la sûreté de fonctionnement système instrumenté sécurité sis©/manuscrit sdf...

Université Abdelmalek Essaâdi

Faculté des Sciences et Techniques

Département génie électrique

Pr. Mohammed Bsiss / Pr. Amami Benaissa



2017/2018

La Sûreté de fonctionnement

Système Instrumenté Sécurité

SIS

Sûreté de fonctionnement SIS Ver01

Utilisation libre pour les instituts publics de formation et de R&D. © Pr Bsiss Mohammed. Tous droits réservés Ver0117.

Sommaire

A. Liste des figures ................................................................................................................................. 5

B. Liste des tableaux .............................................................................................................................. 7

1 Introduction ......................................................................................................................................... 8

2 Les concepts de base d’un système de sécurité ................................................................................. 9

2.1 Définition de la sûreté de fonctionnement ......................................................................................... 9

2.2 Historique ........................................................................................................................................ 10

2.3 Coût de la sûreté de fonctionnement ................................................................................................ 11

2.4 Systèmes et sous-système ................................................................................................................ 11

2.5 Défaillances systématiques et aléatoires .......................................................................................... 12

2.5.1 Défaillance systématique .................................................................................................. 13

2.5.2 Les défaillances aléatoires ................................................................................................. 14

2.6 Taux de défaillance .......................................................................................................................... 15

2.6.1 Défaillance sûre et dangereuse .......................................................................................... 17

2.7 Taxonomie de la SdF ....................................................................................................................... 19

2.7.1 Entraves (Fautes, Erreurs et défaillance ............................................................................ 20

2.7.2 Attributs (Disponibilité, Fiabilité, Sécurité et maintenabilité) .......................................... 22

2.7.2.1 La fiabilité et probabilité ............................................................................................ 22

2.7.2.2 La disponibilité (Availibility) .................................................................................... 23

2.7.2.3 La sécurité (Safety) .................................................................................................... 24

2.7.2.4 La maintenabilité (Maintainability) ........................................................................... 24

2.7.3 Les outils de sécurité ......................................................................................................... 25

2.7.3.1 Gestion des erreurs du matériels ................................................................................ 26

2.7.3.2 Gestion de la sûreté fonctionnelle .............................................................................. 26

2.8 Système instrumenté de sécurité ...................................................................................................... 27

2.9 Informations générales sur la terminologie ...................................................................................... 29

2.9.1 Éléments de type A où de type B ...................................................................................... 29

2.9.2 Taux de couverture de diagnostic (DC) ............................................................................ 29

2.9.3 Défaillance de cause commune (Common Cause Failure) CCF ....................................... 31



2.9.4 La probabilité de défaillance dangereuse (eng:Probability of Failure on Demand PFD) . 31

2.9.5 Fonction de sécurité .......................................................................................................... 31

2.9.6 Niveau d’intégrité en sécurité (SIL) .................................................................................. 32

2.9.7 Le facteur de sécurité ........................................................................................................ 32

2.9.8 Proof Test .......................................................................................................................... 33

2.9.9 Temps de mission .............................................................................................................. 33

3 Méthode d’analyse de risque ........................................................................................................... 34

3.1 Analyse du danger et du risque ........................................................................................................ 34

3.2 Analyse des modes de défaillances et leurs Effets ........................................................................... 37

3.3 Graphe de risque .............................................................................................................................. 41

4 Évaluation qualitative et quantitative de la SdF par le bloc de diagramme de fiabilité ............ 43

4.1 Analyse qualitative par Bloc diagramme de fiabilité ....................................................................... 43

4.1.1 Liens minimaux et coupes minimales ............................................................................... 43

4.2 Analyse quantitative par Bloc diagramme de fiabilité ..................................................................... 44

4.2.1 Système multi composants ................................................................................................ 47

5 Évaluation qualitative et quantitative de la sûre de fonctionnement par Arbres des causes, de

défaillance et d’événement .................................................................................................................. 48

5.1 Principes et objectifs de ces méthodes ............................................................................................. 48

5.2 L’arbre de cause d’une structure simple .......................................................................................... 51

5.3 L’arbre de cause d’une structure redondante ................................................................................... 52

5.4 Codage des arbres de défaillance sous forme de DDB .................................................................... 52

6 Modèles à états transition ................................................................................................................. 54

6.1 Modèle de Markov ........................................................................................................................... 54

6.1.1 Un simple model de Markov ............................................................................................. 54

6.1.2 La probabilité de transition ............................................................................................... 56

6.1.3 Approche mathématique ................................................................................................... 58

6.1.4 Système d’une simple architecture .................................................................................... 59

6.1.5 Le calcule du temps de vie moyen MTTF d'un 1oo1 système .......................................... 60

7 L’architecture d’un système instrumenté de sécurité (SIS) .......................................................... 63



7.1 Architecture UN parmi UN 1oo1 (1 out of 1).................................................................................. 63

7.2 Architecture Un parmi Un avec diagnostic 1oo1D .......................................................................... 64

7.3 Architecture au moins Un parmi Deux 1oo2 (1 out of 2) ................................................................ 66

7.4 Architecture au moins Un parmi Deux 1oo2D (1 out of 2D) avec diagnostic ................................. 68

7.5 Architecture deux Un parmi Deux 2oo2 (2 out of 2) ....................................................................... 71

8 Évaluation quantitative du système instrumente de sécurité........................................................ 73

8.1 Structure Un parmi Un (1oo1) ......................................................................................................... 73

8.2 Structure un parmi deux (1oo2) ....................................................................................................... 75

9 Conception du système instrumenté de sécurité ............................................................................ 77

9.1 Estimation du risque ........................................................................................................................ 77

9.2 Proportion de défaillance en sécurité ............................................................................................... 78

9.3 Fonction de sécurité ......................................................................................................................... 80

9.4 Allocation des blocs fonctionnels aux sous-systèmes...................................................................... 80

9.5 Exigences fonctionnelles de chaque élément de SIS ....................................................................... 82

9.6 Détermination de la valeur PFD ...................................................................................................... 82

9.6.1 PFD du Sous-système Capteur : ........................................................................................ 83

9.6.2 Sous-système API de sécurité ........................................................................................... 83

9.6.3 Sous-système actionneur : ................................................................................................. 83

9.7 Evaluation du SIL de SIF................................................................................................................. 84



A. Liste des figures

Figure 2-1 : Genre des défaillances (2nd edition 2003, health & Safety Executive HSE - UK) .......... 14

Figure 2-2 : Les défaillances dans une cellule SRAM ....................................................................... 15

Figure 2-3 : Courbe en baignoire ....................................................................................................... 16

Figure 2-4 : Défaillances d’un composant programmable et non programmable .............................. 18

Figure 2-5 : Les types des défaillances d’un système programmable (les erreurs détectées) ............ 18

Figure 2-6 : Arbre de la sûreté de fonctionnement ............................................................................. 20

Figure 2-7 : Les effets internes engendrent des effets externes ......................................................... 21

Figure 2-8 : Les piliers de la sûreté de fonctionnement ...................................................................... 22

Figure 2-9 : Probabilité de défaillance et de réussite ......................................................................... 23

Figure 2-10 : Les termes de temps d’un système réparable ................................................................ 25

Figure 2-11 : Couche préventive et couche de réduction de risque ................................................... 28

Figure 2-12 : Les couches d’un SIS ................................................................................................... 28

Figure 2-13 : Taux de couverture de diagnostic ................................................................................ 30

Figure 2-14 : Niveau d’Intégrité en sécurité SIL ............................................................................... 32

Figure 2-15 : Les proof tests et le cycle de vie .................................................................................. 33

Figure 3-1 : Cotation du risque .......................................................................................................... 35

Figure 3-2 : Identification du risque .................................................................................................. 35

Figure 3-3 : Gestion du risqué par séparation des couches ................................................................. 36

Figure 3-4 : Commande d’une vanne par un SIS ............................................................................... 38

Figure 3-5 : Formule de calcul du Risque ........................................................................................... 41

Figure 3-6 : Graphe de risque ............................................................................................................. 42

Figure 4-1 : Diagramme de fiabilité en série ..................................................................................... 45

Figure 4-2 : Diagramme de fiabilité en parallèle ............................................................................... 46

Figure 5-1 : Éléments essentiel pour une représentation graphique par l’arbre de de défaillance et

des causes ................................................................................................................................... 49

Figure 5-2 : Arbre de défaillance ....................................................................................................... 49



Figure 5-3 : Arbre des causes ............................................................................................................ 50

Figure 5-4 : Arbre d'événement ......................................................................................................... 51

Figure 5-5 : Arbre de cause d'un 1oo1-système d’alimentation ........................................................ 51

Figure 5-6 : Analyse de la défaillance d’un capteur de pression en redondante ................................ 52

Figure 5-7 : Formule booléenne d’un arbre de défaillance ................................................................ 53

Figure 6-1 : Éléments de base pour une chaine de markovienne ....................................................... 55

Figure 6-2 : Modèle de Markov pour un system irréparable ............................................................. 55

Figure 6-3 : Modèle de Markov pour un system réparable ................................................................ 56

Figure 6-4 : Représentation d'un simple modèle de Markov ............................................................. 58

Figure 6-5 : Système d’une simple architecture présenté par les chaines de Markov ....................... 60

Figure 6-6 : Modèle de Markov d'un système d'architecture redondante .......................................... 61

Figure 7-1 : SIS d’Architecture 1oo1................................................................................................. 64

Figure 7-2 : SIS d’une structure 1oo1D ............................................................................................. 65

Figure 7-3 : SIS d’une structure 1oo2 ................................................................................................ 67

Figure 7-4 : SIS d’une structure 1oo2D .............................................................................................. 69

Figure 9-1 : Régulation d'un réservoir d’architecture 1oo1 ................................................................ 77

Figure 9-2 : Commande de réservoir avec une 1oo2 architecture ...................................................... 78

Figure 9-3 : Architecture du SIS ........................................................................................................ 80

Figure 9-4 : Allocation des blocs fonctionnels aux systèmes ............................................................ 81


Faculté des Sciences et Techniques


von 88

B. Liste des tableaux

Table 2-1 : Principales normes relatives à la sécurité fonctionnelle ................................................... 11

Table 2-2 : Genre de défaillance ......................................................................................................... 19

Table 2-3 : Équations du taux de défaillances .................................................................................... 19

Table 2-4 : Classifications des défaillances en fonction des effets ..................................................... 21

Table 2-5: Quelques anomalies et leur taux de couverture de diagnostic ........................................... 30

Table 3-1 : Mode génériques de défaillance ....................................................................................... 38

Table 3-2 : AMDEC d’une vanne d’arrêt d’urgent ............................................................................. 39

Table 7-1 : Disponibilité et sécurité d’un sis d’une structure 1oo1 .................................................... 64

Table 7-2 : Disponibilité et sécurité d’un sis d’une structure 1oo1D ................................................. 66

Table 7-3 : Disponibilité et la sécurité d’un SIS d’une architecture 1oo2 .......................................... 68

Table 7-4 : Disponibilité et la sécurité d’un SIS avec une architecture 1oo2D .................................. 70

Table 7-5 : La disponibilité et la sécurité dans une architecture 2oo2 ................................................ 72

Table 9-1 : Taux de défaillance des composants du SIS .................................................................... 79

Table 9-2:Détermination de la valeur de proportion de défaillance en sécurité ................................. 79


8

1 Introduction

Étant donné que les systèmes d'automatisations sont de plus en plus complexes et in-

formatisés, des nouvelles normes et des standards sont conçus pour assurer la sûreté de fonc-

tionnement d’un système automatisé. Évidemment, il n'existe pas des systèmes qui fonction-

nent parfaitement. Mais le but c’est la réduction des défaillances dangereuses qui peuvent

mener des dégâts catastrophiques pour les personnes, les biens et l’environnement.

Ce manuscrit a pour but de fournir les connaissances nécessaires sur les systèmes de

sécurité et leur conception pour les élèves ingénieurs de la faculté des sciences et techniques

de Tanger.


9

2 Les concepts de base d’un système de sécurité

Dans la gestion des entreprises, la sécurité industrielle, au sens large, consiste de façon

générale à garantir la sécurité des biens, des personnes et également la pérennité de l'entre-

prise. Il s'agit alors de concilier les exigences de disponibilité, de rentabilité à court terme,

avec les exigences de sécurité des biens et des personnes. Ces exigences visent à réduire les

risques sur le plan environnemental, social et économique. Prenant par exemple les équipe-

ments médicaux dans les unités de soins intensifs, ils doivent fonctionner d’une manière

fiable et sûre. Le requit de la sécurité ce fait à travers une série de mesure qui inclus la for-

mation, la gestion de risque, la conception des installations et les dispositifs de sécurité et de

réduction de risque.

