Sunteți pe pagina 1din 87

Rpublique Algrienne Dmocratique et Populaire

Ministre de lEnseignement Suprieur et de la Recherche Scientifique


Universit El-Hadj Lakhdar - Batna
Institut dHygine et Scurit Industrielle
Laboratoire de Recherche en Prvention Industrielle (LRPI)

MMOIRE
Prsent pour lobtention du diplme de

MAGISTRE
EN HYGINE ET SCURIT INDUSTRIELLE

Option : Gestion du Risque


Par

Bilal RABAH
Ingnieur en Hygine et Scurit Industrielle

Thme :

Etude de limplmentation des Systmes Instruments de


Scurit par des mthodes semi-quantitatives dans un
environnement de connaissances imparfaites
Soutenu le 26 Dcembre 2013 devant le jury dexamen :
M.

Fares INNAL

Matre de Confrences A lUniv. de Batna

Prsident

M.

Rachid NAIT-SAID

Professeur lUniv. de Batna

Rapporteur

Mme Nouara OUAZRAOUI

Matre Assisstante A lUniv. de Batna

Co-Rapporteur

M.

Matre de Confrences A lUniv. de Ouargla

Examinateur

Mourad KORICHI

2013

Remerciement
Le travail prsent dans ce mmoire a t effectue au sein de lquipe de suret de
fonctionnement du laboratoire de recherche en Prvention, Industrielle (LRPI) de linstitut
dHygine et Scurit industrielle.
Je remercie vivement Monsieur Nait-Said Rachid Professeur linstitut dhygine et
scurit industrielle davoir accepter la lourde tache de rapporteur et davoir consacrer un
temps prcieux lexamen de ce manuscrit, sa comptence, sa grande rigueur scientifique, la
qualit et la prcision de ses remarques mont permis damliorer ce manuscrit.
Je remercie tout particulirement Madame Ouzraoui Nouara, Maitre assistante A
linstitut dhygine et scurit industrielle pour son aide inestimable et son soutien morale afin
de finaliser ce mmoire.

Je ddie ce mmoire mes parents et toute la famille

ii

Table des matires

Table des matires


Liste des figures ....................................................................................................................... vi
Liste des tableaux ................................................................................................................... vii
Acronymes .............................................................................................................................. viii
Introduction gnrale ............................................................................................................... 1
Chapitre 1 Dtermination du niveau dintgrit de scurit SIL
1.1

Introduction .................................................................................................................... 4

1.2

Concepts et dfinitions ................................................................................................... 5

1.2.1

Notion de scurit........................................................................................................... 5

1.2.2

Notion de danger ............................................................................................................ 5

1.2.3

Risque ............................................................................................................................. 6

1.2.4

Scurit fonctionnelle ..................................................................................................... 7

1.2.5

Systme E/E/EP relatifs aux applications de scurit .................................................... 7

1.3

Normes relatives aux systmes instrumentes de scurit ............................................... 8

1.3.1

Norme IEC 61508 et ses normes filles ........................................................................... 8

1.3.2

La norme IEC 61511 .................................................................................................... 11

1.3.3

La norme IEC 62061 .................................................................................................... 13

1.3.4

La norme IEC 61513 .................................................................................................... 13

1.3.5

La norme EN 50126 .................................................................................................... 13

1.4

Systmes instruments de scurit ............................................................................... 14

1.4.1

Dfinition dun SIS ..................................................................................................... 14

1.4.2

Constitution d'un SIS .................................................................................................... 14

1.4.3

Fonction instrumente de scurit SIF ......................................................................... 16

1.4.4

Proprits dun SIS ...................................................................................................... 18

1.4.5

Niveau d'intgrit de scurit (SIL) ............................................................................. 18

1.5

Dtermination des niveaux de SIL requis .................................................................... 20

1.5.1

Les mthodes quantitatives .......................................................................................... 20


iii

Table des matires


1.5.1.1

Les quations simplifies .......................................................................................... 21

1.5.1.2

Blocs diagramme de fiabilit..................................................................................... 21

1.5.1.3

Arbres de dfaillance ................................................................................................. 22

1.5.1.4

Chaines de Markov.................................................................................................... 22

1.5.2

Les mthodes qualitatives ......................................................................................... 23

1.6

Mthode du graphe de risque .................................................................................... 24

1.6.1

Synthse du graphe de risque .................................................................................... 25

1.6.2

Mise en uvre du graphe de risque ............................................................................ 26

1.6.3

Etalonnage du graphe de risque ................................................................................. 27

1.6.4

Exemple d'talonnage fond sur des critres types .................................................... 28

1.7

Conclusion ................................................................................................................... 29

Chapitre 2 Approche flou du graphe du graphe de risque


2.1

Introduction .................................................................................................................. 31

2.2

Reprsentation des connaissances imparfaites ............................................................. 32

2.2.1

Formes dimperfection des connaissances ................................................................... 32

2.2.2

Esquisse des thories de reprsentation des connaissances imparfaites ...................... 32

2.3

Thorie des ensembles flous ........................................................................................ 33

2.3.1

Notion densemble flou ................................................................................................ 33

2.3.2

Proprits dun ensemble flou ...................................................................................... 35

2.3.3

Fonctions dappartenance ............................................................................................. 36

2.3.4

Oprations sur les ensembles flous .............................................................................. 38

2.3.5

Notion de variable linguistique .................................................................................... 40

2.3.6

Systme dinfrence de Mamdani ................................................................................ 41

2.3.6.1 A propos des systmes dinfrence ............................................................................ 41


2.3.6.2 Mthodologie du systme dinfrence de Mamdani .................................................. 42
2.4

Graphe de risque flou propos ..................................................................................... 44

2.4.1

Structure du graphe de risque flou ............................................................................... 44

2.4.2

Variables dentre et de sortie ...................................................................................... 45

2.4.3

Partition floue des variables dentre et de sortie......................................................... 45

2.4 .4 Dveloppement des chelles floues ............................................................................... 46


2.4.5 Construction de la base de rgles floues ....................................................................... 48
2.4 .5.1 Intrt des rgles floues dans lanalyse de SIL ......................................................... 48
iv

Table des matires


2.4.5.2 Drivation des rgles .................................................................................................. 48
2.4.5.3 Exploitation de la base de rgles floues ..................................................................... 49
2.5

Dtermination du SIL par graphe de risque flou ......................................................... 51

2.5.1

tablissement des chelles floues................................................................................ 52

2.5.1.1 Consquence ............................................................................................................... 52


2.5.1.2 0ccupation .................................................................................................................. 52
2.5.1.3 Probabilit dvitement .............................................................................................. 53
2.5.1.4 Taux de demande......................................................................................................... 53
2.5.2

tablissement des rgles floues ................................................................................... 55

2.6

Conclusion .................................................................................................................... 56

Chapitre 3 Application un four rebouilleur


3.1

Introduction ................................................................................................................... 58

3.2

Prsentation du processus.............................................................................................. 59

3.3

Analyse structurelle et fonctionnelle du systme four rebouilleur ................................. 60

3.4

Identification des scnarios daccidents ......................................................................... 64

3.5

Dtermination du SIL des scnarios............................................................................... 68

3.5.1 Dtermination des paramtres C, P, F et W ................................................................... 68


3.5.1.1 Consquence................................................................................................................. 68
3.5.1.2 Taux de demande......................................................................................................... 68
3.5.2 Fuzzification des donnes de scnarios .......................................................................... 69
3.5.3 Rsultats obtenues ........................................................................................................... 70
3.6

Conclusion ....................................................................................................................... 71

Conclusion gnrale ............................................................................................................... 72


Bibliographie........................................................................................................................... 74

