Documente Academic
Documente Profesional
Documente Cultură
MMOIRE
Prsent pour lobtention du diplme de
MAGISTRE
EN HYGINE ET SCURIT INDUSTRIELLE
Bilal RABAH
Ingnieur en Hygine et Scurit Industrielle
Thme :
Fares INNAL
Prsident
M.
Rachid NAIT-SAID
Rapporteur
Co-Rapporteur
M.
Examinateur
Mourad KORICHI
2013
Remerciement
Le travail prsent dans ce mmoire a t effectue au sein de lquipe de suret de
fonctionnement du laboratoire de recherche en Prvention, Industrielle (LRPI) de linstitut
dHygine et Scurit industrielle.
Je remercie vivement Monsieur Nait-Said Rachid Professeur linstitut dhygine et
scurit industrielle davoir accepter la lourde tache de rapporteur et davoir consacrer un
temps prcieux lexamen de ce manuscrit, sa comptence, sa grande rigueur scientifique, la
qualit et la prcision de ses remarques mont permis damliorer ce manuscrit.
Je remercie tout particulirement Madame Ouzraoui Nouara, Maitre assistante A
linstitut dhygine et scurit industrielle pour son aide inestimable et son soutien morale afin
de finaliser ce mmoire.
ii
Introduction .................................................................................................................... 4
1.2
1.2.1
Notion de scurit........................................................................................................... 5
1.2.2
1.2.3
Risque ............................................................................................................................. 6
1.2.4
1.2.5
1.3
1.3.1
1.3.2
1.3.3
1.3.4
1.3.5
1.4
1.4.1
1.4.2
1.4.3
1.4.4
1.4.5
1.5
1.5.1
1.5.1.2
1.5.1.3
1.5.1.4
Chaines de Markov.................................................................................................... 22
1.5.2
1.6
1.6.1
1.6.2
1.6.3
1.6.4
1.7
Conclusion ................................................................................................................... 29
Introduction .................................................................................................................. 31
2.2
2.2.1
2.2.2
2.3
2.3.1
2.3.2
2.3.3
2.3.4
2.3.5
2.3.6
2.4.1
2.4.2
2.4.3
2.5.1
2.6
Conclusion .................................................................................................................... 56
Introduction ................................................................................................................... 58
3.2
Prsentation du processus.............................................................................................. 59
3.3
3.4
3.5
Conclusion ....................................................................................................................... 71
vi
Liste de tableaux
1.1 Les diffrents niveaux de SIL dfinis par la norme IEC 61508 ........................................ 19
1.2 Descriptions des paramtres du graphe de risque ............................................................. 25
1.3 Lgende de la classification des paramtres du graphe de risque ..................................... 26
1.4 Exemple dtalonnage du graphe de risque gnral .......................................................... 29
2.1 Description qualitative et quantitative des paramtres du graphe de risque ..................... 52
2.2 Rsultats numriques de la partition floue des intervalles du paramtre consquence .... 53
2.3 Rgles de combinaison des paramtres du risque ............................................................. 56
3.1 Dcomposition du four H 321 ........................................................................................... 61
3.2 Feuille de prsentation HAZOP ........................................................................................ 65
3.3 Description des consquences de scnarios ...................................................................... 68
3.4 Frquence des vnements initiateurs des scnarios ......................................................... 69
3.5 Comparaison des rsultats de lvaluation du SIL des scnarios ...................................... 70
vii
Acronymes
Acronymes
BPCS
CPF
DCS
Exchanger
FAL
FALL
FT
Flow Transmitter
FV
Flow Valve
Heater
HAZOP
IEC
OHSAS
PAH
PAHH
PAL
PALL
PCV
P&ID
PFD
PFH
PLC
PT
Pressure Transmitter
viii
Acronymes
RRF
SDV
Shutdown Valve
SIF
SIL
SIS
TAH
TAHH
TI
Temperature Indicator
TV
Temperature Valve
UKOOA
ix
Introduction gnrale
Introduction gnrale
Problmatique
Les exigences socitales actuelles imposent que les installations industrielles prsentent le
moins de risques possibles durant leur utilisation. Cest dans la phase de conception que lon
doit intgrer les lments ncessaires la sret de fonctionnement de ces installations. Deux
approches permettent cette diminution du risque, la prvention en minimisant la probabilit
dapparition dun risque, la protection en limitant les consquences dun dysfonctionnement.
Les moyens mettre en uvre pour rduire les risques sont nombreux et varis. Parmi les
quipements utiliss pour rduire le risque, le systme de contrle de procd connu sous le
nom BPCS (Basic Process Controller System). Ce systme est conu pour surveiller, contrler
et maintenir le process dans un tat de fonctionnement normale et sur. Cependant, la
dfaillance du BPCS peut tre lorigine dun scnario dun accident (vnement initiateur).
Des systmes darrt durgence appels Systmes Instruments de Scurit (SIS)
interviennent dans le cas ou le process se trouve dans des conditions dangereuses de
fonctionnement. Les SIS sont utiliss dans lindustrie de transformation pour raliser une ou
plusieurs fonctions instrumentes de scurit SIF. Les normes IEC 61508 [IEC61508 98] et
IEC 61511 [IEC61511 00] ont tabli les prescriptions relatives la spcification,
lexploitation et la maintenance de ces systmes.
La rduction du risque apporte par la fonction instrumente de scurit est appele
rduction ncessaire du risque. Les normes IEC 61508 et IEC 61511 dfinissent quatre
niveaux dintgrit de scurit (Safety integrity Level) pour une fonction de scurit, quatre
niveaux possibles de SIL.
dtermination pralable du SIL qui devrait tre atteint par la fonction instrumente.
L'valuation du niveau d'intgrit de scurit est dtermine par des mthodes qualitatives et
quantitatives [SAL 06b], [SAL 08].
Introduction gnrale
Parmi les mthodes qualitatives les plus utilises pour dterminer le niveau de SIL dune
SIF la mthode graphe de risque dcrit dans la partie 5 de la norme IEC 61508 [IEC 61508
98]. Quand cette mthode est adopte, un certain nombre de paramtres de simplification sont
introduits pour dcrire la nature de la situation dangereuse lorsque les systmes relatifs la
scurit sont dfaillants ou non disponibles. Un paramtre est choisi parmi quatre groupes
caractristiques du risque et les paramtres slectionns sont alors associs pour dcider du
niveau de SIL des systmes relatifs la scurit.