2.1 Définition de la sûreté de fonctionnement

La sûreté de fonctionnement est l'aptitude d'une entité ou d’un système à satisfaire à

une ou plusieurs fonctions requises dans des conditions données. Elle traduit la confiance

qu'on peut accorder à un système. Au sens large, la sûreté de fonctionnement est considérée

comme la science d'analyse de risque qui inclut les défaillances, les pannes, la disponibilité,

la sécurité et la maintenance du système automatisé de sécurité. Ces systèmes de contrôle-

commande des procédés génèrent des ordres de mise en sécurité en fonction des signaux

d'entrées, tels que par exemple :

• les systèmes d’arrêt d’urgence et le déclenchement des processus (ESD/PSD)

• les systèmes de gestion des brûleurs (BMS)

• les applications avec feu & gaz (F&G)

Ces système sont aussi utilisés dans des domaines très variés comme le secteur médi-

cal, le nucléaire, le secteur des machines, l'automobile, le ferroviaire et l'armement. Les sys-

tèmes instrumentés de sécurité se caractérisent par l’utilisation des capteurs, des automates,

des réseaux de communication et des actionneurs, pour réaliser des fonctions de sécurité, qui

devront, suivant l’ampleur du risque couvert, garantir un certain niveau d’intégrité de sécuri-

té (SIL) afin d’amener le risque à des limites de tolérances acceptables.


10

Pour chaque fonction de sécurité (SIF), l'identification du niveau de sécurité représen-

tant le niveau de crédibilité qui peut être accordé à ces Systèmes Instrumentés de Sécurité

(SIS).

2.2 Historique

Le corpus de la sûreté de fonctionnement a débuté en 1947 par un accord sur les tarifs

douaniers et le commerce (GATT) qui a été signé et publié par un groupe composant 23

pays et qui visait à simplifier le commerce international. En 1994, l’accord sur les obstacles

techniques au commerce, a abouti à la création, un an plus tard, de l'organisation modiale du

commerce (OMC), visant le libre-échange.

Selon les accords OMC / OTC, les États membres s'engagent à aligner leurs propres

normes contraignantes et volontaires et les procédures d'évaluation de la conformité avec

des normes internationales telles que l'ISO et la IEC.

L’organisation mondiale de commerce (ISO), la commission électrotechnique interna-

tionale (CEI) et l’union internationale des télécommunications (UIT) représentent donc les

trois principales organisations internationales de normalisation. Dans le cadre de l’accord

sur les obstacles techniques de commerce, l’OMC reconnaît l’importance de ces organismes

de normalisation. Depuis, ils coordonnent leurs stratégies et leurs activités normatives au

sein de la coopération mondiale de la normalisation. En officialisant trois organismes de

normalisation compétents pour l’adoption de normes européennes (comite européen de nor-

malisation CEN, Comite Européen de la Normalisation Électrotechnique CENELEC),

l’Europe a suivi la structure normative internationale qui facilite l’intégration et la collabora-

tion avec les organismes internationaux.

Pour faciliter la coordination au niveau international, chaque pays est représenté au ni-

veau international par un seul organisme. L’AFNOR pour la France, DIN pour l’Allemagne,

BSI pour la Grande Bretagne et ANSI pour les États unis.

Au niveau national l’Institut Marocaine de Normalisation (IMANOR) est l’organisme

officiel Marocain chargé de la normalisation. Il est créé par le législateur marocain en 2010

pour remplacer le SNIMA qui était rattachée au ministère chargé de l’industrie.

A travers son nouveau statut d’organisme avec l’autonomie administrative et finan-

cière, l’IMANOR vise d’une part à contribuer à l’accroissement de la compétitivité des en-


11

treprises marocaines et d‘autre part, à apporter son soutien aux politiques publiques respec-

tant les conditions de concurrence économique, la protection des consommateurs, la préser-

vation de l’environnement et l’amélioration des conditions de vie.

Le Table 2-1 présente les principales normes relatives à la sécurité fonctionnelle en

fonction du domaine et qui peut aider aux choix du référentiel normatifs à utiliser.

La norme Secteur Cible Technologie description

IEC 61508 Tous Constructeur Matériel Électrique complexe Cycle de vie ?

EN ISO

13849

Machine Constructeur Toutes technologies (dont) électrique

peu complexe

Conception

IEC 61511 Industrie du

procédé

Intégrateur Systèmes instrumentés Cycle de vie

IEC 62061 Automobile Intégrateur Matériel Électrique-Électronique

complexe

Conception

ISO26262 Véhicule Concepteur Matériel Électrique-Électronique

Matériel complexe

Cycle de vie

EN50126/

128/129

Ferroviaire Concepteur Électrique-Électronique / Matériel

complexe

Cycle de vie

Table 2-1 : Principales normes relatives à la sécurité fonctionnelle

2.3 Coût de la sûreté de fonctionnement

Les systèmes instrumentés de sécurité (SIS) d’un niveau d’intégrité haut leurs coût

reste encore très onéreux, mais ça n’empêche pas que durant l’étude de la conception de SIS

des solutions optimal intégrant la réduction des coûts de connexions et des composants pour

obtenir des SISs qui satisfait aux niveaux d’intégrité et sécurité SIL sont toujours apriori.

2.4 Systèmes et sous-système

Un système est un ensemble de mécanisme et des fonctions qui sont en interaction

entre eux et avec l’environnement pour accomplir une tâche ou des tâches. Leur comporte-

ment dépend:

• des comportements individuels des éléments qui le composent,

• des règles d’interaction entre les éléments (interfaces, algorithmes, protocoles),

• de l’organisation topologique des éléments (architectures).


12

Dans un système instrumenté de sécurité les unités de traitements par exemple repré-

sentent un sous-système du SIS. Un système, un sous-système ou un composant alterne dans

son cycle de vie entre deux états.

• L’état de marche où le système est opérationnel

• L’état défaillant où le système est fonctionnel mais n’accomplit pas son service

spécifié

2.5 Défaillances systématiques et aléatoires

Une analyse des risques permet de déterminer comment la sûreté de fonctionnement

permettra d’assurer une protection adéquate contre chacun des risques qui peut survenir. Ces

dangers sont donc traités de manière appropriée pendant la phase de conception pour que le

système final soit libre de défaut. Les pannes peuvent provenir de nombreux facteurs diffé-

rents :

• Panne matérielle aléatoire

• Panne matérielle aléatoire avec des défaillances de cause commune (Common cause)

• Défaillance systématique (erreurs de conception)

Ces pannes peuvent être soit permanentes (jusqu'à la réparation du système) ou bien

dynamique (ça se produit sous certain conditions (par exemple température, humidité etc.))

Les défaillances aléatoire sont liées au matériel, telles que

1) Les défaillances des composants

2) La corruption des logiciels en raison de défaillances matérielles

3) Les interférences électromagnétiques, électrostatiques

4) Les défaillances de cause commune

Les défaillances systématiques peuvent être considérées comme la conséquence

d’erreurs humaines telles que :

1) Erreur de spécification dans le cahier des charges

2) Les erreurs de conception des logiciels


13

3) Les erreurs de codage

4) Les erreurs du matériel pendant la conception

5) Les erreurs de circuits et le câblage

6) Les erreurs de saisie et de contrôle

7) Les erreurs dans la maintenance

8) Les erreurs de la spécification

2.5.1 Défaillance systématique

Toutes les défaillances systématiques peuvent être considérées comme la conséquence

d’erreurs humaines, dans le sens où l’architecture et les caractéristiques du matériel sont

produites par le développeur, l’intégrateur etc.

Prenant l'exemple d’un transistor utilisé dans un module analogique prévu pour une

température de fonctionnement de -5°C à +75°C, et utilisé à des températures d’exposition

supérieure à +80°C. Elle tombera en panne après un certain temps. Ce genre de faute est

classé comme des fautes systématiques

La plupart des ressources littéraires estiment que 85% des accidents sont causés par

une erreur humaine. Les erreurs systématiques sont moins nombreuses que les défaillances

aléatoires mais difficilement détectables. Il est à noter que les défaillances proviennent en

majorité d'une mauvaise spécification après la mise en service comme le montre la Figure

2-1:


14

44 %

14,7 %5,9 %

14,7 %

20,6 %

Figure 2-1 : Genre des défaillances (2nd edition 2003, health & Safety Executive HSE - UK)

2.5.2 Les défaillances aléatoires

Les défaillances aléatoires sont liées au matériel. Prenant par exemple la défaillance

d’une cellule de mémoire volatile correspond à un fonctionnement incorrect de la cellule qui

est dû à des erreurs, ce qui constitue une différence entre une cellule saine et une cellule dé-

faillante. Les fautes peuvent être permanentes ou non permanentes, elles sont causées no-

tamment par une corrosion, une contamination ionique, un vieillissement, un alliage et des

radiations, de même que des rayonnements cosmiques (softerros). La Figure 2-2 représente

les différentes défaillances dans une cellule mémoire.


15

Figure 2-2 : Les défaillances dans une cellule SRAM

a) Faute fonctionnelle.

b) Génère le blocage au niveau zéro de la cellule.

c) Génère le blocage au niveau zéro de la cellule.

d) Génère le blocage au niveau zéro de la cellule.

e) Ouverture de la ligne d’adresse.

f) Génère le blocage au niveau zéro de la cellule.

g) Génère le blocage au niveau Un de la cellule.

h) La valeur ‘0’ ne sera pas transmise sur la ligne de données BL.

2.6 Taux de défaillance

Le comportement de la défaillance d'une entité, d'un composant ou bien d'un sous-

système peut être décrit à travers un taux de défaillances qui est lié à un instant donné t à la


16

somme de toutes les unités intactes. Le taux de défaillance peut être aussi décrit à partir la

fonction de densité f(t) et la probabilité de fiabilité R(t) comme suite:

)(

)()(

tR

tft =λ

(2-1)

Le taux de défaillance λ (t) est dans la plupart de temps déterminé expérimentalement.

Le taux de défaillance peut être caractérisé par trois zones:

1. Zone A : les défaillances de jeunesse. caractérisées par un taux de défaillance dé-

croissant en fonction du temps. (rodage, jeunesse, déverminage)

2. Zone B : les défaillances de maturité caractérisées par un taux de défaillance cons-

tant. (maturité, vie utile)

3. Zone C: les défaillances de vieillesse caractérisées par un taux de défaillance crois-

sant (période d'usure, obsolescence).

Les défaillances pendant le cycle de vie d'un système peuvent être représentées selon

une courbe en baignoire comme le montre la Figure 2-3:

Figure 2-3 : Courbe en baignoire


17

Dans la première phase, le taux de défaillance diminue (Zone A) avec la durée de mis-

sion. Elles sont dues à :

• Des erreurs de montage,

• Des défauts de conception,

• Des défauts de matériels et de fabrication,

Cette phase est caractérisée par une baisse relativement forte du taux de défaillance

(lors de la phase en cours d’exécution). Les défaillances matérielles pour les cartes électro-

niques peuvent être éliminées grâce à des tests. Ils consistent à tester la carte électronique

pendant et après la fabrication.

Dans la deuxième phase, avec un taux de défaillance constant se trouvent des défail-

lances aléatoires (Zone B) causées par :

• des erreurs de l'opérateur,

• des erreurs de maintenance ou bien des particules de saleté.

Cette section décrit le temps de comportement normal de composants et tous les cal-

culs des caractéristiques de fiabilité du système sont basé sur cette durée.

Au moment ou commence l'augmentation rapide de défaillance, commence la zone des dé-

faillances d'usure (Zone C). Cette phase est caractérisée par une augmentation du taux de

défaillance en raison du vieillissement et de l'usure. Il est synonyme de la fin de la durée de

vie.

2.6.1 Défaillance sûre et dangereuse

Un système peut subir une défaillance, cette défaillance peut être sure ou bien dangereuse.

Les défaillances qui ne causent pas un état critique du système ou bien qui n’affectent pas la

fonction de sécurité sont considérées comme des défaillances sûres.

Considérons une vanne utilisée dans un système instrumenté de sécurité pour couper le flux

de produit lors de la sollicitation de la fonction de sécurité.

• La défaillance sûre correspond au blocage de la vanne en position fermée sans que la

fonction de sécurité n’ait été sollicitée. Si ce blocage peut être détecté (par des tests

de diagnostic) avant la sollicitation de la fonction de sécurité, il sera donc classé en

défaillance sûre détectée, sinon elle sera classée en défaillance sûre non détectée.


18

• La défaillance dangereuse correspond au blocage de la vanne en position ouverte. Si

ce blocage peut être détecté (par des tests de diagnostic) avant la sollicitation de la

fonction de sécurité, il sera donc classé en défaillance dangereuse détecté, sinon elle

sera classée en défaillance dangereuse non détectée.

Le comportement des composants non programmables de sécurité est très bien connu

puisque leur structure n’est pas complexe. Les défaillances sûres (détectées et non détectées)

représentent la plus grande proportion, par contre les composants programmables de sécuri-

té, leurs défaillances sûres (détectées et non détectées) représentent seulement la moitié. Ce-

la est dû à la complexité de fabrication de ces derniers.

DDλDUλ

SUλ

SDλ

SUSdS λλλ += DDDUD λλλ +=

Figure 2-4 : Défaillances d’un composant programmable et non programmable

DS λλλ += DDDUD λλλ +=

DλSλ

SUSDS λλλ +=

DDλ

DUλ

SUλ

SDλ

Figure 2-5 : Les types des défaillances d’un système programmable (les erreurs détectées)


19

Genre défaillance Défaillance sûre Défaillance dangereuse

Défaillance détectée Défaillance sûre détectée Défaillance dangereuse détectée

Défaillance non détectée Défaillance sûre non détectée Défaillance non dangereuse dé-

tectée

Table 2-2 : Genre de défaillance

Les différents taux de défaillances sont calculés à partir de la défaillance de base. Elle

est représentée par l’unité [FIT] (failure in time) qui indique la probabilité du temps

d’échecs par heure.

hFIT /110*1 9−= (2-2))

On obtient les équations suivantes correspondant aux différents taux de défaillance

d’un composant :

Type de taux de défaillance Formule de calcul

Taux de défaillance dangereuse détectée

DCDD 2

λλ =

Taux de défaillance dangereuse non détectée )1(2

DCDU −=λ

λ

Taux de défaillance sûre détectée DCSD2

λλ =

Table 2-3 : Équations du taux de défaillances

2.7 Taxonomie de la SdF

La gestion de la sûreté de fonctionnement englobe trois éléments suivants :

• Entraves : événements qui peuvent affecter la sûreté de fonctionnement du système ;

• Attributs : points de vue pour évaluer la sûreté de fonctionnement ;

• Moyen : moyens pour améliorer la sûreté de fonctionnement.


