisteà spécifier les prescriptions pour les fonctions instrumentées de sécurité (SIF).

10.2. Prescriptions d’intégrité de sécurité d’une fonction SIF

Le niveau SIL de chaque fonction SIF a été sélectionné pendant l’étude de déterminationSIL au moyen du graphique de risque, de l’analyse LOPA ou de la matrice de risque.

Ces informations doivent maintenant être communiquées à l’équipe de conception par laspécification des prescriptions de sécurité (SRS), afin d’être certain que la conception est

Gestion de

la sécurité

fonctionnelle,

évaluation et

audit de

la sécurité

fonctionnelle

10

Planification et

structure

du cycle de

vie

de sécurité

11

Vérification


1




2





Modification7

Mise hors service8


86

PROCESS SAFEBOOK 1


conforme aux prescriptions d’intégrité de sécurité de la fonction SIF pendantl’implémentation. La spécification SRS constitue la base de la validation de la fonction SIF.

10.3. Cadre de la spécification SRS

Avant d’entamer des travaux de conception, la spécification SRS doit être préparée surla base des directives de la norme CEI 61511-1/2, clauses 10 et 12. La spécification SRScontient les prescriptions fonctionnelles et d’intégrité relatives à chaque fonction SIF etdoit fournir suffisamment d’informations pour la conception et l’ingénierie du SIS. Elledoit être exprimée et structurée sous une forme claire, précise, vérifiable, gérable etfaisable, en vue de faciliter la compréhension des personnes susceptibles d’employerles informations à n’importe quelle phase du cycle de vie.

La spécification SRS doit inclure des déclarations sur les aspects suivants de chaquefonction SIF :

• Description de la fonction SIF ;• Défaillances de cause commune ;• Définition d’état de sécurité pour la fonction SIF ;• Taux de sollicitation ;• Intervalles entre tests de validité ;• Temps de réponse pour amener le procédé dans un état de sécurité ;• SIL et modes de fonctionnement (sollicitation ou continu) ;• Mesures de procédé et leurs points de déclenchement ;• Actions en sortie de procédé et critères de fonctionnement réussi ;• Relation fonctionnelle entre les entrées et sorties ;• Exigences d’arrêt manuel ;• Coupure par mise sous tension ou mise hors tension ; • Réinitialisation après l’arrêt ;• Taux de déclenchements intempestifs autorisé maximum ;• Modes de défaillance et réponse du SIS aux défaillances ;• Démarrage et redémarrage du SIS ;• Interfaces entre le SIS et tout autre système ;• Logiciel d’application ;• Forçages/Inhibitions/contournements et leur effacement ;• Actions suivant la détection d’un défaut de SIS.

Les fonctions instrumentées non liées à la sécurité peuvent être réalisées par le SIS, afin degarantir un arrêt en bonne et due forme ou un démarrage accéléré.

PROCESS SAFEBOOK 1

Conception et ingénierie du SIS

87

11. Conception et ingénierie du SIS



L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, clause 11.1,consiste à :

• concevoir le SIS, afin d’assurer les fonctions instrumentées de sécurité (SIF)nécessaires [11.2] ;

• vérifier que la conception des fonctions SIF est conforme au niveau SIL spécifié,tel qu’il est défini pendant la détermination des niveaux SIL [13].

Gestion de

la sécurité

fonctionnelle,

évaluation et

audit de

la sécurité

fonctionnelle

10

Planification et

structure

du cycle de

vie

de sécurité

11

Vérification


1




2





Modification7

Mise hors service8


88

PROCESS SAFEBOOK 1


11.2. Conception de fonction SIF

La spécification SRS constituera la base de la conception de fonction SIF et permettra àl’équipe de conception de convertir la fonctionnalité en documents de conception telsque la spécification fonctionnelle (FDS). Ainsi, la spécification FDS doit contenir toutes lesexigences fonctionnelles et d’intégrité nécessaires pour la conception et l’ingénierie duSIS.

Il est important que la documentation de conception contienne les exigences suivantes :

• Exigences concernant le comportement du système lors de la détection d’undéfaut [13.2] ;

• Tolérance aux pannes matérielles [13.3] ;• Sélection des composants et sous-systèmes [13.4] ; • Équipements de terrain [13.5] ;• Interfaces d’opérateur, de technicien de maintenance et de communication

avec le SIS [13.6] ;• Exigences de conception pour les tests ou la maintenance [13.7] ;• Probabilité de défaillance de la fonction SIF [13.8] ;• Logiciel d’application [13.9].

PROCESS SAFEBOOK 1

Techniques de fiabilité

89

12. Techniques de fiabilité

12.1. Introduction

Cette section propose une brève introduction aux techniques de fiabilité. Elle neconstitue en aucun cas une étude complète des méthodes d’ingénierie de fiabilité, etn’est pas non plus nouvelle ou non conventionnelle. Les méthodes décrites ici sontemployées couramment par les ingénieurs en fiabilité.

12.2. Définitions

À des fins pratiques, une version abrégée des termes clés et définitions est fournie.Des définitions plus complètes des termes et nomenclatures sont disponibles dans denombreux textes de norme sur le sujet.

Capacité – Mesure de l’aptitude d’un élément à atteindre les objectifs de la mission dansles conditions présentes pendant celle-ci.

Défaillance – Événement ou état non opérationnel pendant lequel un élément ou unepartie d’un élément ne se comporte pas ou ne peut pas se comporter comme spécifiéprécédemment.

Défaillance aléatoire – Défaillance dont la survenance est prévisible uniquement au sensprobabiliste ou statistique. Cela s’applique à toutes les distributions.

Défaillance dépendante – Défaillance provoquée par la défaillance d’un ou de plusieurséléments associés. Non indépendant.

Défaillance indépendante – Défaillance qui se produit sans être provoquée par ladéfaillance d’un autre élément. Non dépendant.

Dépendabilité – Mesure du degré de niveau opérationnel d’un élément et de sa capacitéà effectuer la fonction requise à tout moment (aléatoire) pendant un profil de missionspécifié, en fonction de la disponibilité au début de la mission.

Disponibilité – Mesure du degré d’état opérationnel et validable d’un élément au débutde la mission, lorsque cette dernière est invoquée dans un état inconnu.

Fiabilité – (1) La durée de probabilité de fonctionnement sans défaillance dans lesconditions stipulées. (2) La probabilité qu’un élément puisse assurer sa fonction pendantune durée spécifiée dans les conditions stipulées. Pour les éléments non redondants, c’estl’équivalant de la définition (1). Pour les éléments redondants, il s’agit de la définition de lafiabilité de mission.

90

PROCESS SAFEBOOK 1


Maintenabilité – Mesure de l’aptitude d’un élément à demeurer ou à être restauré dansun état spécifié lorsque la maintenance est réalisée par un personnel ayant les niveaux decompétences spécifiés, au moyen des procédures et ressources prescrites, à chaqueniveau de maintenance et de réparation prescrit.

Maintenance corrective – Toutes les actions effectuées à la suite d’une défaillance, afinde restaurer l’état spécifié d’un élément. La maintenance corrective peut inclure tout oupartie des étapes suivantes : localisation, isolation, démontage, interversion, remontage,alignement et contrôle.

Maintenance préventive – Toutes les actions effectuées dans une tentative de conserverun élément dans un état spécifié en assurant une inspection, une détection et uneprévention systématiques des défaillances imminentes.

Mécanisme de défaillance – Processus physique, chimique, électrique, thermique ouautre qui aboutit à une défaillance.

Mode de défaillance – Conséquence du mécanisme à l’origine de la défaillance, par ex.court-circuit, discontinuité électrique, rupture, usure excessive.

Taux de défaillances – Nombre total de défaillances au sein d’une population d’éléments,divisé par le nombre total d’unités de vie dépensées par cette population, au cours d’unintervalle de mesure particulier dans des conditions stipulées.

Temps moyen de fonctionnement avant pannes (MTTF, Mean time to failure) –Mesure de base de la fiabilité des éléments non réparables : le nombre moyen d’unitésde vie pendant lesquelles toutes les parties d’un élément fonctionnent dans leurs limitesspécifiées, pendant un intervalle de mesure déterminé et dans les conditions stipulées.

Temps moyen de réparation (MTTR, Mean time to repair) – Mesure de base de lamaintenabilité : la somme des délais de maintenance corrective à n’importe quel niveauspécifié de réparation, divisée par le nombre total des défaillances au sein d’un élémentréparé à chaque niveau, pendant un intervalle déterminé et dans les conditions stipulées.

Temps moyen entre pannes (MTBF, Mean time between failure) – Mesure de base dela fiabilité des éléments réparables : le nombre moyen d’unités de vie pendant lesquellestoutes les parties d’un élément fonctionnent dans leurs limites spécifiées, pendant unintervalle de mesure déterminé et dans les conditions stipulées.

12.3. Concepts mathématiques de base appliqués à l’ingénierie de fiabilité

De nombreux concepts mathématiques s’appliquent à l’ingénierie de fiabilité, en particulierdes concepts issus des probabilités et des statistiques. De même, de nombreuses lois

PROCESS SAFEBOOK 1


91

mathématiques peuvent être employées à différentes fins, notamment la loi de Gauss(normale), la loi log-normale, la loi de Rayleigh, la loi exponentielle, la loi de Weibull et biend’autres. Pour les besoins de cette brève introduction, nous allons limiter notre discussion àla loi exponentielle.

Taux de défaillances et Temps moyen entre pannes/de fonctionnement avant pannes(MTBF/MTTF).

L’objectif des mesures de fiabilité quantitatives est de définir le taux de défaillances parrapport au temps et de modéliser ce taux de défaillances dans une distributionmathématique afin d’appréhender les aspects quantitatifs de la défaillance. Le bloc le plusélémentaire est le taux de défaillances, lequel est estimé au moyen de l’équation suivante :

λ = F/T

Où : λ = Taux de défaillances (appelé parfois taux de danger) ;

T = Nombre total d’heures d’équipement (temps de fonctionnement/cycles/kilomètres/etc.)pendant une période d’investigation concernant les éléments subissant des défaillances etceux qui n’en subissent pas ;

F = Nombre total de défaillances se produisant pendant la période d’investigation.

Par exemple, si cinq moteurs électriques fonctionnent pendant une durée collectivetotale de 50 ans avec cinq défaillances fonctionnelles pendant cette période, le taux dedéfaillances sera 0,1 défaillance par an.

Un autre concept très basique est le temps moyen entre pannes/de fonctionnementavant pannes (MTBF/MTTF). La seule différence entre les temps moyens MTBF et MTTFest le fait que MTBF fait référence aux éléments réparés en cas de défaillance. Pour leséléments simplement mis au rebut et remplacés, nous employons le terme MTTF. Lescalculs sont identiques. Le calcul élémentaire pour estimer le temps moyen entre pannes(MTBF) et le temps moyen de fonctionnement avant pannes (MTTF) utilise la réciproquede la fonction de taux de défaillances. L’équation suivante est utilisée.

θ = T/F

Où : θ = Temps moyen entre pannes/de fonctionnement avant pannes ;

T = Total de durée de fonctionnement/cycles/kilomètres/etc. pendant une périoded’investigation concernant les éléments subissant des défaillances et ceux qui n’ensubissent pas ;

F = Nombre total de défaillances se produisant pendant la période d’investigation.

92

PROCESS SAFEBOOK 1


Le MTBF pour notre exemple de moteur électrique industriel est de 10 ans, ce qui est laréciproque du taux de défaillances des moteurs. À ce propos, nous évaluons le MTBF pourles moteurs électriques reconditionnés après une défaillance. Concernant les moteursrelativement petits considérés comme jetables, nous fournissons le MTTF.

Le taux de défaillances est un composant de base de nombreux calculs de fiabilité pluscomplexes. En fonction de la conception mécanique/électrique, du contexte defonctionnement, de l’environnement et/ou de l’efficacité de la maintenance, le taux dedéfaillances d’une machine en tant que fonction du temps peut décroître, rester constant,croître linéairement ou croître géométriquement. Toutefois, pour la majorité des calculsde fiabilité, un taux de défaillances constant est assumé.

12.4. La courbe en baignoire

Le concept de courbe en baignoire vise à démontrer les trois caractéristiques de taux dedéfaillances de base d’une machine : taux décroissant, taux constant ou taux croissant.Dans la pratique, la majorité des machines font leur temps dans la première partie deleur vie ou les régions de taux de défaillances constant de la courbe en baignoire. Nousassistons rarement à des mécanismes de défaut dépendants du temps car les machinesindustrielles types ont généralement tendance à être remplacées ou à avoir desremplacements de pièces avant leur usure. Toutefois, en dépit de ses limitations demodélisation, la courbe en baignoire est utile pour expliquer les concepts de base del’ingénierie de fiabilité.

Le corps humain constitue un excellent exemple de système qui suit la courbe enbaignoire. Les personnes et les machines ont tendance à souffrir d’un taux de défaillances(mortalité) élevé pendant les premières années de leur vie, mais le taux diminue à mesureque le produit (enfant) gagne en âge. En supposant qu’une personne survive àl’adolescence, le taux de mortalité devient relativement constant et demeure ainsi jusqu’àun âge (temps) où les maladies commencent à augmenter le taux de mortalité (usure).

Il existe une notion selon laquelle la courbe en baignoire est constituée de plusieursdistributions de défaillances (cf. la figure 38).

Le taux de défaillances décroissant de début de vie est dû à des raisons systématiquestelles que des faiblesses de fabrication présentes dans un produit. Lors de la fabricationd’un lot de produits, une proportion de la population contiendra des faiblesses quiprovoqueront des défaillances au cours du service. Lorsque les éléments défaillants sontretournés pour des réparations, la proportion de produits faibles dans la populationdiminue et le taux de défaillances décroît en conséquence.

L’augmentation des défaillances pour usure peut être due à des raisons systématiquessimilaires. Les mécanismes de défaillance peuvent être la résultante d’une résistance

PROCESS SAFEBOOK 1


93

dégradée, telle que l’accumulation de dommages de fatigue. Dans le domaine del’électronique, les mécanismes de défaillance dépendants du temps ont tendance àavoir une nature mécanique et incluent les défaillances de fatigue de soudures.

La période de taux de défaillances constant forme la majorité de la durée de vie d’unproduit et constitue une mesure de la qualité de la conception. C’est dans cette régionde taux de défaillances constant que sont réalisés les calculs de fiabilité simples.

12.5. La loi exponentielle

La loi exponentielle est la formule de prédiction de fiabilité la plus élémentaire et la plusemployée. Elle modélise des machines avec le taux de défaillances constant ou représentela section plate de la courbe en baignoire. La majorité des machines industrielles passentla plus grande partie de leur vie dans la région de taux de défaillances constant, de sortequ’il est applicable de manière généralisée.

Vous trouverez ci-dessous l’équation de base servant à estimer la fiabilité d’une machinequi suit la loi exponentielle, où le taux de défaillances est constant et est une fonction dutemps.

00

0,1

0,2

0,3

0,4

0,5

0,6

0,7

0,8

0,9

1

10 20 30Temps

DécroissantConstantCroissantTotal

Courbe en baignoire

Taux

de défaillances

40 50 60

Figure 38 : courbe en baignoire

94

PROCESS SAFEBOOK 1


R(t) = exp { -λ . t }

Où : R(t) = Estimation de fiabilité pour une période de temps, des cycles, kilomètres, etc. (t) ;

λ = Taux de défaillances (1/MTBF ou 1/MTTF) et t = Temps de risque.

Dans notre exemple de moteur électrique, si vous supposez un taux de défaillancesconstant, la vraisemblance de faire fonctionner un moteur pendant six ans sans défaillance,ou la fiabilité projetée, est de 55 pour cent. Cet aspect est calculé comme suit :

R(t) = exp { – 0,1 x 6 }= exp { – 0,6 }= 0,5488 ≈ 55 %

En d’autres termes, après six ans, près de 45 % de la population de moteurs identiquesfonctionnant dans une même application peuvent, selon les probabilités, subir unedéfaillance. À ce stade, il est utile de rappeler que ces calculs sont des projections deprobabilité pour une population. Tout individu de la population pourrait connaître unedéfaillance le premier jour du fonctionnement, tandis qu’un autre pourrait durer 30 ans.Telle est la nature des projections de fiabilité probabilistes.

Une caractéristique de la loi exponentielle est que le MTBF se produit au point où lafiabilité calculée est 36,78 %, ou au point auquel 63,22 % des machines ont déjà connuune défaillance. Dans notre exemple de moteur, au bout de 10 ans, 63,22 % des membresd’une population de moteurs identiques employés dans les mêmes applications sontsusceptibles de connaître une défaillance. En d’autres termes, le taux de survie est de36,78 % de la population.

12.6. Estimation de la fiabilité du système

Une fois que la fiabilité des composants ou machines a été établie par rapport aucontexte de fonctionnement et à la durée de mission requise, les ingénieurs de l’usinedoivent évaluer la fiabilité d’un système ou procédé. Encore une fois, afin de faire court etsimple, nous allons aborder les estimations de fiabilité pour les systèmes série, parallèleset redondants à charge partagée (M sur N) (systèmes MooN).

12.6.1. Systèmes série

Avant d’aborder les systèmes série, il faut parler des diagrammes de fiabilité ou RBD(Reliability Block Diagram). Leur rôle consiste simplement à cartographier un procédé dudébut jusqu’à la fin. Pour un système série, le sous-système 1 est suivi du sous-système 2,etc. Dans le système série, la capacité d’employer le sous-système 2 dépend de l’étatopérationnel du sous-système 1. Si ce dernier ne fonctionne pas, le système est arrêtéindépendamment de la condition du sous-système 2 [figure 39].

PROCESS SAFEBOOK 1


95

Pour calculer la fiabilité du système d’un procédé sériel, il suffit de multiplier la fiabilitéestimée du sous-système 1 au temps (t) par la fiabilité estimée du sous-système 2 autemps (t). L’équation de base pour le calcul de la fiabilité d’un système série s’écrit commesuit :

Rs(t) = R1(t) . R2(t) . R3(t)

Où : Rs(t) – Fiabilité du système pour le temps spécifié (t) ;

Rn(t) – Fiabilité du sous-système ou de la sous-fonction pour le temps spécifié (t)

Par conséquent, pour un système simple comportant trois sous-systèmes ou sous-fonctions, chacun ou chacune ayant une fiabilité estimée de 0,90 (90 %) au temps (t), lafiabilité du système est calculée comme 0,90 X 0,90 X 0,90 = 0,729, soit environ 73 %.

12.6.2. Systèmes parallèles

Bien souvent, les ingénieurs de conception intègrent de la redondance dans les machinescritiques. Les ingénieurs en fiabilité qualifient ces systèmes de parallèles. Ces systèmespeuvent être conçus en tant que systèmes parallèles actifs ou systèmes parallèles desecours. Le schéma de principe pour un simple système parallèle à deux composants estillustré sur la figure 40.

R1(t)

R2(t)

Figure 40 : système parallèle

R1(t) R2(t) R3(t)

Sous-Système 1 Sous-Système 2 Sous-Système 3

Figure 39 : système série

96

PROCESS SAFEBOOK 1


Pour calculer la fiabilité d’un système parallèle actif, où les deux machines fonctionnent,utilisons l’équation toute simple suivante :

Rs(t) = 1 – [ {1-R1(t)} . {1-R2(t)} ]

Où : Rs(t) – Fiabilité du système pour le temps spécifié (t) ;

Rn(t) – Fiabilité du sous-système ou de la sous-fonction pour le temps spécifié (t)

Le système simple de notre exemple avec deux composants en parallèle, chacun ayantune fiabilité de 0,90, a une fiabilité totale de 1 – (0,1 X 0,1) = 0,99. Par conséquent, lafiabilité du système a été considérablement améliorée.

12.6.3. Systèmes M sur N (MooN)

Le concept de systèmes MooN est important pour les ingénieurs chargés de la fiabilitéde l’usine. Ces systèmes nécessitent que M unités d’une population totale N soientdisponibles aux fins d’utilisation. Les broyeurs à charbon d’une centrale électriqueconstituent un bon exemple industriel. Bien souvent, les ingénieurs conçoivent cettefonction au moyen d’une approche MooN. Par exemple, une unité comporte quatrebroyeurs et trois d’entre eux doivent être opérationnels lorsque l’unité fonctionne àpleine charge [figure 41].

12.7. Défaillances dangereuses et non dangereuses

Pour que les calculs de fiabilité soient significatifs, nous nous intéressons au taux dedéfaillances du système, mais aussi à la manière dont se produit la défaillance, autrementdit au mode de défaillance.

Les modes de défaillance peuvent être classés comme non dangereux et dangereux. Lafigure 42 présente un gazoduc. Si le gazoduc alimente une centrale électrique et si lavanne d’arrêt subit une défaillance provoquant sa fermeture intempestive, l’alimentationen combustible sera coupée et il y aura peut-être une perte de revenu, mais le modecorrespond à une défaillance non dangereuse (défaillance en position fermée).

Si la défaillance de la même vanne survient en position ouverte, l’alimentation encombustible est maintenue, mais en cas de surpression, il sera impossible de couperle combustible et de sécuriser le gazoduc. Ce mode est, par conséquent, considérécomme une défaillance dangereuse (défaillance en position ouverte).

PROCESS SAFEBOOK 1


97

Dans cet exemple, la défaillance dangereuse en position ouverte ne sera pas révélée tantqu’il n’y aura pas une sollicitation correspondante, autrement dit tant que la fermeture dela vanne ne sera pas demandée. Il s’agit donc d’une défaillance non détectée dangereuse.

En revanche, si le gazoduc fournit du fluide de refroidissement à la centrale électriqueet si la vanne SSV969A subit une défaillance provoquant sa fermeture intempestive,


Pressostat

Logique ESD

Électro-vanne


Mise à l’air librecircuit hydraulique

Entréegazoduc

Sortiegazoduc

Vanne d’arrêt



PC

SPT


R1(t)

R2(t)

R3(t)

R4(t)

Figure 41 : système 3oo4

98

PROCESS SAFEBOOK 1


l’alimentation en fluide de refroidissement est coupée et il peut y avoir une surchauffede la centrale. Dans cette application, la même vanne et le même mode de défaillance(en position fermée) constituent une défaillance dangereuse. En cas de défaillance de lavanne en position ouverte, l’alimentation en fluide de refroidissement est maintenue et,par conséquent, ce mode de défaillance (en position ouverte) est considéré comme unedéfaillance non dangereuse.