Bien que le graphe de risque est une mthode relativement facile appliquer et
permettant une valuation rapide des SIL, il prsente tout de mme, des insuffisances quant
linterprtation des termes linguistiques utiliss pour caractriser les paramtres C, F, P et W,
laquelle peut diffrer dun jugement lautre et dun secteur industriel lautre en raison de la
subjectivit lie la dfinition qualitative des paramtres suscits. A ceci sajoute les
dclarations fermes en termes de probabilits et taux exprimant les paramtres C, F, P, W et le
SIL ; le problme de rigidit des intervalles utiliss pour la reprsentation quantitative des
paramtres leur est imputable.
La logique floue due L.A Zadah [ZAD 65] semble offrir un cadre trs adquat pour
le traitement de lincertitude lie aux diffrents paramtres du graphe de risque
[NAI 09],
[SIM 07]. Dans ce travail, une approche du graphe de risque base de rgles floues est
propose afin dajouter des caractristiques plus puissants au graphe de risque classique.
Objectif du mmoire
Le but essentiel de ce travail est dtudier lapport de la logique floue [ZAD 65] la
dtermination des SIL par graphe de risque en prsence dinformations incompltes et/ou
incertaines, lequel sarticule autour des concepts densemble flou et de variable linguistique.
Lapproche dveloppe dans le cadre de ce travail sappuie sur un systme
dinfrence base de rgles floues, le SIL tant la sortie de ce systme. En utilisant les
oprations de la logique floue, les donnes des paramtres du graphe de risque sont introduites
dans le systme dinfrence floue pour dterminer le niveau du SIL requis.
Lapproche est valide exprimentalement sur un systme industriel oprationnel quest un
four rebouilleur
Introduction gnrale
Organisation du mmoire
Le prsent mmoire comporte principalement trois chapitres traitant les aspects thoriques
du graphe de risque flou ainsi que la partie exprimentale et la validation de ce modle par
une tude exprimentale.
Le premier chapitre concerne les principales normes de scurit fonctionnelles utilises
pour la conception des systmes de scurit. Ainsi que au dveloppement des mthodes
dvaluation de SIL en sintressant particulirement la mthode graphe du risque
conventionnel.
Dans le deuxime chapitre, nous prsenterons dabord les concepts fondamentaux de la
logique flou puis les tapes du modle graphe de risque flou
Afin de valider le modle propos, le troisime chapitre est consacr lapplication du
modle graphe de risque flou lvaluation du SIL dun SIS sur un systme industriel
oprationnel.
1
Dtermination du niveau dintgrit
de scurit SIL
1.1 Introduction
Gnralement les systmes industriels peuvent prsenter des risques pour les
personnes et l'environnement, diverses scurits doivent tre mises en uvre. Ces types de
scurit utilisent des moyens contribuant soit la prvention soit la protection pour rduire
les risques de dysfonctionnement. Les Systmes Instruments de Scurit (SIS) sont utiliss
comme moyens de scurit pour raliser des Fonctions Instrumentes de Scurit (SIF) afin
de mettre le processus dans un tat de repli de scurit si le processus se trouve dans des
conditions dangereuses de fonctionnement. La Commission Internationale d'Electronique
(CEI), ou "International Electrotechnical Commission" (IEC), a normalis les systmes de
scurit; Norme IEC 61508 en 1998 [IEC61508 98] et IEC 61511 en 2000 [IEC61511 00].
[MEC 11].
Lobjet de ce chapitre est de donner dans un premier temps une dfinition de certains
termes et concepts utiliss dans le cadre de la scurit fonctionnelle des systmes de scurit.
Par la suite, un aperu sur les principales normes de scurit utilises pour concevoir les SIS
est donn. La dfinition des SIS est dtaille. La dernire partie est consacre la description
des diffrentes mthodes utilises pour dterminer les niveaux SIL.
1.2
Concepts et dfinitions
Les industries dploient beaucoup d'efforts pour viter les accidents. Malgr ces
efforts, de nombreux accidents se produisent dans le monde et causent des dgts sur les plans
; humains et matriels. La frquence de ces accidents conduit des tudes de scurit afin de
mieux matriser les risques.
Dans les tudes de scurit, l'utilisation d'une des mthodes conventionnelles est
recommande afin d'identifier les sources ou les situations dangereuses. Une analyse
prliminaire des dangers (APD) permet de dterminer les risques qu'un systme peut
entraner.
Elle conduit une srie de mesures d'analyse de risques mises en uvre peut mener
l'installation un niveau de scurit jug acceptable par l'exploitant [MKH 08].
1.2.3 Risque
Le risque donne une mesure de la combinaison de deux facteurs qui sont la gravit
dun danger (ou sa consquence) et la frquence doccurrence. Sa rduction peut tre obtenue
par la prvention (rduction de la frquence doccurrence) ou la protection (rduction de la
gravit).
Selon [VIL 98], le risque est une mesure dun danger associant une mesure de
loccurrence dun vnement indsirable et une mesure de ses effets ou consquences.
Et selon le rfrentiel OHSAS 18001 [OHS18001 99], un risque est la combinaison de
la probabilit et de la (des) consquence(s)de la survenue.
De manire plus formelle, un risque peut tre mesur par sa criticit, qui est fonction
de sa probabilit et de sa gravit :
C = P G
Le critre de Farmer [FAR 67] permet de dfinir les notions de risque acceptables et
inacceptables (figure 1.1).
quel systme E/E/EP comportant des fonctions critiques, telles que la protection des
quipements, des biens ou de l'environnement.