Liste des figures

Liste des figures


1.1 Courbe de Farmer ................................................................................................................ 7
1.2 Structure gnrale de la norme IEC 61508 ....................................................................... 10
1.3 Norme CEI 61508 et normes drives .............................................................................. 11
1.4 Structure gnrale de la norme IEC61511 ....................................................................... 12
1.5 Schma dun SIS ............................................................................................................... 15
1.6 Fonction instrumente de scurit ..................................................................................... 17
1.7 Exemple de fonction instrument de scurit ................................................................... 18
1.8 Matrice de risque ............................................................................................................... 24
1.9 Schma gnral de graphe de risque ................................................................................ 26
2.1 Lensemble flou conduite confortable ......................................................................... 35
2.2 Support, Hauteur et Noyau dun ensemble flou ................................................................ 36
2.3 Prsentation de quelques fonctions dappartenance ......................................................... 37
2.4 Illustration de quelques oprations sur les ensembles flous .............................................. 39
2.5 Illustration de la proprit du tiers-exclu .......................................................................... 40
2.6 Reprsentation de la variable linguistique confort ...................................................... 41
2.7 Organigramme du Systme dInfrence Floue.................................................................. 42
2.8 Procdure globale dvaluation de SIL base de rgles floues ........................................ 44
2.9 Transformation dun intervalle ordinaire en un intervalle flou ......................................... 47
2.10 Graphe de risque avec description qualitative des paramtres ........................................ 51
2.11 Fonction dappartenance gnre pour la consquence .................................................. 53
2.12 Fonction dappartenance gnre pour loccupation....................................................... 54
2.13 Fonction dappartenance gnre pour la probabilit dvitement ................................. 54
2.14 Fonction dappartenance gnre pour le taux de demande............................................ 54
2.15 Fonction dappartenance gnre pour SIL..................................................................... 55
2.16 Surface floue de SIL ........................................................................................................ 56
3.1 Schma du circuit dhuile chaude ..................................................................................... 59
3.2 Architecture du four rebouilleur H321 .............................................................................. 60
3.3 Processus dinfrence de la probabilit dvitement floue............................................... 69
3.4 Processus dinfrence des rgles flous : cas Sc1 ............................................................... 70

vi

Liste de tableaux

Liste des tableaux

1.1 Les diffrents niveaux de SIL dfinis par la norme IEC 61508 ........................................ 19
1.2 Descriptions des paramtres du graphe de risque ............................................................. 25
1.3 Lgende de la classification des paramtres du graphe de risque ..................................... 26
1.4 Exemple dtalonnage du graphe de risque gnral .......................................................... 29
2.1 Description qualitative et quantitative des paramtres du graphe de risque ..................... 52
2.2 Rsultats numriques de la partition floue des intervalles du paramtre consquence .... 53
2.3 Rgles de combinaison des paramtres du risque ............................................................. 56
3.1 Dcomposition du four H 321 ........................................................................................... 61
3.2 Feuille de prsentation HAZOP ........................................................................................ 65
3.3 Description des consquences de scnarios ...................................................................... 68
3.4 Frquence des vnements initiateurs des scnarios ......................................................... 69
3.5 Comparaison des rsultats de lvaluation du SIL des scnarios ...................................... 70

vii

Acronymes

Acronymes
BPCS

Basic Process Control System

CPF

Central Processing Facilities

DCS

Distributed Control System

Exchanger

FAL

Flow Alarm Low

FALL

Flow Alarm Low Low

FT

Flow Transmitter

FV

Flow Valve

Heater

HAZOP

Hazard and Operability Study

IEC

International Electrotechnical Commission

OHSAS

Occupational Health and Safety Assessment Series

PAH

Pressure Alarm High

PAHH

Pressure Alarm High High

PAL

Pressure Alarm Low

PALL

Pressure Alarm Low Low

PCV

Pressure Controller Valve

P&ID

Piping and Instrumentation Diagram

PFD

Probability of Failure on Demand

PFH

Probability of Failure per Hour

PLC

Programmable Logic Controller

PT

Pressure Transmitter
viii

Acronymes
RRF

Risk Reduction Factor

SDV

Shutdown Valve

SIF

Safety Instrumented Function

SIL

Safety Integrity Level

SIS

Safety Instrumented System

TAH

Temperature Alarm High

TAHH

Temperature Alarm High High

TI

Temperature Indicator

TV

Temperature Valve

UKOOA

United Kingdom Offshore Operators Association

ix

Introduction gnrale

Introduction gnrale
Problmatique
Les exigences socitales actuelles imposent que les installations industrielles prsentent le
moins de risques possibles durant leur utilisation. Cest dans la phase de conception que lon
doit intgrer les lments ncessaires la sret de fonctionnement de ces installations. Deux
approches permettent cette diminution du risque, la prvention en minimisant la probabilit
dapparition dun risque, la protection en limitant les consquences dun dysfonctionnement.
Les moyens mettre en uvre pour rduire les risques sont nombreux et varis. Parmi les
quipements utiliss pour rduire le risque, le systme de contrle de procd connu sous le
nom BPCS (Basic Process Controller System). Ce systme est conu pour surveiller, contrler
et maintenir le process dans un tat de fonctionnement normale et sur. Cependant, la
dfaillance du BPCS peut tre lorigine dun scnario dun accident (vnement initiateur).
Des systmes darrt durgence appels Systmes Instruments de Scurit (SIS)
interviennent dans le cas ou le process se trouve dans des conditions dangereuses de
fonctionnement. Les SIS sont utiliss dans lindustrie de transformation pour raliser une ou
plusieurs fonctions instrumentes de scurit SIF. Les normes IEC 61508 [IEC61508 98] et
IEC 61511 [IEC61511 00] ont tabli les prescriptions relatives la spcification,
lexploitation et la maintenance de ces systmes.
La rduction du risque apporte par la fonction instrumente de scurit est appele
rduction ncessaire du risque. Les normes IEC 61508 et IEC 61511 dfinissent quatre
niveaux dintgrit de scurit (Safety integrity Level) pour une fonction de scurit, quatre
niveaux possibles de SIL.

Limplmentation des SIS dans un systme ncessite la

dtermination pralable du SIL qui devrait tre atteint par la fonction instrumente.
L'valuation du niveau d'intgrit de scurit est dtermine par des mthodes qualitatives et
quantitatives [SAL 06b], [SAL 08].

Introduction gnrale

Parmi les mthodes qualitatives les plus utilises pour dterminer le niveau de SIL dune
SIF la mthode graphe de risque dcrit dans la partie 5 de la norme IEC 61508 [IEC 61508
98]. Quand cette mthode est adopte, un certain nombre de paramtres de simplification sont
introduits pour dcrire la nature de la situation dangereuse lorsque les systmes relatifs la
scurit sont dfaillants ou non disponibles. Un paramtre est choisi parmi quatre groupes
caractristiques du risque et les paramtres slectionns sont alors associs pour dcider du
niveau de SIL des systmes relatifs la scurit.
Bien que le graphe de risque est une mthode relativement facile appliquer et
permettant une valuation rapide des SIL, il prsente tout de mme, des insuffisances quant
linterprtation des termes linguistiques utiliss pour caractriser les paramtres C, F, P et W,
laquelle peut diffrer dun jugement lautre et dun secteur industriel lautre en raison de la
subjectivit lie la dfinition qualitative des paramtres suscits. A ceci sajoute les
dclarations fermes en termes de probabilits et taux exprimant les paramtres C, F, P, W et le
SIL ; le problme de rigidit des intervalles utiliss pour la reprsentation quantitative des
paramtres leur est imputable.
La logique floue due L.A Zadah [ZAD 65] semble offrir un cadre trs adquat pour
le traitement de lincertitude lie aux diffrents paramtres du graphe de risque

[NAI 09],

[SIM 07]. Dans ce travail, une approche du graphe de risque base de rgles floues est
propose afin dajouter des caractristiques plus puissants au graphe de risque classique.

Objectif du mmoire
Le but essentiel de ce travail est dtudier lapport de la logique floue [ZAD 65] la
dtermination des SIL par graphe de risque en prsence dinformations incompltes et/ou
incertaines, lequel sarticule autour des concepts densemble flou et de variable linguistique.
Lapproche dveloppe dans le cadre de ce travail sappuie sur un systme
dinfrence base de rgles floues, le SIL tant la sortie de ce systme. En utilisant les
oprations de la logique floue, les donnes des paramtres du graphe de risque sont introduites
dans le systme dinfrence floue pour dterminer le niveau du SIL requis.
Lapproche est valide exprimentalement sur un systme industriel oprationnel quest un
four rebouilleur

Introduction gnrale

Organisation du mmoire
Le prsent mmoire comporte principalement trois chapitres traitant les aspects thoriques
du graphe de risque flou ainsi que la partie exprimentale et la validation de ce modle par
une tude exprimentale.
Le premier chapitre concerne les principales normes de scurit fonctionnelles utilises
pour la conception des systmes de scurit. Ainsi que au dveloppement des mthodes
dvaluation de SIL en sintressant particulirement la mthode graphe du risque
conventionnel.
Dans le deuxime chapitre, nous prsenterons dabord les concepts fondamentaux de la
logique flou puis les tapes du modle graphe de risque flou
Afin de valider le modle propos, le troisime chapitre est consacr lapplication du
modle graphe de risque flou lvaluation du SIL dun SIS sur un systme industriel
oprationnel.