20

Figure 2-6 : Arbre de la sûreté de fonctionnement

2.7.1 Entraves (Fautes, Erreurs et défaillance

Un système est sûr s’il est libre des erreurs et résiste contre les défaillances critiques.

Ces entraves qui peuvent affecter le système et dégrader la sûreté de fonctionnement (SdF)

peuvent être classées en trois notions:

• les fautes,

• les erreurs et

• les défaillances.

La cause interne de la défaillance c’est l’erreur (court-circuit etc.) et ca manifestation interne

du système c’est la cause de la défaillance.

La défaillance est donc le service rendu incorrect et présente la cessation de

l’aptitude d’une entité à accomplir une fonction requise.


21

Figure 2-7 : Les effets internes engendrent des effets externes

Pour mieux gérer ces défaillances on utilise généralement en industrie une cotation de

gravité des effets et on prend dans l’analyse d’une défaillance trois paramètres notamment la

fréquence de la défaillance, ça gravité et ça détection en introduisant souvent 4 catégories de

défaillances. Ces catégories sont représentées dans la Table 2-4 :

Niveau Définition

Défaillance mineure Défaillance qui nuit au bon fonctionnement (mineur) d’un système

en causant un dommage négligeable au système ou à son environ-

nement sans présenter de risque pour l’homme

Défaillance significative Défaillance qui nuit au bon fonctionnement (major) sans causer de

dommage notable ni présenter de risque important pour l’homme.

Défaillance critique Défaillance qui entraîne la perte d’une (hazardous) (ou des) fonc-

tion(s) essentielle(s) du système et cause des dommages importants

au système en ne présentant qu’un risque négligeable de mort ou de

blessure.

Défaillance catastrophique Défaillance qui occasionne la perte d’une (catastrophique) (ou des)

fonction(s) essentielle(s) du système en causant des dommages

importants au système ou à son environnement et/ou entraîne la

mort ou des dommages corporels

Table 2-4 : Classifications des défaillances en fonction des effets


22

2.7.2 Attributs (Disponibilité, Fiabilité, Sécurité et maintenabilité)

Les Attributs de la sûreté de fonctionnement on les trouve dans le plus haut niveau

dans la hiérarchie des systèmes de sécurité. Il comprend les termes suivants fiabilité, dispo-

nibilité, sûreté et la maintenance.

Figure 2-8 : Les piliers de la sûreté de fonctionnement

2.7.2.1 La fiabilité et probabilité

La fiabilité (Reliability) est un terme générique qui couvre un large éventail de con-

cepts et de mesures. Un système est fiable quand vous pouvez légitimement avoir une con-

fiance sur la performance qu'il offre. L’approche globale de la fiabilité signifie également

que les systèmes (par exemples les téléphériques, les avions, les automates de sécurité ou

des trains à grande vitesse) conçus et construits doivent être soumis antérieurement à une

vérification à certains intervalles de temps pour détecter les risques de sécurité. L’homme est

considéré dans cette chaîne comme un facteur non négligeable qui peut générer des défail-

lances souvent avec des conséquences catastrophiques. Il est donc très important d’identifier

ces défaillances dans l’analyse de la fiabilité d’un système et de les prévenir.

Si un système possède un taux de défaillance constant λ [défaillance/ heure], la fiabili-

té d’un système au moment t, si on considère que le taux de défaillance est constant, est dé-

fini par la loi exponentielle comme suit:


23

edéfaillancdetauxleest

avec

etR t

λ

λ−=)(

(2-3)

On peut expérimentalement calculer cette probabilité de réussite. On prend n compo-

sant identiques qui fonctionnent à t=0 et on compte à chaque instant ti combien sont toujours

en bon fonctionnement z(t). La probabilité de fiabilité est donc égale à R(t) = z(t) / n. On

déduit la défiabilité où la probabilité de défaillance F(t) = 1-R(t)

Probabilité

temps

1-certain

0-impossible

Probabilité de défaillance

tetR λ−=)(

)(11)( tRetF t −=−= − λ

Probabilité de réussite (fiabilité)

Figure 2-9 : Probabilité de défaillance et de réussite

2.7.2.2 La disponibilité (Availibility)

La disponibilité, c'est la probabilité que le système satisfait certaines exigences bien

définies dans un délai aussi bien défini t, on peut dire qu’il s’agit ici d’un critère de qualité

du système. Afin de garantir un minimum de la disponibilité des systèmes standard, on doit

faire une analyse statique des défaillances déjà connues, on peut par exemple faire joindre à

un sous-système une redondance afin de minimiser la probabilité de défaillance totale. Lors-

qu’un système n’est pas réparable avec un taux de défaillance constant, la disponibilité est

égale à la probabilité de réussite.


24

tetRtA λ−== )()( (2-4)

Il existe une relation forte entre la valeur du temps moyen qui s'écoule jusqu'à ce qu'un

système tombe en première panne (MTTF), et la valeur du temps moyen entre deux défail-

lances (MTBF).

MTBF

MTTFA

dttRMTTF

=

= ∫∞

0

)(

(2-5)

Le temps de mission ou bien de fonctionnement d’un système peut être limité à cause

d’un entretien régulier ou bien des réparations. La disponibilité est généralement exprimée

en pourcentage.

2.7.2.3 La sécurité (Safety)

La sûreté, c’est la résistance du système envers les défaillances critiques et à éviter de

faire apparaître, dans des conditions données, des événements critiques ou catastrophiques.

Une défaillance dangereuse est nocive aussi bien qu’une défaillance non critique (non dan-

gereuse). La réalisation d’un système qui répond aux critères de la SdF, nécessite le dé-

ploiement des systèmes embarqués de haute disponibilité et de sécurité dans plusieurs appli-

cations critiques, tel que les systèmes d’arrêt d’urgence et le déclenchement des processus

(ESD/PSD), les systèmes de gestion des brûleurs (BMS) et les applications avec feu & gaz

(F&G).

2.7.2.4 La maintenabilité (Maintainability)

La maintenance, c’est la durée qui est nécessaire pour qu'un système en panne puisse

revenir à l’état de fonctionnement. La maintenance d’un système, d’une entité peut

s’exprimer par )()( tYPtM ≤=

avec Y la variable désignant la durée de la panne

du composant. La figure représente un aperçu des temps moyens dans la vie d’un système en

opération. La Figure 2-10 montre un aperçue sur les termes utilisés


25

Figure 2-10 : Les termes de temps d’un système réparable

• MTTF: Le délai moyen de la première défaillance. Il décrit la durée de vie moyenne

jusqu'à la première défaillance dans un système réparable.

• MTTR: Mean Time to Repair. Le temps moyen de réparation.

• MUT : Mean Up Time durée moyenne de fonctionnement du système après répara-

tion

• MDT : Mean Down Time durée moyenne de non fonctionnement du système

• MTBF: Mean Time between Failures. La durée moyenne entre deux défaillances.

On a MTTB = MUT + MDT.

2.7.3 Les outils de sécurité

Les moyens pour sécuriser une installation, des équipements électriques et/où électro-

niques nécessitent une maitrise des erreurs du matériel d’une part et d’autre part les erreurs

systématique.


26

2.7.3.1 Gestion des erreurs du matériels

La gestion des erreurs aléatoire consiste à éviter des fautes qui auraient pu être introduites

pendant le développement du système, passant par la production jusqu’à l’intégration et la

mise en service. Cela peut être accompli en utilisant des méthodologies de développement et

de bonnes techniques d’implantation, on parle donc de la prévention de faute.

L’´élimination de faute peut être divisée en trois catégories : élimination d’erreur pen-

dant la phase de développement, pendant la phase de production et élimination pendant la

phase d’intégration. Pendant la phase de développement, l’idée est d’utiliser des techniques

de vérification et de validation avancées (tests de la successibilité magnétique, tests de la

température, test de fonctionnement) de façon à détecter les fautes et les enlever avant

l’envoi du produit à la production. Pendant la production par le respect des normes et stan-

dard de la production et la livraison. Pendant l’intégration, il faut tenir à jour les défaillances

rencontrées et les retirer pendant les cycles de maintenance.

La tolérance aux fautes consiste à mettre en place des mécanismes qui maintiennent le

service fourni par le système, même en présence de fautes. On accepte dans ce cas un fonc-

tionnement dégradé. La tolérance aux fautes repose sur l’utilisation de mécanismes de re-

dondance, l’idée est de réaliser la même fonction par des moyens différents.

La prévision de faute consiste à anticiper les fautes (de manière qualitative ou probabi-

liste) et leur impact sur le système.

2.7.3.2 Gestion de la sûreté fonctionnelle

La notion de gestion de la SdF correspond à un ensemble de méthodes qui permet

d'éviter les erreurs systématiques pendant la conception des produits.

• Divers aspects de la planification de FSM (définition du cycle de vie de sécurité, por-

tée des activités FSM, documentation, outils, etc.)

• Spécifications des exigences de sécurité

• Gestion des changements et des modifications

• Conception de l'architecture matérielle – Processus, techniques et documentation


27

• Matériel et système liés aux activités V&V, y compris la documentation, la vérifica-

tion

• Stratégie de test d'intégration et d'insertion de défauts

• Matériel de validation du système

• Exigences de fonctionnement du matériel, d'installation et de maintenance

2.8 Système instrumenté de sécurité

Afin d'éviter que des phénomènes dangereux tels que des incendies, explosions ou en-

core des rejets de matières dangereuses, susceptibles d'occasionner des dommages sur les

personnes, l'environnement ou les biens, les industriels sont amenés à mettre en place des

mesures de maîtrise des risques (MMR) dont le rôle est de prévenir l'apparition de tels phé-

nomènes ou d'en limiter les conséquences. Parmi ces couches de protection, se trouvent les

systèmes instrumentés de sécurité (SIS) qui permettent la mise en œuvre de fonctions ins-

trumentées de sécurité (FIS). Différentes couches de protection peuvent être mises en œuvre

afin de réduire les risques dans le but de les rendre acceptables. Ces différentes couches sont

valorisées lors des analyses quantitatives ou semi-quantitatives menées dans le but de dé-

terminer le niveau de SIL requis des FIS (revue SIL réalisée à l'aide de méthodes telles que

la LOPA ou le graphe de risques par exemple). Une fois le niveau de SIL requis connu,

l'analyste doit démontrer que la probabilité de défaillance permet de vérifier le niveau de

SIL requis alloué lors de la revue SIL. Pour ce faire, les normes IEC 61508 et IEC 61511

peuvent être utilisées afin :

• de définir l'architecture de la SIF permettant de répondre à un niveau de SIL visé;

• d'estimer la probabilité de défaillance de la SIF.

La Figure 1 donne un aperçu général des couches de réduction et de prévention de

risque. Les premiers systèmes sont dédiés á contrôler et commander des procédés, dans la

plupart des installations en trouve ces systèmes qui visent à réduire les conséquences des

accidents mais rarement les systèmes qui visent à réduire la probabilité d’occurrence des

incidents qui peuvent mener à des accidents. C’est ces systèmes qu’on peut parler de la sûre-

té fonctionnelle puisque on a des fonctions qui agissent pour réduire la fréquence des

risques.


28

Figure 2-11 : Couche préventive et couche de réduction de risque

Un système instrumenté de sécurité est composé de 3 couches des unités de capteurs,

des unités logiques et des actionneurs. Chaque couche peut comprend au maximum m com-

posants pouvant être de types différents (redondance non homogène).

Figure 2-12 : Les couches d’un SIS

La conception d’un SIS à haut niveau de la SdF nécessite de trouver l’architecture op-

timale et d’analyser la fiabilité de cette structure en intégrant la réduction des coûts de con-

nexions et des composants. Ces méthodes d’analyse de la SdF varient selon la phase de vie

du produit.


29

2.9 Informations générales sur la terminologie

2.9.1 Éléments de type A où de type B

Le type d’élément peut être du type A ou bien de type B. Les sous-systèmes de type A,

sont des équipements simples dont le comportement et les modes de défaillance sont connus,

et sur lesquels il y a un retour d’expérience. Un contacteur, un afficheur, un bouton poussoir

entrent dans cette catégorie. Les sous-systèmes de type B sont des équipements plus com-

plexes dont le comportement et leurs modes de défaillance sont complexe, et sur lesquels il

n’y a pas un retour d’expérience. Dans cette catégorie en trouve des automates, des compo-

sants électroniques intégrés, des composants électroniques programmables.

