Scurit fonctionnelle et niveaux dintgrit de scurit (SIL)

Vers une scurit accrue de vos quipements et installations

Parce que le systme de scurit parfait nexiste pas,

Bonjour!
Ce document a pour but de vous aider mieux cerner les nouveaux enjeux de la scurit des quipements et systmes industriels. Les nouvelles normes, dapplication volontaire, mettent votre disposition des mthodologies qui vous aideront concevoir et mettre en uvre un Systme de Scurit. Leur application exige cependant une certaine expertise ; ce document guidera vos premiers pas pour vous permettre de tirer le meilleur parti de ces outils si vous adoptez une dmarche rigoureuse. Au bout du chemin, des bnfices consquents pour vous : un systme plus sr gnre moins dincidents !
Dans les tablissements industriels, les systmes de scurit ont pour objectif de rduire le risque doccurrence des dfaillances dangereuses du matriel. Lutilisation des fonctions de scurit permet loprateur de satisfaire le service demand tout en garantissant la protection de lquipement, des personnes, de lenvironnement et des biens. Les Systmes de Scurit couvrent des domaines varis tels les process ptrochimiques, les machines-outils, les presses, les scies circulaires, mais aussi les systmes de freinage automobile, les ascenseurs, etc. Utiliss parfois comme moyens de prvention, ces systmes comportent une proportion grandissante de systmes lectriques, lectroniques ou encore lectroniques programmables (E/E/EP). Ces nouveaux quipements sont habituellement complexes ; dans la pratique, ceci rend difficile la dtermination de chaque mode de dfaillance par lexamen de tous les comportements possibles et la prvision de leurs performances en termes de scurit. Paralllement ce constat, la responsabilit croissante attribue lemployeur vis--vis de son personnel, les pressions environnementales de plus en plus fortes, laugmentation des prix des matires premires et le cot toujours plus important dune immobilisation impromptue accentuent la ncessit pour le responsable dun tablissement industriel de dfinir des exigences de scurit de plus en plus draconiennes. Cest pourquoi, la conception et la mise en oeuvre d'un Systme de Scurit doivent aujourdhui satisfaire un niveau d'exigence non seulement en termes de scurit mais aussi en termes de disponibilit.

Pour rpondre ce nouvel tat de fait, les dernires normes de scurit fonctionnelle, dapplication volontaire, proposent de nouvelles mthodes de management des risques ds la conception, en sappuyant sur des notions comme le niveau dintgrit de scurit (SIL) et en faisant largement appel aux concepts dj dvelopps par la sret de fonctionnement.

page 2

 mettez profit les nouveaux outils mthodologiques!

Quest-ce que la scurit fonctionnelle ? La scurit globale, c'est l'absence de risques inacceptables qui pourraient engendrer des blessures physiques, atteindre la sant des personnes directement ou indirectement, dgrader l'environnement ou altrer la proprit. La scurit fonctionnelle est une partie de la scurit au sens gnral, qui dpend dun systme ou dun quipement rpondant correctement aux entres de ce dernier. Les fonctions de scurit et les systmes relatifs la scurit D'une faon gnrale, les phnomnes dangereux significatifs pour un quipement et tous ses systmes de contrlecommande associs doivent tre identifis par le spcificateur ou le concepteur partir d'une analyse des phnomnes dangereux. Si une rduction des risques est ncessaire, alors la scurit fonctionnelle doit tre prise en considration d'une faon approprie dans la conception.
> La scurit fonctionnelle est juste une faon dliminer ou de rduire les phnomnes dangereux. Dautres moyens, tels que la scurit intrinsque utilise dans la conception, sont dune importance primordiale.

Comment prendre en compte la scurit fonctionnelle

Le dfi est de concevoir le systme de faon empcher des dfaillances dangereuses ou de les matriser quand elles surviennent.
> Les dfaillances dangereuses peuvent provenir des : spcifications incorrectes du systme, du matriel ou du logiciel, omissions dans les spcifications des prescriptions concernant la scurit, mcanismes de dfaillance alatoire du matriel, mcanismes de dfaillance systmatique du matriel, erreurs de logiciel, dfaillances de mode commun, erreurs humaines, influences environnementales, perturbations du systme dalimentation lectrique etc.