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL

1
Dtermination du niveau dintgrit
de scurit SIL
1.1 Introduction
Gnralement les systmes industriels peuvent prsenter des risques pour les
personnes et l'environnement, diverses scurits doivent tre mises en uvre. Ces types de
scurit utilisent des moyens contribuant soit la prvention soit la protection pour rduire
les risques de dysfonctionnement. Les Systmes Instruments de Scurit (SIS) sont utiliss
comme moyens de scurit pour raliser des Fonctions Instrumentes de Scurit (SIF) afin
de mettre le processus dans un tat de repli de scurit si le processus se trouve dans des
conditions dangereuses de fonctionnement. La Commission Internationale d'Electronique
(CEI), ou "International Electrotechnical Commission" (IEC), a normalis les systmes de
scurit; Norme IEC 61508 en 1998 [IEC61508 98] et IEC 61511 en 2000 [IEC61511 00].
[MEC 11].
Lobjet de ce chapitre est de donner dans un premier temps une dfinition de certains
termes et concepts utiliss dans le cadre de la scurit fonctionnelle des systmes de scurit.
Par la suite, un aperu sur les principales normes de scurit utilises pour concevoir les SIS
est donn. La dfinition des SIS est dtaille. La dernire partie est consacre la description
des diffrentes mthodes utilises pour dterminer les niveaux SIL.

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL

1.2

Concepts et dfinitions
Les industries dploient beaucoup d'efforts pour viter les accidents. Malgr ces

efforts, de nombreux accidents se produisent dans le monde et causent des dgts sur les plans
; humains et matriels. La frquence de ces accidents conduit des tudes de scurit afin de
mieux matriser les risques.
Dans les tudes de scurit, l'utilisation d'une des mthodes conventionnelles est
recommande afin d'identifier les sources ou les situations dangereuses. Une analyse
prliminaire des dangers (APD) permet de dterminer les risques qu'un systme peut
entraner.
Elle conduit une srie de mesures d'analyse de risques mises en uvre peut mener
l'installation un niveau de scurit jug acceptable par l'exploitant [MKH 08].

1.2.1 Notion de scurit


La scurit est gnralement dfinie par l'absence de phnomnes dangereux, de risque
inacceptable, d'accident ou de situations catastrophiques [EXI].
Selon Villemeur [VIL 87], " la scurit est l'aptitude d'une entit viter de faire
apparaitre, dans des conditions donnes, des lvnement critiques ou catastrophiques ".
D'aprs Desroches [DES 03], la scurit concerne la non occurrence d'vnements
pouvant diminuer ou porter atteinte l'intgrit du systme, pendant toute la dure de
l'activit du systme, que celle-ci soit russie, dgrade ou ait choue.
Dans le cadre des systmes industriels, la scurit consiste mettre en uvre des
moyens vitant l'apparition de dangers. Elle s'nonce alors par l'absence de risque
inacceptable, selon la norme IEC 61508 [IEC61508 98].

1.2.2 Notion de danger


La norme IEC 61508 [IEC61508 98]

dfinit le danger comme une nuisance

potentielle pouvant porter atteinte aux biens (dtrioration ou destruction), l'environnement,


ou aux personnes.
Et selon le rfrentiel OHSAS 18001 [OHS18001 99]: "un danger est une source ou
une situation pouvant nuire par blessure ou atteinte la sant, dommage la proprit et
l'environnement du lieu de travail ou une combinaison de ces lments ". Les dangers lis
5

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL


un systme sont inhrents au fonctionnement ou au dysfonctionnement du systme, soit
extrieur au systme.
Selon Mazouni [MAZ 08], le danger se dfinit comme une proprit intrinsque
inhrente un type d'entit ou un type d'vnement qui a la potentialit de provoquer un
dommage.
Soulignons que de nombreux termes sont employs, selon les normes ou les auteurs,
autour de la notion de danger et la rendent ambigu. De plus, les dictionnaires associent
souvent le terme danger au terme risque. En effet, plusieurs dictionnaires proposent le terme
risque comme synonyme du terme danger, ce qui explique le fait quun grand nombre de
personnes utilisent indiffremment ces termes. Mme les documents et les textes officiels
confondent danger et risque.

1.2.3 Risque
Le risque donne une mesure de la combinaison de deux facteurs qui sont la gravit
dun danger (ou sa consquence) et la frquence doccurrence. Sa rduction peut tre obtenue
par la prvention (rduction de la frquence doccurrence) ou la protection (rduction de la
gravit).
Selon [VIL 98], le risque est une mesure dun danger associant une mesure de
loccurrence dun vnement indsirable et une mesure de ses effets ou consquences.
Et selon le rfrentiel OHSAS 18001 [OHS18001 99], un risque est la combinaison de
la probabilit et de la (des) consquence(s)de la survenue.
De manire plus formelle, un risque peut tre mesur par sa criticit, qui est fonction
de sa probabilit et de sa gravit :
C = P G
Le critre de Farmer [FAR 67] permet de dfinir les notions de risque acceptables et
inacceptables (figure 1.1).

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL

Figure 1.1 Courbe de Farmer [FAR 67]


La courbe de Farmer permet une classification du risque en deux sous-ensembles
disjoints, correspondants au domaine du risque acceptable et celui du risque inacceptable.

1.2.4 Scurit fonctionnelle


La scurit fonctionnelle a pour objet de contrler les risques inacceptables qui
pourraient provoquer des accidents dangereux. Elle couvre les systmes mettant en uvre des
solutions de protection appliques dans plusieurs domaines : mcanique, lectrique,
lectronique, lectronique programmable, hydraulique, optique, . . . [MEC 11]
Selon la norme IEC 61508 [IEC61508 98], la scurit fonctionnelle est le sousensemble de la scurit globale qui dpend du bon fonctionnement dun systme ou dun
quipement en rponse ses entres.
Selon la norme IEC 61511 [IEC61508 00], la scurit fonctionnelle est un sousensemble de la scurit globale qui se rapporte un systme de commande de processus de
base (BPCS, Base Process Control System) et qui dpend du fonctionnement correct du
systme instrument de scurit et d'autres couches de protection [MKH 08].

1.2.5 Systme E/E/EP relatifs aux applications de scurit


Les systmes de scurit sont dfinis en termes dabsence de risque inacceptable de
blessure ou de prjudice la sant des personnes. Les dommages aux personnes peuvent tre
directs ou indirects, comme des dommages aux biens ou lenvironnement par exemple.
7

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL


[INN 08]
Certains systmes peuvent tre principalement conus pour se prmunir contre des
pannes ayant des implications conomiques majeures. Ceci signifie que dans lesprit,
objectifs techniques comparables ou identiques, il ny a pas de diffrence entre un systme de
scurit et un systme de contrle.
Un systme E/E/EP (lectrique/lectronique/lectronique programmable) relatif aux
applications de scurit comprend tous les lments du systme ncessaires pour remplir la
fonction de scurit, c'est--dire, depuis le capteur, en passant par l'unit logique de
traitement, jusqu' l'lment final (la partie actionneur), tout en tenant compte des actions de
l'oprateur du systme.
La norme IEC 61508 [IEC61508 98]

peut tre utilise pour dvelopper n'importe

quel systme E/E/EP comportant des fonctions critiques, telles que la protection des
quipements, des biens ou de l'environnement.

1.3 Normes relatives aux systmes instrumentes de scurit


La norme internationale de scurit IEC 61508 est une des dernires normes ddies
la scurit fonctionnelle. Elle est devenue avec ses normes filles les plus rcentes et les plus
connues des acteurs de la scurit dans les secteurs industriels.