Une défaillance dangereuse d’un composant dans une fonction instrumentée de sécuritéempêche cette fonction d’obtenir un état de sécurité lorsqu’elle doit le faire. Le taux dedéfaillances dangereuses est signalé par le symbole : λD.

Une défaillance non dangereuse ne peut pas placer le système instrumenté de sécuritédans un état dangereux ou d’incapacité de fonctionner, mais survient de manière tellequ’elle demande l’arrêt du système ou l’activation de la fonction instrumentée de sécuritélorsqu’aucun danger n’est présent. Le taux de défaillances non dangereuses est signalépar le symbole : λS.

Il peut y avoir des modes de défaillance qui n’affectent absolument pas la fonction desécurité. Ceux-ci peuvent inclure des fonctions de maintenance, des voyants, unejournalisation des données ou d’autres fonctions non liées à la sécurité (non-SR). Le tauxde défaillances non liées à la sécurité est signalé par le symbole : λnon-SR.

Le taux de défaillances total d’un élément, λ, est égal à la somme des taux de défaillancesliées à la sécurité et de défaillances non liées à la sécurité. En général, seuls λD et λS sontinclus dans les calculs de fiabilité.

λ = λD + λS + λnon-SR

12.8. Défaillances détectées et non détectées

La probabilité PFD fait référence aux défaillances dangereuses qui empêchent lefonctionnement du SIS au moment requis. Ces modes de défaillance sont classés commedes défaillances détectées, lorsqu’elles sont détectées par le diagnostic, ou comme desdéfaillances non détectées qui demeurent cachées, sauf lors de tests de validité manuels,lesquels sont effectués généralement une fois par an. Concernant les modes dedéfaillances classés par l’AMDEC comme des défaillances dangereuses détectées, il estrecommandé qu’ils soient détectés dans le cadre du diagnostic et soient vérifiés par unevalidation logicielle. D’autre part, les procédures de tests de validité doivent veiller à ceque les modes de défaillances dangereuses non détectées soient révélés pour garantirl’efficacité des tests en question.

Conformément à la norme CEI 61508-6, Annexe B.3.1, l’analyse peut considérer que pourchaque fonction de sécurité, il existe un test de validité et une réparation optimums, àsavoir que toutes les défaillances non détectées sont révélées par le test de validité.

PROCESS SAFEBOOK 1


99

12.9. Période de tests de validité (Tp) et temps moyen d’indisponibilité (MDT)

S’il se produit une défaillance, il est supposé qu’en moyenne elle interviendra au pointmédian de l’intervalle de tests. En d’autres termes, le défaut restera non détecté pendant50 % de la période de test.

Pour les défaillances détectées et non détectées, le temps moyen d’indisponibilité (MDT,Mean Down Time) dépend de l’intervalle de tests et aussi du délai de réparation ou MTTR.

Le MDT est, par conséquent, calculé comme suit :

MDT = intervalle de tests + MTTR2

Le MDT pour les défaillances détectées correspond, par conséquent, approximativementau délai de réparation, puisque l’intervalle de tests (autotest) est généralement court parrapport au MTTR. Pour les défaillances non détectées, le délai de réparation est court parrapport à l’intervalle de tests, donc la période de tests de validité Tp. Par conséquent, leMDT pour les défaillances non détectées est à peu près égal à Tp/2.

12.10. Modélisation du taux de défaillances du système (λsys)

Le taux de défaillances d’un système redondant λsys peut être calculé en considérant lenombre d’approches par lesquelles la défaillance du système peut se produire. Dans unsystème 3oo4, 3 canaux sur les 4 doivent fonctionner afin que le système soit opérationnel.Par conséquent, deux défaillances quelles qu’elles soient provoqueront une défaillance dusystème.

λ

λ

λ

λ

Figure 43 : système 3oo4

100

PROCESS SAFEBOOK 1


Le taux de survenance possible de deux défaillances, λ2, est donné par le taux dedéfaillances d’un élément, λ, multiplié par la probabilité d’une seconde défaillancependant le temps d’arrêt, à savoir le MDT de la première défaillance ou λ.MDT.

Par conséquent :

λ2 = λ.( λ.MDT )

Toutefois, il existe 12 permutations (l’ordre est important) de deux défaillances dans unsystème 3oo4 : A.B, A.C, A.D, B.C, B.D, C.D, B.A, C.A, D.A, C.B, D.B et D.C, et nous devons lesprendre toutes en compte. Par conséquent, le taux de défaillances devientapproximativement :

λSYS = 12.λ2.MDT

Pour être exact, nous devrions inclure toutes les permutations de 3 et 4 défaillancessimultanées, ainsi que les défaillances dues à des causes communes, car elles aboutirontaussi à une défaillance du système. Néanmoins, pour avoir une première idée, ces termesd’ordre supérieur peuvent être ignorés. Le taux de défaillances pour le système 3oo4 etd’autres configurations est présenté dans le tableau 10. Notez qu’il s’agit d’approxima -tions qui ignorent aussi les termes d’ordre supérieur.

Tableau 10 : Taux de défaillances du système

Notez que la contribution des défaillances de cause commune est traitée plus loin [12.17].

Configuration λsys

1oo1 λ

1oo2 2.λ2.MDT

2oo2 2.λ

1oo3 3.λ3.MDT2

2oo3 6.λ2.MDT

3oo3 3.λ

1oo4 λ4.MDT3

2oo4 12.λ3.MDT2

3oo4 12.λ2.MDT

4oo4 4.λ

PROCESS SAFEBOOK 1


101

12.11. Modélisation des taux de défaillances dangereuses détectées et nondétectées (λDD) et (λDU)

En utilisant λDD et λDU à la place de λ dans le tableau 10, et en employant le MDT ou Tp/2selon le cas, il est possible de dériver le taux de défaillances du système dû à desdéfaillances dangereuses détectées ou non détectées (cf. le tableau 11).

Tableau 11 : Taux de défaillances dangereuses du système

12.12. Modélisation du taux de déclenchements intempestifs du système (λSTR)

Comme les taux de défaillances non dangereuses sont généralement supposés être tousdétectés, dans une configuration redondante, les canaux défaillants seront réparés, sousréserve que le système ne se déclenche pas. Par conséquent, l’approche employée pourles défaillances dangereuses détectées s’applique, excepté que le nombre de défaillancesrequis pour un déclenchement intempestif peut différer de celui nécessaire pour unedéfaillance dangereuse.

En général, les déclenchements intempestifs incluent seulement les taux de défaillancesnon dangereuses, mais selon le comportement de défaillance du système à la détectiond’un défaut, les défaillances dangereuses détectées peuvent être incluses et le taux dedéclenchements intempestifs sera la somme des deux.

Le tableau 12 résume les taux de déclenchements intempestifs pour les défaillances nondangereuses.

Configuration Détecté Non détecté

λsys λsys

1oo1 λDD λDU

1oo2 2.λDD2.MDT λDU2.TP

2oo2 2.λDD 2.λDU

1oo3 3.λDD3.MDT2 λDU3.TP2

2oo3 6.λDD2.MDT 3.λDU2.TP

3oo3 3.λDD 3.λDU

1oo4 λDD4.MDT3 λDU4.TP3

2oo4 12.λDD3.MDT2 4.λDU3.TP2

3oo4 12.λDD2.MDT 6.λDU2.TP

4oo4 4.λDD 4.λDU

102

PROCESS SAFEBOOK 1


Tableau 12 : Taux de déclenchement intempestif du système

12.13. Modélisation de la disponibilité du système de sécurité en mode desollicitation

Pour un système de sécurité, la disponibilité due à des défaillances dangereusesdétectées, ADD, est donnée par :

ADD = 1/( 1 + .λDD(SYS).MDT )

où λDD(SYS) est le taux de défaillances du système découlant de défaillances dangereusesdétectées [12.11].

Pour les défaillances dangereuses non détectées, ADU est donné par :

ADU = 1/( 1 + .λDU(SYS).TP/2 )

où λDU(SYS) est le taux de défaillances du système découlant de défaillances dangereusesnon détectées [12.11].

Pour les défaillances non dangereuses, AS est donné par :

AS = 1/( 1 + .λS(SYS).MDT )

Configuration Intempestif

λstr

1oo1 λS

1oo2 2.λS

2oo2 2.λS2.MDT

1oo3 3.λS

2oo3 6.λS2.MDT

3oo3 3.λS3.MDT2

1oo4 4.λS

2oo4 12.λS2.MDT

3oo4 12.λS3.MDT2

4oo4 λS4.MDT3

PROCESS SAFEBOOK 1


103

où λS(SYS) est le taux de défaillances du système découlant de défaillances (nondangereuses) intempestives [12.12].

La disponibilité du système est, par conséquent, le produit des disponibilités dues à desdéfaillances dangereuses détectées, dangereuses non détectées et non dangereuses :

ASYS = ADD . ADU . AS

Cette méthode peut servir à modéliser des systèmes série (simplex) et aussi des systèmesredondants.

12.14. Modélisation de la disponibilité du système de sécurité en mode continu

Lorsque la méthode est appliquée aux systèmes de sécurité en mode continu, l’analystedoit comprendre la nature des sollicitations de la fonction de sécurité. Certaines fonctionsde sécurité en mode continu sont activées sur sollicitation (à l’instar d’une fonction desécurité en mode de sollicitation), mais elles sont répertoriées comme en mode continudu fait de la fréquence des sollicitations, à savoir supérieure à une fois par an. Dans ce cas,la disponibilité peut être calculée comme pour la fonction de sécurité en mode desollicitation, excepté que l’intervalle de tests de validité TP doit être remplacé parl’intervalle de sollicitation TD. Les défaillances dangereuses non détectées demeurerontcachées (non révélées) jusqu’à ce que la fonction de sécurité soit sollicitée.

Lorsque la fonction de sécurité en mode continu fournit réellement un contrôle continu,la disponibilité peut être calculée comme pour un système de commande [12.15].

12.15. Modélisation de la disponibilité d’un système de commande

Lors de la modélisation de la disponibilité de systèmes de commande, nous nouspréoccupons des défaillances qui affectent le procédé et nous devons décider si unedéfaillance impacte un procédé au point que le système de commande devientindisponible.

La détection d’une défaillance sera effectuée au moyen du diagnostic et des alarmes dedéfaut, auquel cas une réparation est nécessaire et le système sera indisponible jusqu’à saremise en état, ou au moyen de symptômes, auquel cas le procédé commandé fonctionneen dehors des limites de points de consigne.

Les défaillances non détectées n’aboutissent pas immédiatement à une indisponibilité dusystème de commande. Au fil du temps, la défaillance non détectée peut aboutir à unedivergence des paramètres de procédé par rapport aux limites spécifiées. À ce moment, ladéfaillance est révélée et aboutit à une indisponibilité.

104

PROCESS SAFEBOOK 1


La disponibilité du système de commande peut, par conséquent, être modélisée enconsidérant le taux de défaillances du système total. ASYS est donné par :

ASYS = 1/( 1 + λSYS.MDT )

où λSYS est le taux de défaillances du système total découlant de toutes les défaillances[tableau 10].

12.16. Probabilité de défaillance par heure (PFH) et probabilité de défaillance sursollicitation (PFD)

Les formules PFH et PFD simplifiées concernant les configurations courantes sontprésentées au tableau 13 pour les défaillances détectées et au tableau 14, pour lesdéfaillances non détectées.

Tableau 13 : Calcul de PFH/PFD (défaillances détectées)

Configuration PFH PFD

1oo1 λDD λDD.MDT

1oo2 2.λDD2.MDT 2.λDD2.MDT2

2oo2 2.λDD 2.λDD.MDT

1oo3 3.λDD3.MDT2 3.λDD3.MDT3



1oo4 4.λDD4.MDT3 λDD4.MDT4

2oo4 12.λDD3.MDT2 4.λDD3.MDT3



PROCESS SAFEBOOK 1


105

Tableau 14 : Calcul de PFH/PFD (défaillances non détectées)

12.17. Prise en compte des défaillances de cause commune

Les défaillances de cause commune (CCF) peuvent résulter d’une seule cause, mais celle-ci affecte simultanément plusieurs canaux. Elles peuvent résulter d’un défautsystématique, par exemple, une erreur de spécification de conception ou une contrainteextérieure telle qu’une température excessive pouvant provoquer une défaillance decomposant dans les deux canaux redondants. Il incombe au concepteur du système deprendre des mesures afin de réduire au minimum la vraisemblance de défaillances decause commune en adoptant des pratiques de conception appropriées.

La contribution des CCF sur des canaux redondants parallèles est prise en compte enincluant un facteur β. Le taux de défaillances CCF inclus dans le calcul est égal à β x le tauxde défaillances total d’un des canaux redondants.

Le modèle de facteur β [CEI 61508-6, Annexe D] constitue la technique de prédilection,car elle est objective et fournit une traçabilité pour l’estimation de β. Le modèle a étécompilé afin de poser une série de questions spécifiques, lesquelles reçoivent ensuite unscore au moyen d’une appréciation d’ingénierie objective. Le score maximum pourchaque question a été pondéré dans le modèle en étalonnant les résultats de différentesévaluations par rapport aux données de défaillances de terrain connues.

Configuration PFH PFD

1oo1 λDU λDD.TP/2

1oo2 λDU2.TP λDD2.TP2/3

2oo2 2.λDU λDD.TP

1oo3 λDU3.TP2 λDD3.TP3/4

2oo3 3.λDU2.TP λDD2.TP2

3oo3 3.λDU 3.λDD.TP/2

1oo4 λDU4.TP3 λDD4.TP4/5

2oo4 4.λDU3.TP2 λDD3.TP3

3oo4 6.λDU2.TP 2.λDD2.TP2

4oo4 4.λDU 2.λDD.TP

106

PROCESS SAFEBOOK 1


Deux colonnes sont employées pour contrôler les scores. La colonne A contient les scoresdes fonctionnalités de la protection CCF qui sont perçues comme étant améliorées parune augmentation de la fréquence de diagnostic (autotest ou test de validité). La colonneB contient les scores pour les fonctionnalités considérées comme non améliorées par uneamélioration de la fréquence de diagnostic.

Le modèle permet de modifier les scores par la fréquence et la couverture des tests dediagnostic. Les scores de la colonne A sont multipliés par un facteur C, lequel est dérivédes considérations liées au diagnostic. Le facteur β final est ensuite estimé à partir duscore brut total :

Score brut = (A * C) + B

La relation entre β et le score brut est essentiellement une fonction exponentiellenégative, puisqu’il n’y a pas de données pour justifier la divergence vis-à-vis del’hypothèse selon laquelle comme β décroît (s’améliore), alors que des améliorationssuccessives deviennent sans cesse plus difficiles à réaliser.

Lorsqu’une question particulière peut ne pas s’appliquer au système évalué, un score de100 % ou 0 % est saisi selon ce qui est approprié pour le système.

La liste suivante présente les contraintes types pouvant être considérées aux finsd’évaluation de la contribution des CCF :

• canaux redondants séparés physiquement ;• différentes technologies, par ex. un canal électronique et un canal basé sur un

relais ;• système de travail écrit sur site devant s’assurer que les défaillances font l’objet

d’investigations ;• procédures de maintenance écrites devant prévenir le réacheminement de

chemins de câbles ;• accès limité pour le personnel ;• conditions environnantes contrôlées et équipements calibrés sur toute la plage

de ces conditions.

Toutefois, les performances réelles en service dépendront de l’installation spécifique etdes pratiques de conception, de fonctionnement et de maintenance qui sont adoptées.Mais, sous réserve que toutes les bonnes pratiques d’ingénierie soient appliquées, lemodèle fournira une estimation traçable de la contribution des CCF.

Lors de la prise en compte des CCF dans les formules PFD et PFH [cf. le tableau 13 et letableau 14], l’approche suivante peut être employée. Les équations employées sont dessimplifications des équations standard et sont dérivées à la section [19.6].

PROCESS SAFEBOOK 1


107

Pour les défaillances détectées :

PFD1oo1 = λDD.MDT Réf. CEI 61508-6, B.3.2.2.1PFD1oo2 = λDD2.MDT2 + β.λDD.MDT Réf. CEI 61508-6, B.3.2.2.2

Pour les défaillances non détectées :

PFD1oo1 = λDU.TP/2 Réf. CEI 61508-6, B.3.2.2.1PFD1oo2 = λDU2.TP2/3 + β.λDU.TP/2 Réf. CEI 61508-6, B.3.2.2.2

Où λDD est le taux de défaillances détectées dangereuses, λDU est le taux de défaillancesnon détectées dangereuses et β est la contribution des défaillances de cause commune.TP est l’intervalle de tests de validité et MDT est le temps moyen d’indisponibilité.

Les formes génériques de ces équations pour les différentes configurations des systèmesen mode continu et en mode de sollicitation sont examinées à la section [19.7].

12.18. Taux de défaillances

Lors du calcul des PFD et SFF, l’analyse utilise l’hypothèse sous-jacente de la normeCEI 61508-6, Annexe B.3, dans le sens où les taux de défaillances de composants sontconstants sur toute la durée de vie du système.

Les taux de défaillances employés dans les calculs peuvent être obtenus par l’analysedes modes de défaillances, de leurs effets et de leur criticité (AMDEC), quantifiée parles données de terrain ou par référence aux données publiées à partir de sources del’industrie. Les taux de défaillances employés doivent être comparés aux donnéesdisponibles pour les modules de complexité et technologie similaires. Cette approchegarantit une approche prudente en termes de modélisation de fiabilité et incite à êtreconfiant dans le fait que les performances de fiabilité doivent être réalisables en service.

Les taux de défaillances et leurs sources sont abordés à la section 14.8.

12.19. Modélisation des configurations 1oo2, 1oo2D et Hot Standby

Les exemples suivants montrent les diagrammes de fiabilité (RBD) modélisant certainesconfigurations de système courantes.

1oo2

Un système 1oo2 est une architecture 1 sur 2, où chacun des deux canaux peut assurer lafonction de sécurité. Il s’agit d’une configuration à tolérance de panne où la défaillanced’un canal est autorisée.

108

PROCESS SAFEBOOK 1


Si la défaillance du canal est du type dangereuse non révélée, elle ne sera pas détectée par le diagnostic et il n’y aura pas d’indication de défaut. Toutefois, la fonction de sécuritécontinuera de fonctionner car le canal restant peut effectuer le déclenchement. Si ladéfaillance de canal est du type dangereuse détectée, un défaut sera généralement indiqué.

Un exemple de diagramme de fiabilité est présenté à la section 12.20.

1oo2D

Une architecture de système 1oo2D possède deux canaux connectés en parallèle etchacun d’eux dispose de circuits de diagnostic pour détecter les défaillances avec unecouverture de diagnostic élevée. Les deux canaux doivent convenir d’exécuter une actiond’arrêt pendant le fonctionnement normal du système. Un canal en parfait état contrôlele système si le circuit de diagnostic de l’autre canal détecte une défaillance.

En termes de modélisation de la fiabilité, pour les défaillances dangereuses détectées, lesystème 1oo2D fonctionne en tant que configuration 1oo2 et le taux de défaillances dusystème ainsi que la probabilité PFD sont modélisables en tant qu’architecture 1oo2 pourles défaillances détectées.

Une seule défaillance de canal dangereuse non détectée dans un système 1oo2Dempêchera le fonctionnement du système, de sorte que le taux de défaillances dusystème et la probabilité PFD doivent être modélisés comme 2oo2 pour les défaillancesnon détectées. En d’autres termes, les deux canaux doivent être opérationnels.

Un exemple de diagramme de fiabilité est présenté à la section 12.21.

Hot standby

Une architecture de système de secours à chaud ou hot standby possède deux canauxconnectés en parallèle, de sorte qu’un canal est désigné comme maître et contrôle lafonction de sécurité. L’autre canal fait office de solution de secours à chaud, de sorte quesi une défaillance dangereuse est détectée sur le canal maître, le canal de secours prendle contrôle de la fonction de sécurité.

En termes de modélisation de la fiabilité, pour les défaillances dangereuses détectées,le système de secours à chaud fonctionne en tant que configuration 1oo2 et le taux dedéfaillances du système ainsi que la probabilité PFD sont modélisables en tantqu’architecture 1oo2 pour les défaillances détectées.

Une seule défaillance de canal dangereuse non détectée sur un système empêchera lefonctionnement du système, de sorte que le taux de défaillances du système et laprobabilité PFD doivent être modélisés comme 1oo1 pour les défaillances non détectées.En d’autres termes, la fonction de sécurité ne peut pas tolérer une défaillance nondétectée sur le canal maître et il n’y a pas de redondance pour les défaillances nondétectées. Un exemple de diagramme de fiabilité est présenté à la section 12.22.