2.9.2 Taux de couverture de diagnostic (DC)

Le taux de couverture de diagnostic indique à partir de quel point le système est en

mesure de s'auto surveiller face à une éventuelle défaillance dangereuse. En fonction du

pourcentage de défaillances dangereuses détectables par le système, on aura une couverture

du diagnostic plus ou moins élevée. Le DC est définit comme étant le rapport du taux de

défaillance des pannes dangereuses détectées (par un test diagnostic) sur le taux de défail-

lance total des pannes dangereuses (détectées et non détectées)

∑ ∑∑

+=

sys

DU

sys

DD

sys

DDDC

λλ

λ

(2-6)

Avec ∑λDD c'est la somme des taux de défaillance dangereuse détectées et des composants

d'un bloc de fonction de sécurité

Et ∑λDU La somme des taux de défaillance dangereuse non-détectées et des composants

d'un bloc de fonction de sécurité.

Le paramètre DC est une valeur processuelle en fonction des précautions adoptées par

le fabricant pour détecter les anomalies de son système. Selon le genre de précaution à

prendre, une valeur moyenne de couverture de diagnostic sera répartie dans les quatre

groupes suivants :


30

Classification Valeurs DC

Nulle 60 % < DC

Faible 60 % < DC < 90 %

Moyenne 90 % < DC < 99 %

Élevée 99 %

Figure 2-13 : Taux de couverture de diagnostic

Le Table 2-5: présente des prescriptions pour les anomalies qui doivent être détectées

par les techniques de maîtrise des défaillances du matériel afin d’obtenir la couverture de

diagnostic pertinente. Par exemple, pour une cellule mémoire, seules les erreurs de blocage

des adresses ou bien des données sont détectées par un test de diagnostic en exploitation,

cela signifie que la valeur de couverture de diagnostic est faible de DC = 60 % et si on

ajoute de plus des tests qui détectent les délais d’écoulement et le décodage d’adresse erro-

né, on atteint une couverture de diagnostic moyen de DC =90%.

Composant

Prescriptions pour la couverture de diagnostic

Faible (60%) Moyen (90%) Élevé (99%)

Matériel discret

Module d’entrée / de sortie Blocage

modèle CC dérive et

oscillation


oscillation

Matériel discret

Alimentation Blocage


oscillation


oscillation

Moddelle CC (courant continu) indique des Anomalies de blocage, blocage ouvert, sorites ouvertes

ou haute impedance ainsi que les courts-circuits entre les lignes de signaux.

Table 2-5: Quelques anomalies et leur taux de couverture de diagnostic


31

2.9.3 Défaillance de cause commune (Common Cause Failure) CCF

La défaillance de mode commun désigne la défaillance simultanée qui peut apparaitre

dans deux ou plusieurs canaux séparés dans un système multiple canaux homogène.

L’introduction des défaillances de mode commun est généralement représentée par le facteur

β. La norme IEC 61508 distingue deux genres du facteur DUβ pour les défaillances dange-

reuses non détectées et DDβ pour les défaillances dangereuses détectées. Les valeurs pour

les facteurs Beta DUβ et DDβ sont généralement entre 0,5 et 5%.

2.9.4 La probabilité de défaillance dangereuse (eng:Probability of Failure on Demand PFD)

La Probabilité de défaillance dangereuse sur demande (Probability of Failure on De-

mand, PFD) est la probabilité que le système ne puisse pas exécuter la fonction de sécurité

pour laquelle il a été conçu au moment où la demande de cette fonction est faite sur un in-

tervalle de temps. Ce temps de mission Ti est considéré comme égal au temps entre deux

proof test consécutifs. Dans le cas où il n’y a pas de proof tests, on prend le temps de mis-

sion égal au temps de vie de l’appareil (MTTF).

La probabilité moyenne de défaillance à la demande PFDavg(Ti) et sur l’intervalle de

temps [0, Ti] peut être obtenu à partir de la formule suivantes:

iT

avg ii 0

1PFD (T )= ( )

TPFD t dt∫

(2-7).

2.9.5 Fonction de sécurité

La fonction de sécurité c’est une fonction réalisée par un système relatif à la sécurité

pour assurer ou maintenir un état de sécurité du système par rapport a un événement dange-

reux spécifique. En distingue deux états de sécurité:

• Excité en état de sécurité (Energized),

• Où désexcité en état de sécurité (De-energized)


32

2.9.6 Niveau d’intégrité en sécurité (SIL)

Le niveau d’intégrité de sécurité, on le retrouve presque dans toutes les normes qui

sont élaborées à partir de la norme CEI 61508, à savoir la norme EN 61511 pour les procé-

dées industriels, la norme EN 61513 pour le nucléaire, les normes EN 50128/50129 pour le

secteur ferroviaire ou encore la norme EN 62061 pour le secteur automobile.

La norme de sécurité CEI 61508 vise à quantifier la probabilité de défaillance, ce qui

permet de classer les systèmes par niveau d’intégrité de sécurité.

Le SIL définissant donc la probabilité de défaillance dangereuse que l'on s'autorise.

Selon la norme EN61508, le SIL ne peut prendre que 4 niveau possibles (de SIL1 à SIL4).

Ces quatre niveaux sont décrits dans le tableau suivant :

Niveaux de

sécurité

Probabilité de défaillance dangereuse

par heure (forte sollicitation)

Ti = 1 Mois, 3 Mois ou bien 1 an

Probabilité de défaillance sur demande

(faible sollicitation)

Ti = 2 ans ou bien 10ans

SIL4 -9 -810 PFH 10≤ ≤ -5 -410 PFD 10≤ ≤

SIL3 -8 -710 PFH 10≤ ≤ -4 -310 PFD 10≤ ≤

SIL2 -7 -610 PFH 10≤ ≤ -3 -210 PFD 10≤ ≤

SIL1 -6 -510 PFH 10≤ ≤ -2 -110 PFD 10≤ ≤

Figure 2-14 : Niveau d’Intégrité en sécurité SIL

2.9.7 Le facteur de sécurité

Le facteur de sécurité S indique combien des pannes qui se produisent sont essentiels

à la perte de la sécurité. Il est donné en pourcentage. On distingue à partir du facteur de sé-

curité S deux genres de type de composant.

• Les composants de type B dont le cas échéant possèdent une valeur de sécurité de

50%,

• tandis que les composants de types A possèdent une valeur de sécurité de 10%.

Les modes de défaillance des composants de Type A sont connus et peuvent être complète-

ment détecté par un test diagnostic. Le facteur de sécurité S peut également être démontré

explicitement via une analyse AMDEC pour les composants de types B. Pour les composant


33

dont la sécurité n’est pas critiques tels qu’un afficheur, il est supposé d’une valeur égale a S

= 0%.

2.9.8 Proof Test

Les Proof Test sont des tests périodiques hors ligne réalisé pour détecter des pannes

dans un système de telle sorte que le système puisse être réparé afin de revenir dans un état

équivalent à son état initial.

Figure 2-15 : Les proof tests et le cycle de vie

La fréquence des tests de fonctionnement est un élément important dans la détermi-

nation du niveau de SIL d'une chaîne de commande. Plus la fréquence des tests est élevée,

plus grande sera le niveau de confiance accordé au système.

2.9.9 Temps de mission

Le temps de mission c’est la durée pendant lequel le système est en ligne pour son

application de sécurité. Lorsque des proof test sont réalisés, ce temps de mission sera consi-

déré comme égal au temps entre deux proof tests consécutifs. Dans le cas ou il n’ya pas de

proof tests, on prendra le temps de mission égale au temps de vie du système (MTTF)


34

3 Méthode d’analyse de risque

Une analyse prévisionnelle de SdF est un processus d’étude d’un système réel de fa-

çon à produire un modèle abstrait du système relatif à une caractéristique de SdF (fiabilité,

disponibilité, maintenabilité, sécurité). On distingue deux termes dans l’analyse de risque:

• Un danger est toute source potentielle de dommage, de préjudice ou d’effet no-

cif à l’égard d’une chose ou d’une personne dans certaines conditions dans le

milieu du travail.

• Un risque est la probabilité qu’une personne subisse un préjudice ou des effets

nocifs pour sa santé en cas d’exposition à un danger.

Les éléments de ce modèle seront des événements (des dangers et des risques) suscep-

tibles de se produire dans le système et son environnement.

Le modèle prévisionnelle permet ainsi de représenter toutes les défaillances et les

pannes des composants du système qui compromettent une des caractéristiques de SdF.

Pour mieux d’aider l’analyste, plusieurs Méthodes d’analyse ont été mises au point.

Les principales sont :

APD Analyse Préliminaire des Dangers,

AMDE Analyse des Modes de Défaillances et de leurs Effets,

AMDEC Analyse des Modes de Défaillances, de leurs Effets et leurs criticités

MDS Méthode du Diagramme de Succès,

MTV Méthode de la Table de Vérité,

MAC Méthode de l’Arbre des Causes,

MACQ Méthode de l’Arbre des Conséquences,

Nous ne verrons dans la suite que quelques-unes de ces méthodes.

3.1 Analyse du danger et du risque


35

Le but d’analyse du danger et du risque est d'identifier quels sont tous les éventuels

dangers auxquels sont exposés les opérateurs et l'environnement d'une machine.

Le risque se définit donc comme le produit de la fréquence d’apparition du phénomène

dangereux par la sévérité des dommages occasionnés aux personnes et à l’environnement.

Figure 3-1 : Cotation du risque

Le risque étant évalué, il convient ensuite d’identifier les moyens qui participent à sa

réduction. Chaque couche participe à la prévention du risque où/et à la réduction de ses con-

séquences.

Figure 3-2 : Identification du risque

Les divers risques indiqués dans la norme CEI 61508-5 sont les suivants:

• Risque initial: Il peut être provoqué par les équipements de contrôle et de com-

mande. Ils contiennent des systèmes de commande où les facteurs humains sont as-

sociés. De plus, aucun dispositif de protection n'est pris en compte dans la détermina-

tion de ce risque (Partie quatre de CEI 61508-4).


36

• Risque tolérable: risque accepté dans un certain contexte et fondé sur les valeurs

admises de la société (Partie quatre de la CEI 61508-4),

• Risque résiduel: dans le contexte de la présente norme, pour les événements dange-

reux spécifiés, risque encouru par les équipements de contrôle et commande, mais

avec l’ajout de la couche de sécurité par les systèmes instrumentés de sécurités et des

dispositifs externes de réduction de risque (Partie quatre de la CEI 61508-4).

Figure 3-3 : Gestion du risqué par séparation des couches

Le risque résiduel acceptable dépend des divers facteurs tels que, pays, société, lois et

les goûts. Le risque résiduel acceptable doit être évalué cas par cas et il est déterminé sur une

base sociale et tient en compte des facteurs sociaux et politiques. Si le risque d’une installa-

tion technique est considéré comme trop élevé, il faut prendre des mesures particulières pour

diminuer le risque.

La combinaison de toutes les mesures de protection relatives à la sécurité permet de

diminuer le risque autant nécessaire. Le risque résiduel doit être au maximum égal au risque

tolérable. Pour cela, les outils d’évaluation du risque peuvent être qualitatifs à l’aide de

l'analyse des modes de défaillance et de leurs effets (FMEDA) ou / et par la méthode de

l'analyse hasard (Hazard Analysis).


37

L’évaluation quantitative peut être effectuée par une analyse par des blocs fonctionnel de

fiabilité qu’ainsi par l’arbre des évènements aboutissant au calcul de la probabilité de défail-

lance dangereuse.

3.2 Analyse des modes de défaillances et leurs Effets

La méthode d’analyse de risque signifie l’analyse des modes de défaillances et de

leurs effets, a été introduite dans l’aviation, au début des années 1960. L'idée de base de la

méthode FMEA/AMDEC est d'essayer de prévenir les causes possibles de la défaillance du

système, pour éliminer les pannes qui peuvent se produisent entre le temps. Le but de cette

analyse qualitative c’est d’assurer que les risques et les vulnérabilités d’un système soient le

plus tôt possible détectés afin d’effectuer des améliorations sur le système. Ils existent diffè-

rent genre d’analyse FMEA/AMDEC :

• FMEA –Failure Mode and Effects Analysis– utilisée pour l’analyse du risque d’un

produit, d’un composant.

• FMECA –Failure Mode, Effects, and Criticality Analysis– est similaire à une FMEA

avec un ajout de la criticité de plus d’un produit ou bien d’un composant.

• FMEDA –Failure Mode, Effects and Diagnostic Analysis– est similaire à une

FMEA avec un ajout de diagnostique de plus d’un produit ou bien d’un composant.

Le processus de construction d’une analyse AMDEC débute par une description fonc-

tionnelle et matérielle du système, après une analyse préliminaire des risques en identifiant

les événements redoutés, puis une analyse détaillée des évènements critiques et enfin le trai-

tement des points critiques par la proposition des solutions visant à améliorer la sûreté de

fonctionnement. La mise en œuvre d’AMDEC se fait selon les étapes suivantes :

1. Description fonctionnelle et matérielle

2. Recensement des modes de défaillance

3. Recherche des causes et les effets

4. Analyse de la criticité

5. Moyens de détection

6. Actions correctives

La classification des modes génériques de défaillance se compose de quatre modes :


38

Électroniques Hydrauliques Mécaniques

Pas de Fonction -circuit ouvert -court circuit -pas de réponse à la sollicitation -connexion / fil desser-rés

-Fuite -Circuit bouché

-absence de jeu

Perte de Fonction -coupure ou court cir-cuit -composant défectueux

-Obstruction ou coupure circuit -Composant défec-tueux

-rupture -blocage / grippage

Fonction dégradée -dérive des caractéris-tiques s -perturbations, para-sites

-mauvaise étan-chéité -usure -perturbations de bélier

-mauvaise potée -désolidarisation -jeu

Fonction Intempes-tive

-déclenchement intem-pestif

-coup de bélier

Table 3-1 : Mode génériques de défaillance

La recherche des causes commence par l’analyse de la petite unité du composant vers

l’unité supérieure et cela peut aider à identifier les défaillances de cause unique, mais par

contre les défaillances systématiques ou bien les défaillances de causes communes ne peu-

vent pas être détectées. La Figure 3-4 représente un système instrumenté de sécurité d’un

niveau d’intégrité de sécurité SIL2. Il se compose d’un capteur d’une unité de traitement

APS et une vanne SOV d’arrêt d’urgence.