1.3.1 Norme IEC 61508 et ses normes filles


En 1984, le comit technique 65 de la CEI a commenc une tche de dfinition d'une
nouvelle norme internationale relative la scurit. Cette norme CEI 61508 [IEC61508 02]
est la seule norme multisectorielle traitant de l'ensemble de la problmatique des systmes
lectriques, lectroniques et programmables E/E/EP ; relies la scurit elle traite la fois le
matriel et le logiciel. C'est galement la seule norme trs technique qui apporte des cls,
auxquelles il suffit de se conformer pour atteindre un objectif. Cette norme est oriente
performances en laissant l'utilisateur le soin de raliser son analyse de risque et elle lui
propose des moyens pour rduire ce risque. Elle ne concerne pas les systmes simples, pour
lesquels le mode de dfaillance de chaque lment est clairement dfini et pour lesquels le
comportement du systme peut tre totalement dtermin dans le cas d'une dfaillance. Par
exemple, un systme comportant des fins de course et des relais lectromcaniques relis un
disjoncteur peut tre tudi sans avoir recours la CEI 61508. La norme CEI 61508 repose

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL


sur deux concepts qui sont fondamentaux vis--vis de son application : le cycle de vie en
scurit et les niveaux dintgrit de scurit.
Cette norme s'applique aux systmes relatifs la scurit lorsque l'un ou plus de ces
systmes comporte des dispositifs lectriques/lectroniques/lectroniques programmables.
Elle comprend 7 parties (figure 2.1), afin de couvrir les multiples aspects des systmes
E/E/PE :
61508-1 : Prescriptions gnrales.
61508-2 : Prescriptions propres aux systmes E/E/PE.
61508-3 : Prescriptions relatives au logiciel.
61508-4 : Dfinitions et abrviations.
61508-5 : Exemples de mthodes pour dterminer le niveau dintgrit de la scurit.
61508-6 : Guides pour lapplication des parties 2 et 3 de la norme.
61508-7 : Tour dhorizon des techniques et des mesures.

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL

Prescription
s techniques

PARTIE 1

Dveloppement des prescriptions


globales de scurit (concept,
dfinition du domaine dapplication,
analyse de danger et de risque)
(Systmes E/E/PE relatif la
scurit, systmes relatifs la
scurit bass sur dautres

PARTIE 5

Approche bases sur le


risque le dveloppement
des prescriptions

Autres
prescripti

PARTIE 1
Dfinitions
et
abrviation

Allocation des prescriptions de


scurit aux systmes E/E/PE relatif
la scurit

PARTIE 4

PARTIE 7

Phase de
ralisation
pour les
systmes
E/E/PE
relatif la

Phase de
ralisation
des logiciels
relatifs la
scurit

PARTIE 2

PARTIE 3

PARTIE 1

Installation, mise en service et


validation de la scurit des
systmes E/E/PE relatif la scurit

Prsentation des
techniques et
mesures
PARTIE
6

Lignes directrices pour


la mise en uvre des
parties 2 et 3

Documentati
on
Article
PARTIE5 1et

Gestion de la
scurit
fonctionnelle
article 6
PARTIE 1

Evaluation
de la scurit
fonctionnelle
article 8
PARTIE 1

PARTIE 1

Exploitation et maintenance,
modification et remise niveau,
mise hors service ou au rebut des
systmes E/E/PE relatif la scurit

Figure 1.2 Structure gnrale de la norme IEC 61508 [IEC 61508 02]

10

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL


La norme CEI 61508 est la base d'autres normes sectorielles (ex : machines, procds
continus, ferroviaire, nuclaire) ou de produits (ex : variateurs de vitesse). Elle influence donc
le dveloppement des systmes E/E/PE et des produits concerns par la scurit travers tous
les secteurs. La figure (figure 1.3) [RAU 06] montre la norme CEI 61508 gnrique et ses
normes filles par secteur dactivit.

Figure 1.3 Norme CEI 61508 et normes drives [RAU 06]

1.3.2 La norme IEC 61511


La norme sectorielle CEI 61511 concerne les systmes instruments de scurit pour
le secteur les processus industriels. Cette norme prsente une approche relative aux activits
lies au cycle de vie de scurit, pour satisfaire ces normes minimales. Cette approche a t
adopte afin de dvelopper une politique technique rationnelle et cohrente. Dans la plupart
des cas, la meilleure scurit est obtenue par une conception de processus de scurit
intrinsques, chaque fois que cela est possible, combine, au besoin, avec dautres systmes
de protection, fonds sur diffrentes technologies (chimique, mcanique, hydraulique,
pneumatique, lectrique, lectronique, lectronique programmable) et qui couvrent tous les
risques rsiduels identifis. Elle comprend trois parties :
1. Cadre, dfinitions, exigences pour le systme, le matriel et le logiciel,
2. Lignes directrices pour lapplication de la CEI 61511-1,
3. Conseils pour la dtermination des niveaux exigs dintgrit de scurit.

11

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL

Autres Parties

Exigences
techniques

Rfrences
Article 2
PARTIE 1

PARTI,E 1

Dveloppement des exigences globales


de scurit (concept, dfinition du
domaine dapplication, analyse de danger
et de risque)

Dfinitions et
abrviations
Article 3
PARTIE 1

Conformit

PARTIE 1

Article 4
PARTIE 1

Allocation des exigences de scurit aux


fonctions instrumentes de scurit
Dveloppement de la spcification des
exigences de scurit

Gestion de la
scurit
fonctionnelle
article 5
PARTIE 1

Phase de
conception
pour les
systmes
instruments
de la scurit
PARTIE11
2
Article

Phase de
conception
pour les
logiciels des
systmes
instruments
de la scurit
PARTIE 3

PARTIE 1

Exigences de
cycle de vie de
scurit
Article 61
PARTIE

Vrification
Article 7
PARTIE 1
Exigences
dinformations
Article 19
PARTIE 1

Essais de recette en usine, installation et


mise en service, et validation de la
scurit des systmes instruments de la

PARTIE 1

Exploitation et maintenance,
modification et remise niveau, mise
hors service ou au rebut des systmes
instruments de la scurit

Diffrences
Annexe A
PARTIE 1
Directives pour
lapplication de
la partie 1
PARTIE 1

Directives pour la
dtermination
des niveaux
dintgrit de
scurit requis

PARTIE 3

Figure 1.4 Structure gnrale de la norme IEC61511 [IEC61511 00]


12

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL


Cette norme permet de dfinir des exigences relatives aux spcifications, la
conception, linstallation, lexploitation et lentretien dun SIS, afin davoir toute
confiance dans sa capacit amener le procd dans un tat de scurit.
La norme CEI 61511 restreint le primtre aux systmes pour des applications SIL 1
3 (les applications SIL 4 ne pouvant tre traites par un SIS seul). Les applications qui
ncessitent lutilisation dune fonction instrumente de scurit de niveau dintgrit de
scurit SIL 4 sont rares dans lindustrie de processus. Ces applications doivent tre vites en
raison de la difficult datteindre et de maintenir de tels niveaux levs de performance tout
au long du cycle de vie de scurit [IEC61511 03].

1.3.3 La norme IEC 62061


L'IEC 62061 [IEC62061 05] repose sur les mmes concepts que ceux de l'IEC 61508
[IEC61508 98]

. Elle est destine tre utilise par les concepteurs de machines et les

fabricants de systmes de commande lectroniques relatifs la scurit de machines


[IEC61513 01]. Elle concerne la spcification des prescriptions et fait des recommandations
pour la conception, l'intgration et la validation de ces systmes [SAL 07].

1.3.4

La norme IEC 61513


L'IEC 61513 [IEC61513 01] concerne le secteur de la sret des centrales nuclaires.

Elle prsente les prescriptions relatives aux systmes de contrle commande utiliss pour
accomplir les fonctions de scurit des centrales nuclaires. La conception des systmes de
contrle commande peuvent tre raliss l'aide d'une combinaison de composants
traditionnels cbls des composants informatiques. La conformit l'IEC 61513 facilite la
compatibilit avec les exigences de l'IEC 61508 telles qu'elles ont t interprtes dans
l'industrie nuclaire.