PROCESS SAFEBOOK 1


109

CCF

5 %

Qté

11

11

21

1Configuration

1oo1

1oo1

1oo1

1oo2

1oo2

1oo2

1oo2

λDD

(diagnostic)

1,16E-06

0,00E+00

0,00E+00

8,19E-08

2,95E-07

2,03E-07

1,38E-07

5,25E-08

λDD*Qté

1,16E-06

0,00E+00

0,00E+00

8,19E-08

5,90E-07

2,03E-07

1,38E-07

5,25E-08

λDD

pour branche

1,16E-06

1,01E-06

5,25E-08

MDT

2424

24Total

λDD

1,16E-06

4,93E-11

5,25E-08

λDU

(tests

de validité)

3,66E-07

2,00E-07

2,00E-07

9,10E-09

3,28E-08

2,26E-08

1,54E-08

5,84E-09

λDU*Qté

3,66E-07

2,00E-07

2,00E-07

9,10E-09

6,56E-08

2,26E-08

1,54E-08

5,84E-09

λDU

pour branche

7,66E-07

1,13E-07

5,84E-09

Période

de tests de

validité, T

8760

8760

8760

Total

λDU

7,66E-07

1,11E-10

5,84E-09

λS (diagnostic)

2,15E-06

3,00E-07

3,00E-07

9,10E-08

3,28E-07

2,26E-07

1,54E-07

5,84E-08

λS*Qté

0,00E+00

0,00E+00

2,63E-03

9,10E-08

6,56E-07

2,26E-07

1,54E-07

5,84E-08

λS pour branche

2,63E-03

1,13E-06

5,84E-08

MDT

2424

24Total

λS2,63E-03

2,25E-06

5,84E-08

Total

λDD

1,21E-06

Total

λDU

7,72E-07

Total

λS2,63E-03

Total

λSY

S2,63

E-03

/h

Sortie

TO

R

CCF

CNB

CPU

CNB

Entrée

analogique

CPU

Transm

etteur

de

pression

PT-xxx

Charge

de

ventilateur

FL-xxx

Charge

de

ventilateur

FL-xxx

Entrée

analogique

Sortie

TO

R

Taux de défaillances du systèmepour un système 1oo2

110

PROCESS SAFEBOOK 1


Sortie

TO

R

CCF

CNB

CPU

CNB

Entrée

analogique

CPU

Transm

etteur

de

pression

PT-xxx

Charge

de

ventilateur

FL-xxx

Charge

de

ventilateur

FL-xxx

CNB

Entrée

analogique

CPU

Sortie

TO

R

CCF

5 %

Qté

11

11

21

12

42

2Configuration

1oo1

1oo1

1oo1

1oo2

1oo2

1oo2

1oo2

2oo2

2oo2

2oo2

2oo2

λDD

(diagnostic)

1,16E-06

0,00E+00

0,00E+00

8,19E-08

2,95E-07

2,03E-07

1,38E-07

5,25E-08

λDD*Qté

1,16E-06

0,00E+00

0,00E+00

8,19E-08

5,90E-07

2,03E-07

1,38E-07

5,25E-08

λDD

pour branche

1,16E-06

1,01E-06

5,25E-08

MDT

2424

24Total

λDD

1,16E-06

4,93E-11

5,25E-08

λDU

(tests

de validité)

3,66E-07

2,00E-07

2,00E-07

9,10E-09

3,28E-08

2,26E-08

1,54E-08

λDU*Qté

3,66E-07

2,00E-07

2,00E-07

1,82E-08

1,31E-07

4,52E-08

3,07E-08

λDU

pour branche

7,66E-07

2,25E-07

Période

de tests de

validité, T

8760

8760

Total

λDU

7,66E-07

9,87E-04

λS (diagnostic)

2,15E-06

3,00E-07

3,00E-07

9,10E-08

3,28E-07

2,26E-07

1,54E-07

5,84E-08

λS*Qté

0,00E+00

0,00E+00

2,63E-03

9,10E-08

6,56E-07

2,26E-07

1,54E-07

5,84E-08

λS pour branche

2,63E-03

1,13E-06

5,84E-08

MDT

2424

24Total

λS2,63E-03

2,25E-06

5,84E-08

Total

λDD

1,21E-06

Total

λDU

9,88E-04

Total

λS2,63E-03

Total

λSY

S3,62

E-03

/h

Entrée

analogique

Sortie

TO

R

Taux de défaillances du systèmepour un système 1oo2D

PROCESS SAFEBOOK 1


111

Sortie

TO

R

CCF

CNB

CPU

CNB

Entrée

analogique

CPU

Transm

etteur

de

pression

PT-xxx

Charge

de

ventilateur

FL-xxx

Charge

de

ventilateur

FL-xxx

CNB

Entrée

analogique

CPU

Sortie

TO

R

Entrée

analogique

Sortie

TO

R

Qté

11

11

21

11

21

1Configuration

1oo1

1oo1

1oo1

1oo2

1oo2

1oo2

1oo2

1oo1

1oo1

1oo1

1oo1

λDD

(diagnostic)

1,16E-06

0,00E+00

0,00E+00

8,19E-08

2,95E-07

2,03E-07

1,38E-07

5,25E-08

λDD*Qté

1,16E-06

0,00E+00

0,00E+00

8,19E-08

5,90E-07

2,03E-07

1,38E-07

5,25E-08

λDD

pour branche

1,16E-06

1,01E-06

5,25E-08

MDT

2424

24Total

λDD

1,16E-06

4,93E-11

5,25E-08

λDU

(tests

de validité)

3,66E-07

2,00E-07

2,00E-07

9,10E-09

3,28E-08

2,26E-08

1,54E-08

λDU*Qté

3,66E-07

2,00E-07

2,00E-07

9,10E-09

6,56E-08

2,26E-08

1,54E-08

λDU

pour branche

7,66E-07

1,13E-07

Période

de tests de

validité, T

8760

8760

Total

λDU

7,66E-07

4,93E-04

λS (diagnostic)

2,15E-06

3,00E-07

3,00E-07

9,10E-08

3,28E-07

2,26E-07

1,54E-07

5,84E-08

λS*Qté

0,00E+00

0,00E+00

2,63E-03

9,10E-08

6,56E-07

2,26E-07

1,54E-07

5,84E-08

λS pour branche

2,63E-03

1,13E-06

5,84E-08

MDT

2424

24Total

λS2,63E-03

2,25E-06

5,84E-08

Total

λDD

1,21E-06

Total

λDU

4,94E-04

Total

λS2,63E-03

Total

λSY

S3,13

E-03

/h

Taux de défaillances du système pour un système de secours à chaud (Hot Standby)

112

PROCESS SAFEBOOK 1


Sortie

TO

R

CCF

CNB

CPU

CNB

Entrée

analogique

CPU

Transm

etteur

de pression

PT-xxx

Charge

de

ventilateur

FL-xxx

Charge

de

ventilateur

FL-xxx

CCF

5 %

Qté

11

11

21

1Configuration

1oo1

1oo1

1oo1

1oo2

1oo2

1oo2

1oo2

λDD

(diagnostic)

1,16E-06

0,00E+00

0,00E+00

8,19E-08

2,95E-07

2,03E-07

1,38E-07

5,25E-08

λDD*Qté

1,16E-06

0,00E+00

0,00E+00

8,19E-08

5,90E-07

2,03E-07

1,38E-07

5,25E-08

λDD

pour branche

1,16E-06

1,01E-06

5,25E-08

MDT

2424

24Total

λDD

1,16E-06

4,93E-11

5,25E-08

λDU

(tests

de validité)

3,66E-07

2,00E-07

2,00E-07

9,10E-09

3,28E-08

2,26E-08

1,54E-08

5,84E-09

λDU*Qté

3,66E-07

2,00E-07

2,00E-07

9,10E-09

6,56E-08

2,26E-08

1,54E-08

5,84E-09

λDU

pour branche

7,66E-07

1,13E-07

5,84E-09

Période

de tests de

validité, T

8760

8760

8760

Total

λDU

7,66E-07

1,11E-10

5,84E-09

λS (diagnostic)

2,15E-06

3,00E-07

3,00E-07

9,10E-08

3,28E-07

2,26E-07

1,54E-07

5,84E-08

λS*Qté

0,00E+00

0,00E+00

2,63E-03

9,10E-08

6,56E-07

2,26E-07

1,54E-07

5,84E-08

λS pour branche

2,63E-03

1,13E-06

5,84E-08

MDT

2424

24Total

λS2,63E-03

2,25E-06

5,84E-08

Total

λDD

=1,21E-06

Disp (DD)

=0,99997

Total

λDU

=7,72E-07

Disp (DU)

=0,99328

Total

λS=

2,63E-03

Disp (S)

=0,94062

Total

λSY

S=

2,63

E-03

/hDispo

nibilité

=0,93

43

Entrée

analogique

Sortie

TO

R

Disponibilité d’unsystème complexe

PROCESS SAFEBOOK 1


113

12.24. Exemple de fiche technique

Les données de taux de défaillances employées dans les diagrammes de fiabilité (RBD)précédents doivent être visibles dans le rapport et indiquer la traçabilité à la source. Lasource, lorsqu’elle désigne les données publiées, doit afficher suffisamment de détails afinque des tiers puissent vérifier en toute indépendance les données employées. Cela peutinclure l’identifiant de document, l’éventuel numéro ISBN, ainsi que le numéro de page etd’élément.

Le tableau 15 présente un tableau de données types pour les précédents exemples dediagrammes de fiabilité.

Tableau 14 : Calcul de PFH/PFD (défaillances non détectées)

Description Réf. λTotal λD λDD λDU λS Commentaires/Source

Trans -metteur depression PT-xxx

PT-xxx 3,68E-06 1,53E-06 1,16E-06 3,66E-07 2,15E-06 Manuel de sécuritéfonctionnelle de PT-xxx du fabricant,M-xxx-xxx, mois-20xx

Trans -formateur decourant decharge deventilateurFL-xxx

FL-xxx 5,00E-07 2,00E-07 0,00E+00 2,00E-07 3,00E-07 FARADIP-THREE V6.4,base de données defiabilité. Technis, 26Orchard Drive,Tonbridge, Kent TN104LG, ISBN 0-951-65623-6.

Module decommuni -cationsControlNetCNB

1756-CNB

1,82E-07 9,10E-08 8,19E-08 9,10E-09 9,10E-08 Document Allen-Bradley ‘UsingControlLogix in SIL2Applications’

Moduled’entréesanalogiques

1756-AI16


CPUControlLogix

1756-L63


Module desorties TOR

1756-OB32


114

PROCESS SAFEBOOK 1


12.25. Modélisation des systèmes Feu et Gaz (F&G)

Lors de la modélisation des systèmes F&G, il est important de fournir certaines directivessur la tolérance de pannes. La modélisation de système d’arrêt d’urgence (ESD) ou desystèmes similaires suit généralement la même configuration que celle du vote del’analyseur logique. Par exemple, la fiabilité des transmetteurs de pression (PT) qui fontl’objet d’un vote un sur deux (1oo2) par un système ESD en cas de pression élevée seramodélisée comme 1oo2. Il n’en va pas toujours de même pour les systèmes F&G.

En général, une analyse prudente est effectuée sans s’appuyer sur les hypothèses decouverture de détecteur et de redondance dans la configuration des alarmes, mais dansla pratique, cela peut aboutir à une analyse pessimiste et à une impossibilité de respecterles objectifs. Lorsque de telles difficultés se produisent, une connaissance détaillée desdangers permet l’élaboration d’un modèle plus ciblé et, donc, l’exécution d’une analysede fiabilité plus réaliste.

Les systèmes F&G protègent non seulement les personnes, mais peuvent aussi servir àprotéger un actif contre un risque commercial ou un site contre un risque environnemental,et l’action pratique exigée par la fonction SIF afin de fournir cette protection déterminera lemodèle de fiabilité approprié à employer.

Lors de la modélisation d’une fonction SIF F&G, afin de déterminer la conformité à desobjectifs de fiabilité du matériel, par ex. une probabilité PFD, des décisions doivent êtreprises afin de déterminer précisément la configuration du matériel à modéliser.

Par exemple, des données C&E pour une fonction SIF F&G spécifieront généralement cequi suit :

a) un détecteur de gaz sur six (1oo6) en état d’alarme est qualifié de « Gazunique » et active une alarme de salle de contrôle ;

b) deux détecteurs de gaz sur six (2oo6) en état d’alarme sont qualifiés de « Gazconfirmé » et activeront les alarmes et gyrophares de site, et généreront aussiun arrêt d’urgence (ESD) de l’usine.

Toutefois, pour une modélisation correcte, il faut comprendre la fonction SIF et le dangercontre lequel elle assure une protection. L’action pratique exigée par la fonction SIFdéterminera le modèle approprié à employer.

12.26. Modélisation de configurations de détecteurs de système F&G

Dans la pratique, une alarme de type Gaz unique fera l’objet d’une investigation par unopérateur, afin de déterminer si elle est réelle, intempestive ou due à un défaut dedétecteur. L’action pratique est prise uniquement suite à une alarme de type Gaz confirméet elle veillera à une évacuation en lieu sûr du personnel de l’usine. C’est la fonction desécurité qui a suscité l’objectif SIL cible et, par conséquent, le cas b) ci-dessus doit

PROCESS SAFEBOOK 1


115

constituer notre point de départ pour la modélisation de fiabilité : une alarme de type Gazconfirmé veillera à une évacuation en lieu sûr du personnel.

La configuration de la figure 44 présente six détecteurs de gaz implantés dans une zone etl’analyseur logique de vote 2oo6 est configuré afin d’agir si 2 détecteurs sur 6 détectent du gaz.

Néanmoins, la modélisation de fonctions SIF par rapport à des probabilités PFD cible revientà calculer la probabilité de non-réaction au gaz si cela s’avère nécessaire. Un dégagement degaz suffisamment important pour être dangereux sera peut-être uniquement dans la plagede couverture de, par exemple, la moitié des 6 détecteurs (cf. la figure 45).

Dans la pratique, nous allons vraisemblablement demander le déclenchement d’uneaction pratique dès que possible, autrement dit lorsqu’au minimum deux capteurs sont àl’intérieur du nuage de gaz. Dans ce cas, il faut modéliser les capteurs sous la forme 2oo2,sans redondance, de sorte qu’aucune défaillance de capteur ne puisse être tolérée. Si les

Zone avec 6 détecteurs de gaz

Gaz

Zone 01

F&GAction pratique lors de la réception d’une alarme de 2 des 6 détecteurs.Logique de vote 2oo6

G

G

G

G

G

G

Figure 45 : couverture du système F&G

Zone avec 6 détecteurs de gazZone 01

F&GAction pratique lors de la réception d’une alarme de 2 des 6 détecteurs.Logique de vote 2oo6

G

G

G

G

G

G

Figure 44 : configuration du système F&G

116

PROCESS SAFEBOOK 1


objectifs sont réalisés avec une configuration non redondante, cela doit représenter uneapproche prudente, car elle ne se fonde pas sur la justification de toute hypothèse decouverture des détecteurs.

En réalité, la probabilité PFD du sous-système de capteur sera vraisemblablementmeilleure que ce qui a été calculé pour une configuration non redondante, car il y auraprobablement un chevauchement dans la couverture des capteurs du fait de leurpositionnement, et une défaillance de capteur unique pourra éventuellement être tolérée.

En termes de modélisation de fiabilité, l’analyste doit, par conséquent, évaluer la taillemaximum de rejet de gaz (taille de nuage) susceptible d’être tolérée avant qu’une actionpratique soit requise et estimer le nombre de capteurs qui se trouveront à l’intérieur dunuage à ce moment.

Dans cet exemple, si nous autorisons une taille de nuage de gaz suffisante pour englober3 capteurs avant de déclencher une action pratique, avec la logique de vote 2 sur 6, nouspouvons tolérer une défaillance de capteur. En d’autres termes, la fiabilité de la détectionde gaz pourrait être modélisée comme 2oo3, à savoir 2 sur 3.

12.27. Effet d’une modélisation incorrecte sur la probabilité PFD

Dans l’exemple ci-dessus, comme la logique de vote des détecteurs de gaz est 2oo6,certains analystes succombent à la tentation de modéliser la fiabilité du système comme2oo6 au lieu de 2oo3, voire 2oo2. À l’évidence, l’écart résultant au niveau de la PFDglobale de la fonction de sécurité et de ses performances par rapport aux objectifs SILcibles entre les configurations redondante et non redondante peut être significatif.

Sous réserve qu’une certaine tolérance de pannes puisse raisonnablement êtrerevendiquée, par ex. en effectuant une modélisation 2oo3 ou 2oo4, les différencesrésultantes dans la PFD globale de la fonction de sécurité et dans ses performancespar rapport aux objectifs SIL cibles seront réduites. La PFD pour les configurationsredondantes est limitée par les défaillances de cause commune, de sorte que desaméliorations dans la PFD ne sont pas significatives lorsque la tolérance aux pannesmatérielles (HFT) devient supérieure à 1.

Toutefois, si la tolérance aux pannes ne peut pas être assurée en raison du positionnementdes détecteurs ou de la taille du nuage de gaz tolérable lorsqu’une action pratique estnécessaire, l’écart résultant entre les configurations redondante et non redondante peutêtre significatif (cf. la figure 46).

Remarque : la probabilité PFD est calculée pour les taux de défaillance de capteur et lesdélais de réparation types, et elle suppose une contribution des causes communes pourles configurations redondantes. Dans cet exemple, une valeur nulle de tolérance auxpannes représente une configuration 2oo2, une valeur 1 représente une configuration2oo3, une valeur 2 représente une configuration 2oo4, etc.

PROCESS SAFEBOOK 1


117

Les résultats montrent que, selon l’architecture ou la valeur HFT sélectionnée pour lamodélisation, la probabilité PFD calculée pourrait entrer dans la bande SIL1, SIL2 ou SIL3.

12.28. Effet d’une modélisation incorrecte sur l’architecture

Une modélisation incorrecte aura un effet plus significatif sur les performancesarchitecturales de la fonction de sécurité. Pour une proportion de défaillances nondangereuses ou SFF (Safe Failure Fraction) donnée, les performances SIL du sous-systèmede détecteur dépendent de sa tolérance HFT.

Par exemple, pour un détecteur de type B avec une SFF entre 60 % et 90 %, les possibilitésSIL architecturales suivantes peuvent être revendiquées :

De nouveau, si l’analyste suppose une configuration 2oo6 en raison de la logique de vote,une architecture optimiste aboutira à la revendication d’un niveau SIL3 alors qu’en réalitéun niveau SIL inférieur peut s’appliquer.

HFT Configuration SIL (Architecture)

0 2oo2 SIL1

1 2oo3 SIL2

2 4oo4 SIL3

01,00E-04

1,00E-03

1,00E-02

1,00E-01

1,00E+00

1 2 3Tolérance aux pannes du matériel (HFT)

PFD du système F&G

2oo2

2oo3SIL2

SIL3

SIL1

2oo4 2oo5 2oo6

PFD

4

Figure 46 : calcul de PFD du système F&G

118

PROCESS SAFEBOOK 1


12.29. Modélisation de configurations d’alarmes de système F&G

Le personnel est protégé des dangers liés au feu et au gaz par une alarme confirmée. Lesalarmes visuelles et sonores suffisent pour garantir l’évacuation du personnel vers un lieusûr. Par conséquent, pour les dangers liés à la sécurité, il suffit à la configuration dessorties de prendre en compte la disponibilité d’avertisseurs visuels et sonores.

Pour les systèmes F&G, une action pratique peut généralement être spécifiée parl’activation d’alarmes visuelles 6oo6 ET d’alarmes sonores 4oo4. La modélisation de tellesconfigurations provoque généralement un problème pour faire mieux qu’une PFD SIL1cible, en raison du nombre d’équipements à inclure. Par ailleurs, comme les alarmes etgyrophares ont une proportion SFF très faible, leurs performances architecturales nepeuvent généralement pas faire mieux qu’un niveau SIL1 dans les configurations simplex.

En ayant à l’esprit qu’une zone peut contenir des équipements bruyants susceptibles demasquer un gyrophare ou d’empêcher d’entendre une alarme sonore, une bonnepratique doit viser à positionner les alarmes de telle sorte que le personnel situé dans lazone dangereuse puisse voir ou entendre systématiquement plusieurs avertisseurs enmême temps. Si cette hypothèse peut être vérifiée, l’analyste peut tirer partie d’une telletolérance aux pannes dans la modélisation de fiabilité de la configuration d’alarmes.

Une configuration d’avertisseurs 6oo6 peut couvrir 2 ou 3 zones séparées avec peut-être 2 ou 3 avertisseurs par zone. De ce fait, l’analyste doit décider à partir des plansd’aménagement d’usine quelle tolérance aux pannes peut être revendiquée pourchaque zone, puis la modéliser en conséquence (cf. la figure 47).

Zone 01 Zone 02

Gyrophare Gyrophare

Gyrophare

Gyrophare

Gyrophare

Gyrophare

Analyseur logique F&GSorties 6oo6

Figure 47 : exemple de configuration de système d’alarme

PROCESS SAFEBOOK 1


119

La clé consiste à définir le nombre de gyrophares visibles et le nombre de ceux-ciautorisés à subir une défaillance sans provoquer la perte de la fonction de sécurité. Dansl’étude de cas d’implantation, il a été décidé que dans chaque zone, deux gyrophares sur 3seraient toujours visibles.

Dans une telle configuration, une approche raisonnable consistera à modéliser chaquezone 1 comme 1oo2, car il suffit de voir un gyrophare. Toutefois, comme les deux zonesdoivent être protégées, elles devraient être incluses dans le modèle, à savoir 1oo2 + 1oo2.

En guise d’exemple supplémentaire, considérons 6 gyrophares dans une zone unique, oùil a été décidé qu’à n’importe quel moment donné, 4 des 6 gyrophares seraient visibles(cf. la figure 48). Dans ce cas, un gyrophare doit fonctionner sur 4 gyrophares visibles, desorte que les alarmes peuvent être modélisées comme 1oo4.

12.30. Entrées F&G vers les systèmes ESD

Jusqu’à présent, il n’a nullement été fait mention de l’exigence de générer un arrêtd’urgence (ESD) de l’usine lors d’une confirmation d’incendie ou de gaz. L’inclusion ounon d’un déclenchement d’arrêt d’urgence (ESD) en tant que partie intégrante de lafonction SIF F&G dépendra des conséquences du danger et de la protection requise.

Lorsque le danger aboutit à un risque individuel lié à la sécurité, il peut être invoqué queles alarmes suffisent pour assurer la protection. En général, les déclenchements F&Ggénèrent aussi une entrée vers le système ESD, mais dans de nombreux processus, celasert à éviter une escalade du danger et à protéger l’actif. Un déclenchement ESD peutaussi être généré en tant que mesure de bonne conduite, afin de permettre un démarragemieux maîtrisé après la résolution du danger. Le rôle du système F&G est de fournir une

Zone 01

Gyrophare

Gyrophare

Analyseur logique F&GSorties 6oo6

Gyrophare Gyrophare

Gyrophare Gyrophare

Figure 48 : exemple de configuration de système d’alarme (1 zone)

120

PROCESS SAFEBOOK 1


protection contre l’incendie ou le gaz, tandis que le système ESD protège d’autresdangers. Sous réserve que le système F&G atteigne ses objectifs en termes de réductiondu risque, il ne doit pas y avoir d’autres raisons que celle exposée ci-dessus de déclencherle système ESD. Par conséquent, le système ESD sera normalement inclus dans la fonctionSIF F&G.

Il existe toutefois des exceptions. Lorsque le danger aboutit à des dommages pourl’environnement ou des actifs, les alarmes seules ne fourniront aucune protection et, parconséquent, il sera peut-être nécessaire d’isoler l’usine en cas de détection d’un incendieou d’un gaz. Dans de tels cas, un système d’arrêt et d’isolation doit, le cas échéant, êtreinclus dans la modélisation de fiabilité des fonctions SIF F&G.