Prescription
s techniques
PARTIE 1
PARTIE 5
Autres
prescripti
PARTIE 1
Dfinitions
et
abrviation
PARTIE 4
PARTIE 7
Phase de
ralisation
pour les
systmes
E/E/PE
relatif la
Phase de
ralisation
des logiciels
relatifs la
scurit
PARTIE 2
PARTIE 3
PARTIE 1
Prsentation des
techniques et
mesures
PARTIE
6
Documentati
on
Article
PARTIE5 1et
Gestion de la
scurit
fonctionnelle
article 6
PARTIE 1
Evaluation
de la scurit
fonctionnelle
article 8
PARTIE 1
PARTIE 1
Exploitation et maintenance,
modification et remise niveau,
mise hors service ou au rebut des
systmes E/E/PE relatif la scurit
Figure 1.2 Structure gnrale de la norme IEC 61508 [IEC 61508 02]
10
11
Autres Parties
Exigences
techniques
Rfrences
Article 2
PARTIE 1
PARTI,E 1
Dfinitions et
abrviations
Article 3
PARTIE 1
Conformit
PARTIE 1
Article 4
PARTIE 1
Gestion de la
scurit
fonctionnelle
article 5
PARTIE 1
Phase de
conception
pour les
systmes
instruments
de la scurit
PARTIE11
2
Article
Phase de
conception
pour les
logiciels des
systmes
instruments
de la scurit
PARTIE 3
PARTIE 1
Exigences de
cycle de vie de
scurit
Article 61
PARTIE
Vrification
Article 7
PARTIE 1
Exigences
dinformations
Article 19
PARTIE 1
PARTIE 1
Exploitation et maintenance,
modification et remise niveau, mise
hors service ou au rebut des systmes
instruments de la scurit
Diffrences
Annexe A
PARTIE 1
Directives pour
lapplication de
la partie 1
PARTIE 1
Directives pour la
dtermination
des niveaux
dintgrit de
scurit requis
PARTIE 3
. Elle est destine tre utilise par les concepteurs de machines et les
1.3.4
Elle prsente les prescriptions relatives aux systmes de contrle commande utiliss pour
accomplir les fonctions de scurit des centrales nuclaires. La conception des systmes de
contrle commande peuvent tre raliss l'aide d'une combinaison de composants
traditionnels cbls des composants informatiques. La conformit l'IEC 61513 facilite la
compatibilit avec les exigences de l'IEC 61508 telles qu'elles ont t interprtes dans
l'industrie nuclaire.
13
1.4
14
A. Capteur :
Est un quipement qui dlivre, partir d'une grandeur physique, une autre grandeur,
souvent lectrique (tension, courant, rsistance), fonction de la premire et directement
utilisable pour la mesure ou la commande [AYA05].
Cette grandeur physique peut tre la temprature, la pression, le niveau, le dbit, la
concentration d'un gaz.
B. Unit de traitement :
La fonction "traitement" peut tre plus ou moins complexe [AYA05]. Elle peut se
rsumer acqurir une grandeur mesure par un capteur et l'indiquer. Elle peut galement
consister activer la commande d'un ou plusieurs actionneurs partir d'une fonction
combinatoire des informations dlivres par diffrents capteurs. Les units de traitement
peuvent tre classes en deux catgories selon leur technologie :
Les technologies cbles, base de composants logiques lmentaires (relais), lis entre
eux lectriquement (ou de manire pneumatique).
15
C. Actionneurs :
Un actionneur peut tre (vanne, moteur, servo-moteur) transforment un signal
(lectrique ou pneumatique) en phnomne physique qui permet de commander le dmarrage
d'une pompe, la fermeture ou l'ouverture d'une vanne Selon l'nergie motrice, on parle
d'actionneur pneumatique, hydraulique ou lectrique [AYA05].
Enfin, l'unit de traitement est relie aux capteurs et aux actionneurs par des moyens
de transmission. Il peut s'agir de cbles lectriques, de lignes tlphoniques, d'ondes
hertziennes (transmission par talkie-walkie), ou de tuyauteries (transmission pneumatique
ou hydraulique).
Les capteurs, l'automate et les actionneurs sont des quipements de scurit. Un
quipement de scurit est un lment d'un SIS qui remplit une sous-fonction de scurit.
Exemples :
sont dclines dans ce qu'on appelle le cycle de vie, c'est--dire que ces normes traitent depuis
l'analyse des risques jusqu' l'exploitation des fonctions de scurit instrumentes SIF (Safety
Instrumented Functions).
Une SIF est dfinie pour obtenir un facteur de rduction du risque mise en uvre pour
un SIS. Lorsque le SIS est considr comme un systme ralisant une barrire de protection
fonctionnelle, cette barrire est considre comme une fonction de scurit [MKH 08], [CHA
02].
Une fonction instrumente de scurit est spcifie pour sassurer que les risques sont
maintenus un niveau acceptable par rapport un vnement dangereux spcifique.
Une fonction instrumente de scurit est raliser par un systme instrument de
scurit (ou par une combinaison des composantes de ce systme), par un systme relatif la
16
Pour illustrer et rendre plus claire cette dfinition, nous proposons lexemple dun
quipement utilis dans la fonction instrumente de scurit (Figure 1.7).
Cette dernire est conue pour protger un rservoir sous pression contenant un liquide
inflammable lorsquune haute pression a lieu lintrieur du rservoir, cette fonction de
scurit agira selon deux procdures :
17
PLC
PT
Liquide
ESV
1.4.4
Les systmes instruments de scurit ncessitent une source d'nergie extrieure pour
remplir leur fonction de scurit.
On retrouve tout ou partie de ces diffrents lments pour constituer des chanes de
scurit.
Plusieurs capteurs ou actionneurs peuvent tre relis une mme unit de traitement.
Les capteurs, lunit de traitement, les lments finaux sont des quipements de
scurit et ralisent des sous-fonctions de scurit. Lensemble des sous-fonctions
ralise la fonction de scurit.
Sollicitation
Demande faible
Demande leve
SIL
PFDavg
PFH
Tableau 1.1 Les diffrents niveaux de SIL dfinis par la norme IEC 61508 [IEC61508 98]
Lutilisation des niveaux SILs permet de prendre en compte les dfaillances rares mais
possibles des systmes de scurit en plus des dfaillances inhrentes au systme oprationnel
menant aux vnements dangereux identifis pendant lanalyse de risque [IEC61508 98]
[SCH 10]. Les SILs sont attribus aux fonctions de scurit sur la base de ltude des
dfaillances.
Un SIS est en mode de fonctionnement faible demande lorsque la frquence de
sollicitation est infrieure une fois par an (1/an) ou infrieure au double de la frquence des
tests priodiques auxquels il est soumis. A partir de l'architecture du SIS ralisant la SIF
faiblement sollicite, la PFDavg est value sur un intervalle [0, t].