La scurit fonctionnelle correspond la rduction des risques un niveau infrieur ou gal au risque tolrable. On obtient gnralement cette rduction par laction cumule de plusieurs types de systmes de scurit (voir illustrations ci-dessous).
Moyen(s) externe(s) de rduction du risque Systmes E/E/EP relatifs la scurit Systmes relatifs la scurit bass sur d'autres technologies

Rduction relle du risque

ralise par tous les systmes relatifs la scurit et les dispositifs externes de rduction du risque
Niveau du risque

> Par exemple, un dispositif de protection de surchauffe, qui utilise une sonde de temprature dans les bobinages d'un moteur lectrique et coupe lalimentation du moteur avant que les bobinages ne dpassent une temprature excessive, est un exemple de la scurit fonctionnelle. Mais prvoir une isolation spcifique pour rsister des tempratures leves n'est pas un exemple de la scurit fonctionnelle (mme sil est du ressort de la scurit et peut protger contre le mme danger).

Rduction ncessaire du risque

Risque rsiduel Risque tolrable Risque brut initial

Le terme relatif la scurit est employ pour dcrire les systmes qui sont prescrits pour raliser une fonction ou des fonctions spcifiques pour sassurer que les risques sont maintenus un niveau acceptable. De telles fonctions dont la dfaillance peut entraner un accroissement immdiat du ou des risques sont, par dfinition, des fonctions de scurit.

Niveau de protection

Passif (mur, foss, ... ) Actif (soupape, disque de rupture, ...) Scurit Fonctionnelle Intervention humaine Process

Sans aucune scurit

Avec les scurits

t1

t2

t3

t4

temps

page 3

gravit

La norme CEI 61508, pour prendre en compte la scurit fonctionnelle

La norme CEI 61508 utilise une approche base sur le risque encouru afin de dterminer les prescriptions ncessaires concernant l'intgrit de scurit des systmes E/E/EP relatifs la scurit. Elle contient des exemples illustrant cette dmarche. Elle dcrit un modle de cycle de vie de scurit global servant de cadre aux activits qui sont ncessaires pour sassurer que la scurit fonctionnelle est ralise par les systmes E/E/EP relatifs la scurit. Elle couvre toutes les activits de ce cycle de vie de scurit depuis la conceptualisation initiale, en passant par l'analyse des dangers et lvaluation du risque, la dtermination des prescriptions concernant la scurit, la conception, lexploitation, la maintenance, les modifications, jusqu la mise hors service et la dpose. La norme CEI 61508 englobe les aspects alatoires (ex. dfaillance des composants) et les aspects systmatiques (ex. erreurs de conception). Elle comporte la fois les prescriptions pour empcher les dfaillances (vitant l'introduction de pannes) et les prescriptions pour le contrle des dfaillances (assurant la scurit mme lorsque les pannes sont prsentes). Enfin, elle spcifie les techniques et les mesures qui sont ncessaires pour raliser l'intgrit de scurit prescrite. Deux types de prescriptions sont ncessaires pour raliser la scurit fonctionnelle : - les prescriptions concernant la fonction de scurit (ce que ralise la fonction), - les prescriptions concernant l'intgrit de scurit (la probabilit pour qu'une fonction de scurit soit ralise d'une manire satisfaisante). Les prescriptions concernant la fonction de scurit sont drives de l'analyse des phnomnes dangereux et les prescriptions concernant lintgrit de scurit sont drives d'une valuation du risque. Plus le niveau d'intgrit de scurit est lev, plus la probabilit de dfaillance dangereuse est faible.

Deux voies de rduction des risques

Zone de risques inacceptables

Prvention Protection

Zone de risques tolrables frquence

Chaque risque est le produit dune gravit par une frquence doccurence. Pour le rduire, on cherchera diminuer la probabilit quil survienne (cest la fonction des systmes de prvention) et en attnuer les consquences (en amliorant la protection) . La norme CEI 61508 aide structurer une politique de prvention et de protection.