1.3.5 La norme EN 50126


La norme EN 50126 [EN50126 99] s'intresse essentiellement aux applications
ferroviaires. Elle permet de spcifier les principaux concepts de la sret de fonctionnement
des systmes tels que : la fiabilit, la disponibilit et la scurit,. . . Cette norme est constitue
de deux normes filles. L'EN 50128 [EN50128 01] est destine la partie logicielle des

13

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL


systmes de protection ferroviaire. L'EN 50129 [EN50129 98] concerne les systmes
lectroniques de scurit pour la signalisation [SAL 07].

1.4

Systmes instruments de scurit

1.4.1 Dfinition dun SIS


La norme CEI 61511 [IEC61511 00] dfinit les systmes instruments de scurit de
la faon suivante : systme instrument utilis pour mettre en uvre une ou plusieurs
fonctions instrumentes de scurit. Un SIS se compose de nimporte quelle combinaison de
capteur(s), dunits logique(s) et dlment(s) terminal (aux).
La norme CEI 61508[IEC61508 98] dfinit quant elle les systmes relatifs aux
applications de scurit par : un systme E/E/PE (lectrique/lectronique/lectronique
programmable) relatif aux applications de scurit comprend tous les lments du systme
ncessaires pour remplir la fonction de scurit.
Les systmes instruments de scurit sont donc utiliss comme moyens de prvention
et comportent une proportion grandissante de systmes lectriques, lectroniques ou encore
lectroniques programmables (E/E/EP). Ces systmes sont complexes ce qui rend difficile
dans la pratique la connaissance de chaque mode de dfaillance par lexamen des
comportements possibles et la prvision des performances en terme de scurit.
Un systme instrument de scurit est un systme visant mettre le procd en tat
stable ne prsentant pas de risque pour lenvironnement et les personnes lorsque le procd
sengage dans une voie comportant un risque rel pour le personnel et lenvironnement
(explosion, feu) [SAL 07].

1.4.2 Constitution d'un SIS


Les SIS sont constitus de diffrents lments unitaires relis entre eux par des
moyens de transmissions. Au minimum, on retrouve en srie un capteur, une unit de
traitement et un actionneur [AYA 05].

14

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL

Figure 1.5 Schma dun SIS

A. Capteur :
Est un quipement qui dlivre, partir d'une grandeur physique, une autre grandeur,
souvent lectrique (tension, courant, rsistance), fonction de la premire et directement
utilisable pour la mesure ou la commande [AYA05].
Cette grandeur physique peut tre la temprature, la pression, le niveau, le dbit, la
concentration d'un gaz.

B. Unit de traitement :
La fonction "traitement" peut tre plus ou moins complexe [AYA05]. Elle peut se
rsumer acqurir une grandeur mesure par un capteur et l'indiquer. Elle peut galement
consister activer la commande d'un ou plusieurs actionneurs partir d'une fonction
combinatoire des informations dlivres par diffrents capteurs. Les units de traitement
peuvent tre classes en deux catgories selon leur technologie :


Les technologies cbles, base de composants logiques lmentaires (relais), lis entre
eux lectriquement (ou de manire pneumatique).

Les technologies programmes, base de centrales d'acquisition ou d'alarmes, d'automates


programmables (API), de systmes numriques de contrle commande (SNCC), de
calculateurs industriels ou de cartes lectroniques microprocesseurs.

15

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL

C. Actionneurs :
Un actionneur peut tre (vanne, moteur, servo-moteur) transforment un signal
(lectrique ou pneumatique) en phnomne physique qui permet de commander le dmarrage
d'une pompe, la fermeture ou l'ouverture d'une vanne Selon l'nergie motrice, on parle
d'actionneur pneumatique, hydraulique ou lectrique [AYA05].
Enfin, l'unit de traitement est relie aux capteurs et aux actionneurs par des moyens
de transmission. Il peut s'agir de cbles lectriques, de lignes tlphoniques, d'ondes
hertziennes (transmission par talkie-walkie), ou de tuyauteries (transmission pneumatique
ou hydraulique).
Les capteurs, l'automate et les actionneurs sont des quipements de scurit. Un
quipement de scurit est un lment d'un SIS qui remplit une sous-fonction de scurit.
Exemples :


un capteur remplit la sous-fonction "dtecter du gaz",

une vanne motorise la sous-fonction "juguler une fuite".


Associes au traitement, l'ensemble de ces sous-fonctions permet la ralisation de la

fonction instrumente de scurit "matriser une fuite".

1.4.3 Fonction instrumente de scurit SIF


Les principales tapes de la norme IEC 61508 [IEC61508 98]

et ses normes filles

sont dclines dans ce qu'on appelle le cycle de vie, c'est--dire que ces normes traitent depuis
l'analyse des risques jusqu' l'exploitation des fonctions de scurit instrumentes SIF (Safety
Instrumented Functions).
Une SIF est dfinie pour obtenir un facteur de rduction du risque mise en uvre pour
un SIS. Lorsque le SIS est considr comme un systme ralisant une barrire de protection
fonctionnelle, cette barrire est considre comme une fonction de scurit [MKH 08], [CHA
02].
Une fonction instrumente de scurit est spcifie pour sassurer que les risques sont
maintenus un niveau acceptable par rapport un vnement dangereux spcifique.
Une fonction instrumente de scurit est raliser par un systme instrument de
scurit (ou par une combinaison des composantes de ce systme), par un systme relatif la
16

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL


scurit bas sur une autre technologie ou par un dispositif externe de rduction de risque.
[MKH 08]
Figure 1.6. Fonction instrument de scurit [MKH 08]

Figure 1.6 Fonction instrumente de scurit [MKH 08]

Pour illustrer et rendre plus claire cette dfinition, nous proposons lexemple dun
quipement utilis dans la fonction instrumente de scurit (Figure 1.7).
Cette dernire est conue pour protger un rservoir sous pression contenant un liquide
inflammable lorsquune haute pression a lieu lintrieur du rservoir, cette fonction de
scurit agira selon deux procdures :

Fermeture de la vanne pour arrter lalimentation du liquide.

Arrt de la pompe qui injecte le liquide dans le rservoir.


Il est indispensable de lister tous les composants intervenant la ralisation de cette

fonction instrumente de scurit, ces composants sont : Transmetteur de pression, solver,


vanne, pompe.

17

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL

PLC
PT

Liquide
ESV

Figure 1.7 Exemple de fonction instrumente de scurit

1.4.4

Proprits dun SIS

Un certain nombre de proprits caractrisent les systmes instruments de scurit :

Les systmes instruments de scurit ncessitent une source d'nergie extrieure pour
remplir leur fonction de scurit.

On retrouve tout ou partie de ces diffrents lments pour constituer des chanes de
scurit.

Plusieurs capteurs ou actionneurs peuvent tre relis une mme unit de traitement.

Toutes les combinaisons de capteurs, d'unit de traitement et d'actionneurs qui sont


exiges pour accomplir des fonctions de scurit sont considres comme une partie
de systmes instruments de scurit.

Les capteurs, lunit de traitement, les lments finaux sont des quipements de
scurit et ralisent des sous-fonctions de scurit. Lensemble des sous-fonctions
ralise la fonction de scurit.

1.4.5 Niveau d'intgrit de scurit (SIL)


Les normes de scurit fonctionnelle IEC 61508 et IEC 61511 dfinissent une
dmarche danalyse du niveau d'intgrit de scurit (SIL) d'un systme. Elles permettent de
dfinir le niveau SIL qui doit tre atteint par un SIS qui ralise la fonction de scurit suite
une analyse de risque, [SAL 06a] [SCH 10]. Plus le SIL une valeur leve plus la rduction
du risque est importante.
18

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL


Les SIS sont classs en quatre niveaux SIL qui se caractrisent par des indicateurs
discrets positionns sur une chelle de un quatre niveaux (Tableau 1.1). Les SILs sont
employs pour spcifier les exigences de scurit des fonctions de scurit ralises par des
systmes E/E/EP relatifs la scurit selon la norme IEC 61508 [IEC61508 98]. Le SIL
"quatre" dsigne le degr de scurit le plus leve du fait de l'exigence forte de scurit
impose et le niveau SIL "un" dsigne l'exigence la plus faible [SCH 10].