12.31. Résumé

Il peut être constaté que la modélisation du sous-système d’entrées peut fournir desrésultats optimistes si la configuration de logique de vote est modélisée au lieu de latolérance aux pannes des détecteurs. La même approche donnera des résultats trèspessimistes lors de la modélisation du sous-système de sorties. Entre les deux sous-systèmes, l’approche de modélisation adoptée peut aboutir à un écart important de laprobabilité PFD calculée et des performances architecturales, d’où la possibilité d’unécart également important dans le niveau SIL revendiqué.

Il est, par conséquent, important d’adopter une approche réfléchie pour la modélisationdes systèmes F&G et d’acquérir une compréhension claire des techniques demodélisation, ainsi que des dangers et systèmes analysés. Cela garantira une évaluationprécise de la réduction du risque fournie par un système F&G et évitera un problèmed’information erronée des utilisateurs finaux par des revendications optimistes.

PROCESS SAFEBOOK 1

Vérification SIL

121

13. Vérification SIL

13.1. Respect des objectifs de niveau d’intégrité de sécurité cibles

De nombreuses personnes demandent ce qu’elles doivent faire pour démontrer laconformité. Il ne suffit pas d’acheter des composants « certifiés SIL » et de supposer quecela garantira d’emblée une conformité. Par ailleurs, comme la norme n’est pas prescriptive,il n’est pas non plus possible de fournir une liste de contrôle ou un graphique à cocherdes tâches à effectuer. En réalité, le volume plus ou moins élevé des tâches est tributaire denombreux facteurs. L’approche dépendra de la quantité des données disponibles. Laprofondeur de l’analyse ou la rigueur appliquée doit satisfaire votre client ou régulateurmais, par-dessus tout, vous devez éprouver la satisfaction d’en avoir accomplisuffisamment.

En cas d’incident entraînant le décès d’une personne, pouvez-vous affronter le regarddes familles et montrer que vous avez fait tout ce que vous pouviez raisonnablementaccomplir ?

Un plan suggéré de conformité consistera à respecter les exigences de la normeCEI 61511-1, clauses 10 et 12. Elles incluent les sous-clauses suivantes, telles qu’illustréessur la figure 49 :

• Exigences concernant le comportement du système lors de la détection d’undéfaut [13.2] ;

• Tolérance aux pannes matérielles [13.3] ;• Sélection des composants et sous-systèmes [13.4] ; • Équipements de terrain [13.5] ;• Interfaces d’opérateur, de technicien de maintenance et de communication

avec le SIS [13.6] ;• Exigences de conception pour les tests ou la maintenance [13.7] ;• Probabilité de défaillance de la fonction SIF [13.8] ;• Logiciel d’application [13.9].

Lorsque ces clauses sont en outre subdivisées en exigences plus détaillées, elles sont aussiaffichées.

Conformité à la norme CEI 61511-1, clause 5 : La gestion de la sécurité fonctionnelle estabordée plus en détail à la section [18].

122

PROCESS SAFEBOOK 1


CEI 61511-1, 11,

12 :

Conception et

ingénierie

du

systèm

e instrumenté

de

sécurité

CEI 61511-1, 11.2

Exigences générales

CEI 61511-1, 11.3

Exigences concernant

le

com

portem

ent du

systèm

e lors

de la

détection d’un

défaut

CEI 61511-1, 11.4

Exigences

concernant

la

tolérance aux

pannes

matérielles

CEI 61511-1, 11.5

Exigences pour

la

sélection des

composants et

sous-systèmes

CEI 61511-1, 11.5.3

Exigences

basées

sur

les

utilisations

antérieures

CEI 61511-1, 11.5.4

Exigences pour

les

équipements

program

-mables FPL basées

sur les

utilisations

antérieures

CEI 61511-1, 11.5.5

Exigences pour

les

équipements

program

-mables LVL basées

sur les

utilisations

antérieures

CEI 61511-1, 11.5.2

Exigences générales

CEI 61511-1, 11.5.6

Exigences pour

les équipements

programmables FVL

CEI 61511-1, 11.6

Équipements

de

terrain

CEI 61511-1, 11.7

Interfaces

d’opéra-

teur, de technicien

de

maintenance

et

de com

munication

CEI 61511-1, 11.8

Exigences de

conception pour

les tests ou

la

maintenance

CEI 61511-1, 11.9

Probabilité

de

défaillance

de

fonction SIF

CEI 61511-1, 11

Conception et

ingénierie

du SIS

CEI 61511-1, 12

Exigences pour

les logiciels

d’application

CEI 61511-1, 12.4

Conception et

développem

ent

de logiciels

d’application

CEI 61511-1, 5

Gestion de

la

sécurité

fonctionnelle

CEI 61511-1

Évaluation SIL –

exigences pour

la

conformité

Figure 49 : plan de conformité

PROCESS SAFEBOOK 1

Vérification SIL

123

13.2. Exigences concernant le comportement du système lors de la détection d’undéfaut CEI 61511-1, 11.3

Le comportement du système à la détection d’un défaut doit être spécifié. Cet aspect doitêtre détaillé dans la spécification SRS ou la spécification de conception par exemple.

La liste suivante présente des exemples types des paramètres qu’il est envisageabled’inclure :

1. Tous les blocs de sortie votent 1oo2 lors des sollicitations d’API et reviennentà 1oo1 lors de la détection d’une perte de communication d’un API.

2. La spécification de conception stipule qu’un principe à arrêt de sécurités’applique. Tous les éléments d’arrêt du SIS respectent un principe dedéfaillance en mode sécurisé.

3. En cas de système ESD, une fonction de coupure par mise hors tension a étémise en œuvre.

4. En cas de système F&G, un déclenchement par mise sous tension pour l’agentextincteur a été mis en œuvre. La détection d’un seul défaut dangereux dansune configuration redondante est signalée par une condition d’alarme. Lesystème F&G continue de fonctionner en toute sécurité pour la durée autoriséede la réparation et d’autres mesures de réduction du risque ont été mises enœuvre telles que la fourniture d’un déclenchement manuel filaire de l’agentextincteur.

13.3. Exigences concernant la tolérance aux pannes matérielles, CEI 61511-1, 11.4

13.3.1. Approche

Pour traiter les exigences concernant la tolérance aux pannes matérielles (HFT), uneévaluation quantitative est nécessaire par rapport à la proportion de défaillances nondangereuses (SFF) et aux contraintes architecturales.

13.3.2. Proportion de défaillances non dangereuses

Dans le contexte d’une intégrité de sécurité du matériel, le plus haut niveau SIL pouvantêtre revendiqué pour une fonction de sécurité est limité par les valeurs HFT et SFF dessous-systèmes qui assurent la fonction de sécurité.

Une tolérance aux pannes matérielles 1 indique que l’architecture du sous-système esttelle qu’une défaillance dangereuse d’un des sous-systèmes n’empêche pas l’exécutionde l’action de sécurité, à savoir la tolérance HFT serait 1 pour une configuration 1oo2 ou2oo3, ou serait 2 pour une configuration 1oo3 ou 2oo4.

124

PROCESS SAFEBOOK 1


Concernant ces exigences, la norme CEI 61508 [19.1] fournit les directives supplémentairessuivantes :

• une tolérance aux pannes matérielles de N signifie que N+1 défauts pourraiententraîner la perte de la fonction de sécurité. Lors de la détermination de latolérance aux pannes matérielles, il ne faut pas prendre en compte d’autresmesures susceptibles de contrôler les effets des défauts telles que le diagnostic ;

• lorsqu’un défaut aboutit directement à la survenance d’un ou de plusieursdéfauts consécutifs, ces derniers sont considérés comme un seul défaut ;

• lors de la détermination de la tolérance aux pannes matérielles, certains défautspeuvent être exclus, à condition que la vraisemblance de leur survenance soittrès faible par rapport aux exigences d’intégrité de sécurité du sous-système.Une telle exclusion de défaut quelle qu’elle soit doit être justifiée etdocumentée.

Les relations générales suivantes s’appliquent :

SFF = Σ (Σ λS + Σ λDD)/(Σ λS + Σ λD) Réf. CEI 61508-2.C.1

Où :

λD = λDU + λDD

Pour chaque élément de la fonction de sécurité, la proportion SFF doit être calculée. Lavaleur doit ensuite être employée dans le tableau 16 afin de déterminer la conformité SILpour le niveau de tolérance aux pannes matérielles.

13.3.3. Contraintes architecturales

La norme CEI 61511-1, clause 11.4.5 permet l’évaluation de la tolérance aux pannesmatérielles au moyen des exigences de la norme CEI 61508-2, tableaux 2 et 3.

Dans le cadre de la norme CEI 61508 [19.1], les sous-systèmes sont classés en tant quetype A ou type B. En général, si les modes de défaillances sont parfaitement définis, si lecomportement dans des conditions de défaut peut être entièrement déterminé et s’il y asuffisamment de données de terrain appropriées, le sous-système peut être considérécomme de type A. Si une de ces conditions n’est peut-être pas vraie, le sous-système doitêtre considéré comme de type B.

Les équipements mécaniques simples tels que les vannes sont généralement considéréscomme de type A. Les analyseurs logiques sont habituellement de type B car ilscontiennent certaines capacités de traitement et, en tant que tels, leur comportementdans des conditions de défaut peut ne pas être complètement déterminé. Les capteurspeuvent être de type A ou de type B selon la technologie et la complexité de l’équipement.

PROCESS SAFEBOOK 1

Vérification SIL

125

Les contraintes architecturales d’une fonction de sécurité sont résumées dans le tableau 16.

Tableau 16 : Contraintes architecturales

Remarque : une tolérance aux pannes matérielles de N signifie que N+1 défautspourraient entraîner la perte de la fonction de sécurité.

13.3.4. Exemple

Dans l’exemple de la figure 50, la fonction de sécurité est constituée de deuxtransmetteurs de niveau fonctionnant en configuration 1oo2. Si un des transmetteursdétecte un niveau élevé, l’API Allen Bradley désactivera l’électrovanne (SOV), ce quiautorisera la fermeture de la vanne d’arrêt d’urgence (ESD).

L’évaluation des performances architecturales nécessite d’identifier au préalable le type, àsavoir A ou B de chaque élément. La détermination s’effectue habituellement au moyen

Définition des sous-systèmes de type A : Modes de défaillance de toutes les parties constitutives bien définis, comportement du sous-système dans les conditions de défauts complètement déterminé et suffisamment de donnéesfiables issues de l’expérience du terrain, afin de montrer que les taux de défaillances revendiquéspour les défaillances dangereuses détectées et non détectées sont respectés

Proportion de dé faillances nondangereuses

Tolérance aux pannes matérielles (N)

0 1 2

< 60 % SIL1 SIL2 SIL3

60 % – < 90 % SIL2 SIL3 SIL4

90 % – < 99 % SIL3 SIL4 SIL4

≥ 99 % SIL3 SIL4 SIL4

Définition des sous-systèmes de type B : Le mode de défaillance d’au moins un composant constitutif n’est pas bien défini, ou lecomportement du sous-système dans les conditions de défaut ne peut pas être complètementdéterminé, ou il n’y a pas suffisamment de données fiables issues de l’expérience du terrain pourétayer les taux de défaillances revendiqués pour les défaillances dangereuses détectées et nondétectées

Proportion dedéfaillances nondangereuses


0 1 2

< 60 % Non autorisé SIL1 SIL2

60 % – < 90 % SIL1 SIL2 SIL3

90 % – < 99 % SIL2 SIL3 SIL4


126

PROCESS SAFEBOOK 1


des définitions du tableau 16. En règle générale, vous devez, être certain des modes dedéfaillances et du comportement en cas de défaillance d’un élément, et avoir de trèsbonnes données de défaillance afin de le considérer comme de type A. Autrement,l’élément doit être considéré comme de type B.

Nos données de défaillance pour chaque élément nous permettent ensuite de calculerla proportion SFF. Le type d’élément et la proportion SFF sont présentés sous formetabulaire au-dessous de chaque élément de la figure 50.

La tolérance HFT fait référence au niveau de tolérance aux pannes de chaque élément. Lestransmetteurs de niveau fonctionnant en configuration 1oo2 ont une tolérance HFT de 1.Tous les autres éléments n’ont aucune tolérance aux pannes et leur valeur HFT doit doncêtre 0.

Enfin, le niveau SIL pouvant être revendiqué pour les performances architecturales dechaque élément peut être déterminé au moyen des informations du tableau 16.

Les détecteurs de niveau sont de type A, d’où l’application des critères du type A. Avecune proportion SFF de 0,40 et une tolérance aux pannes de 1, les transmetteurs de niveausont conformes aux contraintes architecturales de niveau SIL2.

De même, l’électrovanne (SOV) et la vanne d’arrêt d’urgence (ESD) peuvent aussi êtreévaluées. L’électrovanne, aussi de type A, présente une tolérance aux pannes de 0 et uneproportion SFF de 0,72, ce qui donne un niveau SIL2. La vanne ESD, aussi de type A,présente une tolérance aux pannes de 0 et une proportion SFF de 0,25, ce qui donne unniveau SIL1.

TypeSFFHFT

SIL architecturalSIL autorisé (Arch)SIL autorisé global

A0,40121

SIL1

B0,9502

A0,7202

A0,2501

CCF 5 %

Détecteurde niveau

Détecteurde niveau

API 1oo1NE

SOV Vanne ESD


PROCESS SAFEBOOK 1

Vérification SIL

127

Figure 51 : contraintes architecturales de transmetteur de niveau

L’API est considéré comme un équipement de type B. C’est vrai pour la majorité desautomates programmables industriels (API) car, comme ils sont contrôlés par un logiciel,il existe une incertitude concernant leur comportement en cas de défaillance. Parconséquent, toutes les conditions requises pour le type A ne sont pas réunies.

L’évaluation de l’API doit donc être réalisée par rapport aux exigences du type B (cf. lafigure 52).

Figure 52 : contraintes architecturales d’API

Pour résumer, les performances SIL architecturales de chaque élément sont affichées surla figure 50 et le niveau SIL pouvant être revendiqué pour la fonction de sécurité globaleest SIL1. Les performances SIL architecturales concernant la fonction de sécurité globalesont limitées par le niveau SIL le plus bas revendiqué.

Définition des sous-systèmes de type B : Le mode de défaillance d’au moins un composant constitutif n’est pas bien défini, ou le comporte -ment du sous-système dans les conditions de défaut ne peut pas être complètement déterminé, ou iln’y a pas suffisamment de données fiables issues de l’expérience du terrain pour étayer les taux dedéfaillances revendiqués pour les défaillances dangereuses détectées et non détectées

Proportion dedéfaillances nondangereuses (SSF)


0 1 2

< 60 % Non autorisé SIL1 SIL2

60 % – < 90 % SIL1 SIL2 SIL3

90 % – < 99 % SIL2 (API) SIL3 SIL4


Définition des sous-systèmes de type A : Modes de défaillance de toutes les parties constitutives bien définis, comportement du sous-système dans les conditions de défauts complètement déterminé et suffisamment de donnéesfiables issues de l’expérience du terrain, afin de montrer que les taux de défaillances revendiquéspour les défaillances dangereuses détectées et non détectées sont respectés

Proportion dedéfaillances nondangereuses (SSF)


0 1 2

< 60 % SIL1 (valeur ESD) SIL2 (LT) SIL3

60 % – < 90 % SIL2 (SOV) SIL3 SIL4

90 % – < 99 % SIL3 SIL4 SIL4


128

PROCESS SAFEBOOK 1


13.4. Exigences pour la sélection des composants et sous-systèmes, CEI 61511-1, 11.5

13.4.1. Approche

Pour les applications de l’industrie des procédés, la sélection des composants et sous-systèmes peut être basée sur une évaluation d’adéquation. Les objectifs visent à spécifierles exigences :

• pour la sélection des composants et sous-systèmes ;• pour permettre l’intégration d’un composant ou sous-système dans

l’architecture d’une fonction SIF ;• pour stipuler les critères d’acceptation concernant les composants et sous-

systèmes.

13.4.2. Exigences générales CEI 61511-1, 11.5.2

Cette procédure ne doit pas être employée pour les applications SIL4, mais pour tous lesautres composants et sous-systèmes, il convient de traiter les aspects suivants.

La démonstration d’adéquation doit inclure une évaluation SIL comprenant le calculd’une probabilité PFD et de contraintes architecturales par rapport aux objectifs.

La démonstration d’adéquation doit aussi inclure la prise en compte de la documentationdes matériels et logiciels embarqués des fabricants. Dans la pratique, la documentationfournie avec les composants et sous-systèmes sélectionnés se présentera sous la forme despécifications techniques couvrant la fonctionnalité et les performances environnementales.La spécification fonctionnelle (FDS) doit, par conséquent, inclure une déclaration justifiantl’adéquation des composants et sous-systèmes sélectionnés basée sur la documentation despécification du fabricant par rapport aux exigences fonctionnelles.

Les composants et sous-systèmes doivent être cohérents avec la spécification desprescriptions de sécurité (SRS). Dans la pratique, les composants et sous-systèmessont sélectionnés en fonction de leur capacité à respecter les prescriptions de sécurité.La démonstration de conformité continue de s’appliquer lors de l’évaluation et desexigences concernant les contraintes architecturales ainsi que la probabilité PFD.

13.4.3. Avant l’utilisation, CEI 61511-1, 11.5.3

Pour l’essentiel, la sélection des composants doit être effectuée conformément à laspécification d’approvisionnement auprès des fournisseurs agréés.

La prise en compte du système de gestion de la qualité (QMS) et des systèmes de gestionde configuration du fabricant doit faire partie intégrante de l’évaluation du fournisseur etdes justifications d’adéquation présentées dans la spécification FDS.

PROCESS SAFEBOOK 1

Vérification SIL

129

Pour tous les composants et sous-systèmes sélectionnés, la spécification FDS doit aussifournir des justifications d’utilisation cumulée. Les preuves peuvent reposer au choix sur :

• les heures cumulées pour les équipements de terrain et SIL1 ;• les heures d’équipement cumulées avec l’identification des défaillances

dangereuses pour les éléments SIL2 et complexes.

Concernant les applications d’analyseur logique SIL3, une certification est requise.

L’utilisation cumulée requise pour un composant ou sous-système dépendra du taux dedéfaillances cible et du signalement d’éventuelles défaillances. La figure 53 fournit unique -ment des directives et montre le nombre requis d’années d’équipement cumulées (nombred’équipements x années d’utilisation) pour différentes valeurs de taux de défaillances cible.

Par exemple, si le taux de défaillances cible est 1,00E-06/h et si aucune défaillance n’a étésignalée, selon la figure 53, la justification doit porter sur 137 années d’équipement, cequ’il est possible d’atteindre avec 14 équipements fonctionnant sans défaillance pendant10 ans. Si des défaillances dans la population sur le terrain sont rapportées, le taux dedéfaillances d’équipements réel sera supérieur. Par conséquent, il faudra plus d’heures defonctionnement sans défaillance pour démontrer le même taux de défaillances cible.

1,00E-071

10

100

1000

10 000

1 000 000

1,00E-06 1,00E-05 1,00E-04Taux de défaillances cible (/h)

X

X

X

Années d’équipement nécessaires

0 défaillance1 défaillance5 défaillances10 défaillances15 défaillancesX

Figure 53 : directives sur l’utilisation requise

130

PROCESS SAFEBOOK 1


La figure est basée sur une distribution Χ2 avec une limite de confiance de 70 %, et doituniquement servir de conseil et pour savoir à quel moment un nombre suffisant d’annéesd’équipement a été cumulé.

La norme CEI 61511 requiert aussi une surveillance documentée des données de retour,ainsi qu’un processus de modification par le fabricant, afin d’évaluer l’impact desdéfaillances signalées.

Dans la pratique, les informations de défaillances sont rarement disponibles et lasélection peut donc inclure une évaluation des composants et sous-systèmes, afin des’assurer que leurs performances seront conformes. Cette évaluation peut nécessiter desentretiens avec d’autres utilisateurs ou avec des fabricants ou utilisateurs d’équipementsou applications similaires. De telles preuves à l’appui doivent être documentées dans laspécification FDS en tant que partie intégrante de l’adéquation des composants et sous-systèmes.

13.4.4. Équipements programmables FPL (Fixed Programme Language), CEI 61511-1, 11.5.4

Lorsque des composants et sous-systèmes programmables FPL (par exemple,équipements de terrain) doivent être employés, les exigences générales [13.4.2], lesexigences avant utilisation [13.4.3] et les exigences suivantes pour les composants etsous-systèmes programmables FPL doivent toutes être respectées pour les applicationsSIL1 et SIL2.

Par ailleurs, pour chaque composant sélectionné, la spécification FDS doit justifier lasélection des composants FPL en stipulant que le composant respecte les exigencesspécifiées en termes de fonctionnalité, notamment ce qui suit :

a) caractéristiques des signaux d’entrée et de sortie ; b) modes d’utilisation ; c) fonctions et configurations employées ; d) impact peu probable des fonctionnalités non employées sur les fonctions de

sécurité.

Concernant les applications SIL3, une évaluation formelle doit être réalisée.

Une approche alternative adoptée par certains intégrateurs de systèmes consiste àacquérir un équipement FPL conforme SIL3. Ces équipements doivent déjà avoir étésoumis à une évaluation formelle par une organisation appropriée et à une certificationSIL3, de même que des justifications documentaires à l’appui doivent être fournies.

Les justifications doivent montrer que l’équipement est apte à exécuter la fonction requise etque la probabilité de défaillance dangereuse est suffisamment faible en cas de défaillances

PROCESS SAFEBOOK 1

Vérification SIL

131

matérielles aléatoires ou de défaillances matérielles ou logicielles systématiques. Un manuelde sécurité doit aussi être disponible pour l’équipement et détailler les contraintes defonctionnement et de maintenance.

13.4.5. Équipements programmables LVL (Limited Variability Language), CEI 61511-1, 11.5.5

Lorsque des composants et sous-systèmes programmables LVL (par exemple, analyseurslogiques) doivent être employés, les exigences générales [13.4.2], les exigences avantutilisation [13.4.3], les exigences pour les équipements programmables FPL [13.4.4] et lesexigences suivantes pour les composants et sous-systèmes programmables LVL doiventtoutes être respectées pour les applications SIL1 et SIL2.

