la sûreté de fonctionnement système instrumenté sécurité sis©/manuscrit sdf...
TRANSCRIPT
Université Abdelmalek Essaâdi
Faculté des Sciences et Techniques
Département génie électrique
Pr. Mohammed Bsiss / Pr. Amami Benaissa
Université Abdelmalek Essaâdi
Département génie électrique
2017/2018
La Sûreté de fonctionnement
Système Instrumenté Sécurité
SIS
Sûreté de fonctionnement SIS Ver01
Utilisation libre pour les instituts publics de formation et de R&D. © Pr Bsiss Mohammed. Tous droits réservés Ver0117.
Sommaire
A. Liste des figures ................................................................................................................................. 5
B. Liste des tableaux .............................................................................................................................. 7
1 Introduction ......................................................................................................................................... 8
2 Les concepts de base d’un système de sécurité ................................................................................. 9
2.1 Définition de la sûreté de fonctionnement ......................................................................................... 9
2.2 Historique ........................................................................................................................................ 10
2.3 Coût de la sûreté de fonctionnement ................................................................................................ 11
2.4 Systèmes et sous-système ................................................................................................................ 11
2.5 Défaillances systématiques et aléatoires .......................................................................................... 12
2.5.1 Défaillance systématique .................................................................................................. 13
2.5.2 Les défaillances aléatoires ................................................................................................. 14
2.6 Taux de défaillance .......................................................................................................................... 15
2.6.1 Défaillance sûre et dangereuse .......................................................................................... 17
2.7 Taxonomie de la SdF ....................................................................................................................... 19
2.7.1 Entraves (Fautes, Erreurs et défaillance ............................................................................ 20
2.7.2 Attributs (Disponibilité, Fiabilité, Sécurité et maintenabilité) .......................................... 22
2.7.2.1 La fiabilité et probabilité ............................................................................................ 22
2.7.2.2 La disponibilité (Availibility) .................................................................................... 23
2.7.2.3 La sécurité (Safety) .................................................................................................... 24
2.7.2.4 La maintenabilité (Maintainability) ........................................................................... 24
2.7.3 Les outils de sécurité ......................................................................................................... 25
2.7.3.1 Gestion des erreurs du matériels ................................................................................ 26
2.7.3.2 Gestion de la sûreté fonctionnelle .............................................................................. 26
2.8 Système instrumenté de sécurité ...................................................................................................... 27
2.9 Informations générales sur la terminologie ...................................................................................... 29
2.9.1 Éléments de type A où de type B ...................................................................................... 29
2.9.2 Taux de couverture de diagnostic (DC) ............................................................................ 29
2.9.3 Défaillance de cause commune (Common Cause Failure) CCF ....................................... 31
Sûreté de fonctionnement SIS Ver01
Utilisation libre pour les instituts publics de formation et de R&D. © Pr Bsiss Mohammed. Tous droits réservés Ver0117.
2.9.4 La probabilité de défaillance dangereuse (eng:Probability of Failure on Demand PFD) . 31
2.9.5 Fonction de sécurité .......................................................................................................... 31
2.9.6 Niveau d’intégrité en sécurité (SIL) .................................................................................. 32
2.9.7 Le facteur de sécurité ........................................................................................................ 32
2.9.8 Proof Test .......................................................................................................................... 33
2.9.9 Temps de mission .............................................................................................................. 33
3 Méthode d’analyse de risque ........................................................................................................... 34
3.1 Analyse du danger et du risque ........................................................................................................ 34
3.2 Analyse des modes de défaillances et leurs Effets ........................................................................... 37
3.3 Graphe de risque .............................................................................................................................. 41
4 Évaluation qualitative et quantitative de la SdF par le bloc de diagramme de fiabilité ............ 43
4.1 Analyse qualitative par Bloc diagramme de fiabilité ....................................................................... 43
4.1.1 Liens minimaux et coupes minimales ............................................................................... 43
4.2 Analyse quantitative par Bloc diagramme de fiabilité ..................................................................... 44
4.2.1 Système multi composants ................................................................................................ 47
5 Évaluation qualitative et quantitative de la sûre de fonctionnement par Arbres des causes, de
défaillance et d’événement .................................................................................................................. 48
5.1 Principes et objectifs de ces méthodes ............................................................................................. 48
5.2 L’arbre de cause d’une structure simple .......................................................................................... 51
5.3 L’arbre de cause d’une structure redondante ................................................................................... 52
5.4 Codage des arbres de défaillance sous forme de DDB .................................................................... 52
6 Modèles à états transition ................................................................................................................. 54
6.1 Modèle de Markov ........................................................................................................................... 54
6.1.1 Un simple model de Markov ............................................................................................. 54
6.1.2 La probabilité de transition ............................................................................................... 56
6.1.3 Approche mathématique ................................................................................................... 58
6.1.4 Système d’une simple architecture .................................................................................... 59
6.1.5 Le calcule du temps de vie moyen MTTF d'un 1oo1 système .......................................... 60
7 L’architecture d’un système instrumenté de sécurité (SIS) .......................................................... 63
Sûreté de fonctionnement SIS Ver01
Utilisation libre pour les instituts publics de formation et de R&D. © Pr Bsiss Mohammed. Tous droits réservés Ver0117.
7.1 Architecture UN parmi UN 1oo1 (1 out of 1).................................................................................. 63
7.2 Architecture Un parmi Un avec diagnostic 1oo1D .......................................................................... 64
7.3 Architecture au moins Un parmi Deux 1oo2 (1 out of 2) ................................................................ 66
7.4 Architecture au moins Un parmi Deux 1oo2D (1 out of 2D) avec diagnostic ................................. 68
7.5 Architecture deux Un parmi Deux 2oo2 (2 out of 2) ....................................................................... 71
8 Évaluation quantitative du système instrumente de sécurité........................................................ 73
8.1 Structure Un parmi Un (1oo1) ......................................................................................................... 73
8.2 Structure un parmi deux (1oo2) ....................................................................................................... 75
9 Conception du système instrumenté de sécurité ............................................................................ 77
9.1 Estimation du risque ........................................................................................................................ 77
9.2 Proportion de défaillance en sécurité ............................................................................................... 78
9.3 Fonction de sécurité ......................................................................................................................... 80
9.4 Allocation des blocs fonctionnels aux sous-systèmes...................................................................... 80
9.5 Exigences fonctionnelles de chaque élément de SIS ....................................................................... 82
9.6 Détermination de la valeur PFD ...................................................................................................... 82
9.6.1 PFD du Sous-système Capteur : ........................................................................................ 83
9.6.2 Sous-système API de sécurité ........................................................................................... 83
9.6.3 Sous-système actionneur : ................................................................................................. 83
9.7 Evaluation du SIL de SIF................................................................................................................. 84
Sûreté de fonctionnement SIS Ver01
Utilisation libre pour les instituts publics de formation et de R&D. © Pr Bsiss Mohammed. Tous droits réservés Ver0117.
A. Liste des figures
Figure 2-1 : Genre des défaillances (2nd edition 2003, health & Safety Executive HSE - UK) .......... 14
Figure 2-2 : Les défaillances dans une cellule SRAM ....................................................................... 15
Figure 2-3 : Courbe en baignoire ....................................................................................................... 16
Figure 2-4 : Défaillances d’un composant programmable et non programmable .............................. 18
Figure 2-5 : Les types des défaillances d’un système programmable (les erreurs détectées) ............ 18
Figure 2-6 : Arbre de la sûreté de fonctionnement ............................................................................. 20
Figure 2-7 : Les effets internes engendrent des effets externes ......................................................... 21
Figure 2-8 : Les piliers de la sûreté de fonctionnement ...................................................................... 22
Figure 2-9 : Probabilité de défaillance et de réussite ......................................................................... 23
Figure 2-10 : Les termes de temps d’un système réparable ................................................................ 25
Figure 2-11 : Couche préventive et couche de réduction de risque ................................................... 28
Figure 2-12 : Les couches d’un SIS ................................................................................................... 28
Figure 2-13 : Taux de couverture de diagnostic ................................................................................ 30
Figure 2-14 : Niveau d’Intégrité en sécurité SIL ............................................................................... 32
Figure 2-15 : Les proof tests et le cycle de vie .................................................................................. 33
Figure 3-1 : Cotation du risque .......................................................................................................... 35
Figure 3-2 : Identification du risque .................................................................................................. 35
Figure 3-3 : Gestion du risqué par séparation des couches ................................................................. 36
Figure 3-4 : Commande d’une vanne par un SIS ............................................................................... 38
Figure 3-5 : Formule de calcul du Risque ........................................................................................... 41
Figure 3-6 : Graphe de risque ............................................................................................................. 42
Figure 4-1 : Diagramme de fiabilité en série ..................................................................................... 45
Figure 4-2 : Diagramme de fiabilité en parallèle ............................................................................... 46
Figure 5-1 : Éléments essentiel pour une représentation graphique par l’arbre de de défaillance et
des causes ................................................................................................................................... 49
Figure 5-2 : Arbre de défaillance ....................................................................................................... 49
Sûreté de fonctionnement SIS Ver01
Utilisation libre pour les instituts publics de formation et de R&D. © Pr Bsiss Mohammed. Tous droits réservés Ver0117.
Figure 5-3 : Arbre des causes ............................................................................................................ 50
Figure 5-4 : Arbre d'événement ......................................................................................................... 51
Figure 5-5 : Arbre de cause d'un 1oo1-système d’alimentation ........................................................ 51
Figure 5-6 : Analyse de la défaillance d’un capteur de pression en redondante ................................ 52
Figure 5-7 : Formule booléenne d’un arbre de défaillance ................................................................ 53
Figure 6-1 : Éléments de base pour une chaine de markovienne ....................................................... 55
Figure 6-2 : Modèle de Markov pour un system irréparable ............................................................. 55
Figure 6-3 : Modèle de Markov pour un system réparable ................................................................ 56
Figure 6-4 : Représentation d'un simple modèle de Markov ............................................................. 58
Figure 6-5 : Système d’une simple architecture présenté par les chaines de Markov ....................... 60
Figure 6-6 : Modèle de Markov d'un système d'architecture redondante .......................................... 61
Figure 7-1 : SIS d’Architecture 1oo1................................................................................................. 64
Figure 7-2 : SIS d’une structure 1oo1D ............................................................................................. 65
Figure 7-3 : SIS d’une structure 1oo2 ................................................................................................ 67
Figure 7-4 : SIS d’une structure 1oo2D .............................................................................................. 69
Figure 9-1 : Régulation d'un réservoir d’architecture 1oo1 ................................................................ 77
Figure 9-2 : Commande de réservoir avec une 1oo2 architecture ...................................................... 78
Figure 9-3 : Architecture du SIS ........................................................................................................ 80
Figure 9-4 : Allocation des blocs fonctionnels aux systèmes ............................................................ 81
Université Abdelmalek Essaâdi
Faculté des Sciences et Techniques
Département génie électrique
Page 7 von 88
B. Liste des tableaux
Table 2-1 : Principales normes relatives à la sécurité fonctionnelle ................................................... 11
Table 2-2 : Genre de défaillance ......................................................................................................... 19
Table 2-3 : Équations du taux de défaillances .................................................................................... 19
Table 2-4 : Classifications des défaillances en fonction des effets ..................................................... 21
Table 2-5: Quelques anomalies et leur taux de couverture de diagnostic ........................................... 30
Table 3-1 : Mode génériques de défaillance ....................................................................................... 38
Table 3-2 : AMDEC d’une vanne d’arrêt d’urgent ............................................................................. 39
Table 7-1 : Disponibilité et sécurité d’un sis d’une structure 1oo1 .................................................... 64
Table 7-2 : Disponibilité et sécurité d’un sis d’une structure 1oo1D ................................................. 66
Table 7-3 : Disponibilité et la sécurité d’un SIS d’une architecture 1oo2 .......................................... 68
Table 7-4 : Disponibilité et la sécurité d’un SIS avec une architecture 1oo2D .................................. 70
Table 7-5 : La disponibilité et la sécurité dans une architecture 2oo2 ................................................ 72
Table 9-1 : Taux de défaillance des composants du SIS .................................................................... 79
Table 9-2:Détermination de la valeur de proportion de défaillance en sécurité ................................. 79
Sûreté de fonctionnement SIS Ver01
8
1 Introduction
Étant donné que les systèmes d'automatisations sont de plus en plus complexes et in-
formatisés, des nouvelles normes et des standards sont conçus pour assurer la sûreté de fonc-
tionnement d’un système automatisé. Évidemment, il n'existe pas des systèmes qui fonction-
nent parfaitement. Mais le but c’est la réduction des défaillances dangereuses qui peuvent
mener des dégâts catastrophiques pour les personnes, les biens et l’environnement.
Ce manuscrit a pour but de fournir les connaissances nécessaires sur les systèmes de
sécurité et leur conception pour les élèves ingénieurs de la faculté des sciences et techniques
de Tanger.
Sûreté de fonctionnement SIS Ver01
9
2 Les concepts de base d’un système de sécurité
Dans la gestion des entreprises, la sécurité industrielle, au sens large, consiste de façon
générale à garantir la sécurité des biens, des personnes et également la pérennité de l'entre-
prise. Il s'agit alors de concilier les exigences de disponibilité, de rentabilité à court terme,
avec les exigences de sécurité des biens et des personnes. Ces exigences visent à réduire les
risques sur le plan environnemental, social et économique. Prenant par exemple les équipe-
ments médicaux dans les unités de soins intensifs, ils doivent fonctionner d’une manière
fiable et sûre. Le requit de la sécurité ce fait à travers une série de mesure qui inclus la for-
mation, la gestion de risque, la conception des installations et les dispositifs de sécurité et de
réduction de risque.