Sollicitation

Demande faible

Demande leve

SIL

PFDavg

PFH

10-2 PFDavg < 10-1

10-6 PFH< 10-5

10-3 PFDavg < 10-2

10-7 PFH< 10-6

10-4 PFDavg < 10-3

10-8 PFH< 10-7

10-5 PFDavg < 10-4

10-9 PFH < 10-8

Tableau 1.1 Les diffrents niveaux de SIL dfinis par la norme IEC 61508 [IEC61508 98]
Lutilisation des niveaux SILs permet de prendre en compte les dfaillances rares mais
possibles des systmes de scurit en plus des dfaillances inhrentes au systme oprationnel
menant aux vnements dangereux identifis pendant lanalyse de risque [IEC61508 98]
[SCH 10]. Les SILs sont attribus aux fonctions de scurit sur la base de ltude des
dfaillances.
Un SIS est en mode de fonctionnement faible demande lorsque la frquence de
sollicitation est infrieure une fois par an (1/an) ou infrieure au double de la frquence des
tests priodiques auxquels il est soumis. A partir de l'architecture du SIS ralisant la SIF
faiblement sollicite, la PFDavg est value sur un intervalle [0, t].
Un SIS en mode de fonctionnement continu ou forte demande implique une forte
sollicitation du SIS. Il est considr lorsque la frquence de sollicitation est leve ou
continue, c'est--dire qu'elle est suprieure une fois par an (1/an) ou suprieure deux fois la
frquence des tests priodiques [IEC61508 98]. A partir de l'architecture du systme
instrument de scurit ralisant la fonction instrumente de scurit fortement sollicite, la
PFH est value sur un intervalle de temps [0, t] [IEC61508 98].

19

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL


La norme IEC 61508 relative l'valuation de performance des SIS tablit la
classification des systmes tudis selon des niveaux de scurit partir du calcul de la
PFDavg pour les SIS faiblement sollicits (moins d'une sollicitation par an) ou de la PFH
dans le cas des SIS fortement sollicites) [IEC61508 98], [MKH 08].

1.5 Dtermination des niveaux de SIL requis


Un lment majeur dvelopp dans les normes en question est l'valuation quantitative
de la performance du systme de scurit mis en uvre et la qualification de cette
performance par des niveaux rfrencs (Tableau 1.1) [SAL 07], [SAL 06a], [INN 08], [SIG
04], [SIG 06], [SIM 07].
L'valuation du niveau d'intgrit de scurit d'un SIS est dtermine par des mthodes
qualitatives et quantitatives [SAL 06a], [SAL 08]. Elles permettent ; d'examiner les diffrents
dangers provenant du systme oprationnel et de dterminer le SIL de la SIF pour rduire la
criticit du danger analys. L'objectif global de ces mthodes est de dcrire une procdure
d'identification des SIF, d'tablir les niveaux de scurit correspondant et de les mettre en
uvre dans un SIS afin de ramener le procd dans l'tat de scurit attendue [SAL 06a].

1.5.1 Les mthodes quantitatives


Les normes de scurit fonctionnelle, l'IEC 61508 [IEC61508 98] et l'IEC 61511
[IEC61511 00], introduisent une approche probabiliste pour l'valuation quantitative de la
performance du SIS et la qualification de cette performance par des niveaux de scurit
rfrencs [SIG 06]. L'introduction de probabilit dans la mesure du niveau d'intgrit a
entrain la mise en place de concepts tels que les notions de calcul de probabilit de
dfaillance a la sollicitation ou de dfaillance par unit de temps [SIG 07].
L'valuation de la performance des SIS doit tre ralise par l'utilisation de modles
adapts. Diffrentes techniques sont nanmoins prconises dans les annexes de la norme IEC
61508 [54]. Parmi les mthodes quantitatives cites, on trouve les quations simplifies, les
arbres de dfaillances [SIG 06], les blocs diagramme fiabilit, les rseaux de Petri ainsi que
les chaines de Markov [INN 08], [ZHA 03] ; [SAL 07]. La performance ainsi calcule permet
de qualifier le niveau SIL du SIS selon les niveaux dfinis dans la norme (Tableau1.1).

20

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL

1.5.1.1 Les quations simplifies


Les normes de scurit fonctionnelle n'imposent cependant pas l'utilisation de modles
particuliers mais fournissent des formules approches pour les architectures courantes. En
effet, la communaut des fiabilistes s'est rendue compte que certaines quations cites dans la
norme IEC 61508-6 [IEC61508 98] ne sont valables que sous plusieurs hypothses qui ne
sont pas cites dans la norme [SIG 06]. En outre, ces formules ne sont valables que pour
certains types d'architecture k parmi n. D'aprs Innal [IEC61508 98], les quations simplifies
sont utilises pour l'tude d'architectures de SIS dont les canaux sont mutuellement
indpendants et homognes [IEC61508 98], [SIG 06].
Les quations simplifies donnent la PFDavg du SIS en fonction de l'architecture des
composants (1oo1 : un parmi un, 1oo2 : au moins un parmi deux, . . .) et des paramtres de
fiabilit utiliss (taux de dfaillances des composants , taux de couverture de diagnostic DC
et le facteur qui caractrise les dfaillances des causes communes) [INN 08].
Comme mentionn par plusieurs chercheurs dans le domaine de la fiabilit des
systmes [SAL 06], [INN 08], il est ncessaire d'utiliser des mthodes de suret de
fonctionnement classiques telles que les diagrammes de fiabilit [RAU 04], les arbres de
dfaillances , ou les approches markoviennes pour valuer les performances des SIS (la
PFDavg et le SIL), plutt que d'utiliser les quations simplifies donnes dans la partie six de
la norme IEC 61508 [IEC61508 98].
1.5.1.2

Blocs diagramme de fiabilit


La mthode de diagramme de fiabilit est une reprsentation de la logique de

fonctionnement des systmes. Cette mthode est base sur l'utilisation de blocs pour
reprsenter les composants, les sous-systmes ou les fonctions. La modlisation consiste
rechercher les liens existants entre ces blocs [RAU 04]. Elle permet une analyse quantitative
qui a pour objectif en particulier de dfinir la probabilit de bon fonctionnement d'un systme.
Les calculs reposent sur les probabilits de russite des missions des lments constituants le
systme. Cette mthode est utilise dans l'valuation des performances des SIS par le calcul
de la PFDavg rsultante et la dtermination du son niveau SIL [GUO 06].
La mthode de bloc diagramme de fiabilit a ses limites d'application : il faut s'assurer
de l'indpendance entre les diffrents tats de fonctionnement, elle ne permet pas de modliser
des systmes dynamiques, sauf sous certaines conditions.

21

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL

1.5.1.3 Arbres de dfaillance


La mthode des arbres de dfaillance est l'une des mthodes les plus utilises dans les
analyses des performances des SIS [RAU 06], [SIG 07]. Elle a pour objectif le recensement
des causes entrainant l'apparition de l'vnement indsirable d'un systme et le calcul de sa
PFDavg. Elle constitue un moyen de reprsentation de la logique des dfaillances, cette
mthode est adapte aussi pour l'tude des systmes lmentaires prsentant des dfaillances
de mode commun [VIL 98].
L'arbre de dfaillances est une mthode dductive, qui commence par l'vnement
indsirable et dtermine ses causes. L'analyse par l'arbre de dfaillances ncessite deux phases
; une qualitative, o on dtermine la fonction logique du systme en terme de l'ensemble de
ses coupes minimales, et l'autre est dite quantitative, o on calcule la probabilit d'occurrence
de l'vnement indsirable (sommet).
L'valuation quantitative de la probabilit de l'vnement sommet qui reprsente la
dfiabilit du systme lorsque cet vnement est la dfaillance d'un systme non rparable
[RAU 93], [SIG 04]. La mthode de l'arbre de dfaillances consiste a rechercher toutes les
combinaisons possibles d'vnements entranant la ralisation de l'vnement indsirable.
On reprsente graphiquement ces combinaisons au moyen d'une structure arborescente dont
l'vnement non dsir est le sommet (ou racine).
Pour dcrire la relation entre les vnements et la logique d'un systme, l'arbre de
dfaillances utilise des portes logiques. Ces portes indiquent les types des vnements et les
types de relation qui sont impliques.
L'arbre de dfaillances peut mener des valuations quantitatives de la probabilit
d'occurrence de l'vnement indsirable qui reprsente la dfiabilit lorsque cet vnement est
la dfaillance d'un SIS non rparable [VIL 98], [RAU 93].