La documentation doit apporter la justification selon laquelle il existe une différenceentre le profil opérationnel et l’environnement physique tel qu’expérimenté auparavantet entre le profil opérationnel et l’environnement physique employés dans la fonction desécurité, puis la spécification FDS doit identifier ces différences et démontrer qu’il n’y aurapas d’incidence négative sur la probabilité PFD.

Pour les applications SIL1 ou SIL2, un analyseurs logique à électronique programmable(PE) configuré pour la sécurité (qui est un analyseurs logique PE industriel à usage généralqui est spécialement configuré pour l’utilisation dans les applications de sécurité) peutêtre employé, à condition de le justifier dans la documentation.

La documentation de spécification fournie par le fabricant doit montrer que desinformations adéquates couvrant le matériel et les logiciels sont disponibles, afin degarantir la bonne compréhension du comportement en cas de défaillance. La spécificationFDS doit confirmer ce point en listant tous les modes de défaillances dangereuses et enidentifiant, le cas échéant, les mesures de diagnostic et de protection. La spécification FDSdoit aussi identifier les moyens de protection employés contre les modifications nonautorisées ou accidentelles.

Pour les applications d’analyseur logique SIL2, la spécification FDS doit confirmer latechnique de protection employée contre les défauts suivants pendant l’exécution duprogramme :

a) surveillance de la séquence de programme ;b) protection du code contre les modifications ou détection des défaillances par

une surveillance en ligne ;c) confirmation des défaillances et autre programmation ;d) contrôle de plage des variables ou contrôle de plausibilité des valeurs ;e) approche modulaire ;f ) utilisation de normes de codage appropriées pour les logiciels embarqués.

132

PROCESS SAFEBOOK 1


Par ailleurs, les aspects suivants doivent être démontrés :

g) le système a été testé dans des configurations types, avec des jeux de testsreprésentatifs des profils de fonctionnement escomptés ;

h) des modules logiciels et composants vérifiés et de confiance ont étéemployés ;

i) le système a fait l’objet d’analyses et de tests dynamiques ;j) le système n’utilise pas d’intelligence artificielle ni de reconfiguration

dynamique ;k) des tests d’insertion de défaut documentés ont été réalisés.

Pour les applications SIL2, la spécification FDS doit identifier les contraintes relativesau fonctionnement, à la maintenance et à la détection des défauts couvrant lesconfigurations de l’analyseur logique PE et les profils de fonctionnement escomptés.

Pour les applications SIL3, la documentation doit présenter une certification SILconcernant tout analyseur logique LVL.

13.4.6. Équipements programmables FVL (Full Variability Language), CEI 61511-1, 11.5.6

La documentation doit présenter une certification SIL concernant tout analyseur logique FVL.

13.5. Équipements de terrain, CEI 61511-1, 11.6

Pour la sélection des équipements de terrain, les exigences générales [13.4.2], lesexigences avant l’utilisation [13.4.3] et les exigences suivantes pour les équipements deterrain doivent toutes être respectées. Le cas échéant, les exigences concernant leséquipements programmables FPL doivent aussi être respectées.

Les équipements de terrain doivent être sélectionnés et installés afin de réduire auminimum les défaillances susceptibles d’aboutir à des informations inexactes en raisonde conditions découlant de conditions de procédé et de l’environnement. Les conditionsà prendre en compte incluent la corrosion, le gel des matériaux dans les tuyauteries, lesparticules solides en suspension, la polymérisation, la cuisson, les températures etpressions extrêmes, la condensation dans les tuyaux d’impulsion sans liquide et unecondensation insuffisante dans les tuyaux d’impulsion avec liquide.

Pour les équipements de terrain, la documentation de spécification doit montrer quele composant respecte toutes les exigences spécifiées en termes de fonctionnalité pourtoutes les conditions de procédé et d’environnement. La spécification FDS doit confirmerque c’est le cas. La spécification FDS doit aussi confirmer que l’ensemble des circuitsd’entrée/sortie TOR de coupure par mise sous tension doit appliquer une méthode afinde garantir l’intégrité du circuit et de l’alimentation électrique, par ex. analyseur de ligne.

PROCESS SAFEBOOK 1

Vérification SIL

133

Les capteurs intelligents doivent être protégés en écriture afin d’empêcher desmodifications accidentelles à partir d’un lieu distant, à moins qu’une revue de sécuritéappropriée autorise le mode lecture/écriture.

13.6. Interfaces opérateur, de maintenance et de communication, CEI 61511-1, 11.7

Pour toutes les interfaces de communication, les exigences suivantes doivent êtrerespectées.

La conception de l’interface de communication SIS doit garantir que toute défaillance del’interface n’affectera pas la capacité du SIS a amener le procédé dans un état de sécurité.Cet aspect doit être confirmé dans la documentation de conception.

La documentation doit aussi confirmer :

a) l’état d’erreur prédit du réseau de communications ;b) l’absence d’incidence des communications avec le système BPCS et les

périphériques sur la fonction SIF ;c) la robustesse suffisante de l’interface de communication pour supporter les

interférences électromagnétiques, y compris les surtensions, sans provoquerde défaillance dangereuse de la fonction SIF ;

d) l’adéquation de l’interface de communication pour les communications entreles équipements présentant différents potentiels de mise à la terre.REMARQUE : un autre support (par ex. fibre optique) peut être requis.

13.7. Exigences de conception pour les tests ou la maintenance, CEI 61511-1, 11.8

La conception du SIS doit permettre d’effectuer des tests de bout en bout ou partiels. Lesaspects suivants doivent être pris en compte selon leur pertinence :

• Tests de validité en ligne – la conception de test doit vérifier que desdéfaillances non détectées puissent être révélées de manière appropriée ;

• Installations de test et de contournement – un opérateur doit être alerté en casde contournement d’une portion du SIS aux fins de maintenance ou de test ;

• Le forçage des entrées et sorties sans placer le SIS hors ligne ne doit pas êtreautorisé sans la mise en place des procédures et d’une sécurité adaptées.Comme pour la fonction de contournement, un opérateur doit être alerté duforçage de toute entrée/sortie.

13.8. Probabilité de défaillance de la fonction SIF, CEI 61511-1, 11.9

Cf. la section [14].

134

PROCESS SAFEBOOK 1


13.9. Exigences pour les logiciels d’application, CEI 61511-1, 12

La norme CEI 61511-1, clause 12 répertorie les exigences applicables à tout logicielconstitutif d’un SIS, ou employé pour développer un SIS. L’exigence définit lesprescriptions de cycle de vie de la sécurité de logiciel d’application, afin de s’assurer que :

• toutes les activités nécessaires au développement du logiciel d’application sontdéfinies ;

• les outils logiciels employés pour développer et vérifier le logiciel d’application,autrement dit le logiciel utilitaire, sont entièrement définis ;

• un plan est élaboré afin de respecter les objectifs de sécurité fonctionnelle.

L’exigence générale consiste à définir les phases applicables du cycle de vie de la sécuritédu logiciel d’application à prendre en compte et à documenter toutes les informationspertinentes. Cela inclut les aspects suivants :

• spécification des exigences de sécurité du logiciel – de manière similaire auxexigences du matériel, une spécification doit être définie et répertorier toutesles exigences de sécurité du logiciel de manière claire et structurée, afin quel’équipe de conception développe le logiciel d’application en conséquence ;

• planning de validation de sécurité du logiciel – cette phase doit être effectuéedans le cadre du planning de validation globale du SIS ;

• conception et développement – le logiciel d’application doit être développéafin de respecter les exigences de conception du système, telles qu’elles sontexposées dans la spécification SRS du logiciel, en termes de fonctions desécurité et de niveaux d’intégrité de sécurité. Il convient d’utiliser des langages,outils de programmation et outils de support appropriés destinés à faciliter lavérification, la validation, l’évaluation et la modification. La conception doit êtremodulaire et structurée, de manière à permettre les tests et des modificationsen toute sécurité. Des tests appropriés des modules logiciels doivent êtreréalisés pour vérifier leur bon fonctionnement. Notez que la vérification doitêtre effectuée pour chaque phase du cycle de vie de la sécurité du logiciel ;

• intégration – une fois testé et vérifié, le logiciel doit être intégré au sous-système SIS et être testé afin de montrer sa conformité aux exigences de laspécification SRS lorsqu’il est exécuté sur le matériel ;

• validation de sécurité du logiciel – cette phase doit être effectuée dans le cadredu planning de validation globale du SIS (phase 5) ;

• modification – toute modification du logiciel validé doit être effectuée d’unemanière contrôlée qui préserve l’intégrité du logiciel.

PROCESS SAFEBOOK 1

Probabilité de défaillance de la fonction SIF

135

14. Probabilité de défaillance de la fonction SIF, CEI 61511-1, 11.9

14.1. Conformité à la norme

Jusqu’à présent, nous avons identifié la nécessité d’établir des mesures de fiabilité cibleafin de garantir que le risque global n’excède pas le risque tolérable maximum.

Nous avons aussi vu que la mesure de fiabilité cible peut être exprimée en niveaux SIL etque pour se conformer à la norme, nous devons non seulement démontrer que la fonctionde sécurité respecte des objectifs quantitatifs mais que nous appliquons aussi les contrôlesappropriés.

La conformité à la norme requiert que les mesures de fiabilité cible soient réalisées demanière appropriée par rapport au niveau SIL appliqué.

14.2. Exigences de fiabilité de niveau SIL cible

La probabilité PFD pour chaque niveau SIL dépend du mode de fonctionnement prévupour un SIS, ce par rapport à la fréquence des sollicitations de ce dernier. Ces exigencessont définies à la section [6.9] et peuvent être les suivantes :

Mode de sollicitations, lorsqu’une action spécifiée est mise en œuvre en réponse à unedes conditions de procédé ou d’autres sollicitations. En cas de défaillance dangereuse dela fonction instrumentée de sécurité (SIF), un danger potentiel se concrétise uniquements’il y a défaillance du procédé de système de contrôle de procédé de base (BPCS) ;

Mode continu, lorsqu’en cas de défaillance dangereuse de la fonction SIF, un danger potentielse concrétise sans autre défaillance, à moins qu’une action soit prise pour le prévenir.

Sur la base de ces critères, les objectifs appropriés présentés dans le tableau 17 peuventêtre appliqués.

Tableau 17 : PDF et taux de défaillances spécifiés de SIL

Niveau SIL Mode sollicitation Probabilitéde défaillance sur sollicitation

Mode continuTaux de défaillances par heure

SIL4 ≥ 10-5 à < 10-4 ≥ 10-9 à < 10-8

SIL3 ≥ 10-4 à < 10-3 ≥ 10-8 à < 10-7

SIL2 ≥ 10-3 à < 10-2 ≥ 10-7 à < 10-6

SIL1 ≥ 10-2 à < 10-1 ≥ 10-6 à < 10-5

136

PROCESS SAFEBOOK 1


14.3. Calcul de la probabilité PFD pour une fonction de sécurité en mode de sollicitation

Lors de la réalisation de calculs de fiabilité, nous supposons que les défaillances se produisentde manière aléatoire avec un taux constant et lorsqu’une défaillance se produit, l’élémentdéfaillant sera indisponible jusqu’à la détection et la réparation de la défaillance.

Lors du calcul de la probabilité PFD, nous calculons aussi essentiellement la probabilitéque le SIS sera indisponible s’il vient à être sollicité. Pour un système redondant 1oo2,étant donné que nous avons eu une défaillance de canal, la PFD est la probabilité d’unedéfaillance consécutive du deuxième canal pendant l’arrêt du premier.

Les relations générales suivantes peuvent être employées dans le calcul de la probabilitéPFD. Les équations employées sont des simplifications des équations standard et sontdérivées à la section [19.6].

Pour les défaillances détectées :

PFD1oo1 = λDD.MDT Réf. CEI 61508-6, B.3.2.2.1PFD1oo2 = λDD2.MDT2 + β.λDD.MDT Réf. CEI 61508-6, B.3.2.2.2

Pour les défaillances non détectées :

PFD1oo1 = λDU.TP/2 Réf. CEI 61508-6, B.3.2.2.1PFD1oo2 = λDU2.Tp2/3 + β.λDU.TP/2 Réf. CEI 61508-6, B.3.2.2.2

Où λDD est le taux de défaillances détectées dangereuses, λDU est le taux de défaillancesnon détectées dangereuses et β est la contribution des défaillances de cause commune,section [12.17]. TP est l’intervalle de tests de validité et MDT est le temps moyend’indisponibilité.

Les formes génériques de ces équations pour les différentes configurations des systèmesen mode continu et en mode de sollicitation sont examinées à la section [12.9].

14.4. Taux de défaillances

Lors du calcul des PFD et SFF, l’analyse utilise l’hypothèse sous-jacente de la normeCEI 61508-6, Annexe B.3, dans le sens où les taux de défaillances de composants sontconstants sur toute la durée de vie du système.

Les taux de défaillances employés dans les calculs peuvent être obtenus par l’AMDEC,quantifiée par les données de terrain ou par référence aux données publiées à partir desources de l’industrie. Les taux de défaillances employés doivent être comparés aux donnéesdisponibles pour les modules de complexité et technologie similaires. Cette approche

PROCESS SAFEBOOK 1


137

garantit une approche prudente en termes de modélisation de fiabilité et incite à êtreconfiant dans le fait que les performances de fiabilité doivent être réalisables en service.

Les taux de défaillances et leurs sources sont abordés à la section 14.8.

14.5. Modélisation de la fiabilité

Dans cet exemple de la section [6.5], le procédé et la fonction SIF sont mis en évidence(cf. la figure 54).

Le calcul de la PFD est effectué le plus facilement au moyen de la technique de diagrammede fiabilité (RBD, Reliability Block Diagram). Avec cette approche, les diagrammes montrentles éléments ou composants nécessaires pour un système fiable et ne représentent pasnécessairement la configuration physique ou les connexions. La modélisation RBD estdécrite dans la norme CEI 61508-6, Annexe B, clause 4.2.

Le diagramme RBD pour le SIS décrit est présenté à la figure 55.


PressostatProcédé et BPCS

Fonction instrumentée de sécurité

Logique ESD

Électro-vanne


Mise à l’airlibre circuithydraulique

Entréegazoduc

Sortiegazoduc

Vanne d’arrêt



PC

SPT

Figure 54 : fonction instrumentée de sécurité en mode de sollicitation

138

PROCESS SAFEBOOK 1


Il montre le calcul de la probabilité PFD. Sous chaque élément figurent les valeurs pour letaux de défaillances dangereuses détectées λDD, le taux de défaillances dangereuses nondétectées λDU, le temps moyen d’indisponibilité (MDT) et la période de tests de validité T.

14.6. Exemple d’évaluation du niveau d’intégrité de sécurité d’une modification deboucle de prépolymérisation en mode sollicitation

L’exemple suivant décrit une évaluation SIL de la probabilité PFD et des performancesarchitecturales d’une fonction SIF.

Périmètre

La fonction d’arrêt d’urgence (ESD), S-005 prévient une réaction incontrôlable dans 39-R-050 et, par conséquent, assure la protection contre une perte de confinement duréacteur, laquelle pourrait aboutir à des blessures d’opérateurs et aussi à des dommagesenvironnementaux. Actuellement, la fonction de sécurité S-005 est déclenchée pardétection d’une température ou d’une pression élevée dans le réacteur, et le limiteurROV0503 s’ouvre pour décharger la pression.

Il est apparu qu’il y avait des préoccupations selon lesquelles le limiteur ROV0503 n’auraitpas une capacité suffisante pour la décharge de pression. Par conséquent, l’action d’arrêtd’urgence de S-005 a été modifiée afin d’inclure l’activation d’un limiteur de pressionsupplémentaire ROV0501.

D’autre part, pendant le programme de mise à niveau, deux interrupteurs manuels(HS0900 à autorisation et HS2004 de forçage) ont été inclus aux fins de maintenance.

λDDMTD

PFD de configuration

λDUPériode de tests de validité

PFD de configuration

PFD (révélé)PFD (non révélé)

PFDSIL autorisé (PFD)

2,64E-0748

1,27E-05

4,00E-088760

1,75E-04

1,77E-042,38E-022,40E-02SIL1

0,00E+0048

0,00E+00

6,00E-078760

2,63E-03

3,42E-0648

1,64E-04

1,63E-078760

7,14E-04

0,00E+0048

0,00E+00

4,64E-068760

2,03E-02

Transmetteurde pression

Logique ESD

Électrovanne Vanne d’arrêt


PROCESS SAFEBOOK 1


139

Objectifs

Le client gère un grand nombre de capteurs dans le cadre du SIS et cherche à réduire letravail associé. Cette analyse a donc l’objectif suivant :

1. déterminer les éléments à inclure dans une analyse de la fonction de sécuritéd’arrêt d’urgence (ESD) S-005 modifiée ;

2. générer un diagramme de fiabilité (RBD) pour déterminer la probabilité PFD etl’architecture de S-005 ;

3. suggérer une philosophie de tests de validité (intervalles de tests pourles capteurs, interrupteurs manuels, logique et limiteurs de pression) quipermette de respecter les objectifs (tableau 18) tout en réduisant auminimum la fréquence de test des capteurs.

Remarque : le client a indiqué que les intervalles de tests de validité pour n’importe quelélément ne doivent pas excéder 36 mois. Du point de vue ingénierie, le client n’est pas àl’aise avec l’idée que des parties SIS ne sont pas testées pendant de longues périodes.

Interrupteurs d’autorisation et de forçage

Deux interrupteurs manuels, HS2004 et HS0900, sont associés à la fonction d’arrêtd’urgence ESD S-005.

Il est apparu que l’interrupteur HS0900 est employé afin d’acheminer le catalyseur vers leréacteur. Par conséquent, une mauvaise position de l’interrupteur ou une défaillance decelui-ci dans l’état erroné empêche la concrétisation du danger. L’interrupteur HS2004 estemployé pour forcer le déclenchement de la fonction S-005. Si l’interrupteur HS2004 resteaccidentellement en position de forçage à la suite d’une intervention de maintenance, ous’il subit une défaillance dans l’état de forçage, la fonction de sécurité S-005 seradésactivée.

Configuration matérielle

L’analyseur logique est basé sur une configuration à redondance modulaire triple ou TMR(Triple Modular Redundant) avec vote 2 sur 3 (2oo3). La figure 56 présente un schéma dela configuration du matériel.

140

PROCESS SAFEBOOK 1


Fonctions de sécurité analysées

Le tableau 18 présente les objectifs SIL et de PFD établis.

Tableau 18 : Fonctions de sécurité à analyser

Couverture de diagnostic

Il a été supposé que tous les modes de défaillances non détectées seront révélés par letest de validité, autrement dit par l’exécution complète de la fonction de SIS.

Temps moyen d’indisponibilité

Le MDT de 72 heures doit être utilisé dans cette analyse.

Période de tests de validité

Les intervalles de tests de validité doivent être sélectionnés afin de réaliser les objectifstout en maximisant l’intervalle de tests des capteurs.

Boucle Déclencheur ActionESD

Conditions requisespour atténuer le danger

Probabilité PFD cible

NiveauSIL

1 Haute pression[PT0500H] outempérature élevée[TT0504HH]

Active S-005

ROV0503 et ROV0501 enposition ouverte

5,56E-03 SIL2

Logique (2oo3)

AI(1oo2)

Barrière IS

AI(1oo2)

AI(1oo2)

DI DI DI CPU CPU CPU DO DO DO

ROV0501

ROV0503

S-005Transmetteur de pressionPT0500H

Transmetteur de temp.PT0500H

Interrupteurmanuel

Interrupteurmanuel

Figure 56 : schéma du matériel

PROCESS SAFEBOOK 1


141

Prise en compte des défaillances de cause commune

Les défaillances de cause commune (CCF) peuvent résulter d’une seule cause, mais celle-ci affecte simultanément plusieurs canaux. Elles peuvent résulter d’un défautsystématique, par exemple, une erreur de spécification de conception ou une contrainteextérieure telle qu’une température excessive pouvant provoquer une défaillance decomposant dans les deux canaux redondants.

La contribution des CCF sur des canaux redondants parallèles doit être prise en comptedans le modèle en incluant un facteur β. Le taux de défaillances CCF inclus dans le calculest égal à β x le taux de défaillances total d’un des canaux redondants. Les facteurs β àemployer dans l’analyse sont récapitulés dans le tableau 19.

Tableau 19 : Facteurs β

Composants de type A

Les éléments suivants peuvent être considérés comme de type A :

• Barrière IS (isolateur d’alimentation de transmetteur ; PB0500) ;• Transmetteur de température (TT0504) ;• Interrupteur manuel (HS0900, HS2004) ;• Limiteurs de pression de prépolymérisation.

Composants de type B

Les éléments suivants ont été considérés comme de type B :

• Modules logiques d’API ;• Transmetteurs de pression (PT0500).

Configurationredondante

Facteur β Justification

Capteurs PT0500,TT0504

3 % Comme les capteurs utilisent des technologies différentesmesurant des variables de procédé distinctes, le potentielde causes de défaillance commune est limité au procédéproprement dit, au mécanisme de fixation des capteurs,ainsi qu’à l’acheminement et à la séparation des connexions.La valeur 3 % est, par conséquent, considérée commesuffisamment prudente.

Logique TMR d’API 5 % Les défaillances de cause commune dans une configurationTMR redondante sont réduites. Toutefois, une valeur de 5 % aété employée afin de maintenir une approche prudente.

142

PROCESS SAFEBOOK 1


Taux de défaillances des composants

L’analyse doit supposer des taux de défaillances constants car les effets de défaillancesprématurées sont censés être éliminés par des processus appropriés. Ces processusincluent l’utilisation de produits à maturité de sources homologuées, des tests internesavant la fourniture et des tests fonctionnels et d’exploitation étendus dans le cadre del’installation et de la mise en service. Les données de terrain retournées sur des projetssimilaires indiquent que les défaillances en début de vie n’aboutissent pas à un nombresignificatif de retours et, par conséquent, les techniques employées sont jugéessuffisantes.

Il est également supposé que les composants ne sont pas employés au-delà de leur duréede vie utile, afin d’écarter tout risque de défaillance due à des mécanismes d’usure. Lestaux de défaillances (en défaillances/heure) susceptibles d’être employés dans le calcul dela probabilité PFD, λDD et λDU, sont résumés dans le tableau 20. Les taux de défaillances ontété obtenus à partir d’une combinaison de sources.