2.1 Définition de la sûreté de fonctionnement
La sûreté de fonctionnement est l'aptitude d'une entité ou d’un système à satisfaire à
une ou plusieurs fonctions requises dans des conditions données. Elle traduit la confiance
qu'on peut accorder à un système. Au sens large, la sûreté de fonctionnement est considérée
comme la science d'analyse de risque qui inclut les défaillances, les pannes, la disponibilité,
la sécurité et la maintenance du système automatisé de sécurité. Ces systèmes de contrôle-
commande des procédés génèrent des ordres de mise en sécurité en fonction des signaux
d'entrées, tels que par exemple :
• les systèmes d’arrêt d’urgence et le déclenchement des processus (ESD/PSD)
• les systèmes de gestion des brûleurs (BMS)
• les applications avec feu & gaz (F&G)
Ces système sont aussi utilisés dans des domaines très variés comme le secteur médi-
cal, le nucléaire, le secteur des machines, l'automobile, le ferroviaire et l'armement. Les sys-
tèmes instrumentés de sécurité se caractérisent par l’utilisation des capteurs, des automates,
des réseaux de communication et des actionneurs, pour réaliser des fonctions de sécurité, qui
devront, suivant l’ampleur du risque couvert, garantir un certain niveau d’intégrité de sécuri-
té (SIL) afin d’amener le risque à des limites de tolérances acceptables.
Sûreté de fonctionnement SIS Ver01
10
Pour chaque fonction de sécurité (SIF), l'identification du niveau de sécurité représen-
tant le niveau de crédibilité qui peut être accordé à ces Systèmes Instrumentés de Sécurité
(SIS).
2.2 Historique
Le corpus de la sûreté de fonctionnement a débuté en 1947 par un accord sur les tarifs
douaniers et le commerce (GATT) qui a été signé et publié par un groupe composant 23
pays et qui visait à simplifier le commerce international. En 1994, l’accord sur les obstacles
techniques au commerce, a abouti à la création, un an plus tard, de l'organisation modiale du
commerce (OMC), visant le libre-échange.
Selon les accords OMC / OTC, les États membres s'engagent à aligner leurs propres
normes contraignantes et volontaires et les procédures d'évaluation de la conformité avec
des normes internationales telles que l'ISO et la IEC.
L’organisation mondiale de commerce (ISO), la commission électrotechnique interna-
tionale (CEI) et l’union internationale des télécommunications (UIT) représentent donc les
trois principales organisations internationales de normalisation. Dans le cadre de l’accord
sur les obstacles techniques de commerce, l’OMC reconnaît l’importance de ces organismes
de normalisation. Depuis, ils coordonnent leurs stratégies et leurs activités normatives au
sein de la coopération mondiale de la normalisation. En officialisant trois organismes de
normalisation compétents pour l’adoption de normes européennes (comite européen de nor-
malisation CEN, Comite Européen de la Normalisation Électrotechnique CENELEC),
l’Europe a suivi la structure normative internationale qui facilite l’intégration et la collabora-
tion avec les organismes internationaux.
Pour faciliter la coordination au niveau international, chaque pays est représenté au ni-
veau international par un seul organisme. L’AFNOR pour la France, DIN pour l’Allemagne,
BSI pour la Grande Bretagne et ANSI pour les États unis.
Au niveau national l’Institut Marocaine de Normalisation (IMANOR) est l’organisme
officiel Marocain chargé de la normalisation. Il est créé par le législateur marocain en 2010
pour remplacer le SNIMA qui était rattachée au ministère chargé de l’industrie.
A travers son nouveau statut d’organisme avec l’autonomie administrative et finan-
cière, l’IMANOR vise d’une part à contribuer à l’accroissement de la compétitivité des en-
Sûreté de fonctionnement SIS Ver01
11
treprises marocaines et d‘autre part, à apporter son soutien aux politiques publiques respec-
tant les conditions de concurrence économique, la protection des consommateurs, la préser-
vation de l’environnement et l’amélioration des conditions de vie.
Le Table 2-1 présente les principales normes relatives à la sécurité fonctionnelle en
fonction du domaine et qui peut aider aux choix du référentiel normatifs à utiliser.
La norme Secteur Cible Technologie description
IEC 61508 Tous Constructeur Matériel Électrique complexe Cycle de vie ?
EN ISO
13849
Machine Constructeur Toutes technologies (dont) électrique
peu complexe
Conception
IEC 61511 Industrie du
procédé
Intégrateur Systèmes instrumentés Cycle de vie
IEC 62061 Automobile Intégrateur Matériel Électrique-Électronique
complexe
Conception
ISO26262 Véhicule Concepteur Matériel Électrique-Électronique
Matériel complexe
Cycle de vie
EN50126/
128/129
Ferroviaire Concepteur Électrique-Électronique / Matériel
complexe
Cycle de vie
Table 2-1 : Principales normes relatives à la sécurité fonctionnelle
2.3 Coût de la sûreté de fonctionnement
Les systèmes instrumentés de sécurité (SIS) d’un niveau d’intégrité haut leurs coût
reste encore très onéreux, mais ça n’empêche pas que durant l’étude de la conception de SIS
des solutions optimal intégrant la réduction des coûts de connexions et des composants pour
obtenir des SISs qui satisfait aux niveaux d’intégrité et sécurité SIL sont toujours apriori.
2.4 Systèmes et sous-système
Un système est un ensemble de mécanisme et des fonctions qui sont en interaction
entre eux et avec l’environnement pour accomplir une tâche ou des tâches. Leur comporte-
ment dépend:
• des comportements individuels des éléments qui le composent,
• des règles d’interaction entre les éléments (interfaces, algorithmes, protocoles),
• de l’organisation topologique des éléments (architectures).
Sûreté de fonctionnement SIS Ver01
12
Dans un système instrumenté de sécurité les unités de traitements par exemple repré-
sentent un sous-système du SIS. Un système, un sous-système ou un composant alterne dans
son cycle de vie entre deux états.
• L’état de marche où le système est opérationnel
• L’état défaillant où le système est fonctionnel mais n’accomplit pas son service
spécifié
2.5 Défaillances systématiques et aléatoires
Une analyse des risques permet de déterminer comment la sûreté de fonctionnement
permettra d’assurer une protection adéquate contre chacun des risques qui peut survenir. Ces
dangers sont donc traités de manière appropriée pendant la phase de conception pour que le
système final soit libre de défaut. Les pannes peuvent provenir de nombreux facteurs diffé-
rents :
• Panne matérielle aléatoire
• Panne matérielle aléatoire avec des défaillances de cause commune (Common cause)
• Défaillance systématique (erreurs de conception)
Ces pannes peuvent être soit permanentes (jusqu'à la réparation du système) ou bien
dynamique (ça se produit sous certain conditions (par exemple température, humidité etc.))
Les défaillances aléatoire sont liées au matériel, telles que
1) Les défaillances des composants
2) La corruption des logiciels en raison de défaillances matérielles
3) Les interférences électromagnétiques, électrostatiques
4) Les défaillances de cause commune
Les défaillances systématiques peuvent être considérées comme la conséquence
d’erreurs humaines telles que :
1) Erreur de spécification dans le cahier des charges
2) Les erreurs de conception des logiciels
Sûreté de fonctionnement SIS Ver01
13
3) Les erreurs de codage
4) Les erreurs du matériel pendant la conception
5) Les erreurs de circuits et le câblage
6) Les erreurs de saisie et de contrôle
7) Les erreurs dans la maintenance
8) Les erreurs de la spécification
2.5.1 Défaillance systématique
Toutes les défaillances systématiques peuvent être considérées comme la conséquence
d’erreurs humaines, dans le sens où l’architecture et les caractéristiques du matériel sont
produites par le développeur, l’intégrateur etc.
Prenant l'exemple d’un transistor utilisé dans un module analogique prévu pour une
température de fonctionnement de -5°C à +75°C, et utilisé à des températures d’exposition
supérieure à +80°C. Elle tombera en panne après un certain temps. Ce genre de faute est
classé comme des fautes systématiques
La plupart des ressources littéraires estiment que 85% des accidents sont causés par
une erreur humaine. Les erreurs systématiques sont moins nombreuses que les défaillances
aléatoires mais difficilement détectables. Il est à noter que les défaillances proviennent en
majorité d'une mauvaise spécification après la mise en service comme le montre la Figure
2-1:
Sûreté de fonctionnement SIS Ver01
14
44 %
14,7 %5,9 %
14,7 %
20,6 %
Figure 2-1 : Genre des défaillances (2nd edition 2003, health & Safety Executive HSE - UK)
2.5.2 Les défaillances aléatoires
Les défaillances aléatoires sont liées au matériel. Prenant par exemple la défaillance
d’une cellule de mémoire volatile correspond à un fonctionnement incorrect de la cellule qui
est dû à des erreurs, ce qui constitue une différence entre une cellule saine et une cellule dé-
faillante. Les fautes peuvent être permanentes ou non permanentes, elles sont causées no-
tamment par une corrosion, une contamination ionique, un vieillissement, un alliage et des
radiations, de même que des rayonnements cosmiques (softerros). La Figure 2-2 représente
les différentes défaillances dans une cellule mémoire.
Sûreté de fonctionnement SIS Ver01
15
Figure 2-2 : Les défaillances dans une cellule SRAM
a) Faute fonctionnelle.
b) Génère le blocage au niveau zéro de la cellule.
c) Génère le blocage au niveau zéro de la cellule.
d) Génère le blocage au niveau zéro de la cellule.
e) Ouverture de la ligne d’adresse.
f) Génère le blocage au niveau zéro de la cellule.
g) Génère le blocage au niveau Un de la cellule.
h) La valeur ‘0’ ne sera pas transmise sur la ligne de données BL.
2.6 Taux de défaillance
Le comportement de la défaillance d'une entité, d'un composant ou bien d'un sous-
système peut être décrit à travers un taux de défaillances qui est lié à un instant donné t à la
Sûreté de fonctionnement SIS Ver01
16
somme de toutes les unités intactes. Le taux de défaillance peut être aussi décrit à partir la
fonction de densité f(t) et la probabilité de fiabilité R(t) comme suite:
)(
)()(
tR
tft =λ
(2-1)
Le taux de défaillance λ (t) est dans la plupart de temps déterminé expérimentalement.
Le taux de défaillance peut être caractérisé par trois zones:
1. Zone A : les défaillances de jeunesse. caractérisées par un taux de défaillance dé-
croissant en fonction du temps. (rodage, jeunesse, déverminage)
2. Zone B : les défaillances de maturité caractérisées par un taux de défaillance cons-
tant. (maturité, vie utile)
3. Zone C: les défaillances de vieillesse caractérisées par un taux de défaillance crois-
sant (période d'usure, obsolescence).
Les défaillances pendant le cycle de vie d'un système peuvent être représentées selon
une courbe en baignoire comme le montre la Figure 2-3:
Figure 2-3 : Courbe en baignoire
Sûreté de fonctionnement SIS Ver01
17
Dans la première phase, le taux de défaillance diminue (Zone A) avec la durée de mis-
sion. Elles sont dues à :
• Des erreurs de montage,
• Des défauts de conception,
• Des défauts de matériels et de fabrication,
Cette phase est caractérisée par une baisse relativement forte du taux de défaillance
(lors de la phase en cours d’exécution). Les défaillances matérielles pour les cartes électro-
niques peuvent être éliminées grâce à des tests. Ils consistent à tester la carte électronique
pendant et après la fabrication.
Dans la deuxième phase, avec un taux de défaillance constant se trouvent des défail-
lances aléatoires (Zone B) causées par :
• des erreurs de l'opérateur,
• des erreurs de maintenance ou bien des particules de saleté.
Cette section décrit le temps de comportement normal de composants et tous les cal-
culs des caractéristiques de fiabilité du système sont basé sur cette durée.
Au moment ou commence l'augmentation rapide de défaillance, commence la zone des dé-
faillances d'usure (Zone C). Cette phase est caractérisée par une augmentation du taux de
défaillance en raison du vieillissement et de l'usure. Il est synonyme de la fin de la durée de
vie.
2.6.1 Défaillance sûre et dangereuse
Un système peut subir une défaillance, cette défaillance peut être sure ou bien dangereuse.
Les défaillances qui ne causent pas un état critique du système ou bien qui n’affectent pas la
fonction de sécurité sont considérées comme des défaillances sûres.
Considérons une vanne utilisée dans un système instrumenté de sécurité pour couper le flux
de produit lors de la sollicitation de la fonction de sécurité.
• La défaillance sûre correspond au blocage de la vanne en position fermée sans que la
fonction de sécurité n’ait été sollicitée. Si ce blocage peut être détecté (par des tests
de diagnostic) avant la sollicitation de la fonction de sécurité, il sera donc classé en
défaillance sûre détectée, sinon elle sera classée en défaillance sûre non détectée.
Sûreté de fonctionnement SIS Ver01
18
• La défaillance dangereuse correspond au blocage de la vanne en position ouverte. Si
ce blocage peut être détecté (par des tests de diagnostic) avant la sollicitation de la
fonction de sécurité, il sera donc classé en défaillance dangereuse détecté, sinon elle
sera classée en défaillance dangereuse non détectée.
Le comportement des composants non programmables de sécurité est très bien connu
puisque leur structure n’est pas complexe. Les défaillances sûres (détectées et non détectées)
représentent la plus grande proportion, par contre les composants programmables de sécuri-
té, leurs défaillances sûres (détectées et non détectées) représentent seulement la moitié. Ce-
la est dû à la complexité de fabrication de ces derniers.