Un SIS en mode de fonctionnement continu ou forte demande implique une forte
sollicitation du SIS. Il est considr lorsque la frquence de sollicitation est leve ou
continue, c'est--dire qu'elle est suprieure une fois par an (1/an) ou suprieure deux fois la
frquence des tests priodiques [IEC61508 98]. A partir de l'architecture du systme
instrument de scurit ralisant la fonction instrumente de scurit fortement sollicite, la
PFH est value sur un intervalle de temps [0, t] [IEC61508 98].
19
20
fonctionnement des systmes. Cette mthode est base sur l'utilisation de blocs pour
reprsenter les composants, les sous-systmes ou les fonctions. La modlisation consiste
rechercher les liens existants entre ces blocs [RAU 04]. Elle permet une analyse quantitative
qui a pour objectif en particulier de dfinir la probabilit de bon fonctionnement d'un systme.
Les calculs reposent sur les probabilits de russite des missions des lments constituants le
systme. Cette mthode est utilise dans l'valuation des performances des SIS par le calcul
de la PFDavg rsultante et la dtermination du son niveau SIL [GUO 06].
La mthode de bloc diagramme de fiabilit a ses limites d'application : il faut s'assurer
de l'indpendance entre les diffrents tats de fonctionnement, elle ne permet pas de modliser
des systmes dynamiques, sauf sous certaines conditions.
21
1.5.1.4
Chaines de Markov
Les chaines de Markov apportent une bonne formalisation de tous les tats que
peuvent prendre les systmes en fonction des vnements rencontrs (dfaillance, rparation,.
. .) et des paramtres tudis (taux de dfaillance, dfaillance de cause commune,. . .)
[ZHA 03].
Les chaines de Markov apportent une finesse de modlisation pertinente au regard du
comportement des SIS tudis notamment les SIS faiblement sollicits et priodiquement
22
1.5.2
SIL partir de la connaissance des risques associs au procd. Les mthodes les plus
utilises sont la mthode du graphe de risque [BEU 07] [SAL 07], [SIM 07] et la mthode de
la matrice de gravit des vnements dangereux [SAL 06a].
23
slectionns sont alors associs pour dcider du niveau de SIL des systmes relatifs la
scurit. Ces quatre paramtres permettent de faire une gradation significative des risques et
contiennent les facteurs cls dapprciation du risque.
24
25
Tableau 1.3
26
28
1.7 Conclusion
Dans ce chapitre nous avons dabord rappel la dfinition de certains concepts utiliss
dans le cadre de la scurit fonctionnelle des systmes de scurit. Une brve description des
normes relatives aux systmes de scurit est donne, suivie dune description des diffrentes
mthodes utilises pour dterminer le SIL dun SIS.
29
30
2
Approche floue du graphe de risque
2.1 Introduction
Le graphe de risque est parmi les mthodes les plus utilises pour dterminer le niveau de
SIL, les paramtres de ce dernier sont associs pour dcider du niveau de SIL du systme.
Les quatre paramtres permettent de faire une gradation significative du risque. Cependant,
les connaissances dont nous disposons concernant les paramtres sont gnralement
imparfaites.
Cela exige des mthodes qui permettent la modlisation et la manipulation de ces
imperfections. cet gard, plusieurs thories de reprsentation des connaissances imparfaites
ont t dveloppes : la thorie des probabilits, la thorie des ensembles flous, la thorie des
possibilits et la thorie de lvidence. [ZAD 97] [MAS 92]
Nous nous sommes fix comme objectif dans le cadre du prsent chapitre, de montrer
lintrt de la thorie des ensembles flous dans lvaluation de SIL en prsence dinformations
incertaines en proposant un modle du graphe de risque flou.
31
limperfection dans les connaissances peut tre divise en trois formes principales :
Les incertitudes qui reprsentent un doute sur la validit dune connaissance ;
Les imprcisions qui correspondent une difficult dans lnonc ou dans lobtention de la
connaissance. Ces imprcisions sont aussi appeles incertitudes du type pistmique
[HEL 04] ;
Les incompltudes qui sont des absences totales ou partielles de connaissances sur
certaines caractristiques du systme.
En anglais, nous employons souvent le terme "Uncertainty" pour dsigner les
connaissances imparfaites en gnral, alors que le terme "Imprecision" utilis pour dsigner
les connaissances imprcises est rarement cit. Ces deux formes dimperfection sont souvent
intimement mles, mais nont cependant pas prsent la mme importance dans les
proccupations scientifiques.
33
des classes aux limites mal dfinies (catgories dapprciation perue par un
observateur) ;
- des classes intermdiaires entre le tout et le rien (ex., "presque certain") ;
- le passage progressif dune classe une autre (ex., du "petit" au "grand", du "faible" au
"fort") ;
- des valeurs approximatives (ex., "autour de 13 de moyenne", "environ 5m de distance").
Dfinition
Soit U un ensemble rfrentiel et soit x un lment de U. Un ensemble A de U est dfini
par une fonction dappartenance A(x) qui prend ses valeurs dans lintervalle [0, 1]. Cette
fonction donne le degr dappartenance de x dans A. Un ensemble ordinaire est un cas
particulier de lensemble flou ( A(x) ne prend que 0 et 1). Formellement, lensemble flou A
peut scrire comme :
A = {( x, A (x )) x U }
(2.1)
Exemple
Soit apprcier le confort li la conduite dune voiture qui circule sur une autoroute. Ce
confort est vu sous langle de la vitesse variant entre 30 et 130 km/h. En termes de la thorie
des ensembles flous, la caractrisation conduite confortable peut tre dcrite par un
ensemble flou dfini sur un univers de vitesses. ces dernires seront affects des scores
selon la compatibilit avec cette caractrisation. Supposons quun conducteur cote la conduite
confortable (CC) comme suit :
Vitesse (km/h)
30
40
50
60
70
80
90
100
110
120
130
Degr de confort
0.2
0.4
0.5
0.8
0.9
0.4
0.3
0.2
Ces rsultats montrent que les vitesses faibles ( 60 km/h) et les vitesses leves ( 80
km/h) sont dsagrables et confrent
correspond une conduite hautement confortable. Les valeurs des diffrents degrs de confort
sont en fait les valeurs de la fonction dappartenance cc(v) de lensemble flou CC (Figure
2.1)
34
Degr de confort
0,8
0,6
0,4
0,2
0
30 40 50 60 70 80 90 100 110 120 130
Vitesse (km /h)
montrent quel point il diffre dun ensemble classique de U. Citons les caractristiques
suivantes :
Support dun ensemble flou : le support dun ensemble flou, not supp(A), est
sup p ( A) = {x U / f A ( x ) 0}.