Figure 3-4 : Commande d’une vanne par un SIS


39

Le Table 3-2 représente l’analyse de risque par AMDEC d’une vanne utilisé comme un sys-

tème d’arrêt d’urgence.

Information sure le composant

Information sur l’erreur

Identifica-

tion du com-

posant

fonctionnement Mode de

défaillance

Effets local Effets sur

l’ensemble

du système

Causes

possibles

Probabili-

té de la

défaillan-

ce

SOV Vanne de com-

mande

Système Arrêt

d’urgence

(Emergency Shut

Down ESD)

Bloqué en

position

ouverte

Alimentation

permanent

Pas de

possibilité

d’actionner

sur la

vanne pour

la fermer.

Une faute

méca-

nique

interne

Faible

Bloqué en

position

fermé

Arrêt

d’alimentation

Pas de

possibilité

d’actionner

sur la

vanne pour

l’ouvrir.

Une faute

méca-

nique

interne

Faible

Fuite Alimentation

restreint

Pas de

possibilité

d’actionner

sur la

vanne.

Une faute

méca-

nique

interne

Très faible

Table 3-2 : AMDEC d’une vanne d’arrêt d’urgent

L’AMDEC est donc en revanche indispensable dès lors que l'on travaille sur des ma-

chines, ou plus généralement sur des systèmes composé de plusieurs sous-ensembles, car les

mesures de maîtrise ne seront alors jamais simples ni à imaginer, ni à valider.

Avant de commencer la cotation, un groupe de travail d’expert définit les échelles

Vous trouverez ci-dessous une table en quatre niveaux, utilisée pour les défaillances d'un


40

moyen de production. Ce n'est qu'une proposition, que chaque groupe de travail peut adapter

à son besoin, son environnement, sa problématique.

Fréquence (F)

Niveau valeur Définition

Très faible 1 défaillance rare : moins une défaillance par année

faible 2 défaillance possible : moins de une défaillance par trimestre

moyen 3 défaillance occasionnelle : moins de une défaillance par semaine

élevé 4 défaillance fréquente : plus de une défaillance par semaine

Gravité (G)

Niveau valeur Critère

mineur 1 Personnel : Blessure légère

Matériel : pertes d'exploitation perte de production de 100 000 à 1 million de dollars

moyenne 2 Personnel : Blessure grave une opération et nécessaire

Matériel : pertes d'exploitation perte de production de 1 à 20 million de dollars

majeur 3 Personnel : un mort et plusieurs blessées

Matériel : pertes d'exploitation perte de production de 20 à 200 million de dollars

grave 4 Personnel : Plusieurs morts

Matériel : pertes d'exploitation perte de production de 200 million de dollars

Détection (D)

Niveau valeur Définition

évident 1 Détection certaine, sirène, moyens automatiques, signes évidents

possible 2 Détectable par l’opérateur, par des inspections, vibration

improbable 3 Difficilement détectable, moyens complexes (démontages, appareils)


41

impossible 4 Indétectable, aucun ne signes

La cotation de la criticité se définit donc comme le produit de la fréquence

d’apparition du phénomène dangereux, ca gravité et ca détection.

Figure 3-5 : Formule de calcul du Risque

3.3 Graphe de risque

La norme ISO 13849 propose une évaluation par un point de départ, le constructeur de

la machine identifiera en répondant aux questions notamment la gravité de la blessure (S), la

fréquence ou/et la durée d’exposition (F) au danger qu’ainsi la possibilité de la réduction du

danger (P), et le niveau de performance de la machine et la fonction de sécurité qui sera

examinée.

Le niveau de performance requis est classé en cinq niveaux), en fonction de l'augmen-

tation du risque en allant du niveau de performance PLa au niveau de performance Ple. Cha-

cun d'eux identifie un domaine numérique de probabilité moyenne de défaillance dangereuse

par heure. Un niveau de performance PLa indique par exemple que la probabilité moyenne

de défaillance dangereuse par heure est comprise entre 10-5 et 10-4.


42

Figure 3-6 : Graphe de risque


43

4 Évaluation qualitative et quantitative de la SdF par le bloc de

diagramme de fiabilité

Une analyse qualitative de sûreté de fonctionnement consiste à donné une structure du

système par des blocs fonctionnel, afin d’estimer les combinaisons des éléments qui amè-

nent à la défaillance du système. Pour cela, les analystes utilisent deux concepts : les che-

mins à succès et les coupes. Par contre une analyse quantitative de sûreté de fonctionnement

consiste de plus à calculer la probabilité d’occurrence des défaillances pour tout le système.

4.1 Analyse qualitative par Bloc diagramme de fiabilité

Un diagramme de fiabilité consiste à visualiser la logique de fonctionnement d’un sys-

tème par des blocs fonctionnels. Un ensemble de blocs dont le dysfonctionnement entraîne

le dysfonctionnement du système est un couple.

4.1.1 Liens minimaux et coupes minimales

Dans un schéma de connexion, un lien est un ensemble de blocs dont le fonctionne-

ment assure le succès de la mission du système. Un lien minimal est une des plus petites

combinaisons de blocs qui lorsqu’ils sont en fonction permettent d’assurer la fonction re-

quise pour le système. Si Li est un lien minimal du système alors la fiabilité totale du sys-

tème est donnée par :

= ∑

=

l

i

iLPR1

(4-1)

Où l est le nombre de liens minimaux du système.

Les coupes minimales représentent les plus petites combinaisons de défaillances des

blocs qui compromettent la fonction requise pour le système. Si Ci est une coupe minimale

du système alors la fiabilité totale du système est donnée par :


44

−= ∑

=

c

i

iCPR1

1 (4-2)

Où c est le nombre de coupes minimales du système.

La recherche de coupe minimale au sein d’une représentation déterministe se fait par les

étapes suivantes :

• réalisation d’une représentation du système par un diagramme de fiabilité.

• la recherche de tous les liens minimaux par un parcours exhaustif de tous les chemins

et l’on construit une matrice d’incidence des blocs dans les liens.

• Pour trouver les coupes d’ordre 1, on recherche les lignes n’ayant que des uns.

• On supprime ensuite ces colonnes, qui correspondent aux coupes d’ordre 1. On com-

bine toutes les colonnes deux à deux (avec un OU booléen). Les colonnes n’ayant

que des uns sont les coupes minimales d’ordre 2.

• On supprime les colonnes ainsi trouvées et on recommence pour obtenir les coupes

d’ordre 3. Etc.

4.2 Analyse quantitative par Bloc diagramme de fiabilité

Le diagramme de fiabilité consiste à construire un diagramme qui compose des blocs,

chacun d’eux représentant une entité (Un composants, des sous-systèmes etc.). Ces blocs

sont reliés par des flèches indiquant les dépendances des entités entre eux.

Cette représentation statique du fonctionnement du système consiste à chercher les

combinaisons de défaillances d’entités qui peuvent conduire à la défaillance totale du sys-

tème. On distingue deux genres de transmission du signal entre les entités soit en série ou

bien en parallèle.

Comme le montre Erreur ! Source du renvoi introuvable. , une défaillance au ni-

veau d’une entité dans un système en série entrainera l’arrêt du signal au niveau du bloc qui

lui est associé, ce qui introduit l’arrêt du système.


45

Figure 4-1 : Diagramme de fiabilité en série

Le système ne fonctionne que lorsque tous les composants sont fonctionnels. La fiabi-

lité d'un système (la probabilité de bon fonctionnement) de n composant est calculée selon

l'équation suivante :

∏=

=••=n

i

in tRtRtRtRtR1

21 )()()()()( L (4-3)

En conséquence le taux de défaillance est calculé par l’addition du taux de défaillance

de chaque composant constituant le système:

i

n

i

S λλ ∑=

=1

(4-4)

La formule de calcul de la valeur du temps moyen qui s'écoule jusqu'à ce qu'un sys-

tème tombe en panne (MTTF) est formulée comme suit:


46

Total

nSerie dttRtRtRMTTFλ

1)()()(

0

21 =••= ∫∞

L (4-5)

Pour les systèmes en parallèles, il suffit qu’une entité ne fonctionne pas pour que le si-

gnal passe. L’arrêt du système est possible si seulement si les trois entités sont défaillantes.

Figure 4-2 : Diagramme de fiabilité en parallèle

Dans une structure parallèle, l'arrêt du système est provoqué par la défaillance de

toutes les entités. La fiabilité d’un système parallèle est calculée selon l'équation suivante:

))(1(1)))(1())(1())(1(1)(1

21 ∏=

−−=−•−•−−=n

i

in tRtRtRtRtR L (4-6)

La formule de calcul de la valeur du temps moyen qui s'écoule jusqu'à ce qu'un sys-

tème tombe en panne (MTTF) pour un système de deux composants est comme suit:

[ ] [ ]∫∫∞

×+−×−×−∞

−+=−+=0

)(

0

dteeedtRRRRMTTF ttt

BABAParallèleBABA λλλλ

(4-7)

En évaluant l’exponentielle on obtient:

BABA

ParallèleMTTFλλλλ +

−+=111

(4-8)


47

4.2.1 Système multi composants

Dans la partie précédente, nous avons étudié la défaillance d’un système à composant

unique. Dans ce cas, la défaillance du composant implique la défaillance du système. Dans

un système multi composant, la défaillance du système survient à la suite de défaillance de

sous-ensembles de composants. Par exemple, la défaillance d’un frein sur un véhicule ne

remet pas en cause le fonctionnement global même s’il faut adapter son mode d’utilisation.

Par contre, la défaillance d’une roue conduit à l’immobilisation du véhicule.

Soit un système à n composants, on note par xi l’état de l’i-ème composant. xi = 1 si le

composant fonctionne et 0 sinon. On note φ(x) l’état du système complet. On rappelle éga-

lement que :

( )

)()(

)()()()(

)(.)(

BPAP

BAPBPAPBAp

et

tsindépendansontBetAsiBPAPBAP

+≈

∧−+=∨

=∧

(4-9)


48

5 Évaluation qualitative et quantitative de la sûre de fonctionne-

ment par Arbres des causes, de défaillance et d’événement

Les méthodes et les démarches pour maitriser les risques sont indispensable pour la

sûreté de fonctionnement d’un SIS. Ils décrient les mécanismes qui conduisent aux incidents

et aux accidents. En distingue trois méthodes les plus courantes notamment:

• L’arbre de défaillance,

• L’arbre des causes et

• L’arbre d’événement

Ces trois méthodes d’analyse de risque sont représentées sous forme d’une représenta-

tion graphique logique d’un système sous formes arborescentes mais ils ne contiennent pas

les mêmes informations.

5.1 Principes et objectifs de ces méthodes

L’Arbre de défaillance est aussi une méthode d'analyse des défaillances qui part d’un

événement final pour remonter vers les causes et les conditions qui peuvent être associés.

Ayant pour point de départ un événement redouté, un dysfonctionnement ou un accident la

démarche constitue à effectuer une analyse sur les éléments constitutifs du système étudié

pour identifier tous les scénarios conduisant à l’événement redouté. À partir des opérateurs

logiques et des symboles de la représentation schématique donnée á titre d’exemple Figure

5-1 on peut calculer la probabilité de l’événement redouté á partir des probabilités des évé-

nements élémentaires qui se combinent pour le provoquer.


49

Figure 5-1 : Éléments essentiel pour une représentation graphique par l’arbre de défaillance et des causes

Figure 5-2 : Arbre de défaillance


50

L’arbre des causes part d’un événement qui s’est produit et organise l’ensemble des événe-

ments ou les conditions qui peuvent être associés. Cette analyse repose sur un raisonnement

similaire à l’arbre de défaillance mais ne décrit qu’un scénario, d’un incident ou un acci-

dent, pour soutenir la démarche d’analyse de la cause. Sa représentation est illustrée par la

Figure 5-3.

Figure 5-3 : Arbre des causes

L’arbre d’événement part d’un événement et décrit les différentes conséquences qu’il

peut avoir en fonction des conditions dans lesquelles il s’est produit et des événements avec

lesquels il se combine. Il repose sur un raisonnement inverse des arbres précédents : de la

cause vers les conséquences (d’où sa représentation donnée à titre d’exemple Figure 5-4c).

Comme l’arbre de défaillance, il vise à représenter l’ensemble des possibles, ici, des consé-

quences possibles de l’événement étudié. Le point de départ est un incident, une défaillance,

une erreur, une agression... dont on veut évaluer les conséquences possibles qui dépendent

d’un certain nombre d’autres facteurs. Si on connaît les probabilités associées à ces facteurs

on peut calculer en s’appuyant sur l’arbre d’événement la probabilité associée à chacune des

conséquences possibles de l’incident initial.