1.5.1.4

Chaines de Markov

Les chaines de Markov apportent une bonne formalisation de tous les tats que
peuvent prendre les systmes en fonction des vnements rencontrs (dfaillance, rparation,.
. .) et des paramtres tudis (taux de dfaillance, dfaillance de cause commune,. . .)
[ZHA 03].
Les chaines de Markov apportent une finesse de modlisation pertinente au regard du
comportement des SIS tudis notamment les SIS faiblement sollicits et priodiquement
22

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL


tests [SIG 07]. Compte tenu de la relative complexit des SIS, l'explosion combinatoire du
nombre des tats est l'inconvnient majeur des chaines de Markov. Cet inconvnient est
gnralement surmontable.
L'valuation de la performance du SIS est obtenue grce une chaine de Markov
synthtique reprsentant les diffrents tats du SIS tout en tenant compte des diffrents types
de dfaillance. Elle permet de dterminer la probabilit de dfaillance la demande du SIS et
de calculer sa valeur moyenne par intgration dans le temps. La dtermination
du niveau de scurit du SIS est obtenue par rfrence aux donnes du tableau 1.1, [INN 08],
[SAL 07], [SIG 07].
La mthode des chaines de Markov est souvent utilise pour analyser et valuer les
per- formances des systmes rparables et avec des composants taux de dfaillance constant.
La construction d'un graphe de Markov consiste identifier les diffrents tats du systme
(dfaillants ou non dfaillants) et chercher comment passer d'un tat un autre lors d'un
dysfonctionnement ou d'une action de rparation. Elle permet ainsi de faire une analyse
dynamique du systme.
Dans l'valuation des performances des systmes par les chaines de Markov on utilise
le processus d'analyse constitu de trois parties. La premire partie est consacre au
classement de tous les tats du systme en tats de fonctionnement, tats dgrads ou tats de
panne. La deuxime partie concerne la dtermination de toutes les transitions possibles entre
ces diffrents tats, tout en tenant compte des actions de rparations. Enfin on calcule les
probabilits de se trouver dans les diffrents tats du systme tudi.

1.5.2

Les mthodes qualitatives


La norme IEC 61508 introduit des mthodes qualitatives qui permettent d'allouer le

SIL partir de la connaissance des risques associs au procd. Les mthodes les plus
utilises sont la mthode du graphe de risque [BEU 07] [SAL 07], [SIM 07] et la mthode de
la matrice de gravit des vnements dangereux [SAL 06a].

23

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL


La matrice de risque intgre plusieurs fonctions de scurit sous rserve de leur
indpendance [IEC61508 98]. La matrice possde trois dimensions : la gravit, la probabilit
d'occurrence de l'accident potentiel et le nombre de dispositifs de scurit qui sont dj mis en
place pour empcher le dveloppement du danger en un accident [BEU 06]. La structure de la
matrice de risque dpend du domaine spcifique d'activit [BEU 07].

Figure 1.8 Matrice de risque [IEC61508 98]

1.6 Mthode du graphe de risque


La mthode qualitative la plus utilise pour dterminer le niveau de SIL est la mthode
dite du graphe de risque [IEC 61508 00]. Quand cette mthode est adopte, un certain
nombre de paramtres de simplification sont introduits pour dcrire la nature de la situation
dangereuse lorsque les systmes relatifs la scurit sont dfaillants ou non disponibles. Un
paramtre est choisi parmi

quatre groupes caractristiques du risque et les paramtres

slectionns sont alors associs pour dcider du niveau de SIL des systmes relatifs la
scurit. Ces quatre paramtres permettent de faire une gradation significative des risques et
contiennent les facteurs cls dapprciation du risque.

24

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL

1.6.1 Synthse du graphe de risque


La procdure simplifie sappuie sur lquation suivante: R = f x C
O: R est le risque en labsence de systmes relatifs la scurit, f est la frquence de
lvnement dangereux en labsence de systmes relatifs la scurit et C est la consquence
de lvnement dangereux.
La frquence de lvnement dangereux f est suppose tre le rsultat de trois facteurs
exerant une influence :
Frquence et dure dexposition dans une zone dangereuse ;
La possibilit dviter lvnement dangereux ;
La probabilit que lvnement dangereux se produise en labsence de systmes
relatifs la scurit. Cest ce quon appelle la probabilit doccurrence non souhaite.
On obtient les quatre paramtres de risque suivants :
Consquence de lvnement dangereux (C) ;
Frquence et dure dexposition au danger (F) ;
Possibilit dviter lvnement dangereux (P) ;
Probabilit de loccurrence non souhaite (W).

Tableau 1.2 Descriptions des paramtres du graphe de risque [IEC61511 00]

25

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL

1.6.2 Mise en uvre du graphe de risque


En combinant les paramtres de risque dcrits ci-dessus, on peut dvelopper une
courbe du risque comparable celle prsente la Figure 1.9.
Un exemple de classification des paramtres du graphe de risques est montr au
tableau 1.3.

Tableau 1.3

Lgende de la classification des paramtres du graphe de risque [IEC6108 98]

Figure1.9 Schma gnral de graphe de risque [IEC6108 98]

26

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL


Le graphe de risque sexplique de la manire suivante. Lutilisation des paramtres de
risque C, F et P aboutit un certain nombre de sorties, savoir X1, X2, X3Xn. La Figure 2
prend pour exemple une situation dans laquelle aucune pondration nest applique aux pires
consquences. Chaque sortie est consigne dans une des trois chelles (W1, W2 et W3).
Chaque chelon indique le niveau de SIL ncessaire auquel doit satisfaire le systme
relatif la scurit pris en considration.
La mise en correspondance avec W1, W2 ou W3 permet de raliser la contribution
dautres mesures de rduction du risque. Le dcalage dans les chelles W1, W2 et W3 est
ncessaire pour avoir trois niveaux diffrents de rduction des risques partir dautres
mesures. Cette chelle est compose de lchelle W1, qui fournit la rduction minimale du
risque grce dautres mesures (cest--dire la plus forte probabilit de lapparition dun
vnement non dsir), lchelle W2 une contribution moyenne et lchelle W3 une
contribution maximale. Pour une sortie spcifique du graphe de risque (cest--dire X1,
X2ou X6) et, pour une chelle W spcifique (cest--dire W1, W2 et W3) [SIM 06], la
sortie finale du graphe de risque donne le niveau de SIL du SIS (cest--dire 1, 2, 3 ou 4) et
correspond une mesure de la rduction ncessaire du risque pour le systme.
A laide de ce graphe de risque, la fonction de scurit implanter pour prvenir un
danger de faible probabilit sera ralise en tenant compte des exigences relatives au SIL1.
Dans cet exemple les consquences portent uniquement sur latteinte la vie de
personnes. La prise en compte des dgts matriels et de dommages causs lenvironnement
ncessite lutilisation de graphes additionnels.

1.6.3 Etalonnage du graphe de risque


Les objectifs de la procdure d'talonnage sont les suivants: [IEC61511 00]
a) Dcrire tous les paramtres afin de permettre l'quipe charge d'tablir le niveau
d'intgrit de scurit (SIL) de porter des jugements objectifs fonds sur les caractristiques
de l'application.
b) Garantir que le SIL choisi pour une application rpond aux critres de risque dfinis par la
socit et qu'il tient compte de risques provenant d'autres sources.
c) Permettre de vrifier la procdure de slection des paramtres.
L'talonnage du graphe de risque est une procdure qui consiste attribuer des valeurs
numriques aux paramtres du graphe de risque. Ceci constitue la base pour l'valuation du
27

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL


risque li au procd et permet de dterminer l'intgrit requise de la fonction instrumente de
scurit faisant l'objet de ltude. A chacun des paramtres est attribue une plage de valeurs
de sorte que, lorsque ces paramtres sont combins, ils permettent d'effectuer une valuation
nuance du risque qui existe en l'absence de la fonction particulire de scurit.
De ce fait, on dtermine une mesure du degr de confiance attribuer la fonction
instrumente de scurit. Le graphe de risque se rapporte des combinaisons particulires de
paramtres de risque et de niveaux d'intgrit de scurit. La relation entre les combinaisons
de paramtres de risque et de niveaux d'intgrit de scurit est tablie en considrant le
risque tolrable associ aux dangers spcifiques.