(2.2)
Hauteur dun ensemble flou : la hauteur, note h (A), dun ensemble flou est le plus
fort degr avec lequel un lment de U appartient A, c'est--dire la plus grande
valeur prise par sa fonction dappartenance.
h( A) = sup xX f A (x ).
(2.3)
Noyau dun ensemble flou : le noyau de lensemble flou normalis A, not noy(A), est
lensemble des lments de U pour lesquels la fonction dappartenance de A vaut 1.
noy ( A) = {x U / f A ( x ) = 1}.
(2.4)
35
h(A)=1
x
noyau
support
de
fonctions
dappartenance
scinde
en
deux
groupes :
les
fonctions
36
i)
(x)
m1
ii)
m2
(x)
1
iii)
dappartenance :
i) Triangulaire ;
ii) Trapzodale ;
iii) Gaussienne.
( x a ) ; a x m,
(m a )
= 1; x = m,
b x
=
; m < x b.
bm
( x a) ; a x < m ,
1
(m1 a)
= 1; m1 x m2 ,
=
(2.5)
(2.6)
bx
; m2 < x b.
b m2
(2.7)
37
(x )
B (x )
(2.8)
x U
(2.9)
x U
ou
(2.10)
AI B
(x ) =
min
( A ( x ), B (x ))
(2.11)
x U
AU B
(x ) =
max ( A ( x ), B ( x ))
(2.12)
Toutes ces oprations sont des extensions des oprations ensemblistes usuelles avec
lesquelles elles concident si les ensembles considrs sont des ensembles usuels. Les
extensions de ces oprations aux ensembles flous ne sont pas uniques [KAU 77].
La figure 2.4 illustre les oprations dintersection, de runion et de complmentation.
38
A(u )
A( u )
a)
B( u )
A( u )
b)
U
A B ( u )
c)
d)
AB ( u )
Figure 2.4
Lalgbre des ensembles flous est la mme que celle des ensembles ordinaires, sauf que le
tiers-exclu nest plus vrifi. En effet, on y retrouve les oprations suivantes :
a) Commutativit :
b) Associativit :
c) Distributivit :
AI B = B I A
AU B = B U A
(2.13)
A I (B I C ) = ( A I B ) I C
A U (B U C ) = ( A U B ) U C
(2.14)
A I (B U C ) = ( A I B ) U ( A I C )
A U (B I C ) = ( A U B ) I ( A U C )
(2.15)
d) Involution :
A= A
(2.16)
e) Lois de De Morgan :
AI B = AU B
AU B = AI B
(2.17)
39
Le tiers-exclu ntant pas vrifi par les ensembles flous (Fig. II.5) :
A I A
A U A 1U
(2.18)
AA (X)
A
linguistique et peuvent tre vus comme rsumant les diffrentes catgories dlments dun
univers de discours (i.e., lensemble rfrentiel). Dune manire gnrale, une variable
linguistique est caractrise par un 5-uplet (L, T(L), Gr, Mr) o :
Gr est une rgle syntaxique, gnralement de la forme dune grammaire, utilise pour
gnrer les noms des valeurs de L ;
Mr est une rgle smantique qui associe chaque nom un sens Mr(X) qui est un ensemble
flou de U.
Exemple
Reprenons lexemple de la sous-section 2.3.1 et supposons que le confort est une variable
linguistique L. Il en ressort que
40
moyennant le concept de variable linguistique et les rgles floues grce au concept densemble flou et
aux techniques dinfrence floue.
Les systmes dinfrence floue ont fait preuve de nombreuses applications et dans plusieurs
domaines tels que le contrle automatique, le traitement de donnes, lanalyse de dcision, les
systmes experts, et les tudes de scurit [NAI 09].
Parmi ces systmes dinfrence, celui propos par Mamdani et Assilian [MAM 75] est le plus
rencontr dans la rsolution des problmes base de rgles floues. Base sur une technique simple
utilisant linfrence max-min, la mthode de Mamdani a t introduite avec succs dans plusieurs
champs dapplication allant des processus de contrle jusquau diagnostic mdical.
La mthodologie gnrale des Systmes dInfrence Floue est donne par la figure 2.7.
41
Figure 2.7
ENTREES
SORTIE
Fuzzification
Dfuzzification
Infrence floue
Sortie floue
(2.19)
O les Xj , (j=1, ,m) et Y sont des variables linguistiques dfinies respectivement sur les
univers U =U1x xUm et V. Les ensembles flous Aij sont des lments de la partition
linguistique Tj de Uj (univers de la variable Xj).
Pour un vecteur ordinaire dentre u0 = (u10,,um0), la valeur de la sortie est dtermine
suivant les trois tapes suivantes :
Fuzzification
La fuzzification est lopration qui consiste convertir une donne dentre ordinaire uj0 en sa
reprsentation symbolique, c'est--dire lensemble flou Aij* utilisant la partition floue Tj de Uj,
par calcul du degr dappartenance Aij (uj0) de uj0 pour chaque Aij. Ensuite le degr i = min
Aij (uj0) est calcul pour chaque rgle Ri.
Infrence floue
Le moteur dinfrence transforme les ensembles flous dentre (issus de lopration de
fuzzification) en des ensembles flous de sortie en utilisant la base de rgles linguistiques et les
oprations dimplication floue.