DDλDUλ
SUλ
SDλ
SUSdS λλλ += DDDUD λλλ +=
Figure 2-4 : Défaillances d’un composant programmable et non programmable
DS λλλ += DDDUD λλλ +=
DλSλ
SUSDS λλλ +=
DDλ
DUλ
SUλ
SDλ
Figure 2-5 : Les types des défaillances d’un système programmable (les erreurs détectées)
Sûreté de fonctionnement SIS Ver01
19
Genre défaillance Défaillance sûre Défaillance dangereuse
Défaillance détectée Défaillance sûre détectée Défaillance dangereuse détectée
Défaillance non détectée Défaillance sûre non détectée Défaillance non dangereuse dé-
tectée
Table 2-2 : Genre de défaillance
Les différents taux de défaillances sont calculés à partir de la défaillance de base. Elle
est représentée par l’unité [FIT] (failure in time) qui indique la probabilité du temps
d’échecs par heure.
hFIT /110*1 9−= (2-2))
On obtient les équations suivantes correspondant aux différents taux de défaillance
d’un composant :
Type de taux de défaillance Formule de calcul
Taux de défaillance dangereuse détectée
DCDD 2
λλ =
Taux de défaillance dangereuse non détectée )1(2
DCDU −=λ
λ
Taux de défaillance sûre détectée DCSD2
λλ =
Table 2-3 : Équations du taux de défaillances
2.7 Taxonomie de la SdF
La gestion de la sûreté de fonctionnement englobe trois éléments suivants :
• Entraves : événements qui peuvent affecter la sûreté de fonctionnement du système ;
• Attributs : points de vue pour évaluer la sûreté de fonctionnement ;
• Moyen : moyens pour améliorer la sûreté de fonctionnement.
Sûreté de fonctionnement SIS Ver01
20
Figure 2-6 : Arbre de la sûreté de fonctionnement
2.7.1 Entraves (Fautes, Erreurs et défaillance
Un système est sûr s’il est libre des erreurs et résiste contre les défaillances critiques.
Ces entraves qui peuvent affecter le système et dégrader la sûreté de fonctionnement (SdF)
peuvent être classées en trois notions:
• les fautes,
• les erreurs et
• les défaillances.
La cause interne de la défaillance c’est l’erreur (court-circuit etc.) et ca manifestation interne
du système c’est la cause de la défaillance.
La défaillance est donc le service rendu incorrect et présente la cessation de
l’aptitude d’une entité à accomplir une fonction requise.
Sûreté de fonctionnement SIS Ver01
21
Figure 2-7 : Les effets internes engendrent des effets externes
Pour mieux gérer ces défaillances on utilise généralement en industrie une cotation de
gravité des effets et on prend dans l’analyse d’une défaillance trois paramètres notamment la
fréquence de la défaillance, ça gravité et ça détection en introduisant souvent 4 catégories de
défaillances. Ces catégories sont représentées dans la Table 2-4 :
Niveau Définition
Défaillance mineure Défaillance qui nuit au bon fonctionnement (mineur) d’un système
en causant un dommage négligeable au système ou à son environ-
nement sans présenter de risque pour l’homme
Défaillance significative Défaillance qui nuit au bon fonctionnement (major) sans causer de
dommage notable ni présenter de risque important pour l’homme.
Défaillance critique Défaillance qui entraîne la perte d’une (hazardous) (ou des) fonc-
tion(s) essentielle(s) du système et cause des dommages importants
au système en ne présentant qu’un risque négligeable de mort ou de
blessure.
Défaillance catastrophique Défaillance qui occasionne la perte d’une (catastrophique) (ou des)
fonction(s) essentielle(s) du système en causant des dommages
importants au système ou à son environnement et/ou entraîne la
mort ou des dommages corporels
Table 2-4 : Classifications des défaillances en fonction des effets
Sûreté de fonctionnement SIS Ver01
22
2.7.2 Attributs (Disponibilité, Fiabilité, Sécurité et maintenabilité)
Les Attributs de la sûreté de fonctionnement on les trouve dans le plus haut niveau
dans la hiérarchie des systèmes de sécurité. Il comprend les termes suivants fiabilité, dispo-
nibilité, sûreté et la maintenance.
Figure 2-8 : Les piliers de la sûreté de fonctionnement
2.7.2.1 La fiabilité et probabilité
La fiabilité (Reliability) est un terme générique qui couvre un large éventail de con-
cepts et de mesures. Un système est fiable quand vous pouvez légitimement avoir une con-
fiance sur la performance qu'il offre. L’approche globale de la fiabilité signifie également
que les systèmes (par exemples les téléphériques, les avions, les automates de sécurité ou
des trains à grande vitesse) conçus et construits doivent être soumis antérieurement à une
vérification à certains intervalles de temps pour détecter les risques de sécurité. L’homme est
considéré dans cette chaîne comme un facteur non négligeable qui peut générer des défail-
lances souvent avec des conséquences catastrophiques. Il est donc très important d’identifier
ces défaillances dans l’analyse de la fiabilité d’un système et de les prévenir.
Si un système possède un taux de défaillance constant λ [défaillance/ heure], la fiabili-
té d’un système au moment t, si on considère que le taux de défaillance est constant, est dé-
fini par la loi exponentielle comme suit:
Sûreté de fonctionnement SIS Ver01
23
edéfaillancdetauxleest
avec
etR t
λ
λ−=)(
(2-3)
On peut expérimentalement calculer cette probabilité de réussite. On prend n compo-
sant identiques qui fonctionnent à t=0 et on compte à chaque instant ti combien sont toujours
en bon fonctionnement z(t). La probabilité de fiabilité est donc égale à R(t) = z(t) / n. On
déduit la défiabilité où la probabilité de défaillance F(t) = 1-R(t)
Probabilité
temps
1-certain
0-impossible
Probabilité de défaillance
tetR λ−=)(
)(11)( tRetF t −=−= − λ
Probabilité de réussite (fiabilité)
Figure 2-9 : Probabilité de défaillance et de réussite
2.7.2.2 La disponibilité (Availibility)
La disponibilité, c'est la probabilité que le système satisfait certaines exigences bien
définies dans un délai aussi bien défini t, on peut dire qu’il s’agit ici d’un critère de qualité
du système. Afin de garantir un minimum de la disponibilité des systèmes standard, on doit
faire une analyse statique des défaillances déjà connues, on peut par exemple faire joindre à
un sous-système une redondance afin de minimiser la probabilité de défaillance totale. Lors-
qu’un système n’est pas réparable avec un taux de défaillance constant, la disponibilité est
égale à la probabilité de réussite.
Sûreté de fonctionnement SIS Ver01
24
tetRtA λ−== )()( (2-4)
Il existe une relation forte entre la valeur du temps moyen qui s'écoule jusqu'à ce qu'un
système tombe en première panne (MTTF), et la valeur du temps moyen entre deux défail-
lances (MTBF).
MTBF
MTTFA
dttRMTTF
=
= ∫∞
0
)(
(2-5)
Le temps de mission ou bien de fonctionnement d’un système peut être limité à cause
d’un entretien régulier ou bien des réparations. La disponibilité est généralement exprimée
en pourcentage.
2.7.2.3 La sécurité (Safety)
La sûreté, c’est la résistance du système envers les défaillances critiques et à éviter de
faire apparaître, dans des conditions données, des événements critiques ou catastrophiques.
Une défaillance dangereuse est nocive aussi bien qu’une défaillance non critique (non dan-
gereuse). La réalisation d’un système qui répond aux critères de la SdF, nécessite le dé-
ploiement des systèmes embarqués de haute disponibilité et de sécurité dans plusieurs appli-
cations critiques, tel que les systèmes d’arrêt d’urgence et le déclenchement des processus
(ESD/PSD), les systèmes de gestion des brûleurs (BMS) et les applications avec feu & gaz
(F&G).
2.7.2.4 La maintenabilité (Maintainability)
La maintenance, c’est la durée qui est nécessaire pour qu'un système en panne puisse
revenir à l’état de fonctionnement. La maintenance d’un système, d’une entité peut
s’exprimer par )()( tYPtM ≤=
avec Y la variable désignant la durée de la panne
du composant. La figure représente un aperçu des temps moyens dans la vie d’un système en
opération. La Figure 2-10 montre un aperçue sur les termes utilisés
Sûreté de fonctionnement SIS Ver01
25
Figure 2-10 : Les termes de temps d’un système réparable
• MTTF: Le délai moyen de la première défaillance. Il décrit la durée de vie moyenne
jusqu'à la première défaillance dans un système réparable.
• MTTR: Mean Time to Repair. Le temps moyen de réparation.
• MUT : Mean Up Time durée moyenne de fonctionnement du système après répara-
tion
• MDT : Mean Down Time durée moyenne de non fonctionnement du système
• MTBF: Mean Time between Failures. La durée moyenne entre deux défaillances.
On a MTTB = MUT + MDT.
2.7.3 Les outils de sécurité
Les moyens pour sécuriser une installation, des équipements électriques et/où électro-
niques nécessitent une maitrise des erreurs du matériel d’une part et d’autre part les erreurs
systématique.
Sûreté de fonctionnement SIS Ver01
26
2.7.3.1 Gestion des erreurs du matériels
La gestion des erreurs aléatoire consiste à éviter des fautes qui auraient pu être introduites
pendant le développement du système, passant par la production jusqu’à l’intégration et la
mise en service. Cela peut être accompli en utilisant des méthodologies de développement et
de bonnes techniques d’implantation, on parle donc de la prévention de faute.
L’´élimination de faute peut être divisée en trois catégories : élimination d’erreur pen-
dant la phase de développement, pendant la phase de production et élimination pendant la
phase d’intégration. Pendant la phase de développement, l’idée est d’utiliser des techniques
de vérification et de validation avancées (tests de la successibilité magnétique, tests de la
température, test de fonctionnement) de façon à détecter les fautes et les enlever avant
l’envoi du produit à la production. Pendant la production par le respect des normes et stan-
dard de la production et la livraison. Pendant l’intégration, il faut tenir à jour les défaillances
rencontrées et les retirer pendant les cycles de maintenance.
La tolérance aux fautes consiste à mettre en place des mécanismes qui maintiennent le
service fourni par le système, même en présence de fautes. On accepte dans ce cas un fonc-
tionnement dégradé. La tolérance aux fautes repose sur l’utilisation de mécanismes de re-
dondance, l’idée est de réaliser la même fonction par des moyens différents.
La prévision de faute consiste à anticiper les fautes (de manière qualitative ou probabi-
liste) et leur impact sur le système.
2.7.3.2 Gestion de la sûreté fonctionnelle
La notion de gestion de la SdF correspond à un ensemble de méthodes qui permet
d'éviter les erreurs systématiques pendant la conception des produits.
• Divers aspects de la planification de FSM (définition du cycle de vie de sécurité, por-
tée des activités FSM, documentation, outils, etc.)
• Spécifications des exigences de sécurité
• Gestion des changements et des modifications
• Conception de l'architecture matérielle – Processus, techniques et documentation
Sûreté de fonctionnement SIS Ver01
27
• Matériel et système liés aux activités V&V, y compris la documentation, la vérifica-
tion
• Stratégie de test d'intégration et d'insertion de défauts
• Matériel de validation du système
• Exigences de fonctionnement du matériel, d'installation et de maintenance
2.8 Système instrumenté de sécurité
Afin d'éviter que des phénomènes dangereux tels que des incendies, explosions ou en-
core des rejets de matières dangereuses, susceptibles d'occasionner des dommages sur les
personnes, l'environnement ou les biens, les industriels sont amenés à mettre en place des
mesures de maîtrise des risques (MMR) dont le rôle est de prévenir l'apparition de tels phé-
nomènes ou d'en limiter les conséquences. Parmi ces couches de protection, se trouvent les
systèmes instrumentés de sécurité (SIS) qui permettent la mise en œuvre de fonctions ins-
trumentées de sécurité (FIS). Différentes couches de protection peuvent être mises en œuvre
afin de réduire les risques dans le but de les rendre acceptables. Ces différentes couches sont
valorisées lors des analyses quantitatives ou semi-quantitatives menées dans le but de dé-
terminer le niveau de SIL requis des FIS (revue SIL réalisée à l'aide de méthodes telles que
la LOPA ou le graphe de risques par exemple). Une fois le niveau de SIL requis connu,
l'analyste doit démontrer que la probabilité de défaillance permet de vérifier le niveau de
SIL requis alloué lors de la revue SIL. Pour ce faire, les normes IEC 61508 et IEC 61511
peuvent être utilisées afin :
• de définir l'architecture de la SIF permettant de répondre à un niveau de SIL visé;
• d'estimer la probabilité de défaillance de la SIF.
La Figure 1 donne un aperçu général des couches de réduction et de prévention de
risque. Les premiers systèmes sont dédiés á contrôler et commander des procédés, dans la
plupart des installations en trouve ces systèmes qui visent à réduire les conséquences des
accidents mais rarement les systèmes qui visent à réduire la probabilité d’occurrence des
incidents qui peuvent mener à des accidents. C’est ces systèmes qu’on peut parler de la sûre-
té fonctionnelle puisque on a des fonctions qui agissent pour réduire la fréquence des
risques.
Sûreté de fonctionnement SIS Ver01
28
Figure 2-11 : Couche préventive et couche de réduction de risque
Un système instrumenté de sécurité est composé de 3 couches des unités de capteurs,
des unités logiques et des actionneurs. Chaque couche peut comprend au maximum m com-
posants pouvant être de types différents (redondance non homogène).
Figure 2-12 : Les couches d’un SIS
La conception d’un SIS à haut niveau de la SdF nécessite de trouver l’architecture op-
timale et d’analyser la fiabilité de cette structure en intégrant la réduction des coûts de con-
nexions et des composants. Ces méthodes d’analyse de la SdF varient selon la phase de vie
du produit.
Sûreté de fonctionnement SIS Ver01
29
2.9 Informations générales sur la terminologie
2.9.1 Éléments de type A où de type B
Le type d’élément peut être du type A ou bien de type B. Les sous-systèmes de type A,
sont des équipements simples dont le comportement et les modes de défaillance sont connus,
et sur lesquels il y a un retour d’expérience. Un contacteur, un afficheur, un bouton poussoir
entrent dans cette catégorie. Les sous-systèmes de type B sont des équipements plus com-
plexes dont le comportement et leurs modes de défaillance sont complexe, et sur lesquels il
n’y a pas un retour d’expérience. Dans cette catégorie en trouve des automates, des compo-
sants électroniques intégrés, des composants électroniques programmables.