51

Figure 5-4 : Arbre d'événement

5.2 L’arbre de cause d’une structure simple

Un système d’une 'architecture simple se compose d'un canal ce que signifie que le

système est déjà dans un état critique. Si le système peut tomber en panne à cause d'une dé-

faillance dangereuse, cette défaillance peut être une défaillance dangereuse détectée ou bien

une défaillance dangereuse non détectée.

Figure 5-5 : Arbre de cause d'un 1oo1-système d’alimentation


52

5.3 L’arbre de cause d’une structure redondante

Le système d’architecture d’une structure redondante exerce sa fonction de sécurité

seulement si au moins l'un des deux systèmes est en service. Le système tombe complète-

ment en panne au cas où:

1. les deux systèmes ont chacun une défaillance dangereuse

2. le raccord de deux systèmes a chacun une défaillance dangereuse

Sous-système de capteur de pressionDéfaillance Dangereuse

Capteur de pression ADéfaillance Dangereuse

Capteur de pression BDéfaillance Dangereuse

Raccord de pressionDéfaillance Dangereuse

m:0:0

Figure 5-6 : Analyse de la défaillance d’un capteur de pression en redondante

5.4 Codage des arbres de défaillance sous forme de DDB

En 1992, J.-C. Coudert et O. Madre d’un côté, A. Rauzy d’un autre, ont proposé un

codage efficace des arbres de défaillances. Un arbre de défaillance est équivalent à une for-

mule binaire. En effet, un arbre est constitué d’événements E = {e1,…; en} et de portes lo-

giques P = {ou, et . . .}. Chaque événement est transformé en une variable booléenne xi qui


53

vaut 1 si l’événement s’est produit. Les portes logiques sont directement traduites en con-

necteurs logiques.

Événement Variable booléenne xi

se produit 1

Ne se produit pas 0

La Figure 5-6 traduit la formule booléenne d’un arbre de défaillance.

m:0:0

E1 E2

E3

S

)( 213 xxxF ∧∨=

Figure 5-7 : Formule booléenne d’un arbre de défaillance

Les diagrammes de décision binaires (BDD pour Binary Decision Diagram) sont une

structure de données qui permet de représenter de façon compacte les relations entre va-

riables booléennes. Ils ont été introduits par Randal E. Bryant et sont devenus incontour-

nables pour les outils de vérification.


54

6 Modèles à états transition

6.1 Modèle de Markov

Lorsqu’un système est modélisé par une équation différentielle son avenir est unique-

ment déterminé par sa situation présente, d’où son nom de dynamique déterministe. Ils per-

mettent de bonnes descriptions statiques de système mais ne prennent pas en compte les re-

configurations, comme les réparations.

Pour une chaîne de Markov au contraire, on fait l’hypothèse qu’il y a plusieurs évolu-

tions possibles à partir de la situation présente, chacune d’elles ayant une certaine probabili-

té de se réaliser. C’est cette incertitude sur l’avenir qui est prise en compte par les modèles

markoviens que l’on appelle pour cette raison dynamiques aléatoires ou stochastiques.

Andrei Markov (en 1856 – en 1922) a réussi de réaliser une telle description d’un sys-

tème. Il a publié ses premiers résultats en 1906, qui ont ensuite été généralisés à un espace

d’états infini dénombrable par Andrei Kolmogorov.

A l’aide des chaînes du Markov ou bien du processus de Markov, un système peut être

analysé sur une longue période de façon qu'on puisse prédire le futur en se basant sur l’état

présent du processus. Dans ce cas, il faudrait par exemple prendre en compte le fait que la

probabilité pij = P (Xt+1 = xj/Xt = xi) pourrait être différente selon que Xt−1 = xk ou que Xt−1

= xl.

6.1.1 Un simple model de Markov

Un simple modèle de Markov possède principalement deux états qu’ainsi deux états,

le système est en fonctionnement, à savoir que le système effectue sa fonctionnalité sans

erreur, ou pas en fonctionnement, à savoir que le système et dans un état de défaillance. Les

états sont représentés par des cercles et les transitions avec des lignes de transition.


55

Figure 6-1 : Éléments de base pour une chaine de markovienne

Le passage du système d’un état à un autre état ce présente par deux cercles et une

ligne de transmission ou d'une courbe de transition. On distingue deux types de systèmes :

• Un système possédant des composants irréparables.

• Un système possédant des composants réparables.

Les systèmes irréparables sont des systèmes qu’on ne peut pas les réparer à cause

d’une défaillance dangereuse. Pour la reprise en service on doit remplacer complètement ce

composant. La Figure 6-2 montre le modèle de Markov de ce genre de système.

Figure 6-2 : Modèle de Markov pour un system irréparable

Après un certain temps, le système passe de l'état normal E0 à travers un taux de tran-

sition (le taux de défaillance λ) à l’état E1 qui représente l'état où le système est en panne.

Puisque ce système est irréparable, la mise en service de ce genre de système nécessite le

remplacement complet des composants défectueux.


56

La Figure 6-3 illustre un modèle de Markov d'un système réparable. Ce genre de sys-

tème peut être ramené en service ou bien à l’état sans défaut après une défaillance dange-

reuse.

Système

en service

E0

Système hors

service

E1

Figure 6-3 : Modèle de Markov pour un system réparable

Ce genre de système après avoir passé de l’état en service à l’état hors service, ce sys-

tème à la capacité de revenir en service encore une fois après un certain temps qu’on notera

le temps de réparation µr.

6.1.2 La probabilité de transition

La probabilité de transition d’un état i à un autre état j peut être calculée mathémati-

quement. Si un état Ei sur un intervalle de temps dt passe à l'état E1, entre ces deux états

existe une relation de probabilité de transition représentée par l'équation suivante :

dtEEPP ijjiij *)( λ=→= (6-1)

Avec le taux de transition λij ≥ 0.

Une représentation plus pratique de tous les états du modèle de Markov à partir de la

matrice de transition est définie comme suit :


57

=

nnnnn

n

n

PPPP

PPPP

PPPP

P

...

...

...

210

1121110

0020100

L (6-2)

En remplaçant les différentes probabilités par leur équation la matrice de transition P

peut être décris comme suit :

−

−

−

=

dtdtdtdt

dtdtdtdt

dtdtdtdt

P

nnnnn

n

n

λλλλ

λλλλ

λλλλ

1.....

................

....1.

.....1

210

1121110

0020100

(6-3)

La matrice de transition nous permet de calculer tous les taux de transitions des diffé-

rents états de la chaine de Markov. S'il n’existe pas de lien entre deux états alors le taux de

transition est égal à 0. On note que la somme des termes de n’importe quelle ligne P donne

toujours 1. Il faut mentionner que la matrice de transition représente seulement l’état initial

du système. La matrice de transition p est égale au cube pour l’instant T = 3 avec l’état ini-

tial T = 1.

[ ]3)1()3( === TPTP (6-4)

Ce qui suit voici un exemple de calcul de la matrice de transition pour un système à

deux états.

• E0 système en service

• E1 système en état de panne.


58

Système

en service

E0

0,01

Système hors

service

E1

0,5

0,010,99

Figure 6-4 : Représentation d'un simple modèle de Markov

Étant donné que seulement deux états sont présents, cela signifie que la matrice de

transition est de dimension (2x2) comme suit :

=

1110

0100

PP

PPP (6-5)

En remplaçant chaque transition avec sa valeur de taux de transition, on obtient

l’équation suivante:

=

99,0.5,0

01,0.99,0P (6-6)

Comme déjà mentionne, la somme de chaque ligne de la matrice P est toujours égale à

1, sinon la matrice est faute.

6.1.3 Approche mathématique

La valeur MTTF signifie la durée moyenne de fonctionnement avant la première dé-

faillance pour un système irréparable, pour un system réparable on parle de la durée

moyenne entre deux défaillances consécutives qu’on note MTBF (Mean Time Between Fai-

lure).Pour effectuer le calcul de la valeur MTTF en utilisant les chaines de Markov, il faut

suivre les 4 étapes suivantes:


59

1. La formation de la matrice de fiabilité Q à partir de la matrice de transition P. Cela

exige certaines conditions, notamment le système doit être dans un état normal. Les

états absorbants ne sont pas présents.

2. La formation de la matrice M se fait en déduisant la matrice de fiabilité Q-matrice de

la matrice d’unité I.

QIM −= (6-7)

3. La formation de la matrice N à partir de l’inverse de la matrice M.

[ ] 1−= MN (6-8)

4. Après avoir déterminé la matrice N, la valeur MTTF c’est la somme de la première

ligne de la matrice N

6.1.4 Système d’une simple architecture

Le modèle de Markov pour un système d'une simple architecture est représenté par la

Figure 6-1. Il se compose d'un seul canal et possède quatre états. Un état normal (SYS_N)

E0 où le système est complètement opérationnel et il n'existe pas de défaillance. Dans cet

état, la fonction de sécurité est valide (le système peut répondre à une sollicitation). A partir

de cet état, le système peut prendre trois autres états.

1. L'état de sécurité (SYS_S) E1 pour lequel l'état de sécurité est réalisé. Cet état peut

être causé d'une défaillance sûre dangereuse détectée et non détectée, on est donc

dans le cas du fonctionnement nominal. Un le temps de réparation est présenté par µr.

2. L'état normal dégradé (SYS_DD) E2, la fonction de sécurité du système est valide. le

système passe à cet état après une défaillance dangereuse détectée. Les taux de tran-

sitions µ0 et µR est disponible.

3. Dans l'état de défaillance dangereuse SYS_DU la fonction de sécurité n'est plus réa-

lisée, un ou plusieurs composants étant défaillant à cause d'une défaillance dange-

reuse non détectée, le système se trouve dans un état critique. Le système entre dans

cet état dès qu'il présente un risque d'accident et un manque de répondre à une de-


60

mande d'activation de la fonction de sécurité. Pour revenir à l'état initial sans défaut

le système doit attendre jusqu'a que le système atteint sa durée de vie.

Figure 6-5 : Système d’une simple architecture présenté par les chaines de Markov

6.1.5 Le calcule du temps de vie moyen MTTF d'un 1oo1 système

Le système possède quatre états, l'état dont le système est en état normale E0, l'état

sûre E1, l'état normal dégradé E2 dont les défaillances dangereuses détectées peuvent être

détectées à partir des tests de diagnostics et l'état de défaillances dangereuses non détectées

E3 dont ces tests ne peuvent pas détecter ces défaillances dangereuse. Étant donné que seu-

lement quatre états sont présents, cela signifie que la matrice de transition (comme déjà

mentionnée) est définie comme suit :

−

−

−

+−

=

dtdt

dtdt

dtdt

dtdtdtdt

P

LTLT

RR

DUDDsDs

.100.

0.1.0

00.1.

...).(1

00

µµ

µµ

µµ

λλλλλ

(6-9)

La matrice de fiabilité a donc la forme suivante :


61

)(1 DsQ λλ +−= (6-10)

La matrice M est donc:

[ ] )()(11 DsDsQIM λλλλ +=+−−=−= (6-11)

La matrice N est donc de dimension 1x1, ce que signifie que la valeur MTTF est égale

la valeur de la matrice N

(6-12)

Le modèle de Markov pour un système d'une architecture redondante est représenté

par la Figure 6-6.

0,25

4,8e-7

0,2

0,5

0,003988

DU 0,005760,5

2,88e-5

2,4e-7

0,0028

2,4-007

0,2

*

DD

DU*2

0,00288

DU

DD

DU

S*2

0,2

1,2e-9* DDD

DD*2

Figure 6-6 : Modèle de Markov d'un système d'architecture redondante

[ ]Ds

MNMTTFλλ +

=== − 11


62


63

7 L’architecture d’un système instrumenté de sécurité (SIS)

Pour caractériser l’architecture d’un système instrumenté de sécurité, la convention M-

out-of-N (MooN) sera utilisée, ce qui signifie que M canaux parmi les N canaux que com-

porte le système doivent fonctionner correctement pour que la fonction de sécurité soit exé-

cutée.

Par exemple un système d’architecture 1-out-of-N dédié à la sécurité, ou sous-

ensemble d’un tel système, constitué de N canaux indépendants qui sont connectés de telle

sorte qu’il suffit qu’un seul canal (M=1) soit opérationnel pour que la fonction de sécurité

soit assurée. Par contre les systèmes de structure 2-out-of-N, L'exécution de la fonction de

sécurité exige que les deux (M=2) canaux sur les N canaux soit opérationnels.

Dans les applications industrielles, on trouve aujourd’hui principalement les architec-

tures suivantes :

• Un parmi un

• Un parmi un avec diagnostic 1oo1D

• Un parmi trois 1oo3

• Un parmi deux 1oo2

• Un parmi deux avec diagnostic 1oo2D

• Deux parmi deux 2oo2

• Deux parmi deux avec diagnostic 2oo2D

• Deux parmi trois 2oo3

• Deux parmi quatre 2oo4

7.1 Architecture UN parmi UN 1oo1 (1 out of 1)

Un système d'architecture 1oo1 (Figure 7-1) consiste en un seul canal, pour lequel une

défaillance dangereuse entraînera la perte de la fonction de sécurité en cas de sollicitation.

Les tests de diagnostic sont présents ici pour assurer une détection des fautes en vue de répa-

rer le système mais n’affectent pas la sortie.