La norme CEI 61511 s'adresse aux concepteurs de systmes, la CEI 61508 aux concepteurs de dispositifs (produits), pour les produits incluant une SIF (Fonction instrumente de scurit). Une fonction instrumente est une fonction ralise partir de capteurs et d'actionneurs grs par un API ou un systme de commande rparti.

Des normes complmentaires

Scurit systmes Process
(continu et batch)

Scurit quipements/systmes

Machines
(process manufacturier)

Logiciels

Entranements

CEI 62061

EN ISO 13849-1
Electromcanique et lectronique Composants simples

CEI 61511

Automatismes pour machines (logiciel inclus)

CEI 61508-3

Projet CEI 61800-5-2

CEI 61508

page 4

Le SIL, une mesure de la scurit fonctionnelle

La CEI 61508 dfinit 4 niveaux de performance de scurit pour une fonction de scurit. Ceux-ci s'appellent des niveaux d'intgrit de scurit. Le niveau 1 d'intgrit de scurit (SIL1) est le niveau le plus bas tandis que le niveau 4 (SIL4) est le niveau le plus lev. La norme dtaille les prescriptions ncessaires pour rpondre aux exigences de chaque niveau d'intgrit de scurit. Ces prescriptions deviennent plus rigoureuses mesure que le niveau de SIL slve en vue dobtenir la probabilit dune dfaillance dangereuse de plus en plus faible. La CEI 62061 sest quant elle limite lutilisation des 3 premiers niveaux de SIL pour lapplication machines. Un systme E/E/EP relatif la scurit intgrera souvent plus d'une fonction de scurit. Si les prescriptions concernant l'intgrit de scurit pour ces fonctions de scurit diffrent, les prescriptions, applicables au niveau appropri le plus lev d'intgrit de scurit, s'appliqueront au systme entier E/E/EP relatif la scurit, moins qu'il y ait une indpendance suffisante dintgration entre ces fonctions.

PFHd
(pour des systmes fortement sollicits*)

Safety Integrity Level

PFDaverage
(pour des systmes faiblement sollicits*) PFHd = PFDaverage

Facteur de rduction du risque

SIL 4 SIL 3 SIL 2 SIL 1

10 -5 = 10 -9 10 -4 10 -8 10 -3 10 -7 10 -2 10 -6

10 -4 10 -8 10 -3 10 -7 10 -2 10 -6 10 -1 10 -5

10 000 100 000 --1 000 10 000 --100 1 000 --10 100 ---

* Systmes fortement sollicits (plus d'une fois par an) : PFHd = DU quivalent DU = taux de dfaillance dangereuse non dtecte par auto-test ou test de diagnostic PFHd = nombre moyen de passages l'tat dangereux sur la dure de vie du produit (exprim en h-1) Systmes faiblement sollicits (moins d'une fois par an) : PFDaverage = Probabilit moyenne de dfaillance lors d'une sollicitation PFDaverage dpend du DU , de l'architecture (redondances), de TI (priodicit du test), du MTTR et de (facteur de mode commun)

page 5

Comment dterminer un SIL ?

Cas concret propos par la norme CEI 62061
1re tape Identification des phnomnes dangereux y compris ceux rsultant d'un mauvais usage raisonnablement prvisible.

Quest-ce qui est SIL x ?

Veillez viter un abus de langage frquent: cest la fonction de scurit ralise par un produit qui est SIL x et non le produit en tant que tel. Il est plus correct de dire que le produit a une capacit de SIl x (SIL capability) sil est utilis conformment son manuel de scurit (safety manual).

N 1 2

Phnomne dangereux x

Se

Fr + +

Pr +

Av = =

Cl

2me tape Estimation du risque, conduite pour chaque phnomne dangereux en dterminant les paramtres du risque, c'est--dire la svrit des blessures ou dommages la sant (Se) et la probabilit d'apparition d'un dommage. Cette dernire est fonction de : la frquence et la dure d'exposition (Fr) la probabilit d'un vnement dangereux (Pr) la probabilit d'vitement ou de limitation d'un dommage (Av) La somme de ces trois paramtres dtermine la classe de probabilit dun dommage.