2.9.2 Taux de couverture de diagnostic (DC)
Le taux de couverture de diagnostic indique à partir de quel point le système est en
mesure de s'auto surveiller face à une éventuelle défaillance dangereuse. En fonction du
pourcentage de défaillances dangereuses détectables par le système, on aura une couverture
du diagnostic plus ou moins élevée. Le DC est définit comme étant le rapport du taux de
défaillance des pannes dangereuses détectées (par un test diagnostic) sur le taux de défail-
lance total des pannes dangereuses (détectées et non détectées)
∑ ∑∑
+=
sys
DU
sys
DD
sys
DDDC
λλ
λ
(2-6)
Avec ∑λDD c'est la somme des taux de défaillance dangereuse détectées et des composants
d'un bloc de fonction de sécurité
Et ∑λDU La somme des taux de défaillance dangereuse non-détectées et des composants
d'un bloc de fonction de sécurité.
Le paramètre DC est une valeur processuelle en fonction des précautions adoptées par
le fabricant pour détecter les anomalies de son système. Selon le genre de précaution à
prendre, une valeur moyenne de couverture de diagnostic sera répartie dans les quatre
groupes suivants :
Sûreté de fonctionnement SIS Ver01
30
Classification Valeurs DC
Nulle 60 % < DC
Faible 60 % < DC < 90 %
Moyenne 90 % < DC < 99 %
Élevée 99 %
Figure 2-13 : Taux de couverture de diagnostic
Le Table 2-5: présente des prescriptions pour les anomalies qui doivent être détectées
par les techniques de maîtrise des défaillances du matériel afin d’obtenir la couverture de
diagnostic pertinente. Par exemple, pour une cellule mémoire, seules les erreurs de blocage
des adresses ou bien des données sont détectées par un test de diagnostic en exploitation,
cela signifie que la valeur de couverture de diagnostic est faible de DC = 60 % et si on
ajoute de plus des tests qui détectent les délais d’écoulement et le décodage d’adresse erro-
né, on atteint une couverture de diagnostic moyen de DC =90%.
Composant
Prescriptions pour la couverture de diagnostic
Faible (60%) Moyen (90%) Élevé (99%)
Matériel discret
Module d’entrée / de sortie Blocage
modèle CC dérive et
oscillation
modèle CC dérive et
oscillation
Matériel discret
Alimentation Blocage
modèle CC dérive et
oscillation
modèle CC dérive et
oscillation
Moddelle CC (courant continu) indique des Anomalies de blocage, blocage ouvert, sorites ouvertes
ou haute impedance ainsi que les courts-circuits entre les lignes de signaux.
Table 2-5: Quelques anomalies et leur taux de couverture de diagnostic
Sûreté de fonctionnement SIS Ver01
31
2.9.3 Défaillance de cause commune (Common Cause Failure) CCF
La défaillance de mode commun désigne la défaillance simultanée qui peut apparaitre
dans deux ou plusieurs canaux séparés dans un système multiple canaux homogène.
L’introduction des défaillances de mode commun est généralement représentée par le facteur
β. La norme IEC 61508 distingue deux genres du facteur DUβ pour les défaillances dange-
reuses non détectées et DDβ pour les défaillances dangereuses détectées. Les valeurs pour
les facteurs Beta DUβ et DDβ sont généralement entre 0,5 et 5%.
2.9.4 La probabilité de défaillance dangereuse (eng:Probability of Failure on Demand PFD)
La Probabilité de défaillance dangereuse sur demande (Probability of Failure on De-
mand, PFD) est la probabilité que le système ne puisse pas exécuter la fonction de sécurité
pour laquelle il a été conçu au moment où la demande de cette fonction est faite sur un in-
tervalle de temps. Ce temps de mission Ti est considéré comme égal au temps entre deux
proof test consécutifs. Dans le cas où il n’y a pas de proof tests, on prend le temps de mis-
sion égal au temps de vie de l’appareil (MTTF).
La probabilité moyenne de défaillance à la demande PFDavg(Ti) et sur l’intervalle de
temps [0, Ti] peut être obtenu à partir de la formule suivantes:
iT
avg ii 0
1PFD (T )= ( )
TPFD t dt∫
(2-7).
2.9.5 Fonction de sécurité
La fonction de sécurité c’est une fonction réalisée par un système relatif à la sécurité
pour assurer ou maintenir un état de sécurité du système par rapport a un événement dange-
reux spécifique. En distingue deux états de sécurité:
• Excité en état de sécurité (Energized),
• Où désexcité en état de sécurité (De-energized)
Sûreté de fonctionnement SIS Ver01
32
2.9.6 Niveau d’intégrité en sécurité (SIL)
Le niveau d’intégrité de sécurité, on le retrouve presque dans toutes les normes qui
sont élaborées à partir de la norme CEI 61508, à savoir la norme EN 61511 pour les procé-
dées industriels, la norme EN 61513 pour le nucléaire, les normes EN 50128/50129 pour le
secteur ferroviaire ou encore la norme EN 62061 pour le secteur automobile.
La norme de sécurité CEI 61508 vise à quantifier la probabilité de défaillance, ce qui
permet de classer les systèmes par niveau d’intégrité de sécurité.
Le SIL définissant donc la probabilité de défaillance dangereuse que l'on s'autorise.
Selon la norme EN61508, le SIL ne peut prendre que 4 niveau possibles (de SIL1 à SIL4).
Ces quatre niveaux sont décrits dans le tableau suivant :
Niveaux de
sécurité
Probabilité de défaillance dangereuse
par heure (forte sollicitation)
Ti = 1 Mois, 3 Mois ou bien 1 an
Probabilité de défaillance sur demande
(faible sollicitation)
Ti = 2 ans ou bien 10ans
SIL4 -9 -810 PFH 10≤ ≤ -5 -410 PFD 10≤ ≤
SIL3 -8 -710 PFH 10≤ ≤ -4 -310 PFD 10≤ ≤
SIL2 -7 -610 PFH 10≤ ≤ -3 -210 PFD 10≤ ≤
SIL1 -6 -510 PFH 10≤ ≤ -2 -110 PFD 10≤ ≤
Figure 2-14 : Niveau d’Intégrité en sécurité SIL
2.9.7 Le facteur de sécurité
Le facteur de sécurité S indique combien des pannes qui se produisent sont essentiels
à la perte de la sécurité. Il est donné en pourcentage. On distingue à partir du facteur de sé-
curité S deux genres de type de composant.
• Les composants de type B dont le cas échéant possèdent une valeur de sécurité de
50%,
• tandis que les composants de types A possèdent une valeur de sécurité de 10%.
Les modes de défaillance des composants de Type A sont connus et peuvent être complète-
ment détecté par un test diagnostic. Le facteur de sécurité S peut également être démontré
explicitement via une analyse AMDEC pour les composants de types B. Pour les composant
Sûreté de fonctionnement SIS Ver01
33
dont la sécurité n’est pas critiques tels qu’un afficheur, il est supposé d’une valeur égale a S
= 0%.
2.9.8 Proof Test
Les Proof Test sont des tests périodiques hors ligne réalisé pour détecter des pannes
dans un système de telle sorte que le système puisse être réparé afin de revenir dans un état
équivalent à son état initial.
Figure 2-15 : Les proof tests et le cycle de vie
La fréquence des tests de fonctionnement est un élément important dans la détermi-
nation du niveau de SIL d'une chaîne de commande. Plus la fréquence des tests est élevée,
plus grande sera le niveau de confiance accordé au système.
2.9.9 Temps de mission
Le temps de mission c’est la durée pendant lequel le système est en ligne pour son
application de sécurité. Lorsque des proof test sont réalisés, ce temps de mission sera consi-
déré comme égal au temps entre deux proof tests consécutifs. Dans le cas ou il n’ya pas de
proof tests, on prendra le temps de mission égale au temps de vie du système (MTTF)
Sûreté de fonctionnement SIS Ver01
34
3 Méthode d’analyse de risque
Une analyse prévisionnelle de SdF est un processus d’étude d’un système réel de fa-
çon à produire un modèle abstrait du système relatif à une caractéristique de SdF (fiabilité,
disponibilité, maintenabilité, sécurité). On distingue deux termes dans l’analyse de risque:
• Un danger est toute source potentielle de dommage, de préjudice ou d’effet no-
cif à l’égard d’une chose ou d’une personne dans certaines conditions dans le
milieu du travail.
• Un risque est la probabilité qu’une personne subisse un préjudice ou des effets
nocifs pour sa santé en cas d’exposition à un danger.
Les éléments de ce modèle seront des événements (des dangers et des risques) suscep-
tibles de se produire dans le système et son environnement.
Le modèle prévisionnelle permet ainsi de représenter toutes les défaillances et les
pannes des composants du système qui compromettent une des caractéristiques de SdF.
Pour mieux d’aider l’analyste, plusieurs Méthodes d’analyse ont été mises au point.
Les principales sont :
APD Analyse Préliminaire des Dangers,
AMDE Analyse des Modes de Défaillances et de leurs Effets,
AMDEC Analyse des Modes de Défaillances, de leurs Effets et leurs criticités
MDS Méthode du Diagramme de Succès,
MTV Méthode de la Table de Vérité,
MAC Méthode de l’Arbre des Causes,
MACQ Méthode de l’Arbre des Conséquences,
Nous ne verrons dans la suite que quelques-unes de ces méthodes.
3.1 Analyse du danger et du risque
Sûreté de fonctionnement SIS Ver01
35
Le but d’analyse du danger et du risque est d'identifier quels sont tous les éventuels
dangers auxquels sont exposés les opérateurs et l'environnement d'une machine.
Le risque se définit donc comme le produit de la fréquence d’apparition du phénomène
dangereux par la sévérité des dommages occasionnés aux personnes et à l’environnement.
Figure 3-1 : Cotation du risque
Le risque étant évalué, il convient ensuite d’identifier les moyens qui participent à sa
réduction. Chaque couche participe à la prévention du risque où/et à la réduction de ses con-
séquences.
Figure 3-2 : Identification du risque
Les divers risques indiqués dans la norme CEI 61508-5 sont les suivants:
• Risque initial: Il peut être provoqué par les équipements de contrôle et de com-
mande. Ils contiennent des systèmes de commande où les facteurs humains sont as-
sociés. De plus, aucun dispositif de protection n'est pris en compte dans la détermina-
tion de ce risque (Partie quatre de CEI 61508-4).
Sûreté de fonctionnement SIS Ver01
36
• Risque tolérable: risque accepté dans un certain contexte et fondé sur les valeurs
admises de la société (Partie quatre de la CEI 61508-4),
• Risque résiduel: dans le contexte de la présente norme, pour les événements dange-
reux spécifiés, risque encouru par les équipements de contrôle et commande, mais
avec l’ajout de la couche de sécurité par les systèmes instrumentés de sécurités et des
dispositifs externes de réduction de risque (Partie quatre de la CEI 61508-4).
Figure 3-3 : Gestion du risqué par séparation des couches
Le risque résiduel acceptable dépend des divers facteurs tels que, pays, société, lois et
les goûts. Le risque résiduel acceptable doit être évalué cas par cas et il est déterminé sur une
base sociale et tient en compte des facteurs sociaux et politiques. Si le risque d’une installa-
tion technique est considéré comme trop élevé, il faut prendre des mesures particulières pour
diminuer le risque.
La combinaison de toutes les mesures de protection relatives à la sécurité permet de
diminuer le risque autant nécessaire. Le risque résiduel doit être au maximum égal au risque
tolérable. Pour cela, les outils d’évaluation du risque peuvent être qualitatifs à l’aide de
l'analyse des modes de défaillance et de leurs effets (FMEDA) ou / et par la méthode de
l'analyse hasard (Hazard Analysis).
Sûreté de fonctionnement SIS Ver01
37
L’évaluation quantitative peut être effectuée par une analyse par des blocs fonctionnel de
fiabilité qu’ainsi par l’arbre des évènements aboutissant au calcul de la probabilité de défail-
lance dangereuse.
3.2 Analyse des modes de défaillances et leurs Effets
La méthode d’analyse de risque signifie l’analyse des modes de défaillances et de
leurs effets, a été introduite dans l’aviation, au début des années 1960. L'idée de base de la
méthode FMEA/AMDEC est d'essayer de prévenir les causes possibles de la défaillance du
système, pour éliminer les pannes qui peuvent se produisent entre le temps. Le but de cette
analyse qualitative c’est d’assurer que les risques et les vulnérabilités d’un système soient le
plus tôt possible détectés afin d’effectuer des améliorations sur le système. Ils existent diffè-
rent genre d’analyse FMEA/AMDEC :
• FMEA –Failure Mode and Effects Analysis– utilisée pour l’analyse du risque d’un
produit, d’un composant.
• FMECA –Failure Mode, Effects, and Criticality Analysis– est similaire à une FMEA
avec un ajout de la criticité de plus d’un produit ou bien d’un composant.
• FMEDA –Failure Mode, Effects and Diagnostic Analysis– est similaire à une
FMEA avec un ajout de diagnostique de plus d’un produit ou bien d’un composant.
Le processus de construction d’une analyse AMDEC débute par une description fonc-
tionnelle et matérielle du système, après une analyse préliminaire des risques en identifiant
les événements redoutés, puis une analyse détaillée des évènements critiques et enfin le trai-
tement des points critiques par la proposition des solutions visant à améliorer la sûreté de
fonctionnement. La mise en œuvre d’AMDEC se fait selon les étapes suivantes :
1. Description fonctionnelle et matérielle
2. Recensement des modes de défaillance
3. Recherche des causes et les effets
4. Analyse de la criticité
5. Moyens de détection
6. Actions correctives
La classification des modes génériques de défaillance se compose de quatre modes :
Sûreté de fonctionnement SIS Ver01
38
Électroniques Hydrauliques Mécaniques
Pas de Fonction -circuit ouvert -court circuit -pas de réponse à la sollicitation -connexion / fil desser-rés
-Fuite -Circuit bouché
-absence de jeu
Perte de Fonction -coupure ou court cir-cuit -composant défectueux
-Obstruction ou coupure circuit -Composant défec-tueux
-rupture -blocage / grippage
Fonction dégradée -dérive des caractéris-tiques s -perturbations, para-sites
-mauvaise étan-chéité -usure -perturbations de bélier
-mauvaise potée -désolidarisation -jeu
Fonction Intempes-tive
-déclenchement intem-pestif
-coup de bélier
Table 3-1 : Mode génériques de défaillance
La recherche des causes commence par l’analyse de la petite unité du composant vers
l’unité supérieure et cela peut aider à identifier les défaillances de cause unique, mais par
contre les défaillances systématiques ou bien les défaillances de causes communes ne peu-
vent pas être détectées. La Figure 3-4 représente un système instrumenté de sécurité d’un
niveau d’intégrité de sécurité SIL2. Il se compose d’un capteur d’une unité de traitement
APS et une vanne SOV d’arrêt d’urgence.