PROCESS SAFEBOOK 1


143

Tableau 20 : Taux de défaillances (/h) et calcul de la proportion SFF

Réf.élément/point

Description λ λD λDU λDD λS SFF

Dispositifs d’entrée

PT 0500 Transmetteur de pression(IS)

1,5E-06 1,4E-06 6,0E-07 7,5E-07 1,5E-07 0.60

PT 0501 Transmetteur de pression(IS)

1,5E-06 1,4E-06 6,0E-07 7,5E-07 1,5E-07 0,60

PB 0500 Barrière – pour PT ci-dessus (non IS)

2,1E-07 6,3E-08 6,3E-08 0,0E+00 1,5E-07 0,70

PB 0501 Barrière – pour PT ci-dessus (non IS)

2,1E-07 6,3E-08 6,3E-08 0,0E+00 1,5E-07 0,70

FT 0041 Débitmètre à effet Coriolis 2,6E-06 2,2E-06 9,0E-07 1,3E-06 4,0E-07 0,65

TT 0504 Module RTD 3 fils avectransmetteur en tête

2,0E-06 1,4E-06 4,0E-07 1,0E-06 6,0E-07 0,80

HS 2004 Interrupteur de forçage 2,00E-06 8,00E-07 8,00E-07 0,00E+00 1,20E-06 0,60

HS0900 Interrupteur à autorisation 2,00E-06 8,00E-07 8,00E-07 0,00E+00 1,20E-06 0,60

Dispositifs logiques

CPU CPU 1,51E-06 5,16E-07 6,42E-09 5,09E-07 9,91E-07 1,00

Module DI 32 pt

Module DI 32 pt 2,19E-08 1,09E-08 9,91E-11 1,08E-08 1,09E-08 0,99

Module AI 32 pt

Module AI 32 pt 1,40E-08 7,00E-09 9,86E-11 6,90E-09 7,00E-09 0,99

Module DO 16 pt

Module DO 16 pt 2,95E-08 1,47E-08 9,93E-11 1,46E-08 1,47E-08 0,99

Dispositifs de sortie

39-PM-050 Statut de fonctionnementde pompe du contacteuret du relais sans contact

3,0E-07 2,0E-07 1,95E-07 0,00E+00 1,05E-07 0,35

ROV 0501 AOV (FO), vanne dedécharge avec SOV

5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734


5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734

ROV 0404 AOV (FC) avec SOV 9,72E-06 3,03E-06 3,03E-06 0,00E+00 6,69E-06 0,688


5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734


5,07E-06 1,35E-06 1,35E-06 0,00E+00 3,72E-06 0,734

144

PROCESS SAFEBOOK 1


Une solution possible

Cette analyse a l’objectif suivant :

1. déterminer les éléments à inclure dans une analyse de la fonction de sécuritéd’arrêt d’urgence (ESD) S-005 modifiée ;

2. générer un diagramme de fiabilité (RBD) pour déterminer la probabilité PFD etl’architecture de S-005 ;

3. suggérer une philosophie de tests de validité (intervalles de tests pourles capteurs, interrupteurs manuels, logique et limiteurs de pression) quipermette de respecter les objectifs (tableau 18) tout en réduisant auminimum la fréquence de test des capteurs.

Le diagramme de fiabilité (RBD) présenté à la figure 57 montre les éléments requis dans lecadre de la fonction de sécurité. Il n’est pas nécessaire d’inclure l’interrupteur HS0900 dansl’évaluation de la fonction de sécurité, car sa défaillance n’empêche pas l’utilisation dela fonction de sécurité. Si l’interrupteur HS0900 connaît une défaillance ou reste dans laposition erronée, le danger ne peut pas se concrétiser.

L’interrupteur HS2004 doit être inclus, car s’il reste accidentellement en position deforçage à la suite d’une intervention de maintenance, ou s’il subit une défaillance dansl’état de forçage, la fonction de sécurité S-005 sera désactivée.

Le calcul de la probabilité PFD a nécessité une certaine appréciation concernant ladéfinition des intervalles de tests de validité Tp. L’exigence était de maximiser l’intervallejusqu’à 3 ans tout en respectant la probabilité PFD cible. De nombreuses solutionspotentielles pourront être envisagées et il faudrait en discuter avec le client. Unephilosophie de tests de validité possible est présentée dans le tableau 21.

Tableau 21 : Intervalles de tests de validité possibles

Ces intervalles de tests de validité fournissent une probabilité PFD calculée 4,91E-03par rapport à une valeur cible de 5,56E-03, de sorte que la probabilité PFD et lesperformances architecturales sont toutes les deux conformes au niveau SIL2.

Période de tests de validité (capteurs) 24 mois 17 520 heures

Période de tests de validité (interrupteur manuel) 6 mois 4380 heures

Période de tests de validité (logique) 36 mois 26 280 heures

Période de tests de validité (vannes) 3 mois 2190 heures

PROCESS SAFEBOOK 1


145

Mod

ule

DO

6

pt

Mod

ule

DI

32 p

t

Mod

ule

DI

32 p

tCC

FH

S 20

04

Mod

ule

DO

6

pt

CCF

CPU

CPU

CPU

Mod

ule

DI

32 p

tM

odul

e D

O

16 p

tM

odul

e A

I32

pt

Mod

ule

AI

32 p

t

Mod

ule

AI

32 p

tTT

050

4

PT 0

500

Bran

che

A

Bran

che

B

PB 0

500

Cont

ribut

ion

CCF

3 %

5 %

Qté

11

11

11

11

Confi

gura

tion

1oo2

2oo3

λDD

[bra

nche

A]

7,50

E-07

0,00

E+00

2,25

E-08

0,00

E+00

6,90

E-09

5,09

E-07

1,08

E-08

1,46

E-08

2,71

E-08

λDD

[bra

nche

B]

1,00

E-06

0,00

E+00

λDD

pou

r bra

nche

2,25

E-08

0,00

E+00

5,42

E-07

2,71

E-08

MD

T72

7272

7272

Confi

gura

tion

PFD

3,89

E-09

1,62

E-06

0,00

E+00

4,56

E-09

1,95

E-06

λDU

[bra

nche

A]

6,00

E-07

6,30

E-08

1,99

E-08

8,00

E-07

9,86

E-11

6,42

E-09

9,91

E-11

9,93

E-11

3,36

E-10

λDU

[bra

nche

B]

4,00

E-07

0,00

E+00

λDU

pou

r bra

nche

1,99

E-08

8,00

E-07

6,72

E-09

3,36

E-10

Pério

de d

e te

sts

de v

alid

ité, T

17 5

2017

520

4380

26 2

8026

280

Confi

gura

tion

PFD

2,71

E-05

1,74

E-04

1,75

E-03

3,11

E-08

4,41

E-06

PFD

(rév

élé)

3,58

E-06

PFD

(non

révé

lé)

4,91

E-03

PFD

4,92

E-03

SIL

auto

risé

(PFD

)2

Type

BA

AB

BB

SFF

0,60

0,70

0,60

> 99

> 99

> 99

Redo

ndan

ce1

00

11

1SI

L ar

chite

ctur

al2

22

33

3SI

L au

tori

sé (A

rch)

2

Figure 57 : diagramme de fiabilité (RBD) de solution

146

PROCESS SAFEBOOK 1


14.7. Traçabilité des données de taux de défaillances

Lors des calculs de probabilité PFD, il est vital de garantir la visibilité de tous les calculs etla traçabilité de toutes les données utilisées jusqu’à la source. Microsoft Excel constitueun outil utile car il répond à ces deux exigences, tout en permettant une représentationgraphique du modèle de fiabilité à élaborer, comme illustré sur la figure 57.

La feuille de calcul permet à chaque cellule de données de pointer vers une table, oùtoutes les données de taux de défaillances collectées et toutes les sources de donnéespeuvent être présentées. Un exemple de table de données est présenté au tableau 22.Il est important que la référence de source de données soit suffisamment détaillée afinque tout le monde puisse contrôler et valider les valeurs employées.

En cas d’utilisation d’un format Excel, il est aussi pratique de lister le type de composant,ainsi que les MDT et Tp supposés employés dans le calcul. Cela permet de modifierfacilement l’intervalle de tests de validité et de calculer automatiquement l’effet de laprobabilité PFD.

Tableau 22 : Tableau de données type

Élément/référence

λ λD λDD λDU λS Type SFF MDT Tp Source dedonnées

PT0500 1,35E-06

8,18E-07

7,50E-07

6,80E-08

5,27E-07

B 0,95 4380 4380 exida[14.8.2]

Analyseurlogique SIL3

5,57E-06

2,23E-06

2,21E-06

2,20E-08

3,34E-06

B 1.00 168 4380 Sintef[14.8.8]

Moduled’entréesanalogiques

1,07E-06

5,34E-07

5,08E-07

2,60E-08

5,34E-07

B 0,98 168 4380 Sintef[14.8.8]

Module desorties TOR

5,26E-07

2,63E-07

2,50E-07

1,30E-08

2,63E-07

B 0,98 168 4380 Sintef[14.8.8]

VanneHIPPS 12"

5,29E-06

2,12E-06

0,00E+00

2,12E-06

3,17E-06

A 0,60 730 4380 Oreda2002[14.8.6]

PROCESS SAFEBOOK 1


147

14.8. Sources de données de taux de défaillances

14.8.1. Approche

Les données de taux de défaillances doivent uniquement être obtenues auprès desources appropriées et cet aspect dépendra de l’application. Les sections suivantesrépertorient des sources de données qui ont été employées et sont appropriées pourl’industrie des procédés.

14.8.2. Exida.com Safety Equipment Reliability Handbook, 2007, 3e édition Volume 1 –Sensors, ISBN 978-0-9727234-3-5/Volume 2 – Logic Solvers and Interface Modules,ISBN 978-0-9727234-4-2/Volume 3 – Final Elements, ISBN 978-0-9727234-5-9

14.8.3. Handbook of Reliability Data for Electronic Components used inTelecommunications Systems, HRD-5.

14.8.4. Hydrocarbon Leak and Ignition Database Report No. 11.4/180 mai 1992

14.8.5. Norme IEEE 500-1984. Guide to the Collection and Presentation of Electrical,Electronic, Sensing Component, and Mechanical Equipment Reliability Data.

14.8.6. OREDA, The Offshore Reliability Data Handbook 4e édition 2002 ISBN 82-14-02705-5

14.8.7. Parloc 2001 : 5e édition, The Institute of Petroleum, publié par The Energy InstituteISBN 0 85293 404 1.

14.8.8. Reliability Data for Control and Safety Systems, édition 2006, PDS Data Handbook,SINTEF, ISBN 82-14-03898-7.

14.8.9. Reliability Technology, AE Green et AJ Bourne, Wiley, ISBN 0-471-32480-9.

148

PROCESS SAFEBOOK 1


15. Installation, mise en service et validation, CEI 61511-1, 14, 15



Les objectifs de cette phase, telles que définies dans la norme CEI 61511-1, clauses 14 et15, consistent à :

• installer le SIS conformément à la spécification et à la documentation [15.2] ;• mettre en service le SIS afin qu’il soit prêt pour la validation finale du système [15.3] ;• valider le fait que le SIS installé et mis en service est conforme aux exigences

définies dans la spécification SRS [15.4].

15.2. Installation de la fonction SIF

Les exigences d’installation doivent être définies dans le plan d’installation et de mise enservice ou être intégrées dans le plan de projet global. Les procédures d’installation doivent

Ges

tion

de la

séc

urité

fonc

tionn

elle

, év

alua

tion

et a

udit

de la

séc

urité

fonc

tionn

elle

10

Plan

ifica

tion

et s

truc

ture

du

cycl

e de

vie

de

sécu

rité

11

Vérifi

catio

n


1



d’autres moyens de réduction

du risque

2





Modification7

Mise hors service8


PROCESS SAFEBOOK 1

Installation, mise en service et validation

149

définir les activités à exécuter, les techniques et mesures à utiliser, les personnes, départe -ments ou organisations responsables, ainsi que l’échéancier des activités d’installation.

15.3. Mise en service de la fonction SIF

Le SIS doit être mis en service conformément à la planification et aux procédures. Desenregistrements doivent être produits afin d’indiquer les résultats des tests et le respectou non des critères de recette pendant la phase de conception. Les défaillances doiventfaire l’objet d’investigations et être consignées. Lorsqu’il est établi que l’installation réellen’est pas conforme aux informations de conception, la différence doit faire l’objetd’investigations et l’impact sur la sécurité doit être déterminé.

15.4. Validation de la fonction SIF

Les procédures de validation doivent englober tous les modes de fonctionnement duprocédé, avec les équipements associés, et doivent inclure les aspects suivants :

• démarrage, fonctionnement normal, arrêt ;• fonctionnement manuel ou automatique ;• modes de maintenance, contraintes de contournement ;• échéancier ;• rôles et responsabilités ;• procédures d’étalonnage.

Par ailleurs, la validation du logiciel d’application doit inclure les aspects suivants :

• identification du logiciel pour chaque mode de fonctionnement ;• procédure de validation à employer ;• outils et équipements à utiliser ;• critères de recette.

La validation doit s’assurer que le SIS est performant dans tous les modes defonctionnement et qu’il n’est pas affecté par l’interaction du système BPCS ainsi qued’autres systèmes connectés. La validation des performances doit vérifier que tousles canaux redondants, que les fonctions de contournement, que les forçages dedémarrages et que les systèmes d’arrêt manuel sont opérationnels.

L’état défini ou sécurisé doit être obtenu en cas de coupure de l’alimentation en énergie, parex. énergie électrique ou hydraulique, ou encore pneumatique. Les fonctions d’alarme dediagnostic définies dans la spécification SRS doivent fonctionner et être performantescomme spécifié pour les variables de procédé non valides, par ex., entrées hors plage. Aprèsla validation, des enregistrements appropriés doivent être produits et identifier l’élémenttesté, ainsi que les équipements, documents et résultats de test, y compris toute divergenceet analyse ou demande de changement résultante.

150

PROCESS SAFEBOOK 1


16. Fonctionnement et maintenance, CEI 61511-1, 16



L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, 16.1, consiste à :

• vérifier que le niveau SIL requis de chaque fonction SIF est maintenu pendant lefonctionnement et la maintenance [16.2] ;

• assurer le fonctionnement et la maintenance du SIS, afin de maintenir lasécurité fonctionnelle conçue [16.3].

16.2. Fonctionnement et maintenance (O&M) de fonction SIF

Les exigences concernant le fonctionnement et la maintenance doivent être définies dansle plan O&M ou être intégrées dans le plan de projet global. Les procédures O&M doiventdéfinir les opérations de routine à exécuter pour préserver la sécurité fonctionnelle du SIS.

Ges

tion

de la

séc

urité

fonc

tionn

elle

, év

alua

tion

et a

udit

de la

séc

urité

fonc

tionn

elle

10

Plan

ifica

tion

et s

truc

ture

du

cycl

e de

vie

de

sécu

rité

11

Vérifi

catio

n


1




du risque

2





Modification7

Mise hors service8


PROCESS SAFEBOOK 1

Fonctionnement et maintenance

151

Ces opérations doivent inclure les exigences pour les aspects suivants :

• tests de validité ;• contournement d’une fonction SIF aux fins de test ou de réparation ;• collecte périodique de données : par ex., résultats d’audits et de tests au niveau

du SIS, enregistrements de sollicitations de fonction SIF, défaillances ainsi quedélais d’arrêt pour réparation et tests de validité.

Les procédures de tests de validité doivent être élaborées, afin de tester chaque fonction SIFpour révéler des défaillances dangereuses autrement non détectées par le diagnostic [16.4].

Des procédures de maintenance sont requises pour le diagnostic de défauts, les réparations,la revalidation du système à la suite d’une réparation, les actions à effectuer en cas dedivergences entre le comportement escompté et le comportement réel, l’étalonnage et lamaintenance d’équipements de test ou encore le reporting de maintenance.

Des procédures de reporting sont nécessaires pour le signalement de défaillances,l’analyse des défaillances systématiques et des défaillances de cause commune ouencore pour le suivi des performances de maintenance.

16.3. Formation O&M

La formation du personnel O&M doit être planifiée et réalisée en temps utile, afin degarantir le fonctionnement et la maintenance du SIS conformément à la spécificationSRS. La formation doit porter sur les aspects suivants :

• dangers ;• points de déclenchement ;• actions pratiques ;• fonctionnement de tous les contournements et étude des contraintes sur leur

utilisation ;• fonctions manuelles, par ex. démarrage, arrêt et étude des contraintes sur leur

utilisation ;• fonctionnement des alarmes et diagnostics disponibles.

16.4. Tests de validité

Les procédures de tests de validité doivent tester le système SIF complet, de l’équipementde détection jusqu’à l’équipement d’actionnement final. L’intervalle de tests de validitédoit être celui employé pour la quantification de la probabilité PFD [14].

Des tests de différents éléments de la fonction SIF selon différents intervalles sontautorisés, à condition que :

• la probabilité PFD calculée demeure acceptable ;• il existe un certain chevauchement des tests, de sorte qu’aucune partie de la

fonction SIF demeure non testée.

152

PROCESS SAFEBOOK 1


17. Modification et mise hors service, CEI 61511-1, 17, 18


La figure 60 montre les phases applicables du cycle de vie.

L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, clauses 17.1 et 18.1,consiste à s’assurer que :

• toute modification d’une fonction SIF est planifiée, examinée et approuvéecomme il se doit avant de procéder à la modification en question [17.2] ;

• l’intégrité de sécurité requise est maintenue à la suite de toute modificationéventuelle [17.3] ;

• avant la mise hors service, une revue appropriée est effectuée et l’autorisationest obtenue pour vérifier que l’intégrité de la sécurité est maintenue pendant lamise hors service [17.4].

Ges

tion

de la

séc

urité

fonc

tionn

elle

, év

alua

tion

et a

udit

de la

séc

urité

fonc

tionn

elle

10

Plan

ifica

tion

et s

truc

ture

du

cycl

e de

vie

de

sécu

rité

11

Vérifi

catio

n


1




du risque

2





Modification7

Mise hors service8

Figure 60 : phases 7 et 8 du cycle de vie

PROCESS SAFEBOOK 1

Modification et mise hors service

153

17.2. Modification de fonction SIF

Avant de procéder à une quelconque modification, des procédures d’autorisation et decontrôle des changements doivent être en place. Cet aspect sera généralement traité aumoyen d’une note de demande de changement (CRN), laquelle fait normalement partied’un système QMS.

Toute demande de changement doit décrire la modification requise et les raisons de cettedernière. Elle peut être soumise par le personnel O&M à la suite d’incidents pendant lefonctionnement ou la maintenance. Le processus d’approbation usuel pour les demandesde changement doit faire intervenir plusieurs départements au sein d’une organisation,ce afin de déterminer l’impact du changement sur la conception, le parc installé etl’implémentation requise.

Dès qu’une organisation participe à la sécurité fonctionnelle, toute demande dechangement doit en outre être examinée par une personne compétente, par ex. l’autoritéde sécurité (SA), afin de déterminer un éventuel impact de la modification sur la sécuritéet, si c’est le cas, la nécessité d’une analyse d’impact.

17.3. Analyse d’impact

Les résultats de l’analyse peuvent exiger un réexamen des premières parties du cycle devie et, par exemple, une revue des risques identifiés ainsi que des évaluations de risque.Les activités de modification ne peuvent débuter qu’une fois ce processus terminé etl’autorisation de la modification par l’autorité de sécurité.

L’impact des changements sur la sécurité fonctionnelle peut s’accompagner d’effets pourle personnel O&M, avec la nécessité d’une formation complémentaire.

17.4. Mise hors service de la fonction SIF

La mise hors service doit constituer une activité planifiée de la phase 11 du cycle de vie etpeut être traitée comme une modification de fin de vie du projet.

La phase de mise hors service doit débuter par une analyse d’impact, afin de déterminerl’effet de ladite mise hors service sur la sécurité fonctionnelle. L’analyse doit inclure larévision de l’identification des dangers et de l’évaluation des risques, avec une attentionparticulière aux dangers susceptibles de se concrétiser comme résultante de l’activité demise hors service.

154

PROCESS SAFEBOOK 1


18. Gestion de la sécurité fonctionnelle et évaluation et audit de lasécurité fonctionnelle



L’objectif de cette phase, telle que définie dans la norme CEI 61511-1, clause 5 estd’identifier les activités de gestion et la documentation nécessaires pour un traitementadapté des phases de cycle de vie applicables par les personnes compétentes.

La norme répertorie les exigences générales pour la gestion et la documentation, afin depermettre un traitement approprié de toutes les phases de cycle de vie applicables par lespersonnes compétentes.

Ges

tion

de la

séc

urité

fonc

tionn

elle

, év

alua

tion

et a

udit

de la

séc

urité

fonc

tionn

elle

10

Plan

ifica

tion

et s

truc

ture

du

cycl

e de

vie

de

sécu

rité

11

Vérifi

catio

n


1




du risque

2





Modification7

Mise hors service8

Figure 61 : phases 10 et 11 du cycle de vie

PROCESS SAFEBOOK 1

Gestion, évaluation et audit

155

Cela signifie que la documentation de projet doit contenir suffisamment d’informationspour chaque phase du cycle de vie global terminée, ainsi que pour les phasesconsécutives et les activités de vérification à exécuter.

La conformité à la norme requiert la spécification des aspects suivants :

• responsabilités concernant la gestion de la sécurité fonctionnelle ;• activités à exécuter par les personnes responsables.

La conformité vis-à-vis des exigences peut être traitée en instaurant des procédures quigèrent chaque exigence du périmètre, en mettant en œuvre ces procédures et en veillantà ce que des informations appropriées soit disponibles afin d’assurer une gestion efficacede la sécurité fonctionnelle.

18.2. Gestion de la sécurité fonctionnelle

Les exigences afférentes à la gestion de la sécurité fonctionnelle sont récapitulées dans letableau 23.

La majorité des exigences ont peut être déjà été abordées par un système de gestion dela qualité (QMS) d’une organisation. Les sections suivantes mettent en exergue certainsdomaines nécessitant généralement un traitement.

Exigence de gestion de la sécuritéfonctionnelle

Description

Exigences générales, CEI 61511-1, 5.2.1Une politique et une stratégie doivent êtrespécifiées conjointement avec les moyens decommunications au sein de l’organisation.

Politique et communicationsUne politique de sécurité fonctionnelle doit être en place etêtre communiquée à travers l’organisation. Il est recommandé d’inclure dans la politique des objectifsde sécurité fonctionnelle spécifiques avec les moyensd’évaluation de leur réalisation ainsi que la méthode decommunication au sein de l’organisation.