42
La sortie floue est obtenue par la mthode dinfrence max-min selon les sous-tapes
suivantes :
(i) Reprage du niveau dactivation de chaque rgle : La valeur de vrit attribue
l"antcdent" (prmisse) de chaque rgle Ri est calcule puis applique la partie
"conclusion" de cette rgle. Le calcul se fait comme suit :
i = min A (u 0j )
(2.20)
ij
(ii) Infrencement : Dans ltape dinfrence, la sortie Bi de chaque rgle Ri est calcule laide de
B I' = i B i
uB' (v ) = min i , B (v )
i
(2.21)
(iii) Agrgation : Pour obtenir la sortie globale du systme, les sorties propres chaque rgle sont
'
union. Ainsi, B = U i B i = U i B i ,
'
avec
la
fonction
dappartenance :
(2.22)
Dfuzzification
Ltape de dfuzzification permet de transformer la sortie floue en une valeur numrique vo
reprsentative de Y dans B. Diffrents algorithmes de dfuzzification ont t dvelopps et il
ny a pas un algorithme meilleur pour toutes les applications, cependant, la mthode de la
moyenne des maximums et la mthode du centre de gravit sont le plus frquemment
utilises. Selon cette dernire, la valeur reprsentative est donne par :
v0 =
vV
v V
(v ) v dv
B (v ) dv
B
'
(2.23)
'
43
Entre
Intervalles
floues
Ensembles
flous de sortie
et fonctions
dappartenanc
e
Rgles issues
de graphe de risque
Consquence floue
Consquence
Occupation
Occupation floue
Probabilit dvitement
Fuzzification
Taux de demande
Figure 2.8
Infrence
floue
SIL flou
Valeur unique
Dfuzzification
RRF (1/PFD)
(2.24) et
E (Q ) = E * (Q ), E * (Q ) ,
(2.24)
E (Q ) = inf E (Q ) = udF (u ),
E (Q ) = sup E (Q ) = udF (u ).
(2.25)
E (Q ) = q+ +
,
.
(2.26)
(2.27)
46
uQ
1
u
0
s-
E*(Q
)
q-
q+
Figure 2.9
E (Q)
s+
Comme pour les valeurs moyennes, E* et E* sont donnes par les bornes des intervalles
ordinaires ; et sont calculs selon la mthode suivante : Premirement, on calcule la valeur
moyenne, m, de lintervalle [E*,E*] puis les bornes q- et q+ du noyau en utilisant
respectivement, la valeur moyenne des subdivisions [E*,m] et [m,E*]. Selon que lunivers de
lchelle soit, ou non, linaire, la moyenne arithmtique, comme la moyenne gomtrique,
sont utilises la fois pour obtenir m, q- et q+.
La figure 2.9 illustre la transformation dun intervalle ordinaire en un intervalle flou sur
une chelle linaire. A titre dexemple, ltalement et la borne infrieure s- de Q sont
dtermins par :
E + m
E
2
= 2 (q E ) = 2
= m E =
E + E
E
2
(2.28)
E E
,
2
s = q .
=
Les ensembles flous extrmes contenus dans la partition linguistique sont gnrs de la
transformation tout en supposant des talements infinis, c'est--dire en prenant =-, Qeg
(u)=1 pour u q- et =+, Qed (u)=1 pour u q+ (eg et ed dnotent respectivement,
lextrme gauche et lextrme droite).
En outre, transformer une partition ordinaire (discrte) irrgulire en une partition floue,
peut entraner des valeurs non significatives des termes linguistiques (problme de
47
2.4.5
2.4 .5.1
50
Point de
dpart
Marginale
Impossible
Impossible
Critique
Catastrophique
- = Pas dexigence de scurit
a = Pas dexigences particulires de scurit
NR = Non recommand
1, 2, 3, 4 = Niveau dIntgrit de Scurit
Figure 2.10
51
Description qualitative
Mineur
Description quantitative
Pas de mort
Marginal
[10-2,10-1]
Critique
[10-1,1]
Consquence (C)
Catastrophique
>1
Rare
Frquent
10% de temps
Possible
90% probabilit
danger
Occupation (F)
dvitement
de
Impossible
Trs faible
Faible
Elev
dans le graphe de risque comme pas de mort est attribu lintervalle discret [10-9,10-7] qui
reprsente convenablement un vnement improbable. Cet intervalle est transform en un
intervalle flou avec lomission de partie ngative.
2.5.1.2 0ccupation : deux ensembles flous savoir Rare et Frquente ont t dfinis sur une
chelle linaire allant de 0% 100%. Comme le prcdent paramtre la partie ngative du
premier u limite infrieur ensemble Rare est retire et la borne suprieure de son noyau a servi
lde imite
videmment ouverte
52
E*
q-
q+
S-
S -*
S+
S +*
Mineur
1,00E-09
1,00E-07
1,00E-08
3,16E-09
3,16E-08
-1,16E-09
1,00E-09
1,68E-07
Marginal
0,01
0,1
3,16E-02
1,78E-02
5,62E-02
2,22E-03
1,44E-01
Critique
0,1
3,16E-01
1,78E-01
5,62E-01
2,22E-02
1,44E+00
Catastrophique
10
3,16E+00
1,78E+00
5,62E+00
2,22E-01
1,44E+01
1,00E+01
Symboles
Consquence
Tableau 2.2 Rsultats numriques de la partition floue des intervalles du paramtre consquence
Mineure
Marginale CritiqueCatastrophique
Figure 2.11
53
Occupation
Figure 2.12
Probabilit dvitement
Figure 2.13
Trs faible
Faible
Elev
54
Consquence
Occupation
Probabilit
d'vitement
Taux de
demande
SIL
Mineur
Nant
Nant
Eleve
Mineur
Nant
Nant
Faible
Mineur
Nant
Nant
Trs faible
Marginale
Rare
Possible
Eleve
Marginale
Rare
Possible
Faible
Marginale
Rare
Possible
Trs faible
Marginale
Rare
Impossible
Eleve
Marginale
Rare
Impossible
Faible
Marginale
Rare
Impossible
Trs faible
10
Marginale
Frquent
Possible
Eleve
11
Marginale
Frquent
Possible
Faible
12
Marginale
Frquent
Possible
Trs faible
13
Marginale
Frquent
Impossible
Eleve
14
Marginale
Frquent
Impossible
Faible
55
Marginale
Frquent
Impossible
Trs faible
16
Critique
Rare
Nant
Eleve
17
Critique
Rare
Nant
Faible
18
Critique
Rare
Nant
Trs faible
19
Critique
Frquent
Nant
Eleve
20
Critique
Frquent
Nant
Faible
21
Critique
Frquent
Nant
Trs faible
22
Catastrophique
Nant
Nant
Eleve
NR
23
Catastrophique
Nant
Nant
Faible
24
Catastrophique
Nant
Nant
Trs faible
RRF
Consquence
Figure 2.16
Probabilit dvitement
2.6 Conclusion
Dans ce chapitre, nous avons propos une approche floue dvaluation de SIL par graphe
de risque, en loccurrence, le graphe de risque flou que nous estimons prometteuse et capable
de reprsenter et traiter, avec souplesse, la connaissance relative
graphe de risque
conventionnel.