Figure 3-4 : Commande d’une vanne par un SIS
Sûreté de fonctionnement SIS Ver01
39
Le Table 3-2 représente l’analyse de risque par AMDEC d’une vanne utilisé comme un sys-
tème d’arrêt d’urgence.
Information sure le composant
Information sur l’erreur
Identifica-
tion du com-
posant
fonctionnement Mode de
défaillance
Effets local Effets sur
l’ensemble
du système
Causes
possibles
Probabili-
té de la
défaillan-
ce
SOV Vanne de com-
mande
Système Arrêt
d’urgence
(Emergency Shut
Down ESD)
Bloqué en
position
ouverte
Alimentation
permanent
Pas de
possibilité
d’actionner
sur la
vanne pour
la fermer.
Une faute
méca-
nique
interne
Faible
Bloqué en
position
fermé
Arrêt
d’alimentation
Pas de
possibilité
d’actionner
sur la
vanne pour
l’ouvrir.
Une faute
méca-
nique
interne
Faible
Fuite Alimentation
restreint
Pas de
possibilité
d’actionner
sur la
vanne.
Une faute
méca-
nique
interne
Très faible
Table 3-2 : AMDEC d’une vanne d’arrêt d’urgent
L’AMDEC est donc en revanche indispensable dès lors que l'on travaille sur des ma-
chines, ou plus généralement sur des systèmes composé de plusieurs sous-ensembles, car les
mesures de maîtrise ne seront alors jamais simples ni à imaginer, ni à valider.
Avant de commencer la cotation, un groupe de travail d’expert définit les échelles
Vous trouverez ci-dessous une table en quatre niveaux, utilisée pour les défaillances d'un
Sûreté de fonctionnement SIS Ver01
40
moyen de production. Ce n'est qu'une proposition, que chaque groupe de travail peut adapter
à son besoin, son environnement, sa problématique.
Fréquence (F)
Niveau valeur Définition
Très faible 1 défaillance rare : moins une défaillance par année
faible 2 défaillance possible : moins de une défaillance par trimestre
moyen 3 défaillance occasionnelle : moins de une défaillance par semaine
élevé 4 défaillance fréquente : plus de une défaillance par semaine
Gravité (G)
Niveau valeur Critère
mineur 1 Personnel : Blessure légère
Matériel : pertes d'exploitation perte de production de 100 000 à 1 million de dollars
moyenne 2 Personnel : Blessure grave une opération et nécessaire
Matériel : pertes d'exploitation perte de production de 1 à 20 million de dollars
majeur 3 Personnel : un mort et plusieurs blessées
Matériel : pertes d'exploitation perte de production de 20 à 200 million de dollars
grave 4 Personnel : Plusieurs morts
Matériel : pertes d'exploitation perte de production de 200 million de dollars
Détection (D)
Niveau valeur Définition
évident 1 Détection certaine, sirène, moyens automatiques, signes évidents
possible 2 Détectable par l’opérateur, par des inspections, vibration
improbable 3 Difficilement détectable, moyens complexes (démontages, appareils)
Sûreté de fonctionnement SIS Ver01
41
impossible 4 Indétectable, aucun ne signes
La cotation de la criticité se définit donc comme le produit de la fréquence
d’apparition du phénomène dangereux, ca gravité et ca détection.
Figure 3-5 : Formule de calcul du Risque
3.3 Graphe de risque
La norme ISO 13849 propose une évaluation par un point de départ, le constructeur de
la machine identifiera en répondant aux questions notamment la gravité de la blessure (S), la
fréquence ou/et la durée d’exposition (F) au danger qu’ainsi la possibilité de la réduction du
danger (P), et le niveau de performance de la machine et la fonction de sécurité qui sera
examinée.
Le niveau de performance requis est classé en cinq niveaux), en fonction de l'augmen-
tation du risque en allant du niveau de performance PLa au niveau de performance Ple. Cha-
cun d'eux identifie un domaine numérique de probabilité moyenne de défaillance dangereuse
par heure. Un niveau de performance PLa indique par exemple que la probabilité moyenne
de défaillance dangereuse par heure est comprise entre 10-5 et 10-4.
Sûreté de fonctionnement SIS Ver01
42
Figure 3-6 : Graphe de risque
Sûreté de fonctionnement SIS Ver01
43
4 Évaluation qualitative et quantitative de la SdF par le bloc de
diagramme de fiabilité
Une analyse qualitative de sûreté de fonctionnement consiste à donné une structure du
système par des blocs fonctionnel, afin d’estimer les combinaisons des éléments qui amè-
nent à la défaillance du système. Pour cela, les analystes utilisent deux concepts : les che-
mins à succès et les coupes. Par contre une analyse quantitative de sûreté de fonctionnement
consiste de plus à calculer la probabilité d’occurrence des défaillances pour tout le système.
4.1 Analyse qualitative par Bloc diagramme de fiabilité
Un diagramme de fiabilité consiste à visualiser la logique de fonctionnement d’un sys-
tème par des blocs fonctionnels. Un ensemble de blocs dont le dysfonctionnement entraîne
le dysfonctionnement du système est un couple.
4.1.1 Liens minimaux et coupes minimales
Dans un schéma de connexion, un lien est un ensemble de blocs dont le fonctionne-
ment assure le succès de la mission du système. Un lien minimal est une des plus petites
combinaisons de blocs qui lorsqu’ils sont en fonction permettent d’assurer la fonction re-
quise pour le système. Si Li est un lien minimal du système alors la fiabilité totale du sys-
tème est donnée par :
= ∑
=
l
i
iLPR1
(4-1)
Où l est le nombre de liens minimaux du système.
Les coupes minimales représentent les plus petites combinaisons de défaillances des
blocs qui compromettent la fonction requise pour le système. Si Ci est une coupe minimale
du système alors la fiabilité totale du système est donnée par :
Sûreté de fonctionnement SIS Ver01
44
−= ∑
=
c
i
iCPR1
1 (4-2)
Où c est le nombre de coupes minimales du système.
La recherche de coupe minimale au sein d’une représentation déterministe se fait par les
étapes suivantes :
• réalisation d’une représentation du système par un diagramme de fiabilité.
• la recherche de tous les liens minimaux par un parcours exhaustif de tous les chemins
et l’on construit une matrice d’incidence des blocs dans les liens.
• Pour trouver les coupes d’ordre 1, on recherche les lignes n’ayant que des uns.
• On supprime ensuite ces colonnes, qui correspondent aux coupes d’ordre 1. On com-
bine toutes les colonnes deux à deux (avec un OU booléen). Les colonnes n’ayant
que des uns sont les coupes minimales d’ordre 2.
• On supprime les colonnes ainsi trouvées et on recommence pour obtenir les coupes
d’ordre 3. Etc.
4.2 Analyse quantitative par Bloc diagramme de fiabilité
Le diagramme de fiabilité consiste à construire un diagramme qui compose des blocs,
chacun d’eux représentant une entité (Un composants, des sous-systèmes etc.). Ces blocs
sont reliés par des flèches indiquant les dépendances des entités entre eux.
Cette représentation statique du fonctionnement du système consiste à chercher les
combinaisons de défaillances d’entités qui peuvent conduire à la défaillance totale du sys-
tème. On distingue deux genres de transmission du signal entre les entités soit en série ou
bien en parallèle.
Comme le montre Erreur ! Source du renvoi introuvable. , une défaillance au ni-
veau d’une entité dans un système en série entrainera l’arrêt du signal au niveau du bloc qui
lui est associé, ce qui introduit l’arrêt du système.
Sûreté de fonctionnement SIS Ver01
45
Figure 4-1 : Diagramme de fiabilité en série
Le système ne fonctionne que lorsque tous les composants sont fonctionnels. La fiabi-
lité d'un système (la probabilité de bon fonctionnement) de n composant est calculée selon
l'équation suivante :
∏=
=••=n
i
in tRtRtRtRtR1
21 )()()()()( L (4-3)
En conséquence le taux de défaillance est calculé par l’addition du taux de défaillance
de chaque composant constituant le système:
i
n
i
S λλ ∑=
=1
(4-4)
La formule de calcul de la valeur du temps moyen qui s'écoule jusqu'à ce qu'un sys-
tème tombe en panne (MTTF) est formulée comme suit:
Sûreté de fonctionnement SIS Ver01
46
Total
nSerie dttRtRtRMTTFλ
1)()()(
0
21 =••= ∫∞
L (4-5)
Pour les systèmes en parallèles, il suffit qu’une entité ne fonctionne pas pour que le si-
gnal passe. L’arrêt du système est possible si seulement si les trois entités sont défaillantes.
Figure 4-2 : Diagramme de fiabilité en parallèle
Dans une structure parallèle, l'arrêt du système est provoqué par la défaillance de
toutes les entités. La fiabilité d’un système parallèle est calculée selon l'équation suivante:
))(1(1)))(1())(1())(1(1)(1
21 ∏=
−−=−•−•−−=n
i
in tRtRtRtRtR L (4-6)
La formule de calcul de la valeur du temps moyen qui s'écoule jusqu'à ce qu'un sys-
tème tombe en panne (MTTF) pour un système de deux composants est comme suit:
[ ] [ ]∫∫∞
×+−×−×−∞
−+=−+=0
)(
0
dteeedtRRRRMTTF ttt
BABAParallèleBABA λλλλ
(4-7)
En évaluant l’exponentielle on obtient:
BABA
ParallèleMTTFλλλλ +
−+=111
(4-8)
Sûreté de fonctionnement SIS Ver01
47
4.2.1 Système multi composants
Dans la partie précédente, nous avons étudié la défaillance d’un système à composant
unique. Dans ce cas, la défaillance du composant implique la défaillance du système. Dans
un système multi composant, la défaillance du système survient à la suite de défaillance de
sous-ensembles de composants. Par exemple, la défaillance d’un frein sur un véhicule ne
remet pas en cause le fonctionnement global même s’il faut adapter son mode d’utilisation.
Par contre, la défaillance d’une roue conduit à l’immobilisation du véhicule.
Soit un système à n composants, on note par xi l’état de l’i-ème composant. xi = 1 si le
composant fonctionne et 0 sinon. On note φ(x) l’état du système complet. On rappelle éga-
lement que :
( )
)()(
)()()()(
)(.)(
BPAP
BAPBPAPBAp
et
tsindépendansontBetAsiBPAPBAP
+≈
∧−+=∨
=∧
(4-9)
Sûreté de fonctionnement SIS Ver01
48
5 Évaluation qualitative et quantitative de la sûre de fonctionne-
ment par Arbres des causes, de défaillance et d’événement
Les méthodes et les démarches pour maitriser les risques sont indispensable pour la
sûreté de fonctionnement d’un SIS. Ils décrient les mécanismes qui conduisent aux incidents
et aux accidents. En distingue trois méthodes les plus courantes notamment:
• L’arbre de défaillance,
• L’arbre des causes et
• L’arbre d’événement
Ces trois méthodes d’analyse de risque sont représentées sous forme d’une représenta-
tion graphique logique d’un système sous formes arborescentes mais ils ne contiennent pas
les mêmes informations.
5.1 Principes et objectifs de ces méthodes
L’Arbre de défaillance est aussi une méthode d'analyse des défaillances qui part d’un
événement final pour remonter vers les causes et les conditions qui peuvent être associés.
Ayant pour point de départ un événement redouté, un dysfonctionnement ou un accident la
démarche constitue à effectuer une analyse sur les éléments constitutifs du système étudié
pour identifier tous les scénarios conduisant à l’événement redouté. À partir des opérateurs
logiques et des symboles de la représentation schématique donnée á titre d’exemple Figure
5-1 on peut calculer la probabilité de l’événement redouté á partir des probabilités des évé-
nements élémentaires qui se combinent pour le provoquer.
Sûreté de fonctionnement SIS Ver01
49
Figure 5-1 : Éléments essentiel pour une représentation graphique par l’arbre de défaillance et des causes
Figure 5-2 : Arbre de défaillance
Sûreté de fonctionnement SIS Ver01
50
L’arbre des causes part d’un événement qui s’est produit et organise l’ensemble des événe-
ments ou les conditions qui peuvent être associés. Cette analyse repose sur un raisonnement
similaire à l’arbre de défaillance mais ne décrit qu’un scénario, d’un incident ou un acci-
dent, pour soutenir la démarche d’analyse de la cause. Sa représentation est illustrée par la
Figure 5-3.
Figure 5-3 : Arbre des causes
L’arbre d’événement part d’un événement et décrit les différentes conséquences qu’il
peut avoir en fonction des conditions dans lesquelles il s’est produit et des événements avec
lesquels il se combine. Il repose sur un raisonnement inverse des arbres précédents : de la
cause vers les conséquences (d’où sa représentation donnée à titre d’exemple Figure 5-4c).
Comme l’arbre de défaillance, il vise à représenter l’ensemble des possibles, ici, des consé-
quences possibles de l’événement étudié. Le point de départ est un incident, une défaillance,
une erreur, une agression... dont on veut évaluer les conséquences possibles qui dépendent
d’un certain nombre d’autres facteurs. Si on connaît les probabilités associées à ces facteurs
on peut calculer en s’appuyant sur l’arbre d’événement la probabilité associée à chacune des
conséquences possibles de l’incident initial.