L’exemple suivant représente un système instrumenté de sécurité (SIS) de type de sys-

tème d’arrêt d’urgence de sécurité (ESD Emergency Safety Shudown) comprenant un cap-

teur connecté en série avec une logique de commande qui commande un contacteur.


64

Figure 7-1 : SIS d’Architecture 1oo1

Le Table 7-1 traite les différents états du système de structure 1oo1. On considère que

la fonction de sécurité se résume à l’ouverture du contact du relais en cas d’une détection

d’une défaillance dangereuse au niveau de canal.

État du

système Cause potentielle Disponibilité du système Sécurité de système

Canal est

défaillant

Contacteur bloqué à

l’état fermé

Impossibilité d’actionner la sortie.

(pas de disponibilité).

Le système est dans un

état dangereux

Contacteur bloqué à

l’état ouvert

Impossibilité d’actionner la sortie

(pas de disponibilité).

Le système est dans un

état sûr.

Table 7-1 : Disponibilité et sécurité d’un sis d’une structure 1oo1

7.2 Architecture Un parmi Un avec diagnostic 1oo1D

Un système d'architecture un parmi un avec diagnostic 1oo1D consiste en un seul ca-

nal, pour lequel une défaillance dangereuse entraînera la perte de la fonction de sécurité en


65

cas de demande. Les tests de diagnostics sont capables de couper l’énergie des sorties en cas

de détection d’erreur. On a amélioré la structure d’une architecture simple à une structure

dont les tests de diagnostic agissent directement sur la sortie si les tests détectent une défail-

lance dangereuse. Il faut noter que les fautes dangereuses non détectées par les tests font

passer le système de structure 1oo1D à un état dangereux, car la fonction de sécurité ne peut

pas être exécutée. La disponibilité d’exécution de la fonction de sécurité n’est pas donc sa-

tisfaite.

La Figure 7-2 représente le système d’arrêt d’urgence de sécurité avec une structure

1oo1D dont ses tests de diagnostic agissent directement sur la sortie.

Figure 7-2 : SIS d’une structure 1oo1D

Le Table 7-2 traite les différents états du système 1oo1D. On considère que la fonction

de sécurité se résume par l’ouverture de contact du contacteur en cas d’une détection d’une

défaillance dangereuse au niveau de canal.

État du

système

Cause

potentielle Disponibilité du système Sécurité de système

Canal est

défaillant

Contacteur

bloqué

à l’état fermé

Défaillance détectée

Possibilité d’actionner la sortie par

les tests de diagnostic.

(disponibilité)

Le système est dans

un état sûr.


66

Défaillance non détectée

Impossibilité d’actionner la sortie par


(pas de disponibilité)


un état dangereux

Contacteur

bloqué

à l’état ouvert


Possibilité d’actionner la sortie (disponible)

par les tests de diagnostic

(disponibilité)


un état sûr Défaillance non détectée

Impossibilité d’actionner la sortie par


(pas de disponibilité)

Table 7-2 : Disponibilité et sécurité d’un sis d’une structure 1oo1D

7.3 Architecture au moins Un parmi Deux 1oo2 (1 out of 2)

Un système d'architecture redondante 1oo2 consiste en deux canaux, la défaillance

d'un seul canal parmi les deux canaux n’empêche pas l’exécution de la fonction de sécurité.

Le système est défaillant si les deux canaux ne fonctionnent pas. Les tests de diagnostic si-

gnalent les fautes pour les réparer mais n’affectent pas la sortie.

La Figure 7-3 présente un SIS d’une architecture 1oo2, comprenant deux capteurs con-

nectés en série avec deux APids qui commandent deux contacteurs.


67

Figure 7-3 : SIS d’une structure 1oo2

La Table 7-3 traite les différents états du système. On prend par définition que la fonc-

tion de sécurité se résume par l’ouverture de contact du contacteur en cas d’une détection

d’une défaillance dangereuse.

État du

système

Cause

potentielle

Disponibilité du système Sécurité de

système

Un canal est

défaillant

Contacteur

bloqué à l’état

fermé

Possibilité d’actionner sur la sortie par le canal

non défaillant. La disponibilité de continuer

d’assurer la fonction de sécurité est satisfaite

Le système est

dans un état sûr

Contacteur


ouvert

impossibilité d’actionner sur la sortie, par le

canal non défaillant.

Le système est

dans un état sûr

Deux canaux

sont défaillants

Contacteur


fermé

Impossibilité d’actionner sur la sortie.

Le système est

dans un état

dangereux


68

Contacteur


ouvert

Impossibilité d’actionner sur la sortie. Le système est

dans un état sûr

Table 7-3 : Disponibilité et la sécurité d’un SIS d’une architecture 1oo2

7.4 Architecture au moins Un parmi Deux 1oo2D (1 out of 2D) avec diagnostic

Un système d'architecture 1oo2D avec diagnostic consiste en deux canaux, la défail-

lance d'un seul canal parmi deux canaux n’empêche pas l’exécution de la fonction de sécuri-

té, on parle donc d’une tolérance aux anomalies de matérielles HFT=1 (Hardware Failure

Tolerant). Le système est défaillant lorsque les deux canaux ne fonctionnent pas. Les tests

de diagnostics sont capables de couper l’énergie des sorties dès qu’une erreur aura été détec-

tée.

La Figure 7-4 représente un système d’arrêt d’urgence de sécurité d'architecture redon-

dante dont les tests de diagnostic des deux canaux agissent directement sur la sortie.


69

Figure 7-4 : SIS d’une structure 1oo2D

La Table 7-4 traite les différents états du système 1oo2D. On considère que la fonction

de sécurité se résume par l’ouverture de contact du contacteur en cas d’une détection d’une

défaillance dangereuse.

État du

système

Cause

potentielle

Disponibilité du système Sécurité de système

Un canal est

défaillant

Contacteur


fermé

Défaillance détectée et non détectée

Possibilité d’actionner sur la sortie par le

canal non défaillant. La disponibilité de

continuer d’assurer la fonction de sécurité est

satisfaite.

Défaillance détectée et

non détectée


un état sûr

Contacteur


ouvert

Défaillance détectée et non détectée

Impossibilité d’actionner sur la sortie,

puisque la sortie est toujours à l’état non

alimentée

Défaillance détectée et

non détectée


un état sûr


70

Deux canaux

défaillants

Contacteur


fermé


possibilité d’actionner sur la sortie


un état sûr.

La possibilité d’agir sur

la sortie par les tests de

diagnostic

Défaillance non détectée

impossibilité d’actionner sur la sortie

Le système n’est plus

dans

un état sûr.

Contacteur


ouvert


possibilité d’actionner sur la sortie Le système est dans

un état sûr Défaillance non détectée

impossibilité d’actionner sur la sortie

Table 7-4 : Disponibilité et la sécurité d’un SIS avec une architecture 1oo2D


71

7.5 Architecture deux Un parmi Deux 2oo2 (2 out of 2)

Un système d’architecture 2oo2 consiste en deux canaux, la défaillance d’un seul des

deux canaux empêche l’exécution de la fonction de sécurité. La fonction de sécurité sera

traitée si les deux canaux fonctionnent correctement. On parle donc d’une tolérance aux

anomalies de matérielles de zéro et s’exprime comme suite : HFT=0

Figure 7-1 : SIS d’une architecture 2oo2

La Table 7-5 traite les différents états du système d’architecture 2oo2. On prend par

définition que la fonction de sécurité se résume par l’ouverture de contact du contacteur en

cas d’une détection d’une défaillance dangereuse.


72

État du

système

Cause potentielle Disponibilité du système Sécurité de système

Un canal

défaillant

Contacteur bloqué

à l’état fermé

Impossibilité d’actionner sur la sortie par

le canal non défaillant. La sortie reste

toujours alimentée.

Le système n’est plus

dans

un état sûr, la sortie

est toujours alimentée.

Contacteur bloqué

à l’état ouvert Possibilité d’actionner la sortie.


un état sûr puisque la

sortie n’est pas

alimentée

Deux canaux

défaillants

Contacteur bloqué

à l’état fermé Impossibilité d’actionner sur la sortie.

Le système

n’est plus dans

un état sûr

Contacteur bloqué

à l’état ouvert Impossibilité d’actionner sur la sortie.


un état sûr puisque la

sortie reste non

alimente.

Table 7-5 : La disponibilité et la sécurité dans une architecture 2oo2


73

8 Évaluation quantitative du système instrumente de sécurité

L’évaluation des performances d’un SIS peut s’obtenir par des méthodes quantitatives.

Cette évaluation se base sur un calcul d’indisponibilité de la fonction de sécurité lors de sa

sollicitation, à partir des données probabilistes de défaillances.

8.1 Structure Un parmi Un (1oo1)

Un système d'architecture 1oo1 consiste à un seul canal, la défaillance dangereuse en-

trainera la perte de la fonction de sécurité en cas de demande.

Il possède un canal qui peut être défaillant avec un taux de défaillances dangereuses

Dλ résultant des défaillances non détectées DUλ ou bien avec un taux de défaillances dange-

reuses DDλ résultant des défaillances détectées.

Le temps d’indisponibilité tCE du canal est calculé par l’addition du temps de

l’indisponibilité du canal à cause d’une défaillance dangereuse non détectée tC1 et le temps

de l’indisponibilité du canal à cause d’une défaillance dangereuse détectée tC2 comme suite :

MTTRT

t iC +=

21

(8-1)

MTTRtC =2 (8-2)

( )2

DU DD

iCE D D

Tt MTTR MTTR

λ λλ λ

= + +

(8-3)

Avec:

• MTTR (Mean Time to Repair), est le temps de réparation conventionnelle, est pris

égale à 8 heures ; c’est-à-dire après la détection de la première défaillance dange-

reuse, le responsable dispose d’une durée de 8 heures pour résoudre le problème, si-

non après ce temps le système n’est plus fiable.


74

• Ti est le temps de mission (on utilise souvent 6 mois, 1 an, 3 ans, 5 ans ou bien 10

ans). C’est-à-dire après ce temps on doit effectuer un redémarrage du système pour

contrôler le système par les tests d’inspection.

La Figure 8-1 montre le schéma de principe de la fiabilité pour cette architecture.

MTTRT

t iC +=

21MTTRtC =2

CEt

DUλDDλ

Dλ

Figure 8-1 : Schéma de principe de la fiabilité pour une structure 1oo1

Le SIS peut perdre la fonction de sécurité en cas des défaillances détectées et non dé-

tectées.

0

0

1( )

1

1

2

T

avg

T

D

D

PFD PFD t dtT

t dtT

T

λ

λ

= ⋅

= ⋅ ⋅

=

∫

∫

Avec : ' '

1( )DU DD

D D

T T MTTR MTTRλ λλ λ

= + +

Et : D DU DDλ λ λ= +

(8-4)

La valeur de la PFDavg du SIS d’architecture un parmi un est calcule comme suit :


75

0

0

' '1

' '1

1( )

1

( )2

( )2 2 2

T

avg

T

D

DUD DD

D D

DU DD

PFD PFD t dtT

t dtT

T MTTR MTTR

T MTTR MTTR

λ

λλ λλ λ

λ λ

= ⋅

= ⋅ ⋅

= + +

= + +

∫

∫

On considère que :

''1

2 2

T MTTRMTTR MTTR≈ =>>

(8-5).

La probabilité de défaillance moyenne on demande du SIS est calculé par la formule

suivante :

MTTRMTTRT

PFD DDDUavg ⋅++= λλ )2

( 1

(8-6)

Avec

• MTTR (Mean Time To Repair) le temps de réparation conventionnellement est très

inferieure au temps de mission T1

• T1 le temps de mission. Un an de temps de mission équivaux à 8760 heures.

8.2 Structure un parmi deux (1oo2)

Un système d'architecture 1oo2 consiste en deux canaux, la défaillance d’un seul par-

mi les deux canaux n’empêche pas l’exécution de la fonction de sécurité. Le système est

défaillant si les deux canaux ne fonctionnent pas. Les tests de diagnostic signalent les fautes

pour les réparer mais n’affectent pas la sortie.

Le temps de l’indisponibilité d’un canal à cause d’une défaillance dangereuse détectée

est représenté par tCE:


76

( )2

DU DD

iCE D D

Tt MTTR MTTR

λ λλ λ

= + + (8-7).

On ajoute aussi le temps de l’indisponibilité de l’autre canal à cause d’une défaillance

dangereuse détectée qui est représenté par tGE :

( )3

DU DD

iGE D D

Tt MTTR MTTR

λ λλ λ

= + +

(8-8).

MTTRT

t iC +=

21MTTRtC =2

CEt

DUλ DDλ

Dλ

MTTRT

t iC +=

33 MTTRtC =4

GEt

DUλ DDλ

Dλ

Figure 8-2 : Schéma de principe de la fiabilité pour une structure 1oo2

L’introduction des défaillances de mode commun est généralement modélisée par la

proportion de défaillance de cause commune non détectées β et la de défaillance de cause

commune détectée Dβ . On obtient la formule de calcul de la valeur PFDavg pour une redon-

dance homogène:

)2

(

))1()1((2 2

MTTRT

MTTRttPFDavg

iDU

DDDGECEDUDDD

++

+−+−=

βλ

λβλβλβ

(8-9).

.