56
57
3
Application un four rebouilleur
3.1 Introduction
Dans lindustrie ptrolire, le process prsente des risques majeurs et ncessitent des
moyens de scurit sophistiqus pour la maitrise de ces risques. Parmi ces moyens BPCS,
SIS. Cependant, avant limplmentation de ces systmes la dtermination de leurs niveaux de
SIL est exige. Dans ce contexte, lutilisation du graphe de risque conventionnel prsente
des inconvnients concernant la qualit des chelles des paramtres du graphe. En plus, les
donnes ncessaires lvaluation du SIL en fonction des C, F, P et W sont entaches
dimprcision et dincertitude. Ce qui conduit laffectation de la qualit de lvaluation en
donnant des rsultats imprcis sur le niveau de SIL requis, ce qui peut ramener lentreprise
dcider des mesures de scurit non appropries la gestion du risque rsiduel.
Lobjet de ce chapitre est lapplication, dans un premier temps du graphe de risque
conventionnel sur un systme oprationnel, savoir Four H321 de lassociation
Sonatrach/BP/Statoil. Le modle graphe de risque flou propos sera galement appliqu au
mme systme dans le but de comparer les rsultats des deux applications et montrer lintrt
de lapproche floue dans la rduction de lincertitude.
58
Huile Te=240C
06E322ABC
H 321
Fuel gaz
Train 1
TS=285C
Train 2
Train 3
Figure 3.1
Dans le CPF, lhuile des changeurs 06E322ABC passe travers les pompes, dans le
four 240C. Le fluide sortant porter 285C est renvoy vers les changeurs 06E322ABC
comme reflux chaud pour un change thermique entre ce fluide (lhuile) et le condensat
passant dans la partie tubulaire des changeurs. (Voir figure 3.1).
Le four H321 est de type cylindrique vertical compos de deux zones :
Dune zone de radiation (chambre de combustion) intrieurement garnie par un matriau
rfractaire isolant. Dans cette chambre se trouvent des tubes exposs la flamme et
recevant par rayonnement la chaleur dgage des produits en combustion ;
59
Chemine
Zone de
convection
Zone de
radiation
Brleur
Fig. 3.2
60
Sous-systmes
quipements
Composants
C111 : Vanne FV 3202
[rgulation de pression de fuel
gaz en fonction de la
temprature de liquide]
SS1 : circuit
[Raliser la combustion de
dalimentation
fuel gaz]
[Alimentation du
four rebouilleur]
61
Sous-systmes
quipements
Composants
C211 : DCS (SOLVER)
[Adaptation du dbit de
liquide lentre de four par
lentre du four]
[Mesure le dbit du liquide
lentre de four]
SS2 : de contrle
[contrle des
paramtres du
[Adaptation de temprature de
procd]
[Mesure la temprature du
du four]
62
Sous-systme
Equipement
Composant
lhuile chauff]
[Faire alerter
loprateur par un
lentre du four]
signal audio-visuel]
[Mesure la temprature du
liquide la sortie du four/
Mesure le dbit du liquide
lentre de four/ mesure la
pression de fuel gaz]
C312 : DCS
[Adaptation de la mesure de
temprature, dbit et pression
une alarme audio-visuelle]
C411 : Thermocouple TI/
SS4 : darrt
durgence
[Mettre le four a
ltat darrt]
de pression PT
du lhuile chauff]
C413 : PLC
[[Assurer les missions de mise en
scurit du four par action sur les
vannes SDV 3210/ 3211]
63
64
Motguide
lment
Dviation
Causes possibles
La vanne FV 3200
ferme
NE
PAS
FAIRE/
MOIN
S
Dbit
dhuile
Pas/ Moins
de dbit
Mauvaise
manipulation sur
lune des vannes
manuelles lentre
de H-321 (ferme)
INTENTION DE
CONCEPTION :
Consquences
Protections
Commentaires
Mesures
prendre
Responsable
des mesures
- Oprateurs
- FAL : alarme
- Arrt durgence de H-321
- FAL alarme
-Arrt durgence de H-321
- Oprateurs
Motguide
lment
Dviation
Causes possibles
La vanne PCV
3211 ferme
NE
PAS
FAIRE/
MOIN
S
Dbit de gaz
combustible
Pas/ Moins
de dbit
Consquences
Protections
Commentaires
Mesures
prendre
Responsable
des mesures
- PAL : alarme
- Arrt durgence de H-321
- PAL : alarme
La vanne FV 3200
ferme
66
Motguide
PLUS
lment
Dbit de gaz
combustible
Dviation
Causes possibles
Consquences
La vanne PCV
3211 ouverte
La vanne FV 3200
ouverte
Plus de
dbit
Protections
Commentaires
Mesures
prendre
Responsable
des mesures
- PAH : alarme
- Arrt durgence de H-321
- PAH : alarme
- Arrt durgence de H-321
67
Consquence
Extinction de la flamme et
son rapparition peut
provoquer une explosion
Endommagement du
serpentin (Incendie)
Description
68
Evnement initiateur
Frquence
Rf
la 1/10 an
-Dfaillance de
vanne PCV 3202
la 1/10 an
-Dfaillance de
vanne FV 3200
la 1/10 an
69
Sortie (SIL)
Graphe de risque
conventionnel
[0,1- 1]
[0-25]
41
0,2
SIL 3
SIL2- 0,8/SIL3-0.4
SIL1- 0,7/SIL2-0.5
Faible dbit de
lhuile
SIL 2
[0,01-0,1]
[0-25]
41
0,1
La comparaison des rsultats des deux approches dvaluation du SIL montre une
diffrence comme montr sur le tableau prcdent.
Nous constatons que le SIL dtermin par graphe de risque flou est caractris par une
appartenance progressive plus dun niveau.
Dans le cas du premier scnario, le SIL appartient aux niveaux 2 et 3 avec des degrs
dappartenance respectivement 0 .8 et 0.4. De mme, pour le scnario 2, le SIL appartient
galement deux niveaux 1 et 2 avec des degrs dappartenance respectivement 0 .7 et 0.5.