Sûreté de fonctionnement SIS Ver01
51
Figure 5-4 : Arbre d'événement
5.2 L’arbre de cause d’une structure simple
Un système d’une 'architecture simple se compose d'un canal ce que signifie que le
système est déjà dans un état critique. Si le système peut tomber en panne à cause d'une dé-
faillance dangereuse, cette défaillance peut être une défaillance dangereuse détectée ou bien
une défaillance dangereuse non détectée.
Figure 5-5 : Arbre de cause d'un 1oo1-système d’alimentation
Sûreté de fonctionnement SIS Ver01
52
5.3 L’arbre de cause d’une structure redondante
Le système d’architecture d’une structure redondante exerce sa fonction de sécurité
seulement si au moins l'un des deux systèmes est en service. Le système tombe complète-
ment en panne au cas où:
1. les deux systèmes ont chacun une défaillance dangereuse
2. le raccord de deux systèmes a chacun une défaillance dangereuse
Sous-système de capteur de pressionDéfaillance Dangereuse
Capteur de pression ADéfaillance Dangereuse
Capteur de pression BDéfaillance Dangereuse
Raccord de pressionDéfaillance Dangereuse
m:0:0
Figure 5-6 : Analyse de la défaillance d’un capteur de pression en redondante
5.4 Codage des arbres de défaillance sous forme de DDB
En 1992, J.-C. Coudert et O. Madre d’un côté, A. Rauzy d’un autre, ont proposé un
codage efficace des arbres de défaillances. Un arbre de défaillance est équivalent à une for-
mule binaire. En effet, un arbre est constitué d’événements E = {e1,…; en} et de portes lo-
giques P = {ou, et . . .}. Chaque événement est transformé en une variable booléenne xi qui
Sûreté de fonctionnement SIS Ver01
53
vaut 1 si l’événement s’est produit. Les portes logiques sont directement traduites en con-
necteurs logiques.
Événement Variable booléenne xi
se produit 1
Ne se produit pas 0
La Figure 5-6 traduit la formule booléenne d’un arbre de défaillance.
m:0:0
E1 E2
E3
S
)( 213 xxxF ∧∨=
Figure 5-7 : Formule booléenne d’un arbre de défaillance
Les diagrammes de décision binaires (BDD pour Binary Decision Diagram) sont une
structure de données qui permet de représenter de façon compacte les relations entre va-
riables booléennes. Ils ont été introduits par Randal E. Bryant et sont devenus incontour-
nables pour les outils de vérification.
Sûreté de fonctionnement SIS Ver01
54
6 Modèles à états transition
6.1 Modèle de Markov
Lorsqu’un système est modélisé par une équation différentielle son avenir est unique-
ment déterminé par sa situation présente, d’où son nom de dynamique déterministe. Ils per-
mettent de bonnes descriptions statiques de système mais ne prennent pas en compte les re-
configurations, comme les réparations.
Pour une chaîne de Markov au contraire, on fait l’hypothèse qu’il y a plusieurs évolu-
tions possibles à partir de la situation présente, chacune d’elles ayant une certaine probabili-
té de se réaliser. C’est cette incertitude sur l’avenir qui est prise en compte par les modèles
markoviens que l’on appelle pour cette raison dynamiques aléatoires ou stochastiques.
Andrei Markov (en 1856 – en 1922) a réussi de réaliser une telle description d’un sys-
tème. Il a publié ses premiers résultats en 1906, qui ont ensuite été généralisés à un espace
d’états infini dénombrable par Andrei Kolmogorov.
A l’aide des chaînes du Markov ou bien du processus de Markov, un système peut être
analysé sur une longue période de façon qu'on puisse prédire le futur en se basant sur l’état
présent du processus. Dans ce cas, il faudrait par exemple prendre en compte le fait que la
probabilité pij = P (Xt+1 = xj/Xt = xi) pourrait être différente selon que Xt−1 = xk ou que Xt−1
= xl.
6.1.1 Un simple model de Markov
Un simple modèle de Markov possède principalement deux états qu’ainsi deux états,
le système est en fonctionnement, à savoir que le système effectue sa fonctionnalité sans
erreur, ou pas en fonctionnement, à savoir que le système et dans un état de défaillance. Les
états sont représentés par des cercles et les transitions avec des lignes de transition.
Sûreté de fonctionnement SIS Ver01
55
Figure 6-1 : Éléments de base pour une chaine de markovienne
Le passage du système d’un état à un autre état ce présente par deux cercles et une
ligne de transmission ou d'une courbe de transition. On distingue deux types de systèmes :
• Un système possédant des composants irréparables.
• Un système possédant des composants réparables.
Les systèmes irréparables sont des systèmes qu’on ne peut pas les réparer à cause
d’une défaillance dangereuse. Pour la reprise en service on doit remplacer complètement ce
composant. La Figure 6-2 montre le modèle de Markov de ce genre de système.
Figure 6-2 : Modèle de Markov pour un system irréparable
Après un certain temps, le système passe de l'état normal E0 à travers un taux de tran-
sition (le taux de défaillance λ) à l’état E1 qui représente l'état où le système est en panne.
Puisque ce système est irréparable, la mise en service de ce genre de système nécessite le
remplacement complet des composants défectueux.
Sûreté de fonctionnement SIS Ver01
56
La Figure 6-3 illustre un modèle de Markov d'un système réparable. Ce genre de sys-
tème peut être ramené en service ou bien à l’état sans défaut après une défaillance dange-
reuse.
Système
en service
E0
Système hors
service
E1
Figure 6-3 : Modèle de Markov pour un system réparable
Ce genre de système après avoir passé de l’état en service à l’état hors service, ce sys-
tème à la capacité de revenir en service encore une fois après un certain temps qu’on notera
le temps de réparation µr.
6.1.2 La probabilité de transition
La probabilité de transition d’un état i à un autre état j peut être calculée mathémati-
quement. Si un état Ei sur un intervalle de temps dt passe à l'état E1, entre ces deux états
existe une relation de probabilité de transition représentée par l'équation suivante :
dtEEPP ijjiij *)( λ=→= (6-1)
Avec le taux de transition λij ≥ 0.
Une représentation plus pratique de tous les états du modèle de Markov à partir de la
matrice de transition est définie comme suit :
Sûreté de fonctionnement SIS Ver01
57
=
nnnnn
n
n
PPPP
PPPP
PPPP
P
...
...
...
210
1121110
0020100
L (6-2)
En remplaçant les différentes probabilités par leur équation la matrice de transition P
peut être décris comme suit :
−
−
−
=
dtdtdtdt
dtdtdtdt
dtdtdtdt
P
nnnnn
n
n
λλλλ
λλλλ
λλλλ
1.....
................
....1.
.....1
210
1121110
0020100
(6-3)
La matrice de transition nous permet de calculer tous les taux de transitions des diffé-
rents états de la chaine de Markov. S'il n’existe pas de lien entre deux états alors le taux de
transition est égal à 0. On note que la somme des termes de n’importe quelle ligne P donne
toujours 1. Il faut mentionner que la matrice de transition représente seulement l’état initial
du système. La matrice de transition p est égale au cube pour l’instant T = 3 avec l’état ini-
tial T = 1.
[ ]3)1()3( === TPTP (6-4)
Ce qui suit voici un exemple de calcul de la matrice de transition pour un système à
deux états.
• E0 système en service
• E1 système en état de panne.
Sûreté de fonctionnement SIS Ver01
58
Système
en service
E0
0,01
Système hors
service
E1
0,5
0,010,99
Figure 6-4 : Représentation d'un simple modèle de Markov
Étant donné que seulement deux états sont présents, cela signifie que la matrice de
transition est de dimension (2x2) comme suit :
=
1110
0100
PP
PPP (6-5)
En remplaçant chaque transition avec sa valeur de taux de transition, on obtient
l’équation suivante:
=
99,0.5,0
01,0.99,0P (6-6)
Comme déjà mentionne, la somme de chaque ligne de la matrice P est toujours égale à
1, sinon la matrice est faute.
6.1.3 Approche mathématique
La valeur MTTF signifie la durée moyenne de fonctionnement avant la première dé-
faillance pour un système irréparable, pour un system réparable on parle de la durée
moyenne entre deux défaillances consécutives qu’on note MTBF (Mean Time Between Fai-
lure).Pour effectuer le calcul de la valeur MTTF en utilisant les chaines de Markov, il faut
suivre les 4 étapes suivantes:
Sûreté de fonctionnement SIS Ver01
59
1. La formation de la matrice de fiabilité Q à partir de la matrice de transition P. Cela
exige certaines conditions, notamment le système doit être dans un état normal. Les
états absorbants ne sont pas présents.
2. La formation de la matrice M se fait en déduisant la matrice de fiabilité Q-matrice de
la matrice d’unité I.
QIM −= (6-7)
3. La formation de la matrice N à partir de l’inverse de la matrice M.
[ ] 1−= MN (6-8)
4. Après avoir déterminé la matrice N, la valeur MTTF c’est la somme de la première
ligne de la matrice N
6.1.4 Système d’une simple architecture
Le modèle de Markov pour un système d'une simple architecture est représenté par la
Figure 6-1. Il se compose d'un seul canal et possède quatre états. Un état normal (SYS_N)
E0 où le système est complètement opérationnel et il n'existe pas de défaillance. Dans cet
état, la fonction de sécurité est valide (le système peut répondre à une sollicitation). A partir
de cet état, le système peut prendre trois autres états.
1. L'état de sécurité (SYS_S) E1 pour lequel l'état de sécurité est réalisé. Cet état peut
être causé d'une défaillance sûre dangereuse détectée et non détectée, on est donc
dans le cas du fonctionnement nominal. Un le temps de réparation est présenté par µr.
2. L'état normal dégradé (SYS_DD) E2, la fonction de sécurité du système est valide. le
système passe à cet état après une défaillance dangereuse détectée. Les taux de tran-
sitions µ0 et µR est disponible.
3. Dans l'état de défaillance dangereuse SYS_DU la fonction de sécurité n'est plus réa-
lisée, un ou plusieurs composants étant défaillant à cause d'une défaillance dange-
reuse non détectée, le système se trouve dans un état critique. Le système entre dans
cet état dès qu'il présente un risque d'accident et un manque de répondre à une de-
Sûreté de fonctionnement SIS Ver01
60
mande d'activation de la fonction de sécurité. Pour revenir à l'état initial sans défaut
le système doit attendre jusqu'a que le système atteint sa durée de vie.
Figure 6-5 : Système d’une simple architecture présenté par les chaines de Markov
6.1.5 Le calcule du temps de vie moyen MTTF d'un 1oo1 système
Le système possède quatre états, l'état dont le système est en état normale E0, l'état
sûre E1, l'état normal dégradé E2 dont les défaillances dangereuses détectées peuvent être
détectées à partir des tests de diagnostics et l'état de défaillances dangereuses non détectées
E3 dont ces tests ne peuvent pas détecter ces défaillances dangereuse. Étant donné que seu-
lement quatre états sont présents, cela signifie que la matrice de transition (comme déjà
mentionnée) est définie comme suit :
−
−
−
+−
=
dtdt
dtdt
dtdt
dtdtdtdt
P
LTLT
RR
DUDDsDs
.100.
0.1.0
00.1.
...).(1
00
µµ
µµ
µµ
λλλλλ
(6-9)
La matrice de fiabilité a donc la forme suivante :
Sûreté de fonctionnement SIS Ver01
61
)(1 DsQ λλ +−= (6-10)
La matrice M est donc:
[ ] )()(11 DsDsQIM λλλλ +=+−−=−= (6-11)
La matrice N est donc de dimension 1x1, ce que signifie que la valeur MTTF est égale
la valeur de la matrice N
(6-12)
Le modèle de Markov pour un système d'une architecture redondante est représenté
par la Figure 6-6.
0,25
4,8e-7
0,2
0,5
0,003988
DU 0,005760,5
2,88e-5
2,4e-7
0,0028
2,4-007
0,2
*
DD
DU*2
0,00288
DU
DD
DU
S*2
0,2
1,2e-9* DDD
DD*2
Figure 6-6 : Modèle de Markov d'un système d'architecture redondante
[ ]Ds
MNMTTFλλ +
=== − 11
Sûreté de fonctionnement SIS Ver01
62
Sûreté de fonctionnement SIS Ver01
63
7 L’architecture d’un système instrumenté de sécurité (SIS)
Pour caractériser l’architecture d’un système instrumenté de sécurité, la convention M-
out-of-N (MooN) sera utilisée, ce qui signifie que M canaux parmi les N canaux que com-
porte le système doivent fonctionner correctement pour que la fonction de sécurité soit exé-
cutée.
Par exemple un système d’architecture 1-out-of-N dédié à la sécurité, ou sous-
ensemble d’un tel système, constitué de N canaux indépendants qui sont connectés de telle
sorte qu’il suffit qu’un seul canal (M=1) soit opérationnel pour que la fonction de sécurité
soit assurée. Par contre les systèmes de structure 2-out-of-N, L'exécution de la fonction de
sécurité exige que les deux (M=2) canaux sur les N canaux soit opérationnels.
Dans les applications industrielles, on trouve aujourd’hui principalement les architec-
tures suivantes :
• Un parmi un
• Un parmi un avec diagnostic 1oo1D
• Un parmi trois 1oo3
• Un parmi deux 1oo2
• Un parmi deux avec diagnostic 1oo2D
• Deux parmi deux 2oo2
• Deux parmi deux avec diagnostic 2oo2D
• Deux parmi trois 2oo3
• Deux parmi quatre 2oo4
7.1 Architecture UN parmi UN 1oo1 (1 out of 1)
Un système d'architecture 1oo1 (Figure 7-1) consiste en un seul canal, pour lequel une
défaillance dangereuse entraînera la perte de la fonction de sécurité en cas de sollicitation.
Les tests de diagnostic sont présents ici pour assurer une détection des fautes en vue de répa-
rer le système mais n’affectent pas la sortie.