Consquences

Svrit (Se) 4 3 2 1

3-4 SIL 2

5-7 SIL 2 AM

Classe Cl 8-10 11-13 SIL 2 SIL 1 AM SIL 2 SIL 2 SIL 1 AM

14-15 SIL 3 SIL 3 SIL 2 SIL 1

Frquence et dure (Fr) <1h 5

Probabilit dvn. dangereux (Pr) Trs forte 5 Probable Possible Rare 4 3 2

Evitement (Av)

Mort, perte dun il ou dun bras Permanentes, perte des doigts Rversibles, suivi mdical Rversibles, premiers soins

> 1 h < 1 jour 5 > 1 jour < 2 sem. 4 > 2 sem. < 1 an 3 > 1 an 2

Impossible 5 Possible Probable 3 1

Ngligeable 1

AM : autres mesures

N 1 2

Phnomne dangereux x

Se 3

Fr 4

+ +

Pr 5

+ +

Av 5

= =

Cl 14

L'utilisation du tableau aboutit un niveau de SIL 3 attribu au systme de scurit destin traduire ce phnomne dangereux particulier.

page 6

Comparaison SIL / Niveau de performance

Le graphe ci-dessous permet dtablir un parallle entre la notion de SIL (selon la CEI 61508) et de niveau de performance (selon la prEN ISO 13849-1) :

MTTF, MTBF : des dfinitions prciser

MTTF Dure moyenne de fonctionnement avant dfaillance (Mean Time To Failure)
Esprance mathmatique de la dure de fonctionnement avant dfaillance

MTBF Moyenne des temps de bon fonctionnement (Mean operating Time Between Failure)
Esprance mathmatique de la dure de bon fonctionnement

MTTFd Dure moyenne de fonctionnement avant dfaillance dangereuse

MTTR Dure moyenne de panne; moyenne des temps pour la tche de rparation (Mean Time To Repair)
Esprance mathmatique de la dure de panne.

Niveau de performance prEN ISO 13849-1

10-4 10-5

SIL CEI 61508

9000

Esprance mathmatique de la dure de fonctionnement avant dfaillance dangereuse

Mise en service Premire dfaillance Remise en service

Seconde dfaillance

Remise en service

a b c d e
B nulle 1 nulle 2 faible 2 moyen 3 faible 3 moyen 4 lev

* 1 1

900

Dtection + diagnostic

Rglages + tests

10-6 10-7 10-8 Catgorie

Couverture du diagnostic

Rparation

90

2
9

Temps

3
0,9

MTTR MDT MTTF MTBF MUT MDT MUT MTBF

Probabilit de dfaillance dangereuse par heure

MTTF d = faible MTTF d = moyen MTTF d = lev

(MTTF d pour un seul canal)

Dfaillances dangereuses par anne et pour 10 000 systmes

Etat de marche
* Aucune prescription de scurit particulire

MUT Dure moyenne de disponibilit (Mean Up Time)

Esprance mathmatique de la dure de temps de disponibilit

Etat de panne

MDT Dure moyenne dindisponibilit (Mean Down Time)

Esprance mathmatique de la dure de temps dindisponibilit

page 7

Glossaire

Sources CEI 61508 et VEI 191

Pour en savoir plus

Intgrit de scurit (Safety integrity)
Probabilit pour quun systme relatif la scurit excute de manire satisfaisante les fonctions de scurit requises dans toutes les conditions spcifies et dans une priode de temps spcifi.