Cette comparaison montre quil ya surestimation du SIL dans le cas des deux
scnarios malgr que cette surestimation conduit un rsultat conservative menant la
conception dune intgrit de la scurit suffisante, elle conduit galement des couts
dinstallation du SIS et dentretien plus levs.
3.6 Conclusion
Lobjet de ce chapitre est lapplication du modle graphe de risque floue propos sur un
systme oprationnel four rebouilleur H 321 et la comparaison des rsultats ceux obtenus
par le graphe de risque conventionnel.
Une application un systme oprationnel a servi de support la validation du modle
propos.
Le modle graphe de risque flou propos a des avantages suivants
Il prserve les quatre paramtres utiliss de graphe conventionnel
Les chelles avec valeurs linguistiques sont utilises pour valuer les paramtres de
risque et ltalonnage du modle peut tre fait en faisant varier les valeurs de paramtres
du graphe.
71
Conclusion gnrale
Conclusion gnrale
Bien que les graphes de risque conventionnels sont faciles et simples mettre en uvre, ils
peuvent conduire des rsultats incohrents qui peut entrainer une surestimation ou sousestimation du SIL. En effet lutilisation des paramtres dcrits qualitativement peut conduire
des fausses interprtations. Dautre part, ltalonnage des paramtres du graphe de risque
laide des intervalles discrets viole la transition progressive entre les intervalles.
Travail ralis
Notre travail a la prtention davoir abord le problme de dtermination du SIL par la
mthode graphe de risque et davoir tent de dvelopper et valider le modle flou propos.
Les concepts densemble flou, de variable linguistique et de rgle floue issus de cette logique
nous ont permis de prendre en compte :
Le problme de reprsentation des donnes relatives aux paramtres du graphe (C,F,P et
W). En effet, les chelles floues ont la capacit de dcrire la continuit des catgories avec
une transition progressive de lune lautre ;
Le problme de caractrisation du SIL : Un indice du SIL pouvant appartenir plus dune
catgorie avec des degrs dappartenances diffrents.
Le modle du graphe de risque flou propos est bas sur un systme dinfrence base de
rgles floues appliqu lvaluation du SIL. Le graphe de risque flou
constitue un
72
Conclusion gnrale
Les rsultats de ltude de SIL inhrents un systme four rebouilleur montrent que le
modle flou dvelopp offre la possibilit de prserver linformation figurant sur le graphe
conventionnel mais avec lopportunit de pouvoir manipuler et traiter les donnes incertaines
et imprcises relatives au systme, quelles soient qualitatives ou quantitatives.
Le modle flou propos prsente un avantage trs clair par rapport graphe de risque
conventionnel, celui de permettre une prise de dcision sur la base dun niveau du SIL prcis
et par consquent, de mener bien une dmarche de rduction des risques dans le cadre dun
investissement rationnel.
73
Bibliographie
Bibliographie
[BAU 05]
[BEU 06]
[BEU 07]
Beugin, J., Renaux, D., and Cauffriez, L. (2007). A sil quantification approach
based on an operating situation model for safety evaluation in complex guided
transportation systems. Reliability Engineering and System Safety, 92
:16861700.
[BOU 95]
[DEA 99]
S.Dean, IEC 61508-Assessing the Hazard and Risk, Sauf consulting Ltd, 1999.
[DEM 67]
[DES 03]
Desroches, A., Leroy, A., and Valle, F. (2003). La gestion des risques :
principes et pratiques, volume 1. Lavoisier, France.
[DUB 88]
[DUB 94]
[EN50126
99]
[EN50128
01]
74
Bibliographie
[EN50129
98]
[EXI]
[FAR 67]
[GUL 04]
[GUO 06]
Guo, H. and Yang, X, A simple reliability block diagram method for safety
integrity verification. Reliability Engineering and System Safety, 92 :12671273,
2006.
[ICS 06]
[IEC61508
98]
[IEC61511
00]
[INN 08]
[JK 04]
[MAS 92]
[MAZ 08]
[MEC 11]
[MKH 08]
[NAI 09]
[OHS 99]
[ORM 04]
75
Bibliographie
[RAU 93]
Rauzy, A, New algorithms for fault trees analysis. Reliability Engineering &
System Safety, 59(5) :203-211, 1993.
[RAU 04]
[RAU 06]
Rauzy, A., Dutuit, Y., and Signoret, J.-P, Assessment of safety integrity levels
with fault trees. In ESREL Estoril, Portugal, 2006.
[SAL 06a]
Sallak, M., Simon, C., and Aubry, J.-F, Aide la dcision dans la rduction de
lincertitude des sil : une approche floue/possibiliste. e-STA, Revue des
Sciences et Technologies de lAutomatique, 2006.
[SAL 06b]
Sallak, M., Simon, C., and Aubry., J.-F, Evaluating safety integrity level in
presence of uncertainty. In In KONBiN, The 4th International Conference on
Safety and Reliability, Krakow, Poland, 2006.
[SAL 07]
[SAL 08]
Sallak, M., Simon, C., and Aubry, J.-F, A fuzzy probabilistic approach for
determining safety integrity level. IEEE Transactions on Fuzzy Systems, 16(1)
:239-248, 2008.
[SCH 10]
[SHA 05]
[SIG 04]
[SIG 06]
[SIG 07]
Signoret, J.-P., Dutuit, Y., and Rauzy, A, High integrity protection systems
(hips) : Methods and tools for efficient safety integrity levels (sil) analysis and
calculations. In Risk, Reliability and Societal Safety Aven and Vinnem (eds),
2007.
[SIM 07]
Simon, C., Sallak, M., and Aubry., J.-F, SIL allocation of sis by aggregation of
experts opinions. In ESREL, Safety and Reliability Conference, Stavanger,
Norvge, 2007.
[SMI O4]
[VIL 87]
76
Bibliographie
[VIL 98]
[ZAD 65]
L. Zadeh, Fuzzy sets , Information and Control, vol. 8, pp. 338353, 1965.
[ZAD 75]
[ZAD 78]
L. Zadeh, Fuzzy sets as a basis for a theory of possibility , Fuzzy Sets and
Systems, vol. 1, pp. 328, 1978.
[ZAD 92]
[ZHA 03]
Zhang, T., Long, W., and Sato, Y ,Availability of systems with self- diagnostic
components-applying markov model to iec 61508-6. Reliability Engineering
Systems Safety, 80 :133141, 2003.
77