77

9 Conception du système instrumenté de sécurité

L’exemple suivant présente un réservoir recevant des résidus organiques inflammables

et toxiques. Le maintien du réservoir est réalisé par le système de commande représenté par

la Figure 9-1 qui régule par action sur la vanne (FC), à travers un convertisseur courant /

pression (I/P) grâce au signal 4-20mA fourni par le transmetteur de niveau LT1.Le réservoir

possède une soupape d’échappement à l’atmosphère.

Figure 9-1 : Régulation d'un réservoir d’architecture 1oo1

9.1 Estimation du risque

En cas de décharge de la soupape, les projections peuvent générer de sérieuse atteints

au personnels due aux produit chimiques dangereux ainsi qu’un risque d’explosion.

L’analyse a donné que le niveau de régulation est comprise entre 40% et 75%, ainsi que il

faut arrêter le remplissage de la cuve dès que le niveau atteint 90%.

L’analyse d’incidents et d'accidents survenus sur des procédés similaires, fournit deux

principales causes pour avoir le sur-remplissage du réservoir :

• Défaillance de la vanne on reste dans une position ouvert.

• Défaillance du transmetteur de niveau soit fixé ou bien indiquant un niveau bas.


78

Ces deux défaillances peuvent avoir des effets catastrophiques sur les biens et sur

l’environnement. Pour cette raison, d’autres préventives de réduction du risque doivent être

mises en place.

Les mesures de prévention à base d’un système instrumenté de sécurité ont été rete-

nues. L’évaluation des risques a fait ressortir qu’une fonction instrumenté de sécurité FIS

d’un niveau d’intégrité SIL2 permettrait d’atteindre les objectifs visés.

La fonction instrumentée de sécurité doit être séparée matériellement et fonctionnel-

lement du système et doit répond ainsi aux exigences d’indépendance. Elle peut être réalisée

par un SIS constitué d’un transmetteur de niveau TL2 et d'une vanne fermée à manque d’air

Vanne XV2 comme représenté par la Figure 9-2 suivante:

Figure 9-2 : Commande de réservoir avec une 1oo2 architecture

9.2 Proportion de défaillance en sécurité

La proportion de défaillance en sécurité SFF traduit la capacité du système à passer en

position sûre en cas de défaut. Elle est calculée à partir de la formule suivante:

∑ ∑∑ ∑

+

+=

DS

DDSSFF

λλ

λλ

(9-1).

Il faut noter, que les capteurs, les vannes utilisés, sont de types hétérogènes. Les para-

mètres de calcule de la valeur SFF sont donnés ci-dessous.


79

MTBF en ans ansDU /λ ansDD /λ ansS /λ

LT1: 102 0,0008 0,001 0,008

LT2 102 0,0008 0,001 0,008

Barrière : 314 0,00019 0,0014 0,00159

PLC 685 0,001 0,001 0,00135

Vanne V1 167 0,0007 0 0,005300

Vanne V2 167 0,0007 0 0,00530

Alimentation 12 0,02183 0,02 0,04150

Table 9-1 : Taux de défaillance des composants du SIS

À partir de la valeur de la proportion de défaillance en sécurité SFF (dans notre cas

SFF = 78,58%,), la tolérance aux anomalies du matériel et le type de composant on peut

définir le niveau d’intégrité en sécurité selon la Table 9-2.

Proportion de défail-

lance en sécurité

(SFF)

Tolérance aux anomalies matérielles (HFT) pour les éléments type B

0 1 2

< 60% Non autorise SIL1 SIL2

< 60%- 90% SIL1 SIL2 SIL3

90%- 99% SIL2 SIL3 SIL4

>99 % SIL3 SIL4 SIL4

Table 9-2:Détermination de la valeur de proportion de défaillance en sécurité

Le niveau d’intégrité en sécurité de SIL2 est atteint avec un sous-système de type B,

avec une proportion de défaillance en sécurité de valeur SFF < 90% et avec une tolérance

aux anomalies du matériel HFT=1.


80

9.3 Fonction de sécurité

La fonction de sécurité est d’éviter un sur-remplissage du réservoir. Le point de dé-

clenchement du système instrumenté de sécurité dès que le niveau atteint le 90% on fera

passer le système de l’état normal à l’état de sécurité en agissant sur la vanne d’arrêt

d’urgence. A partir de cet état, le remplissage de la cuve doit être stoppé.

9.4 Allocation des blocs fonctionnels aux sous-systèmes

La décomposition du SIS par des blocs fonctionnels nous permet de donner un titre

fonctionnel à chaque bloc et de déterminer l’architecture du système.

Figure 9-3 : Architecture du SIS

L'allocation des bocs fonctionnels aux sous-systèmes nous permet d'avoir une vue des

matériels du système qu’ainsi le fonctionnement réelle par le passage aux sous-systèmes.

Cette allocation du SIS est représentée par la figure suivante:

Sûr

eté

de f

onct

ionn

emen

t

SIS

Ver

01

81

All

oca

tio

nd

es

blo

cs

fo

nc

tio

nn

els

au

x s

ou

s-s

ystè

me

Le

sy

stèm

ees

tm

iss

ou

s t

en

sio

n

Allo

cat

ion

Allo

cat

ion

Allo

cat

ion

Co

mm

an

de

d

e l

a v

an

ne

XV

2

Ba

rrié

re a

sé

cu

rité

in

trin

sé

qu

e

D1

01

4D

Tra

ns

met

teu

r/C

ap

teu

r T

2

Blo

c f

on

ctio

nn

el2

Blo

c fo

nc

tio

nn

el4

Blo

c f

on

cti

on

ne

l1IN

PU

T

Lo

gic

So

lve

r

Tra

ite

me

nt

de

s

sig

na

ux

d’e

ntr

ée

v

ena

nt

de

s

ca

pte

ur

T2

(4

mA

-2

0m

A)

OU

TP

UT

Ac

qu

isit

ion

des

val

eu

ran

alo

giq

ue

s d

u

cap

teu

r T

2

Ca

pte

ur

So

us

sys

tèm

e1

Tra

ite

me

nt

pa

r A

PId

s

LO

GIQ

UE

Co

mm

an

de

de

la

van

ne

XV

2

Ac

tio

nn

eur

So

us

sy

stè

me

2S

ou

s s

ystè

me

3

Bar

riér

e a

séc

uri

té

intr

ins

équ

e D

1014

D

Fig

ure

9-4

: A

lloc

atio

n d

es b

locs

fon

ctio

nn

els

aux

syst

èmes


82

9.5 Exigences fonctionnelles de chaque élément de SIS

Exigences fonctionnelles de chaque élément du SIS

Entrée Sortie Fonctionnalité

Transmetteur de niveau

LTT2

Lecture de la pres-

sion et la trans-

mettre sous forme

de signal de 0 -20

mA.

État de remplissage

du réservoir

Transmetteur de ni-

veau

Traitement des données

par APids (Automate

Programmable Indus-

triel dédie à la Sécurité)

Signal 0-20mA

venant du Capteur

de niveau dans le

réservoir

La fermeture de la

vanne

le remplissage du

réservoir doit être

interdit dès que le

niveau atteint 90%.

Vanne d’arrêt d’urgent

XV2D

Signal de 24 V

d’arrêt d’urgent

Fermeture de la vanne Arrêt de flux de fluide

en cas s’il y a une

discordance entre les

2 signaux de capteur

de niveau

9.6 Détermination de la valeur PFD

En prenant compte des exigences suivantes :

• Temps de réparation MTTR a été évalué à 8 heures.

• Temps complet non opérationnel a été évalué à 24 heures

• Temps de mission Ti égale à trois ans.

On effectue le calcul de la value PFD du système.


83

9.6.1 PFD du Sous-système Capteur :

Le sous-système capteur possède une structure 1oo1 et il est composé d'un transmet-

teur T2 et une barrière à la sécurité intrinsèque. L'équation simplifié pour le calcule de la

valeur PFDavg est définie comme suit:

2iDU T

PDVavg⋅

=λ

(9-2).

Pour Trois ans de mission, la probabilité de défaillance moyenne sur demande est dé-

finie comme suite:

3

__

104,12

3)00019,00008,0(

2)(

−⋅=⋅+=

⋅+=

avg

i

BIDUVESDDUavg

PFD

TPFD λλ

Le sous-système capteur peut revendiquer un niveau d'intégrité de SIL2.

9.6.2 Sous-système API de sécurité

Pour dix ans de mission, la probabilité de défaillance moyenne sur demande est définie

comme suit :

310*52

10*)001,0(

2

−==

⋅=

avg

i

DUavg

PFD

TPFD λ

Le sous-système "APids" peut revendiquer un niveau d'intégrité de 2 soit SIL2.

9.6.3 Sous-système actionneur :

Pour Trois ans de mission, la probabilité de défaillance moyenne sur demande est dé-

finie comme suite :


84

32

2

1005,12

3)0007,0(

2

−⋅=⋅=

⋅=

XV

i

DUXV

PFD

TPFD λ

Le sous-système actionneur peut revendiquer un niveau d'intégrité de 2 soit SIL2.

9.7 Evaluation du SIL de SIF

La PFD globale de la SIF est égale à la somme des PFD de chaque sous-système.

3_

333_

2_

1045,7

1005,1105104,1−

−−−

=

++=

++=

FISavg

FISavg

XVAPIdsCapteurFISavg

PFD

PFD

PFDPFDPFDPFD

La fonction instrumentée de sécurité FIS est séparée matériellement et fonctionnelle-

ment du système et répond ainsi aux exigences d’indépendance. Elle est réalisée par un sys-

tème instrumenté de sécurité SIS constitué d’un transmetteur de niveau T2, une barrière in-

trinsèque et d'une vanne fermée à manque d’air Vanne VESD et elle peut revendiquer un ni-

veau d'intégrité de 2 soit SIL2 avec une probabilité de défaillance sur demande á faible solli-

citation de 7,45 10-3


85

10 Appendis

Sûr

eté

de f

onct

ionn

emen

t

SIS

Ver

01

86

Arc

hite

ctur

e

TR

8.0.

02 P

art 2

-199

8 V

ersi

on 4

For

mul

e de

cal

cul s

impl

ifié

Con

trib

utio

n de

s dé

fail

lanc

es in

dépe

ndan

tes

For

mul

e de

cal

cul

Con

trib

utio

n de

s dé

fail

lanc

es d

e ca

use

com

mun

e β

1oo1

2TI

DU×

λ

1oo2

()

[]

3

22

TI

DU

×λ

(

)[

]

×

+

×

×+

××

×+

×2

232

2T

IT

IT

IM

TT

RT

ID F

DU

DD

DU

DU

λλ

βλ

λλ

1oo3

()

[]

4

33

TI

DU

×λ

(

))

([]

×+

×+

××

×+

×2

24

22

33

TI

TI

TI

MT

TR

TI

D F

DU

DD

DU

DU

λλ

βλ

λλ

2oo2

TI

DU×

λ

[]

[]

×+

×+

×2TI

TI

TI

D F

DU

DU

λβλ

λ

2oo3

()

22

TI

DU

×λ

[

][

]

×

+

×

×+

××

×+

×2

23

)(

)(

22

TI

TI

TI

MT

TR

TI

D F

DU

DD

DU

DU

λλ

βλ

λλ

2oo4

()

()3

3T

ID

U×

λ

()

()

[]

()

()

[]

×+

××

+×

××

+×

22

42

23

3T

IT

IT

IM

TT

RT

ID F

DU

DD

DU

DU

λλ

βλ

λλ

Sûr

eté

de f

onct

ionn

emen

t

SIS

Ver

01

87

Arc

hite

ctur

e

IEC

615

08

For

mul

e de

cal

cule

de

la p

roba

bili

té d

e dé

fail

lanc

e su

r de

man

de p

our

un m

ode

de f

aibl

e so

llic

itat

ion

avg

PF

D

1oo1

D

CE

PF

Davg

tλ

=

()

2

DU

DD

iC

ED

D

Tt

MT

TR

MT

TR

λλ

λλ

=+

+

1oo2

)

2(

))

1()

1((22

MT

TR

T

MT

TR

tt

PF

Davg

iD

U

DD

DG

EC

E

DU

DD

D

++

+−

+−

=

βλ

λβ

λβ

λβ

(

)3

DU

DD

iG

ED

D

Tt

MT

TR

MT

TR

λλ

λλ

=+

+

1oo3

2oo2

2()

DU

DD

CE

PF

Davg

tλ

λ=

+

2oo3

Sûr

eté

de f

onct

ionn

emen

t

SIS

Ver

01

88

Arc

hite

ctur

e

SIN

TE

F

For

mul

e de

cal

cul s

impl

ifié

Con

trib

utio

n de

s dé

fail

lanc

es in

dépe

ndan

tes

F

orm

ule

de c

alcu

l

Con

trib

utio

n de

s dé

fail

lanc

es d

e ca

use

com

mun

e β

1oo1

2TI

DU×

λ

+

1oo2

()

[]

3

22

TI

DU

×λ

+

βλD

UT

i×

2

1oo3

()

[]

4

33

TI

DU

×λ

+

βλD

U

oo

Ti

C×

×2

31

2oo2

T

ID

U×

λ

2oo3

(

)2

2T

ID

U×

λ

+

βλD

U

oo

Ti

C×

×2

32

Moo

N

()

()

() !1

!2

!1

−×

+−

×+

−

MM

N

NT

IM

ND

Uλ

+

βλD

U

Mo

oN

Ti

C×

×2

la sûreté de fonctionnement système instrumenté sécurité sis©/manuscrit sdf...

Documents