Les normes de sécurité fonctionnelle

 

§1 : Niveaux de réduction des risques

Une installation qui présente des risques fait l’objet d’analyses permettant de statuer sur l’acceptabilité ou non de ces risques. Les risques pour lesquels l’exposition initiale (c’est à dire, le couple probabilité / niveau d’impact) est jugée inacceptable font l’objet de mesures de réduction, permettant d’amener leur exposition à un niveau cible jugé tolérable. Les fonctions instrumentées de sécurité électriques, électroniques et électroniques programmables (E/E/PE) viennent s’ajouter aux autres barrières de protection, pour amener le risque d’une exposition initiale inacceptable à un niveau cible tolérable :

Norme NF EN 61508-réduction du risque

Les différentes barrières de sécurité contribuant à la réduction du risque sont :

  • Les Dispositifs : conception (confinement), soupapes, disques de rupture, …
  • Les Procédures : alarmes opérateurs, consignes et procédures de sécurité, procédures d’urgence, …
  • Les SIF : réalisées par des Systèmes Instrumentés de Sécurité (SIS). Une SIF est une action automatique.

§2 : Mission des Fonctions Instrumentées de sécurité (SIF ou FIS)

La mission des Fonctions Instrumentées de sécurité (FIS ou SIF) est de contribuer à la réduction des risques de l’installation

Améliorer ou (re)Définir les moyens de conduite

Une SIF ne se réduit pas à un automate seul. Elle est assurée par tout la chaîne de contrôle-commande, depuis le capteur jusqu’à l’actionneur.

La confiance dans la réduction des risques de l’installation se traduit, au niveau des SIF, par deux types d’exigences :

  • Sur la sécurité fonctionnelle : propriétés (détection, action engendrée, à quel moment, performances, …) permettant la réalisation de la fonction de sécurité
  • Sur l’intégrité de sécurité : probabilité qu’un système de sécurité assure les fonctions de sécurité requises dans le temps spécifié

Les prescriptions de sécurité pour la réalisation, l’évaluation et le maintien de SIF sont développées dans les normes NF EN 61508 et NF EN 61511.

Ces prescriptions concernent uniquement les équipements électriques, électroniques, et électroniques programmables (E/E/PE)

§3 : Définition d’un niveau de SIL requis

SIL (« Safety Integrity Level ») : Niveau d’intégrité de sécurité d’une FIS

C’est la contribution nécessaire d’une SIF à la réduction du risque qui lui confère son exigence « d’intégrité de sécurité » ou « disponibilité à la sollicitation » ou « SIL requis ». Le niveau de réduction de risque nécessaire ainsi attribuée à une SIF est donc exprimé en niveau SIL :

  • SIL 1 : réduction du risque par un facteur >10
  • SIL 2 : réduction du risque par un facteur >100
  • SIL 3 : réduction du risque par un facteur >1 000
  • SIL 4 : réduction du risque par un facteur >10 000

Le niveau de réduction de risque le plus faible est le SIL 1.

Le niveau de réduction de risque le plus élevé est le SIL 4.

Remarque : La réduction de risque assurée par la SIF est bien une contribution à la réduction globale du risque, assurée par l’ensemble des barrières de sécurité. Ainsi, il est possible d’avoir un niveau SIL requis égal à 1 sur un site à haut risque, du fait que l’ensemble des barrières de sécurité assure la réduction globale du risque suffisante. De même, il est possible d’avoir un niveau SIL requis égal à 3 sur un site à faible risque, si le reste des barrières de sécurité est quasiment inexistant.

Détermination des SIF et des SIL requis

La démarche à suivre pour déterminer le SIL requis pour une SIF est la suivante :

  • Recenser tous les risques (Analyse de Risque, Etude de Danger, AMDEC, HAZOP, …)
  • Identifier par risque les moyens de réduction mis en place (les barrières de sécurité)
  • Définir les SIF et leurs missions
  • Déterminer le risque tolérable cible pour chaque risque (législation, responsabilités du site, …)
  • Déterminer la réduction de risque que les SIF doivent réaliser
  • Obtenir le niveau SIL requis pour chaque SIF (méthodes semi-qualitative et quantitatives)
 

§4 : Evaluer le niveau de SIL réel

Évaluation du SIL réel

La norme NF EN 61511 impose 2 types de contraintes qui permettent d’évaluer le niveau SIL d’une SIF : des contraintes architecturales et des contraintes probabilistes.

  • Les Contraintes architecturales

Exemple :

On dispose d’un capteur Tr. On veut vérifier qu’il est intégrable dans une chaîne instrumentée assurant une SIF de niveau SIL2.

Si Tr n’est ni à logique positive, ni doté d’autodiagnostic (colonne 1), le montage doit comporter 3 capteurs Tr redondants pour obtenir le SIL2 requis.

Si Tr est à logique positive ou doté d’auto-diagnostique (colonne 2), le montage doit comporter 2 capteurs Tr redondants pour obtenir le SIL2 requis.

Si Tr est à logique positive ou doté d’auto-diagnostique, et si de plus Tr est dit « éprouvé par l’usage » et la modification de ses paramètres est protégée (colonne 3), alors Tr seul est suffisant pour obtenir le SIL2 requis. Remarques :

Il est impossible d’obtenir un niveau SIL3 sans redondance. Le recours au SIL4 est fortement déconseillé. Des exigences très lourdes doivent être prises en compte. Les contraintes architecturales sont légèrement différentes en ce qui concerne les automates programmables de sécurité. On s’intéresse à la proportion de défaillances sûres de l’automate pour évaluer le niveau SIL :

  • Les Contraintes probabilistes

Ce type de contrainte caractérise la fiabilité de la SIF. On évalue la probabilité de la défaillance de la SIF lorsqu’elle devra être réalisée.

Pour cela on définit : le PFD (probabilité de défaillance dangereuse lors d’une sollicitation, dans le cas d’une SIF sollicitée en moyenne moins d’une fois par an) et le PFH (probabilité de défaillance dangereuse par heure, dans le cas d’une SIF sollicité plus fréquemment ou de manière continue).

§5 : Améliorer le cycle de vie / les dispositions d’exploitation maintenance

Maintien du niveau de SIL

L’évaluation du SIL d’une SIF est insuffisante pour garantir le maintien du niveau de sécurité au cours du temps.

  • Des tests périodiques permettent de révéler les défaillances dangereuses non détectables par le SIF. L’intervalle de ces tests judicieusement choisi permet de garantir un niveau de confiance requis (graphe ci-dessous). Cet intervalle intervient notamment lors du calcul de PFD/PFH.

  • Des opérations de maintenance préventive,
  • Des procédures de gestion des modifications, de gestion des bypass

….