L’exemple suivant représente un système instrumenté de sécurité (SIS) de type de sys-
tème d’arrêt d’urgence de sécurité (ESD Emergency Safety Shudown) comprenant un cap-
teur connecté en série avec une logique de commande qui commande un contacteur.
Sûreté de fonctionnement SIS Ver01
64
Figure 7-1 : SIS d’Architecture 1oo1
Le Table 7-1 traite les différents états du système de structure 1oo1. On considère que
la fonction de sécurité se résume à l’ouverture du contact du relais en cas d’une détection
d’une défaillance dangereuse au niveau de canal.
État du
système Cause potentielle Disponibilité du système Sécurité de système
Canal est
défaillant
Contacteur bloqué à
l’état fermé
Impossibilité d’actionner la sortie.
(pas de disponibilité).
Le système est dans un
état dangereux
Contacteur bloqué à
l’état ouvert
Impossibilité d’actionner la sortie
(pas de disponibilité).
Le système est dans un
état sûr.
Table 7-1 : Disponibilité et sécurité d’un sis d’une structure 1oo1
7.2 Architecture Un parmi Un avec diagnostic 1oo1D
Un système d'architecture un parmi un avec diagnostic 1oo1D consiste en un seul ca-
nal, pour lequel une défaillance dangereuse entraînera la perte de la fonction de sécurité en
Sûreté de fonctionnement SIS Ver01
65
cas de demande. Les tests de diagnostics sont capables de couper l’énergie des sorties en cas
de détection d’erreur. On a amélioré la structure d’une architecture simple à une structure
dont les tests de diagnostic agissent directement sur la sortie si les tests détectent une défail-
lance dangereuse. Il faut noter que les fautes dangereuses non détectées par les tests font
passer le système de structure 1oo1D à un état dangereux, car la fonction de sécurité ne peut
pas être exécutée. La disponibilité d’exécution de la fonction de sécurité n’est pas donc sa-
tisfaite.
La Figure 7-2 représente le système d’arrêt d’urgence de sécurité avec une structure
1oo1D dont ses tests de diagnostic agissent directement sur la sortie.
Figure 7-2 : SIS d’une structure 1oo1D
Le Table 7-2 traite les différents états du système 1oo1D. On considère que la fonction
de sécurité se résume par l’ouverture de contact du contacteur en cas d’une détection d’une
défaillance dangereuse au niveau de canal.
État du
système
Cause
potentielle Disponibilité du système Sécurité de système
Canal est
défaillant
Contacteur
bloqué
à l’état fermé
Défaillance détectée
Possibilité d’actionner la sortie par
les tests de diagnostic.
(disponibilité)
Le système est dans
un état sûr.
Sûreté de fonctionnement SIS Ver01
66
Défaillance non détectée
Impossibilité d’actionner la sortie par
les tests de diagnostic.
(pas de disponibilité)
Le système est dans
un état dangereux
Contacteur
bloqué
à l’état ouvert
Défaillance détectée
Possibilité d’actionner la sortie (disponible)
par les tests de diagnostic
(disponibilité)
Le système est dans
un état sûr Défaillance non détectée
Impossibilité d’actionner la sortie par
les tests de diagnostic.
(pas de disponibilité)
Table 7-2 : Disponibilité et sécurité d’un sis d’une structure 1oo1D
7.3 Architecture au moins Un parmi Deux 1oo2 (1 out of 2)
Un système d'architecture redondante 1oo2 consiste en deux canaux, la défaillance
d'un seul canal parmi les deux canaux n’empêche pas l’exécution de la fonction de sécurité.
Le système est défaillant si les deux canaux ne fonctionnent pas. Les tests de diagnostic si-
gnalent les fautes pour les réparer mais n’affectent pas la sortie.
La Figure 7-3 présente un SIS d’une architecture 1oo2, comprenant deux capteurs con-
nectés en série avec deux APids qui commandent deux contacteurs.
Sûreté de fonctionnement SIS Ver01
67
Figure 7-3 : SIS d’une structure 1oo2
La Table 7-3 traite les différents états du système. On prend par définition que la fonc-
tion de sécurité se résume par l’ouverture de contact du contacteur en cas d’une détection
d’une défaillance dangereuse.
État du
système
Cause
potentielle
Disponibilité du système Sécurité de
système
Un canal est
défaillant
Contacteur
bloqué à l’état
fermé
Possibilité d’actionner sur la sortie par le canal
non défaillant. La disponibilité de continuer
d’assurer la fonction de sécurité est satisfaite
Le système est
dans un état sûr
Contacteur
bloqué à l’état
ouvert
impossibilité d’actionner sur la sortie, par le
canal non défaillant.
Le système est
dans un état sûr
Deux canaux
sont défaillants
Contacteur
bloqué à l’état
fermé
Impossibilité d’actionner sur la sortie.
Le système est
dans un état
dangereux
Sûreté de fonctionnement SIS Ver01
68
Contacteur
bloqué à l’état
ouvert
Impossibilité d’actionner sur la sortie. Le système est
dans un état sûr
Table 7-3 : Disponibilité et la sécurité d’un SIS d’une architecture 1oo2
7.4 Architecture au moins Un parmi Deux 1oo2D (1 out of 2D) avec diagnostic
Un système d'architecture 1oo2D avec diagnostic consiste en deux canaux, la défail-
lance d'un seul canal parmi deux canaux n’empêche pas l’exécution de la fonction de sécuri-
té, on parle donc d’une tolérance aux anomalies de matérielles HFT=1 (Hardware Failure
Tolerant). Le système est défaillant lorsque les deux canaux ne fonctionnent pas. Les tests
de diagnostics sont capables de couper l’énergie des sorties dès qu’une erreur aura été détec-
tée.
La Figure 7-4 représente un système d’arrêt d’urgence de sécurité d'architecture redon-
dante dont les tests de diagnostic des deux canaux agissent directement sur la sortie.
Sûreté de fonctionnement SIS Ver01
69
Figure 7-4 : SIS d’une structure 1oo2D
La Table 7-4 traite les différents états du système 1oo2D. On considère que la fonction
de sécurité se résume par l’ouverture de contact du contacteur en cas d’une détection d’une
défaillance dangereuse.
État du
système
Cause
potentielle
Disponibilité du système Sécurité de système
Un canal est
défaillant
Contacteur
bloqué à l’état
fermé
Défaillance détectée et non détectée
Possibilité d’actionner sur la sortie par le
canal non défaillant. La disponibilité de
continuer d’assurer la fonction de sécurité est
satisfaite.
Défaillance détectée et
non détectée
Le système est dans
un état sûr
Contacteur
bloqué à l’état
ouvert
Défaillance détectée et non détectée
Impossibilité d’actionner sur la sortie,
puisque la sortie est toujours à l’état non
alimentée
Défaillance détectée et
non détectée
Le système est dans
un état sûr
Sûreté de fonctionnement SIS Ver01
70
Deux canaux
défaillants
Contacteur
bloqué à l’état
fermé
Défaillance détectée
possibilité d’actionner sur la sortie
Le système est dans
un état sûr.
La possibilité d’agir sur
la sortie par les tests de
diagnostic
Défaillance non détectée
impossibilité d’actionner sur la sortie
Le système n’est plus
dans
un état sûr.
Contacteur
bloqué à l’état
ouvert
Défaillance détectée
possibilité d’actionner sur la sortie Le système est dans
un état sûr Défaillance non détectée
impossibilité d’actionner sur la sortie
Table 7-4 : Disponibilité et la sécurité d’un SIS avec une architecture 1oo2D
Sûreté de fonctionnement SIS Ver01
71
7.5 Architecture deux Un parmi Deux 2oo2 (2 out of 2)
Un système d’architecture 2oo2 consiste en deux canaux, la défaillance d’un seul des
deux canaux empêche l’exécution de la fonction de sécurité. La fonction de sécurité sera
traitée si les deux canaux fonctionnent correctement. On parle donc d’une tolérance aux
anomalies de matérielles de zéro et s’exprime comme suite : HFT=0
Figure 7-1 : SIS d’une architecture 2oo2
La Table 7-5 traite les différents états du système d’architecture 2oo2. On prend par
définition que la fonction de sécurité se résume par l’ouverture de contact du contacteur en
cas d’une détection d’une défaillance dangereuse.
Sûreté de fonctionnement SIS Ver01
72
État du
système
Cause potentielle Disponibilité du système Sécurité de système
Un canal
défaillant
Contacteur bloqué
à l’état fermé
Impossibilité d’actionner sur la sortie par
le canal non défaillant. La sortie reste
toujours alimentée.
Le système n’est plus
dans
un état sûr, la sortie
est toujours alimentée.
Contacteur bloqué
à l’état ouvert Possibilité d’actionner la sortie.
Le système est dans
un état sûr puisque la
sortie n’est pas
alimentée
Deux canaux
défaillants
Contacteur bloqué
à l’état fermé Impossibilité d’actionner sur la sortie.
Le système
n’est plus dans
un état sûr
Contacteur bloqué
à l’état ouvert Impossibilité d’actionner sur la sortie.
Le système est dans
un état sûr puisque la
sortie reste non
alimente.
Table 7-5 : La disponibilité et la sécurité dans une architecture 2oo2
Sûreté de fonctionnement SIS Ver01
73
8 Évaluation quantitative du système instrumente de sécurité
L’évaluation des performances d’un SIS peut s’obtenir par des méthodes quantitatives.
Cette évaluation se base sur un calcul d’indisponibilité de la fonction de sécurité lors de sa
sollicitation, à partir des données probabilistes de défaillances.
8.1 Structure Un parmi Un (1oo1)
Un système d'architecture 1oo1 consiste à un seul canal, la défaillance dangereuse en-
trainera la perte de la fonction de sécurité en cas de demande.
Il possède un canal qui peut être défaillant avec un taux de défaillances dangereuses
Dλ résultant des défaillances non détectées DUλ ou bien avec un taux de défaillances dange-
reuses DDλ résultant des défaillances détectées.
Le temps d’indisponibilité tCE du canal est calculé par l’addition du temps de
l’indisponibilité du canal à cause d’une défaillance dangereuse non détectée tC1 et le temps
de l’indisponibilité du canal à cause d’une défaillance dangereuse détectée tC2 comme suite :
MTTRT
t iC +=
21
(8-1)
MTTRtC =2 (8-2)
( )2
DU DD
iCE D D
Tt MTTR MTTR
λ λλ λ
= + +
(8-3)
Avec:
• MTTR (Mean Time to Repair), est le temps de réparation conventionnelle, est pris
égale à 8 heures ; c’est-à-dire après la détection de la première défaillance dange-
reuse, le responsable dispose d’une durée de 8 heures pour résoudre le problème, si-
non après ce temps le système n’est plus fiable.
Sûreté de fonctionnement SIS Ver01
74
• Ti est le temps de mission (on utilise souvent 6 mois, 1 an, 3 ans, 5 ans ou bien 10
ans). C’est-à-dire après ce temps on doit effectuer un redémarrage du système pour
contrôler le système par les tests d’inspection.
La Figure 8-1 montre le schéma de principe de la fiabilité pour cette architecture.
MTTRT
t iC +=
21MTTRtC =2
CEt
DUλDDλ
Dλ
Figure 8-1 : Schéma de principe de la fiabilité pour une structure 1oo1
Le SIS peut perdre la fonction de sécurité en cas des défaillances détectées et non dé-
tectées.
0
0
1( )
1
1
2
T
avg
T
D
D
PFD PFD t dtT
t dtT
T
λ
λ
= ⋅
= ⋅ ⋅
=
∫
∫
Avec : ' '
1( )DU DD
D D
T T MTTR MTTRλ λλ λ
= + +
Et : D DU DDλ λ λ= +
(8-4)
La valeur de la PFDavg du SIS d’architecture un parmi un est calcule comme suit :
Sûreté de fonctionnement SIS Ver01
75
0
0
' '1
' '1
1( )
1
( )2
( )2 2 2
T
avg
T
D
DUD DD
D D
DU DD
PFD PFD t dtT
t dtT
T MTTR MTTR
T MTTR MTTR
λ
λλ λλ λ
λ λ
= ⋅
= ⋅ ⋅
= + +
= + +
∫
∫
On considère que :
''1
2 2
T MTTRMTTR MTTR≈ =>>
(8-5).
La probabilité de défaillance moyenne on demande du SIS est calculé par la formule
suivante :
MTTRMTTRT
PFD DDDUavg ⋅++= λλ )2
( 1
(8-6)
Avec
• MTTR (Mean Time To Repair) le temps de réparation conventionnellement est très
inferieure au temps de mission T1
• T1 le temps de mission. Un an de temps de mission équivaux à 8760 heures.
8.2 Structure un parmi deux (1oo2)
Un système d'architecture 1oo2 consiste en deux canaux, la défaillance d’un seul par-
mi les deux canaux n’empêche pas l’exécution de la fonction de sécurité. Le système est
défaillant si les deux canaux ne fonctionnent pas. Les tests de diagnostic signalent les fautes
pour les réparer mais n’affectent pas la sortie.
Le temps de l’indisponibilité d’un canal à cause d’une défaillance dangereuse détectée
est représenté par tCE:
Sûreté de fonctionnement SIS Ver01
76
( )2
DU DD
iCE D D
Tt MTTR MTTR
λ λλ λ
= + + (8-7).
On ajoute aussi le temps de l’indisponibilité de l’autre canal à cause d’une défaillance
dangereuse détectée qui est représenté par tGE :
( )3
DU DD
iGE D D
Tt MTTR MTTR
λ λλ λ
= + +
(8-8).
MTTRT
t iC +=
21MTTRtC =2
CEt
DUλ DDλ
Dλ
MTTRT
t iC +=
33 MTTRtC =4
GEt
DUλ DDλ
Dλ
Figure 8-2 : Schéma de principe de la fiabilité pour une structure 1oo2
L’introduction des défaillances de mode commun est généralement modélisée par la
proportion de défaillance de cause commune non détectées β et la de défaillance de cause
commune détectée Dβ . On obtient la formule de calcul de la valeur PFDavg pour une redon-
dance homogène:
)2
(
))1()1((2 2
MTTRT
MTTRttPFDavg
iDU
DDDGECEDUDDD
++
+−+−=
βλ
λβλβλβ
(8-9).