Scurit fonctionnelle (Functional safety)

Sous-ensemble de la scurit globale se rapportant lEquipement (EUC) et au systme de commande de lEquipement (EUC) qui dpend du fonctionnement correct des systmes E/E/PE relatifs la scurit, des systmes relatifs la scurit bass sur une autre technologie et des dispositifs externes de rduction de risque E/E/PE : Electrical and/or electronic and/or programmable electronic EUC: Equipment Under Control Matriel command

Dfaillance (Failure)
Cessation de laptitude dune entit accomplir une fonction requise

Documentations de rfrence : * CEI 61508-0

Crdits photos DigitalVision, Photodisc, Goodshoot Illustration Luximage Gimlec Promotion - Edition novembre 2004 - Tous droits rservs

Dfaillance dangereuse (Dangerous failure)

Dfaillance qui a la potentialit de mettre le systme relatif la scurit dans un tat dangereux ou dans l'impossibilit d'excuter sa fonction

Niveau dintgrit : SIL (Safety Integrity Level)

Niveau discret (parmi quatre possibles) permettant de spcifier les prescriptions concernant lintgrit de scurit des fonctions de scurit allouer aux systmes E/E/PE relatifs la scurit. Le niveau 4 dintgrit possde le plus haut degr dintgrit ; le niveau 1 possde le plus bas.

* CEI 61508-1 7 * CEI 61511-1 3 * CEI 61800-5-2 * CEI 62061 * prEN ISO 13849-1 (EN 954-1) * EN ISO 13849-2 (EN 954-2)

Dfaillance en scurit (Safe faillure)

Dfaillance qui na pas la potentialit de mettre le systme relatif la scurit dans un tat dangereux ou dans limpossibilit dexcuter sa fonction

Systme de scurit - Systme relatif la scurit (Safety-related system)

Un tel systme est un systme qui, la fois - met en uvre les fonctions de scurit requises pour atteindre un tat de scurit de lEquipement (EUC) ou pour maintenir un tel tat ; - est prvu pour atteindre, par lui mme ou grce des systmes E/E/PE relatifs la scurit, ou des systmes relatifs la scurit bass sur une autre technologie ou des dispositifs externes de rduction de risque, le niveau dintgrit de scurit ncessaire la mise en uvre des fonctions de scurit requises.

Dommage (Harm)
Blessure physique ou atteinte la sant affectant des personnes soit directement soit indirectement comme consquence un dgt caus aux biens ou lenvironnement.

Panne (Fault)
Etat dune entit inapte accomplir une fonction requise, non comprise linaptitude due la maintenance prventive ou dautres actions programmes ou due un manque de moyens extrieurs.

Risque (Risk)
Une combinaison de la probabilit dun dommage et de sa gravit.

Erreur (Error)
Ecart ou discordance entre une valeur ou une condition calcule, observe ou mesure, et la valeur ou la condition vraie, prescrite ou thoriquement correcte.

Fonction de scurit (safety function)

Fonction raliser par un systme E/E/PE relatif la scurit, par un systme relatif la scurit bas sur une autre technologie, ou par un dispositif externe de rduction de risque, prvue pour assurer ou maintenir un tat de scurit de lEquipement (EUC) par rapport un vnement dangereux spcifique (voir 3.4.1)

Risque tolrable (tolerable risk)

Risque accept dans un certain contexte et fond sur les valeurs actuelles de la socit.

Les adhrents du secteur Automatismes, contrle-commande et instrumentation du Gimlec :

ABB ACTEMIUM ALSTOM AMEC SPIE AREVA T&D ATEMATION AUTOMATISME & CONTRLE BOSCH REXROTH CEGELEC CROUZET AUTOMATISMES DANFOSS DATA SYSTEMS & SOLUTIONS DATASENSOR EMERSON PROCESS MANAGEMENT ENDRESS+HAUSER FOXBORO FUJI ELECTRIC GE FANUC

HONEYWELL IFM ELECTRONIC INEO KEB KROHNE LENZE MOELLER ELECTRIC MOTEURS LEROY-SOMER

OMRON ELECTRONICS PEPPERL+FUCHS PHOENIX CONTACT PILZ ROCKWELL AUTOMATION SCHNEIDER ELECTRIC SEW-USOCOME SICK

SIEMENS SSD DRIVES TURCK-BANNER YOKOGAWA

23 rue Galile 75116 Paris Tl./Fax 01 40 70 07 69 gimelec-promotion@gimelec-promotion.fr