Un système de gestion de la sécuritéfonctionnelle doit être instauré pour garantir lapossibilité du SIS de placer et de maintenir leprocessus dans un état sécurisé.

Un document synthétique sur la gestion de la sécuritéfonctionnelle doit être disponible afin d’identifier toutes lesphases du cycle de vie relevant du périmètre. Le documentde gestion doit référencer les procédures requises pourtoutes les activités touchant à la sécurité.Des procédures doivent permettre de spécifier toutes lesactivités techniques et de gestion à exécuter pour le projet.Les procédures doivent identifier les documents à produire. Les projets doivent être contrôlés au moyen d’un plan desécurité et de qualité, lequel identifie les activités à exécuter,les moyens de contrôle et une clôture avec validation etsignature.

156

PROCESS SAFEBOOK 1



Description

Organisation et ressources, CEI 61511-1, 5.2.2Les personnes, départements, organisations etautres unités responsables de l’exécution et de larevue de chaque phase du cycle de vie doiventêtre identifiés et être informés des responsabilitésqui leur sont affectées (y compris, le cas échéant,les autorités de délivrance de licence etorganismes de régulation de la sécurité).

Rôles et responsabilitésL’ensemble des personnes, départements et organisationsresponsables de l’exécution et de la revue de chaque activitéliée à la sécurité doivent être identifiés et leurs attributionsdoivent être clarifiées.En général, au sein d’une organisation, cela peut prendre laforme d’une publication d’organigrammes qui identifient lespersonnes et leur rôle. Ensuite, les descriptions de postesidentifient les responsabilités de chaque rôle.

Les personnes, départements ou organisationsconcernés par les activités de cycle de vie de lasécurité doivent être compétents pourl’exécution des activités qui leur incombent.

CompétencesLes compétences de toutes les personnes responsablesdéfinies ci-dessus doivent être documentées.Des procédures doivent être en place pour être certainque les personnes responsables aient les compétencesappropriées pour les activités qui leur sont assignées. Laprocédure doit inclure une revue et une évaluation descompétences et des formations nécessaires. La documentation des compétences doit inclure ce qui suit : a) des connaissances de l’ingénierie (applicables au procédé,

à la technologie, à la nouveauté et à la complexité del’application, des capteurs et des éléments finaux) ;

b) des aptitudes appropriées en gestion et leadership pour lerôle au cours du cycle de vie de la sécurité ;

c) une compréhension des conséquences potentielles d’unévénement, ainsi que de l’intégrité de la fonction SIF, del’ingénierie de la sécurité et des prescriptions légales enmatière de sécurité.

Évaluation et gestion des risques, CEI 61511-1, 5.2.3Il convient d’identifier les dangers, d’évaluer lesrisques et de déterminer la réduction nécessairedu risque.

Détermination SILCf. la section [6].

Planification, CEI 61511-1, 5.2.4La planification de la sécurité doit servir à définirles activités requises, avec les personnes, ledépartement, l’organisation ou d’autres unitésresponsables de leur exécution. Cetteplanification doit être mise à jour selon lesbesoins tout au long du cycle de vie de lasécurité.

PlanificationLa planification doit veiller à ce que la gestion de la sécuritéfonctionnelle, la vérification et les activités d’évaluation dela sécurité fonctionnelle soient planifiées et appliquées auxphases pertinentes du cycle de vie.La planification peut être incluse dans le plan de qualité deprojet et doit identifier toutes les activités liées à la sécurité,le calendrier et les personnes ou organisations responsables.Chaque activité liée à la sécurité peut inclure des référencesaux procédures ou pratiques de travail, ainsi qu’aux outils dedéveloppement et de production.

PROCESS SAFEBOOK 1


157


Description

Mise en œuvre et surveillance, CEI 61511-1,5.2.5Des procédures doivent être implémentées afinde garantir un suivi rapide et une résolutionsatisfaisante des recommandations découlantdes activités suivantes : a) analyse des dangers et des risques ;b) évaluation et audits ; c) vérification et validation; d) activités post-incident.

Mise en œuvre et surveillanceLes procédures doivent permettre de fournir desrecommandations découlant des activités d’analyse et derevue. De même, une méthode concernant la revue et lesuivi des recommandations pour leur résolution doit êtreimplémentée.Il faut une procédure afin de garantir la mise en applicationde toute recommandation découlant des incidents oudangers.

Les procédures suivantes doivent, entreautres, être implémentées afin d’évaluerles performances du SIS par rapport auxprescriptions de sécurité :a) Collecte et analyse des données de

défaillances de terrain pendant lefonctionnement ;

b) Consignation des sollicitations de la fonctionSIF afin de garantir que les hypothèsesémises pendant la détermination du niveauSIL demeurent valides.

Lorsque l’organisation est chargée des phases defonctionnement et de maintenance, des procédures doiventpermettre d’identifier les performances de fonctionnementet de maintenance, notamment les aspects suivants :• défauts systématiques ;• défauts récurrents ;• évaluation des taux de sollicitation et des taux de

défaillances en fonction des hypothèses émises pendantla conception ou l’évaluation de la sécurité fonctionnelle.

Les exigences relatives aux audits de la sécurité fonctionnelledoivent inclure les aspects suivants : fréquence, indépendance,documentation nécessaire et suivi.

Toute entreprise qui fournit des produits ouservices à une organisation et est chargée d’uneou de plusieurs phases du cycle de vie de lasécurité, doit réaliser la fourniture comme spécifiépar l’organisation en question et avoir un systèmede gestion de la qualité approprié. Des procéduresdoivent être instaurées afin d’établir la pertinencedu système de gestion de la qualité.

Gestion des fournisseursLes fournisseurs doivent livrer des produits conformes auxspécifications et avoir un système de gestion de la qualitéapproprié. En général, les approvisionnements seront baséssur une liste de fournisseurs agréés et seront contrôlés parune spécification sur les approvisionnements.Des procédures doivent être en place pour auditerl’agrément des fournisseurs.

Évaluation, audit et révisions, CEI 61511-1,5.2.6 Il convient de définir et d’exécuter uneprocédure concernant une évaluation de lasécurité fonctionnelle, de telle sorte qu’uneappréciation puisse être effectuée concernant lasécurité fonctionnelle et l’intégrité de sécuritéatteintes par le système instrumenté de sécurité. La procédure requiert la nomination d’uneéquipe d’évaluation, laquelle équipe regrouperal’expertise technique, applicative et defonctionnement nécessaire à l’applicationconcernée.L’équipe d’évaluation devra comporter au moinsune personne compétente senior, non membrede l’équipe de conception de projet. Les étapes du cycle de vie de la sécurité aucours desquelles les activités d’évaluation de lasécurité fonctionnelle seront réalisées devrontêtre identifiées pendant la planification de lasécurité.

Évaluation de la sécurité fonctionnelleActivités d’évaluation de la sécurité fonctionnelle – cf. lasection [13].Une procédure doit être mise en œuvre en vue de réaliserune évaluation de la sécurité fonctionnelle. Les exigencesvisant à démontrer la conformité aux objectifs SIL et PFD (ouPFH) définis pendant la détermination SIL [6] sont détailléesà la section [11.1].Il conviendra peut-être de nommer une équipe au sein del’organisation, sous réserve que les exigences de compétenceset d’indépendance soient respectées. En cas de recours à uneorganisation extérieure, les exigences de compétencesdoivent faire partie intégrante de la procédure de gestion desfournisseurs.Les exigences relatives au risque MTR doivent être inclusesdans le périmètre (section [8.6.6]).

158

PROCESS SAFEBOOK 1


Tableau 23 : Exigences afférentes à la gestion de la sécurité fonctionnelle


Description

Au moins une évaluation de la sécuritéfonctionnelle doit être réalisée avant laconcrétisation des dangers identifiés et elle doit confirmer les éléments suivants :• l’évaluation des dangers et des risques a été

effectuée ;• les recommandations découlant de

l’évaluation des dangers et des risquesont été résolues ;

• le SIS a été conçu, construit et installéconformément à la spécification SRS ;

• les procédures de sécurité, de fonctionnementet de maintenance sont en place ;

• les activités de validation ont été réalisées ;• la formation O&M a été dispensée et des

informations appropriées sur le SIS ont étéfournies ;

• les stratégies d’évaluations supplémentairessont en place.

L’évaluation de la sécurité fonctionnelle doit suivre un plande conformité. Les points du calendrier de projet ou du cyclede vie de la sécurité où elle doit avoir lieu doivent êtrespécifiés dans le plan de sécurité et de qualité du projet.Il est important d’effectuer au moins une évaluation de lasécurité fonctionnelle avant la concrétisation des dangersidentifiés au niveau de l’usine ou du procédé.

Il convient de définir et d’exécuter desprocédures pour la conformité des audits,avec les exigences suivantes : a) la fréquence des activités d’audit ; b) le degré d’indépendance entre les personnes,

départements, organisations ou autres unitésexécutant le travail et ceux chargés desactivités d’audit ;

c) les activités d’enregistrement et de suivi.

Les audits de sécurité fonctionnelle doivent viser à vérifierque les procédures appropriées sont en place au niveau duprojet et qu’elles sont implémentées.En général, un audit de sécurité fonctionnelle doit êtreréalisé très tôt au cours du cycle de vie du projet, afin des’assurer que des procédures couvrent toutes les activitésliées à la sécurité. Des audits consécutifs doivent avoir lieu régulièrement tout au long du projet, afin de vérifier queles procédures sont suivies et que toute recommandation ouactivité de suivi est appliquée.

Gestion de la configuration du SIS, CEI 61511-1, 5.2.7 Des procédures doivent être disponibles pourla gestion de la configuration du SIS durant lecycle de vie. Les points suivants doivent êtreprécisés :a) l’étape à laquelle le contrôle de configuration

formel est mis en œuvre ;b) la méthode d’identification des composants

(matériels et logiciels) ;c) les procédures empêchant l’accès de parties

non autorisées au service.

Gestion de la configuration Les procédures de gestion de configuration, dedéclenchement de modification, d’approbation et de suivides demandes de changement existent probablement déjàdans le cadre d’un système QMS type. Toutefois, lorsque des modifications concernent une fonctionde sécurité, il doit y avoir une certaine forme d’analysed’impact afin de déterminer si cela peut compromettre lasécurité et à quel point du cycle de vie il faut revenir enarrière pour commencer le processus de réévaluation. Une procédure de conduite d’analyse d’impact et de gestionde la réévaluation peut s’avérer nécessaire.

PROCESS SAFEBOOK 1


159

18.3. Exigences générales

Une politique et une stratégie de réalisation de la sécurité fonctionnelle doivent êtreen place dans l’organisation et il convient d’identifier les moyens de les communiquer àtravers toute l’organisation.

Il est important que l’organisation élabore sa propre politique de sécurité fonctionnelle.En effet, cette approche exigera des parties prenantes qu’elles pensent avec soin à lasignification de la sécurité fonctionnelle pour l’organisation et à la manière de lacommuniquer en vue d’instaurer une culture de la sécurité fonctionnelle qui atteignechaque recoin de l’organisation, dans toutes ses activités.

18.4. Organisation et ressources

Tout le personnel impliqué dans le projet doit être identifié par une définition de sescompétences et responsabilités. Les compétences du personnel doivent être consignéesdans un registre de compétences et une procédure doit permettre de les examiner, demettre à jour périodiquement le registre sur la base de l’expérience acquise et de passeren revue les besoins de formation. Les exigences relatives aux compétences doivent êtredéfinies pour chaque rôle au sein du projet.

La majorité des organisations néophytes en matière de sécurité fonctionnelle peuventtrouver utiles de nommer une autorité de sécurité (SA, Safety Authority) chargée de lasécurité fonctionnelle, de la politique d’entreprise et des communications, des phasesdu cycle de vie ainsi que de la planification des activités. La SA sera indépendante desprojets.

Selon toute probabilité, il faudra peut-être aussi instaurer et gérer un registre decompétences ou de développer un système existant afin d’y inclure les activités etresponsabilités touchant à la sécurité fonctionnelle.

18.5. Mise en œuvre et surveillance de projet

Si certaines activités sont nouvelles pour le périmètre, par ex. HAZOP, une procédure deconduite d’études HAZOP doit être créée. Si, par exemple, un développement doit inclureun logiciel d’application lié à la sécurité, une procédure doit être en place afin de garantirle développement du logiciel conformément à la phase 4 du cycle de vie [11].

18.6. Gestion de configuration et modification

Les procédures de gestion de configuration, de déclenchement de modification,d’approbation et de suivi des demandes de changement existent généralement déjàdans le cadre d’un système QMS type.

160

PROCESS SAFEBOOK 1


Toutefois, lorsque des modifications concernent une fonction de sécurité, il doit y avoirune certaine forme d’analyse d’impact afin de déterminer si cela peut compromettre lasécurité et à quel point du cycle de vie il faut revenir en arrière pour commencer leprocessus de réévaluation. Une procédure de conduite d’analyse d’impact et de gestionde la réévaluation peut s’avérer nécessaire.

18.7. Performances O&M

En fonction des phases du cycle de vie dans le périmètre, il peut être nécessaire de mettreen œuvre des procédures chargées de traiter, de collecter et de gérer des informationsdécoulant des : dangers, incidents et modifications. Les procédures peuvent aussi décrireles aspects suivants :

• gestion des incidents dangereux ;• analyse des dangers détectés ;• activités de vérification.

La collecte des données et la gestion d’enregistrements peuvent s’avérer nécessaires, carpendant l’évaluation de la sécurité, il a peut-être été supposé que la fonction de sécuritéétait, par exemple, un système en mode de sollicitation. La surveillance du taux desollicitations défini pour la fonction de sécurité garantit par conséquent que les cibles etmesures de performance appropriées ont été définies et demeurent valides.

PROCESS SAFEBOOK 1

Références

161

19. Références

19.1. CEI 61508:2010, Sécurité fonctionnelle des systèmes électriques, électroniqueset électroniques programmables relatifs à la sécurité.

19.2. CEI 61511:2004 : Sécurité fonctionnelle : Systèmes instrumentés de sécuritépour l’industrie des procédés.

19.3. Reducing Risks, Protecting People, HSE 2001, ISBN 0 7176 2151 0.

19.4. AIChE Centre for Chemical Process Safety, Layer of Protection Analysis (LOPA),2001

19.5. 19.5. CEI 61784-3:2010 Réseaux de communication industriels. Profils –Partie 3 : Bus de terrain de sécurité fonctionnelle – Règles générales et définitionsde profil.

19.6. Derivation of the Simplified PFDavg Equations, D Chauhan,Rockwell Automation (FSC).

19.7. General Reliability Calculations for MooN Configurations, KJ Kirkcaldy,Rockwell Automation (FSC).

19.8. Sécurité fonctionnelle : Systèmes instrumentés de sécurité pour l’industrie desprocédés. ANSI/ISA-84.00.01-2004 Partie 1 (CEI 61511-1 modifiée).

162

PROCESS SAFEBOOK 1


20. Définitions2oo3 Circuit logique deux sur trois (circuit logique 2/3). Un circuit logique comportant trois

entrées indépendantes. La sortie du circuit logique est le même état que deux étatsd’entrée concordants. Par exemple, un circuit de sécurité comporte trois capteurs et unsignal de deux quelconques des capteurs est nécessaire pour demander un arrêt. Lesystème 2oo3 est à tolérance de panne unique (HFT = 1) car, même en cas de défaillancedangereuse d’un des capteurs, le système peut encore s’arrêter en toute sécurité. D’autressystèmes de vote incluent les configurations 1oo1, 1oo2, 2oo2, 1oo3 et 2oo4.

ALARP As Low As Reasonably Practicable (aussi faible que raisonnablement envisageable).Philosophie traitant des risques situés entre des limites extrêmes supérieure etinférieure. La limite extrême supérieure signale un risque tellement élevé qu’il est rejetécomplètement, tandis que la limite extrême inférieure signale un risque insignifiant ourendu tel. La philosophie prend en compte les coûts et bénéfices de la réduction durisque pour que celui-ci soit « aussi faible que raisonnablement envisageable ».

AMDEC Analyse des modes de défaillances, de leurs effets et de leur criticité – Il s’agit d’uneanalyse détaillée des différents modes de défaillance et de la criticité d’un équipement.

Analyse par arbred’événements

Méthode de modélisation de propagation des défauts. L’analyse construit un schéma enforme d’arbre représentant des chaînes d’événements partant d’un événementdéclencheur et aboutissant à différents résultats possibles. L’arbre s’étend de l’événementdéclencheur en branches d’événements de propagation intermédiaires. Chaque branchereprésente une situation avec un résultat différent possible. Après l’inclusion de toutes lesbranches appropriées, l’arbre d’événements se termine avec plusieurs résultats possibles.

Architecture La structure de vote de différents éléments dans une fonction instrumentée de sécurité.Voir Contraintes architecturales, Tolérance aux pannes et 2oo3.

Arrêt en sécurité(ou de préférencecoupure par misehors tension)

Caractéristique d’un équipement particulier qui provoque le passage de l’équipement àl’état de sécurité en cas de coupure de son alimentation électrique ou pneumatique.

BPCS Voir Système de contrôle de procédé de base (BPCS).

CEI Commission électrotechnique internationale. Organisation mondiale de normalisation.La finalité de la CEI est de promouvoir la coopération internationale sur toutes lesquestions concernant la normalisation dans les domaines de l’électricité et del’électronique. À cette fin et en plus d’autres activités, la CEI publie des normesinternationales. Voir 61508 et 61511. Analyse d’impact, activité consistant à déterminerl’effet qu’aura une modification d’une fonction ou d’un composant sur d’autresfonctions ou composants dans le système concerné et dans d’autres systèmes

CEI 61508 La norme CEI couvrant la sécurité fonctionnelle des systèmes électriques, électroniqueset électroniques programmables relatifs à la sécurité. Le principal objectif de la normeCEI 61508 est d’employer les systèmes instrumentés de sécurité pour réduire le risque àun niveau tolérable en appliquant les procédures de cycle de vie de la sécurité globale, dumatériel et des logiciels, et en gérant la documentation associée. Publiée en 1998 et 2000,la norme est depuis utilisée principalement par les fournisseurs d’équipements desécurité afin de montrer que leurs équipements sont adaptés à une utilisation dans lessystèmes répondant à des niveaux d’intégrité de sécurité.

CEI 61511 La norme CEI applicable aux systèmes électriques, électroniques et électroniquesprogrammables relatifs à la sécurité dans l’industrie des procédés. À l’instar de la normeCEI 61508, elle met l’accent sur un ensemble de processus de cycle de vie de la sécurité,afin de gérer le risque des procédés. Elle a été publiée à l’origine par la CEI en 2003 etadoptée par les États-Unis en 2004 sous la forme ISA 84.00.01-2004. À la différence de lanorme CEI 61508, elle cible les utilisateurs de systèmes instrumentés de sécurité dansl’industrie des procédés.

PROCESS SAFEBOOK 1

Définitions

163

Conséquence L’ampleur des dommages ou la mesure du résultat d’un événement préjudiciable. Unedes deux composantes servant à définir un risque.

Contraintesarchitecturales

Limitations imposées au matériel sélectionné pour implémenter une fonctioninstrumentée de sécurité, indépendamment des performances calculées pour un sous-système. Les contraintes architecturales sont spécifiées (dans le tableau 2 de CEI 61508-2 et le tableau 5 de CEI 61511) conformément au niveau SIL requis du sous-système, dutype de composants utilisés et de la proportion SFF des composants du sous-système.Les composants de type A sont des équipements simples sans microprocesseur, tandisque les équipements de type B sont des équipements complexes tels que leséquipements à microprocesseur. Voir Tolérance aux pannes.

Conséquence L’ampleur des dommages ou la mesure du résultat d’un événement préjudiciable. Unedes deux composantes servant à définir un risque.

Couche de protection Voir IPL.

Couverture dediagnostic

Une mesure de la capacité d’un système à détecter les défaillances. Il s’agit d’un ratioentre les taux des défaillances détectées et le taux de toutes les défaillances du système.

Couverture de testsde validité

Le pourcentage de défaillances détectées pendant le fonctionnement de l’équipement.En général, lorsqu’un test de validité est effectué, toute erreur dans le système estsupposée détectée et corrigée (couverture de tests de validité de 100 %).

Danger Capacité potentielle de provoquer un dommage.

Déclenchementintempestif

Voir Défaillance non dangereuse

Défaillance aléatoire Défaillance se produisant à n’importe quel moment et résultant d’un ou de plusieursmécanismes de dégradation. Les défaillances aléatoires peuvent être préditesefficacement au moyen des statistiques et constituent la base des exigences de calculsaxés sur la probabilité de défaillance sur sollicitation pour les niveaux d’intégrité desécurité. Voir Défaillance systématique.

Défaillancedangereuse

Une défaillance d’un composant dans une fonction instrumentée de sécurité quiempêche cette fonction d’obtenir un état de sécurité lorsqu’elle doit le faire. Voir Modede défaillance.

Défaillance de causecommune (CCF)

Une contrainte aléatoire qui provoque la défaillance de deux composants ou plus enmême temps, pour la même raison. Elle diffère d’une défaillance systématique, en cesens où elle est aléatoire et probabiliste, mais n’est pas du type cause et effet fixe etprévisible. Voir Défaillance systématique.

Défaillance enposition fermée

Condition où le composant de fermeture de vanne se déplace en position fermée encas de défaillance de l’énergie d’actionnement.

Défaillance enposition fermée

Condition où le composant de fermeture de vanne se déplace en position fermée encas de défaillance de l’énergie d’actionnement.

Défaillance enposition ouverte

Condition où le composant de fermeture de vanne se déplace en position ouverte encas de défaillance de l’énergie d’actionnement.

Défaillance nondangereuse

Défaillance qui ne peut pas placer le système instrumenté de sécurité dans un étatdangereux ou d’incapacité de fonctionner. Situation dans laquelle un système oucomposant lié à la sécurité n’assure pas correctement sa fonction de telle manière qu’ildemande l’arrêt du système ou l’activation de la fonction instrumentée de sécuritélorsqu’aucun danger n’est présent.