.
Sûreté de fonctionnement SIS Ver01
77
9 Conception du système instrumenté de sécurité
L’exemple suivant présente un réservoir recevant des résidus organiques inflammables
et toxiques. Le maintien du réservoir est réalisé par le système de commande représenté par
la Figure 9-1 qui régule par action sur la vanne (FC), à travers un convertisseur courant /
pression (I/P) grâce au signal 4-20mA fourni par le transmetteur de niveau LT1.Le réservoir
possède une soupape d’échappement à l’atmosphère.
Figure 9-1 : Régulation d'un réservoir d’architecture 1oo1
9.1 Estimation du risque
En cas de décharge de la soupape, les projections peuvent générer de sérieuse atteints
au personnels due aux produit chimiques dangereux ainsi qu’un risque d’explosion.
L’analyse a donné que le niveau de régulation est comprise entre 40% et 75%, ainsi que il
faut arrêter le remplissage de la cuve dès que le niveau atteint 90%.
L’analyse d’incidents et d'accidents survenus sur des procédés similaires, fournit deux
principales causes pour avoir le sur-remplissage du réservoir :
• Défaillance de la vanne on reste dans une position ouvert.
• Défaillance du transmetteur de niveau soit fixé ou bien indiquant un niveau bas.
Sûreté de fonctionnement SIS Ver01
78
Ces deux défaillances peuvent avoir des effets catastrophiques sur les biens et sur
l’environnement. Pour cette raison, d’autres préventives de réduction du risque doivent être
mises en place.
Les mesures de prévention à base d’un système instrumenté de sécurité ont été rete-
nues. L’évaluation des risques a fait ressortir qu’une fonction instrumenté de sécurité FIS
d’un niveau d’intégrité SIL2 permettrait d’atteindre les objectifs visés.
La fonction instrumentée de sécurité doit être séparée matériellement et fonctionnel-
lement du système et doit répond ainsi aux exigences d’indépendance. Elle peut être réalisée
par un SIS constitué d’un transmetteur de niveau TL2 et d'une vanne fermée à manque d’air
Vanne XV2 comme représenté par la Figure 9-2 suivante:
Figure 9-2 : Commande de réservoir avec une 1oo2 architecture
9.2 Proportion de défaillance en sécurité
La proportion de défaillance en sécurité SFF traduit la capacité du système à passer en
position sûre en cas de défaut. Elle est calculée à partir de la formule suivante:
∑ ∑∑ ∑
+
+=
DS
DDSSFF
λλ
λλ
(9-1).
Il faut noter, que les capteurs, les vannes utilisés, sont de types hétérogènes. Les para-
mètres de calcule de la valeur SFF sont donnés ci-dessous.
Sûreté de fonctionnement SIS Ver01
79
MTBF en ans ansDU /λ ansDD /λ ansS /λ
LT1: 102 0,0008 0,001 0,008
LT2 102 0,0008 0,001 0,008
Barrière : 314 0,00019 0,0014 0,00159
PLC 685 0,001 0,001 0,00135
Vanne V1 167 0,0007 0 0,005300
Vanne V2 167 0,0007 0 0,00530
Alimentation 12 0,02183 0,02 0,04150
Table 9-1 : Taux de défaillance des composants du SIS
À partir de la valeur de la proportion de défaillance en sécurité SFF (dans notre cas
SFF = 78,58%,), la tolérance aux anomalies du matériel et le type de composant on peut
définir le niveau d’intégrité en sécurité selon la Table 9-2.
Proportion de défail-
lance en sécurité
(SFF)
Tolérance aux anomalies matérielles (HFT) pour les éléments type B
0 1 2
< 60% Non autorise SIL1 SIL2
< 60%- 90% SIL1 SIL2 SIL3
90%- 99% SIL2 SIL3 SIL4
>99 % SIL3 SIL4 SIL4
Table 9-2:Détermination de la valeur de proportion de défaillance en sécurité
Le niveau d’intégrité en sécurité de SIL2 est atteint avec un sous-système de type B,
avec une proportion de défaillance en sécurité de valeur SFF < 90% et avec une tolérance
aux anomalies du matériel HFT=1.
Sûreté de fonctionnement SIS Ver01
80
9.3 Fonction de sécurité
La fonction de sécurité est d’éviter un sur-remplissage du réservoir. Le point de dé-
clenchement du système instrumenté de sécurité dès que le niveau atteint le 90% on fera
passer le système de l’état normal à l’état de sécurité en agissant sur la vanne d’arrêt
d’urgence. A partir de cet état, le remplissage de la cuve doit être stoppé.
9.4 Allocation des blocs fonctionnels aux sous-systèmes
La décomposition du SIS par des blocs fonctionnels nous permet de donner un titre
fonctionnel à chaque bloc et de déterminer l’architecture du système.
Figure 9-3 : Architecture du SIS
L'allocation des bocs fonctionnels aux sous-systèmes nous permet d'avoir une vue des
matériels du système qu’ainsi le fonctionnement réelle par le passage aux sous-systèmes.
Cette allocation du SIS est représentée par la figure suivante:
Sûr
eté
de f
onct
ionn
emen
t
SIS
Ver
01
81
All
oca
tio
nd
es
blo
cs
fo
nc
tio
nn
els
au
x s
ou
s-s
ystè
me
Le
sy
stèm
ees
tm
iss
ou
s t
en
sio
n
Allo
cat
ion
Allo
cat
ion
Allo
cat
ion
Co
mm
an
de
d
e l
a v
an
ne
XV
2
Ba
rrié
re a
sé
cu
rité
in
trin
sé
qu
e
D1
01
4D
Tra
ns
met
teu
r/C
ap
teu
r T
2
Blo
c f
on
ctio
nn
el2
Blo
c fo
nc
tio
nn
el4
Blo
c f
on
cti
on
ne
l1IN
PU
T
Lo
gic
So
lve
r
Tra
ite
me
nt
de
s
sig
na
ux
d’e
ntr
ée
v
ena
nt
de
s
ca
pte
ur
T2
(4
mA
-2
0m
A)
OU
TP
UT
Ac
qu
isit
ion
des
val
eu
ran
alo
giq
ue
s d
u
cap
teu
r T
2
Ca
pte
ur
So
us
sys
tèm
e1
Tra
ite
me
nt
pa
r A
PId
s
LO
GIQ
UE
Co
mm
an
de
de
la
van
ne
XV
2
Ac
tio
nn
eur
So
us
sy
stè
me
2S
ou
s s
ystè
me
3
Bar
riér
e a
séc
uri
té
intr
ins
équ
e D
1014
D
Fig
ure
9-4
: A
lloc
atio
n d
es b
locs
fon
ctio
nn
els
aux
syst
èmes
Sûreté de fonctionnement SIS Ver01
82
9.5 Exigences fonctionnelles de chaque élément de SIS
Exigences fonctionnelles de chaque élément du SIS
Entrée Sortie Fonctionnalité
Transmetteur de niveau
LTT2
Lecture de la pres-
sion et la trans-
mettre sous forme
de signal de 0 -20
mA.
État de remplissage
du réservoir
Transmetteur de ni-
veau
Traitement des données
par APids (Automate
Programmable Indus-
triel dédie à la Sécurité)
Signal 0-20mA
venant du Capteur
de niveau dans le
réservoir
La fermeture de la
vanne
le remplissage du
réservoir doit être
interdit dès que le
niveau atteint 90%.
Vanne d’arrêt d’urgent
XV2D
Signal de 24 V
d’arrêt d’urgent
Fermeture de la vanne Arrêt de flux de fluide
en cas s’il y a une
discordance entre les
2 signaux de capteur
de niveau
9.6 Détermination de la valeur PFD
En prenant compte des exigences suivantes :
• Temps de réparation MTTR a été évalué à 8 heures.
• Temps complet non opérationnel a été évalué à 24 heures
• Temps de mission Ti égale à trois ans.
On effectue le calcul de la value PFD du système.
Sûreté de fonctionnement SIS Ver01
83
9.6.1 PFD du Sous-système Capteur :
Le sous-système capteur possède une structure 1oo1 et il est composé d'un transmet-
teur T2 et une barrière à la sécurité intrinsèque. L'équation simplifié pour le calcule de la
valeur PFDavg est définie comme suit:
2iDU T
PDVavg⋅
=λ
(9-2).
Pour Trois ans de mission, la probabilité de défaillance moyenne sur demande est dé-
finie comme suite:
3
__
104,12
3)00019,00008,0(
2)(
−⋅=⋅+=
⋅+=
avg
i
BIDUVESDDUavg
PFD
TPFD λλ
Le sous-système capteur peut revendiquer un niveau d'intégrité de SIL2.
9.6.2 Sous-système API de sécurité
Pour dix ans de mission, la probabilité de défaillance moyenne sur demande est définie
comme suit :
310*52
10*)001,0(
2
−==
⋅=
avg
i
DUavg
PFD
TPFD λ
Le sous-système "APids" peut revendiquer un niveau d'intégrité de 2 soit SIL2.
9.6.3 Sous-système actionneur :
Pour Trois ans de mission, la probabilité de défaillance moyenne sur demande est dé-
finie comme suite :
Sûreté de fonctionnement SIS Ver01
84
32
2
1005,12
3)0007,0(
2
−⋅=⋅=
⋅=
XV
i
DUXV
PFD
TPFD λ
Le sous-système actionneur peut revendiquer un niveau d'intégrité de 2 soit SIL2.
9.7 Evaluation du SIL de SIF
La PFD globale de la SIF est égale à la somme des PFD de chaque sous-système.
3_
333_
2_
1045,7
1005,1105104,1−
−−−
=
++=
++=
FISavg
FISavg
XVAPIdsCapteurFISavg
PFD
PFD
PFDPFDPFDPFD
La fonction instrumentée de sécurité FIS est séparée matériellement et fonctionnelle-
ment du système et répond ainsi aux exigences d’indépendance. Elle est réalisée par un sys-
tème instrumenté de sécurité SIS constitué d’un transmetteur de niveau T2, une barrière in-
trinsèque et d'une vanne fermée à manque d’air Vanne VESD et elle peut revendiquer un ni-
veau d'intégrité de 2 soit SIL2 avec une probabilité de défaillance sur demande á faible solli-
citation de 7,45 10-3
Sûreté de fonctionnement SIS Ver01
85
10 Appendis
Sûr
eté
de f
onct
ionn
emen
t
SIS
Ver
01
86
Arc
hite
ctur
e
TR
8.0.
02 P
art 2
-199
8 V
ersi
on 4
For
mul
e de
cal
cul s
impl
ifié
Con
trib
utio
n de
s dé
fail
lanc
es in
dépe
ndan
tes
For
mul
e de
cal
cul
Con
trib
utio
n de
s dé
fail
lanc
es d
e ca
use
com
mun
e β
1oo1
2TI
DU×
λ
1oo2
()
[]
3
22
TI
DU
×λ
(
)[
]
×
+
×
×+
××
×+
×2
232
2T
IT
IT
IM
TT
RT
ID F
DU
DD
DU
DU
λλ
βλ
λλ
1oo3
()
[]
4
33
TI
DU
×λ
(
))
([]
×+
×+
××
×+
×2
24
22
33
TI
TI
TI
MT
TR
TI
D F
DU
DD
DU
DU
λλ
βλ
λλ
2oo2
TI
DU×
λ
[]
[]
×+
×+
×2TI
TI
TI
D F
DU
DU
λβλ
λ
2oo3
()
22
TI
DU
×λ
[
][
]
×
+
×
×+
××
×+
×2
23
)(
)(
22
TI
TI
TI
MT
TR
TI
D F
DU
DD
DU
DU
λλ
βλ
λλ
2oo4
()
()3
3T
ID
U×
λ
()
()
[]
()
()
[]
×+
××
+×
××
+×
22
42
23
3T
IT
IT
IM
TT
RT
ID F
DU
DD
DU
DU
λλ
βλ
λλ
Sûr
eté
de f
onct
ionn
emen
t
SIS
Ver
01
87
Arc
hite
ctur
e
IEC
615
08
For
mul
e de
cal
cule
de
la p
roba
bili
té d
e dé
fail
lanc
e su
r de
man
de p
our
un m
ode
de f
aibl
e so
llic
itat
ion
avg
PF
D
1oo1
D
CE
PF
Davg
tλ
=
()
2
DU
DD
iC
ED
D
Tt
MT
TR
MT
TR
λλ
λλ
=+
+
1oo2
)
2(
))
1()
1((22
MT
TR
T
MT
TR
tt
PF
Davg
iD
U
DD
DG
EC
E
DU
DD
D
++
+−
+−
=
βλ
λβ
λβ
λβ
(
)3
DU
DD
iG
ED
D
Tt
MT
TR
MT
TR
λλ
λλ
=+
+
1oo3
2oo2
2()
DU
DD
CE
PF
Davg
tλ
λ=
+
2oo3
Sûr
eté
de f
onct
ionn
emen
t
SIS
Ver
01
88
Arc
hite
ctur
e
SIN
TE
F
For
mul
e de
cal
cul s
impl
ifié
Con
trib
utio
n de
s dé
fail
lanc
es in
dépe
ndan
tes
F
orm
ule
de c
alcu
l
Con
trib
utio
n de
s dé
fail
lanc
es d
e ca
use
com
mun
e β
1oo1
2TI
DU×
λ
+
1oo2
()
[]
3
22
TI
DU
×λ
+
βλD
UT
i×
2
1oo3
()
[]
4
33
TI
DU
×λ
+
βλD
U
oo
Ti
C×
×2
31
2oo2
T
ID
U×
λ
2oo3
(
)2
2T
ID
U×
λ
+
βλD
U
oo
Ti
C×
×2
32
Moo
N
()
()
() !1
!2
!1
−×
+−
×+
−
MM
N
NT
IM
ND
Uλ
+
βλD
U
Mo
oN
Ti
C×
×2