164

PROCESS SAFEBOOK 1


Défaillancesystématique

Une défaillance qui se produit d’une manière déterministe (non aléatoire) et prédictible àpartir d’une certaine cause et qui peut uniquement être éliminée par une modification dela conception ou du procédé de fabrication, des procédures opérationnelles, de ladocumentation ou d’autres facteurs pertinents. Comme ces défaillances ne peuvent pasêtre prédites par voie mathématique, le cycle de vie de la sécurité inclut un grand nombrede procédures afin d’empêcher leur survenance. Les procédures sont plus rigoureusespour les systèmes et composants à niveau d’intégrité plus élevé. De telles défaillances nepeuvent pas être prévenues par une simple redondance.

Diagnostic D Certains analyseurs logiques conçus pour la sécurité sont désignés comme ayant undiagnostic avec lettre majuscule D. Ce diagnostic diffère du diagnostic normal carl’unité est capable de reconfigurer son architecture après la détection d’une défaillancepar le diagnostic. L’effet le plus important concerne les systèmes 1oo2D, lesquelspeuvent se reconfigurer en fonctionnement 1oo1 en cas de détection d’une défaillancenon dangereuse. Ainsi, le taux de déclenchements intempestifs pour un tel système estréduit de manière spectaculaire.

Diagramme d’arbrede défauts

Méthode de combinaison de probabilités pour l’estimation de probabilités complexes.Comme il fournit généralement une vue des défaillances d’un système, il est utile dansla modélisation de plusieurs modes de défaillance. Il faut faire attention lorsqu’il estemployé pour calculer les probabilités moyennes intégrées.

Diagramme deCauses et Effets (C&E)

Une méthode fréquemment employée pour afficher la relation entre les entrées decapteur vers une fonction de sécurité et les sorties nécessaires. Est souvent employédans le cadre d’une spécification des prescriptions de sécurité (SRS). Les atouts de laméthode sont un niveau bas d’efforts et une représentation visuelle claire, tandis queses points faibles sont un format rigide (certaines fonctions ne sont pas représentablesavec des diagrammes C&E) et le fait qu’elle puisse simplifier à l’excès la fonction.

Diagramme defiabilité

Méthode de combinaison de probabilités pour l’estimation de probabilités complexes.Comme il fournit généralement une vue « positive » d’un système, il peut générer de laconfusion dans la modélisation de plusieurs modes de défaillance.

Disponibilité La probabilité qu’un équipement fonctionne avec succès à un moment donné. Il s’agit d’une mesure du « bon fonctionnement », laquelle est définie en unités depourcentage. Pour la majorité des composants de système de sécurité réparés et testés,la disponibilité varie en dent de scie avec le temps selon les cycles de tests de validité etde réparation. Ainsi, la disponibilité moyenne intégrée sert à calculer la probabilitémoyenne d’une défaillance sur sollicitation. Voir PFDavg.

Éprouvé parl’utilisation

Base de l’utilisation d’un composant ou système dans le cadre d’un systèmeinstrumenté de sécurité (SIS) noté SIL (Safety Integrity Level) qui n’a pas été conçuconformément à la norme CEI 61508. Il faut suffisamment d’heures de fonctionnementdu produit, un historique de révision, des systèmes de reporting de défauts et desdonnées de défaillances de terrain pour déterminer s’il existe une preuve de défautsde conception systématiques au niveau d’un produit. La norme CEI 61508 fournit lesniveaux d’historique de fonctionnement nécessaires pour chaque niveau SIL.

État de sécurité L’état du procédé après avoir agi afin de supprimer le danger et d’éviter tout dommagesubstantiel.

Fiabilité 1. Probabilité qu’un équipement fonctionne conformément à ses objectifs deperformance, pour le laps de temps spécifié, dans les conditions opérationnellesstipulées.2. Probabilité qu’un composant, équipement ou système assure sa fonction pour unlaps de temps spécifié, généralement en heures de fonctionnement, sans nécessiterde maintenance corrective.

PROCESS SAFEBOOK 1

Définitions

165

HAZOP Étude de dangers et d’opérabilité. Une procédure d’analyse des dangers d’un procédémise au point à l’origine par ICI dans les années 1970. La méthode est hautementstructurée et divise le procédé en différents nœuds basés sur le fonctionnement. Elleexamine le comportement des différentes parties de chaque nœud en se basant surune matrice de conditions d’écart possibles ou de mots-guides.

HFT Tolérances aux pannes matérielles (voir Tolérance aux pannes)

HSE (Royaume-Uni) Health and Safety Executive (bureau pour la santé et la sécurité)

Incident Résultat d’un événement déclencheur dont la propagation n’est pas stoppée.L’incident constitue la description la plus élémentaire d’un accident et fournit la pluspetite quantité d’informations. Le terme incident est employé simplement pour signalerle fait que le procédé a subi une perte de confinement d’un produit chimique ou d’uneautre source potentielle d’énergie. Ainsi, la capacité à provoquer un dommage a étéconcrétisée, mais son résultat préjudiciable n’a pas pris une forme spécifique.

Intervalle de tests devalidité

L’intervalle entre deux interventions de service sur l’équipement.

Lambda Taux de défaillances d’un système. Voir Taux de défaillances.

IPL Couche(s) de protection indépendante(s). Ce terme fait référence à différentes autresméthodes de réduction du risque pour un procédé. Des exemples incluent des élémentstels que les disques de rupture et les limiteurs de pression, lesquels réduiront de manièreautonome la vraisemblance d’une escalade d’un danger vers un véritable accident auxeffets préjudiciables. Pour être efficace, chaque couche doit empêcher spécifiquementle danger en question de provoquer des dommages, agir indépendamment des autrescouches, avoir une probabilité raisonnable de fonctionnement et pouvoir être auditéeune fois l’usine en fonctionnement par rapport à ses performances initiales escomptées.

LOPA Layer of Protection Analysis (analyse des couches de protection). Méthode d’analyse dela vraisemblance (fréquence) d’un événement dommageable basée sur une fréquenced’événement déclencheur et sur la probabilité de défaillance d’une série de couches deprotection indépendantes capable de prévenir l’issue préjudiciable.

Mode (continu) Lorsque les sollicitations d’activation d’une fonction de sécurité (SIF) sont fréquentespar rapport à l’intervalle de test de la fonction SIF. Notez que d’autres secteursdéfinissent un mode de sollicitation élevée distinct, basé sur la possibilité pour lediagnostic de réduire le taux d’accidents. Dans chaque cas, le mode continu désignela situation où la fréquence d’un accident indésirable est déterminée pour l’essentielpar la fréquence d’une défaillance de SIF dangereuse. Lors de la défaillance de lafonction SIF, la sollicitation visant à son intervention se déroule dans un laps de tempsnettement plus court que le test de fonction, de sorte qu’il n’est pas pertinent de parlerde sa probabilité de défaillance. Pour l’essentiel, tous les défauts dangereux d’unefonction SIF en mode continu seront révélés par une sollicitation de procédé au lieud’un test de fonction. Voir Mode à sollicitation faible, Mode à sollicitation élevée et SIL.

Mode à sollicitationélevée

(aussi mode continu selon la norme CEI 61511) Similaire au mode continu, hormis lefait que le diagnostic automatique est pris en compte de manière spécifique. Le mode àsollicitation élevée se démarque du mode continu lorsque le diagnostic automatique sedéroule nettement plus rapidement que le taux de sollicitations au niveau de lafonction de sécurité. Si le diagnostic est plus lent que ce taux, le diagnostic n’est pas prisen compte et le mode continu s’applique.

166

PROCESS SAFEBOOK 1


Mode à sollicitationfaible

(aussi mode de sollicitations selon la norme CEI 61511) Lorsque les sollicitationsd’activation de la fonction instrumentée de sécurité (SIF) ne sont pas fréquentes parrapport à l’intervalle de tests de la fonction SIF. L’industrie des procédés définit ce modelorsque les sollicitations d’activation de la fonction SIF sont inférieures à une fréquenced’un intervalle de tests de validité sur deux. Le mode de fonctionnement à sollicitationfaible est le plus courant dans l’industrie des procédés. Lors de la définition du niveaud’intégrité de sécurité pour le mode à sollicitation faible, les performances d’unefonction SIF sont mesurées en termes de probabilité moyenne de défaillance sursollicitation (PFDavg). Dans ce mode de sollicitation, la fréquence de l’événementdéclencheur, modifiée par la probabilité de défaillance sur sollicitation de la fonctionSIF multipliée par le taux de sollicitations, et toute autre couche de protection en avaldéterminent la fréquence des accidents indésirables.

Modes de défaillance La manière dont se produit la défaillance d’un équipement. Les modes de défaillancesont généralement au nombre de quatre : Non dangereux détecté (SD), Dangereuxdétecté (DD), Non dangereux non détecté (SU) et Dangereux non détecté (DU) selon lanorme ISA TR84.0.02.

MTTR Mean Time to Repair (temps moyen de réparation) – Le temps moyen entre lasurvenance d’une défaillance et la fin de sa réparation. Cela inclut le temps nécessairepour détecter la défaillance, commencer la réparation et la mener à bien.

Occupation Mesure de la probabilité selon laquelle la zone d’effet d’un accident contiendra une ouplusieurs victimes de l’effet. Cette probabilité doit être déterminée au moyen de laphilosophie et des pratiques d’affectation du personnel propres à l’usine.

P&ID Piping and Instrumentation Drawing (diagramme de tuyauterie et d’instrumentation).Affiche l’interconnexion des équipements de procédé et des instruments servant àcommander le procédé. Dans l’industrie des procédés, un jeu standard de symbolesest employé pour préparer les diagrammes et schémas des procédés. Les symbolesd’instruments employés sur ces diagrammes et schémas sont généralement basés surla norme de l’ISA (Instrument Society of America) S5. 1. 2. Le schéma principal employépour l’aménagement d’une installation de commande de procédé.

PFDavg Probabilité moyenne de défaillance sur sollicitation – Il s’agit de la probabilité selonlaquelle un système subira une défaillance dangereuse et ne sera pas en mesured’assurer sa fonction de sécurité au moment voulu. La probabilité PFD peut êtredéterminée sous forme de probabilité moyenne ou de probabilité maximum sur unecertaine période. Les normes CEI 61508/61511 et ISA 84.01 utilisent PFDavg en tantque mesure système servant à définir le niveau SIL.

Proportion dedéfaillances nondangereuses

Voir SFF.

Redondance Utilisation de multiples éléments ou systèmes pour effectuer la même fonction.La redondance peut être implémentée par des éléments identiques (redondanceidentique) ou par divers éléments (redondance diversifiée). La redondance sertprincipalement à améliorer la fiabilité ou la disponibilité.

RRF Risk Reduction Factor (facteur de réduction du risque) – L’inverse de PFDavg

Sécurité fonctionnelle Prévention des risques inacceptables réalisée tout au long du cycle de vie de la sécurité.Voir CEI 61508, CEI 65111, Cycle de vie de la sécurité et Risque tolérable.

SFF Safe Failure Fraction (proportion de défaillances non dangereuses) – Proportion d’untaux de défaillances global d’un équipement qui aboutit à un défaut non dangereux ouà un défaut dangereux (détecté) diagnostiqué. La proportion de défaillances nondangereuses inclut les défaillantes dangereuses détectables lorsque celles-ci sontannoncées et que les procédures de réparation ou d’arrêt sont en place.

PROCESS SAFEBOOK 1

Définitions

167

SIF Safety Instrumented Function (fonction instrumentée de sécurité) – Ensembled’équipements visant à réduire le risque dû à un danger spécifique (une boucle desécurité). Elle a pour rôle 1. d’amener automatiquement un procédé industriel dans unétat de sécurité en cas de violation de conditions spécifiées ; 2. d’autoriser un procédéà poursuivre de manière sécurisée lorsque les conditions spécifiées le permettent(fonctions à autorisation) ; ou 3. de prendre des mesures d’atténuation des conséquen -ces d’un danger industriel. Elle inclut les éléments qui détectent l’imminence d’unaccident, décident d’agir, puis exécutent l’action nécessaire afin d’amener le procédédans un état de sécurité. Sa capacité de détection, de décision et d’action est appeléele niveau d’intégrité de sécurité (SIL) de la fonction. Voir SIL.

SIL Safety Integrity Level (niveau d’intégrité de sécurité) – Objectif quantitatif servantà mesurer le niveau de performances nécessaire afin que la fonction de sécuritéaboutisse à un risque tolérable pour un danger de procédé. La définition d’unniveau SIL cible pour le procédé doit reposer sur l’évaluation de la vraisemblance desurvenance d’un incident et des conséquences de ce dernier. Le tableau suivant décritles niveaux SIL pour différents modes de fonctionnement.

SIS Système instrumenté de sécurité – Implémentation d’une ou de plusieurs fonctionsinstrumentées de sécurité. Un SIS est composé de n’importe quelle combinaison decapteurs, analyseurs logiques et éléments finaux. Un SIS comporte généralement un certainnombre de fonctions de sécurité ayant différents niveaux d’intégrité de sécurité (SIL), desorte qu’il vaut mieux éviter de le décrire au moyen d’un niveau SIL unique. Voir SIF.

Système de contrôlede procédé de base(BPCS)

Système qui répond aux signaux d’entrée du procédé, des équipements associés et/oud’un opérateur et génère des signaux de sortie provoquant le fonctionnement souhaitédu procédé et de ses équipements associés. Le BPCS ne peut pas assurer de fonctioninstrumentée de sécurité avec un niveau d’intégrité de sécurité (SIL) 1 ou supérieur, àmoins de respecter des exigences éprouvées par l’utilisation. Voir Éprouvé par l’utilisation.

Système électrique,électronique etélectronique pro -grammable (E/E/PES)

Voir 61508 et 61511.

Taux de défaillances Le nombre de défaillances par unité de temps pour un équipement. Est généralementsupposé être une valeur constante. Ce taux peut être subdivisé en plusieurs catégories tellesque non dangereux et dangereux, détecté et non détecté, ou encore indépendant/ normalet cause commune. Il faut faire attention à ce que le rodage et l’usure soient pris en comptecorrectement afin que les hypothèses de taux de défaillances constant soient valides.

Tests de validité Tests des composants du système de sécurité afin de détecter d’éventuelles défaillancesnon détectées par le diagnostic en ligne automatique, à savoir défaillances dangereuses,défaillances de diagnostic, défaillances paramétriques suivies de leur réparation à un étatéquivalent à celui du neuf. Les tests de validité constituent une partie vitale du cycle devie de la sécurité et sont critiques pour garantir qu’un système est conforme à son niveaud’intégrité de sécurité requis tout au long du cycle de vie de la sécurité.

Tolérance aux pannes Capacité d’une unité fonctionnelle à continuer d’exécuter une fonction requise enprésence de défauts aléatoires ou d’erreurs. Par exemple, un système à vote 1oo2 peuttolérer une défaillance de composant aléatoire, tout en continuant d’assurer sa fonction.La tolérance aux pannes est une des exigences spécifiques pour le niveau d’intégrité desécurité (SIL) et est décrite plus en détail dans les tableaux 2 et 3 de la norme CEI 61508,partie 2, ainsi que dans la clause 11.4 de la norme CEI 61511 (ISA 84.01 2004).

Vérification SIL Processus de calcul de la probabilité moyenne de défaillance sur sollicitation (ou de laprobabilité de défaillances par heure) et des contraintes architecturales pour uneconception de fonction de sécurité, afin de vérifier si elle est conforme au niveau SIL requis.

168

PROCESS SAFEBOOK 1


Vraisemblance La fréquence d’un événement dommageable souvent exprimée en événements par anou événements par million d’heures. Une des deux composantes servant à définir unrisque. Notez que cette explication diffère de la définition anglaise servant à désigner laprobabilité.

PROCESS SAFEBOOK 1

Abréviations

169

Abréviationsλ Taux de défaillances, le rapport du nombre total de défaillances survenant au cours d’une

période donnéeλD taux de défaillances dangereusesλDD taux de défaillances dangereuses détectées par diagnosticλDU taux de défaillances dangereuses non détectées par diagnosticλS taux de défaillances non dangereuses1oo1 vote 1 sur 1 (simplex)1oo2 1 sur 2AI Analogue Input (entrée analogique)ALARP As Low As Reasonably Practicable (aussi faible que raisonnablement envisageable)AMDEC Analyse des modes de défaillances, de leurs effets et de leur criticitéANSI American National Standards InstituteBMS Burner Management System (système de gestion de brûleur)BPCS Basic Process Control System (système de contrôle de procédé de base)C&E Cause et EffetCBA Cost Benefit Analysis (analyse coûts-bénéfices)CCF Common Cause Failure (défaillance de cause commune)CEI Commission électrotechnique internationaleCOMAH Control Of Major Accident HazardsDéfaillance dangereuse Mode de défaillance susceptible de placer le système lié à la sécurité dans un état

dangereux ou inopérableDéfaillance non dangereuse Mode de défaillance non susceptible de placer le système lié à la sécurité dans un état

dangereux ou inopérable.DD Dangereux détectéDI Digital Input (entrée TOR)DO Digital Output (sortie TOR)DU Dangereux non détectéE/E/PES Système électrique, électronique et électronique programmableE/S Entrée/SortieESD Emergency Shutdown (arrêt d’urgence)ESDV Emergency Shutdown Valve (vanne d’arrêt d’urgence)F&G Feu et Gazf/hr Failures per hour (défaillances par heure)FC Fail Closed (défaillance en position fermée)FDS Functional Design Specification (spécification fonctionnelle)FO Fail Open (défaillance en position ouverte)FPL Fixed Programmable LanguageFSC Functional Safety Capability (capacité de sécurité fonctionnelle)FVL Full Variability LanguageHASAW Health and Safety at Work Act (HSW) (loi britannique sur la santé et la sécurité au travail)HAZAN Hazard Analysis (analyse des dangers)HAZOP Hazard and Operability StudyHFT Hardware Fault Tolerance (tolérance aux pannes matérielles)HIPPS High Integrity Pressure Protection System (système de protection contre les pressions à

haute intégrité)HSE Health and Safety Executive (bureau pour la santé et la sécurité)IPL Independent Protection Layer (couche de protection indépendante)ISA International Society of AutomationLOPA Layer of Protection AnalysisLVL Limited Variability LanguageMDT Mean Down Time (temps moyen d’indisponibilité)MooN M sur N (cas général)MTBF Mean Time Between Failures (temps moyen entre défaillances)MTR Maximum Tolerable Risk (risque tolérable maximum)

170

PROCESS SAFEBOOK 1


MTTF Mean Time To Failure (temps moyen de fonctionnement avant pannes)MTTR Mean Time To Repair (temps moyen de réparation)Non-SR Non-Safety Related (non lié à la sécurité)O&M Operation and Maintenance (fonctionnement et maintenance)OPSI Office of Public Sector InformationP&ID Piping and Instrumentation Diagram (diagramme de tuyauterie et d’instrumentation)PA Par anPE Programmable Electronic (électronique programmable)PFD Probability of Failure on Demand (probabilité de défaillance sur sollicitation)PFH Probability of Failure per Hour (probabilité de défaillance par heure)PSD Process Shutdown (arrêt de procédé)PT Pressure Transmitter (transmetteur de pression)PTI Proof Test Interval (intervalle de tests de validitéQMS Quality Management System (système de gestion de la qualité)R2P2 Reducing Risk Protecting People (réduction du risque, protection des personnes)RBD Reliability Block Diagram (diagramme de fiabilité)RRF Risk Reduction Factor (facteur de réduction du risque)S SûrSA Safety Authority (autorité de sécurité)SFF Safe Failure Fraction (proportion de défaillances non dangereuses).SIF Safety Instrumented Function (fonction instrumentée de sécurité)SIL Safety Integrity Level (niveau d’intégrité de sécurité).SIS Système instrumenté de sécuritéSNCC Système numérique de contrôle-commandeSOV Solenoid Operated Valve (électrovanne)SRS Safety Requirements Specification (spécification des prescriptions de sécurité)STR Spurious Trip Rate (taux de déclenchement intempestif )TMR Triple Modular Redundant (redondance modulaire triple)Tp Intervalle de tests de validité

PROCESS SAFEBOOK 1Abréviations

171

172

PROCESS SAFEBOOK 1


PRO

CESS

SAF

EBO

OK

1

Sécurité fonctionnelle dansl’industrie des procédésPrincipes, normes et mise en œuvre

Siège des activités « Power, Control and Information Solutions »Amériques : Rockwell Automation, 1201 South Second Street, Milwaukee, WI 53204-2496 Etats-Unis, Tél: +1 414.382.2000, Fax : +1 414.382.4444Europe / Moyen-Orient / Afrique : Rockwell Automation NV, Pegasus Park, De Kleetlaan 12a, 1831 Diegem, Belgique, Tél: +32 2 663 0600, Fax : +32 2 663 0640Asie Pacifique : Rockwell Automation, Level 14, Core F, Cyberport 3, 100 Cyberport Road, Hong Kong, Tél: +852 2887 4788, Fax : +852 2508 1846

Canada : Rockwell Automation, 3043 rue Joseph A. Bombardier, Laval, Québec, H7P 6C5, Tél: +1 (450) 781-5100, Fax: +1 (450) 781-5101, www.rockwellautomation.caFrance : Rockwell Automation SAS – 2, rue René Caudron, Bât. A, F-78960 Voisins-le-Bretonneux, Tél: +33 1 61 08 77 00, Fax : +33 1 30 44 03 09Suisse : Rockwell Automation AG, Av. des Baumettes 3, 1020 Renens, Tél: 021 631 32 32, Fax: 021 631 32 31, Customer Service Tél: 0848 000 278

www.rockwel lautomation.com

Publication : SAFEBK-RM003A-FR-P – Mars 2013 © 2013 Rockwell Automation, Inc. Tous droits réservés. PRO

CESS

SA

FEBO

OK

1–

Sécu

rité

fonc

tionn

elle

dan

s l’in

dust

rie d

es p

rocé

dés/

Prin

cipe

s, no

rmes

et m

ise e

n œ

uvre

Également disponible :Safebook 4 – Systèmes de commande de sécurité pourmachines.Ce guide pratique aborde les principes de la sécurité, lalégislation, la théorie et la pratique relatives aux machines.Numéro de publication : SAFEBK-RM002B

Pour obtenir un exemplaire de ce guide, contactez votrereprésentant Rockwell Automation ou visitez le sitewww.rockwellautomation.com

safebk-rm-3a-fr-p, process safebook 1 · ce guide pratique aborde les principes de la sécurité,...

Documents