1.6.4 Exemple d'talonnage fond sur des critres types


Le Tableau 1.4, qui fournit des descriptions et des plages de paramtres pour chaque
paramtre, a t labor dans le but de rpondre des critres types pour les procds
chimiques tels que dcrits plus haut. Avant de pouvoir utiliser cela dans le cadre d'un projet, il
est important de confirmer qu'il rpond bien aux besoins des personnes responsables de la
scurit. [IEC61511 00]

28

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL

Tableau 1.4 Exemple dtalonnage du graphe de risque gnral [IEC61511 00]

1.7 Conclusion
Dans ce chapitre nous avons dabord rappel la dfinition de certains concepts utiliss
dans le cadre de la scurit fonctionnelle des systmes de scurit. Une brve description des
normes relatives aux systmes de scurit est donne, suivie dune description des diffrentes
mthodes utilises pour dterminer le SIL dun SIS.
29

Chapitre 1. Dtermination du niveau dintgrit de scurit SIL


Rappelons dans le cadre de ce travail la mthode du graphe de risque est choisi comme
approche dvaluation du SIL. Cependant le graphe de risque prsente certaines difficults
dans la dfinition et linterprtation des paramtres du graphe, ce qui peut conduire des
rsultats incohrents qui peuvent entrainer du conservatisme quant aux valeurs du niveau du
SIL [NAI 09]. Pour surmonter cette difficult, un modle du graphe de risque est dvelopp
qui est lobjet du prochain chapitre.

30

Chapitre 2. Approche floue du graphe de risque

2
Approche floue du graphe de risque
2.1 Introduction
Le graphe de risque est parmi les mthodes les plus utilises pour dterminer le niveau de
SIL, les paramtres de ce dernier sont associs pour dcider du niveau de SIL du systme.
Les quatre paramtres permettent de faire une gradation significative du risque. Cependant,
les connaissances dont nous disposons concernant les paramtres sont gnralement
imparfaites.
Cela exige des mthodes qui permettent la modlisation et la manipulation de ces
imperfections. cet gard, plusieurs thories de reprsentation des connaissances imparfaites
ont t dveloppes : la thorie des probabilits, la thorie des ensembles flous, la thorie des
possibilits et la thorie de lvidence. [ZAD 97] [MAS 92]
Nous nous sommes fix comme objectif dans le cadre du prsent chapitre, de montrer
lintrt de la thorie des ensembles flous dans lvaluation de SIL en prsence dinformations
incertaines en proposant un modle du graphe de risque flou.

31

Chapitre 2. Approche floue du graphe de risque

2.2 Reprsentation des connaissances imparfaites


2.2.1 Formes dimperfection des connaissances
Les connaissances dont nous disposons sur un systme quelconque, pris au sens dun
ensemble dlments en relation les uns avec le autres et interfrant avec leur environnement,
sont en gnral imparfaites [BOU 95].
Dans la littrature, nous distinguons principalement deux sortes dimperfection de
connaissances [DUB 94] : lincertitude et limprcision. Les connaissances sont incertaines
quand nous avons un doute sur leur validit. Si nous prouvons une difficult les exprimer
clairement, elles sont alors

imprcises. Bouchon-Meunier [BOU 95] considre que

limperfection dans les connaissances peut tre divise en trois formes principales :
 Les incertitudes qui reprsentent un doute sur la validit dune connaissance ;
 Les imprcisions qui correspondent une difficult dans lnonc ou dans lobtention de la
connaissance. Ces imprcisions sont aussi appeles incertitudes du type pistmique
[HEL 04] ;
 Les incompltudes qui sont des absences totales ou partielles de connaissances sur
certaines caractristiques du systme.
En anglais, nous employons souvent le terme "Uncertainty" pour dsigner les
connaissances imparfaites en gnral, alors que le terme "Imprecision" utilis pour dsigner
les connaissances imprcises est rarement cit. Ces deux formes dimperfection sont souvent
intimement mles, mais nont cependant pas prsent la mme importance dans les
proccupations scientifiques.

2.2.2 Esquisse des thories de reprsentation des connaissances imparfaites


En ce qui concerne lincertain, il a dabord t abord par la notion de probabilit ds
le XVIIme sicle par Pascal et Fermat [KOL 60]. La thorie des probabilits fournit une
structure mathmatique pour ltude des phnomnes qui prsentent des incertitudes
alatoires. Le problme de limprcision a t trait par le calcul derreurs, restreint aux
imprcisions de caractre numrique.

En 1965, Lotfi Zadeh [ZAD 65], professeur

luniversit de Berkley en Californie, a introduit la notion de sous-ensemble flou (en anglais


"Fuzzy set") dans une gnralisation de la thorie classique des ensembles. Il a ensuite
introduit, partir de 1978 [ZAD 78], la thorie des possibilits qui a t dveloppe par
32

Chapitre 2. Approche floue du graphe de risque


Dubois et Prade [DUB 88]; elle permet de traiter les incertitudes sur les connaissances.
Lassociation de la thorie des possibilits la thorie des ensembles flous permet le
traitement des connaissances la fois imprcises et incertaines. La thorie des fonctions de
croyances permet aussi de traiter ces deux types dimperfections [DEM 67], elle est base sur
la modlisation et la quantification de la crdibilit attribue des faits. Elle dfinit le degr
avec lequel un vnement est crdible ou plausible.
La thorie des probabilits qua bnfici de quatre sicles de travaux et reposant donc sur
des fondements mathmatiques et une exprience solides, constitue le plus ancien formalisme
permettant de traiter les incertitudes dans les connaissances imparfaites. Cest un outil
efficace pour le traitement des incertitudes alatoires et les cas o nous disposons dune bonne
connaissance des vnements et de leurs vnements contraires. Elle ne peut cependant pas
traiter les imprcisions qui sont une autre forme dimperfection des connaissances [BAU 05].
Nous allons introduire dans ce qui suit, la notion des ensembles flous qui permet de traiter,
de faon souple, laspect imprcis et vague des connaissances imparfaites.

2.3 Thorie des ensembles flous


Dans cette section, nous prsentons succinctement les concepts fondamentaux de la
logique floue qui sont en relation avec les travaux du prsent mmoire. Pour plus de dtails,
on pourra consulter, avec profit, entre autres, les rfrences [BOU 95], [DUB 80], [KAU
77], [ZAD 65], [ZAD 75], [ZAD 78], [ZAD 92].

2.3.1 Notion densemble flou


Le concept densemble flou [ZAD 65] a t introduit pour viter les passages brusques
dune classe une autre (de la classe blanche la classe noir, par exemple) et permettre
lappartenance partielle chacune delles (avec un fort degr la classe blanche et un faible
degr la classe noir dans le cas du gris clair, par exemple). La dfinition de lensemble flou
rpond au besoin de reprsenter des connaissances imprcises telles que celles exprimes en
langage naturel (i.e., linguistique) par un voyageur (ex., le trajet est long, le train est rapide,
). Le caractre graduel des ensembles flous est bas sur lide que, plus en se rapproche de
la caractrisation typique dune classe, plus lappartenance cette classe est forte (ex., 20 ans
caractrise bien la jeunesse, 60 ans ne caractrise plus cette classe dage).
Le concept densemble flou permet de traiter :

33

Chapitre 2. Approche floue du graphe de risque


-

des classes aux limites mal dfinies (catgories dapprciation perue par un

observateur) ;
- des classes intermdiaires entre le tout et le rien (ex., "presque certain") ;
- le passage progressif dune classe une autre (ex., du "petit" au "grand", du "faible" au
"fort") ;
- des valeurs approximatives (ex., "autour de 13 de moyenne", "environ 5m de distance").
 Dfinition
Soit U un ensemble rfrentiel et soit x un lment de U. Un ensemble A de U est dfini
par une fonction dappartenance A(x) qui prend ses valeurs dans lintervalle [0, 1]. Cette
fonction donne le degr dappartenance de x dans A. Un ensemble ordinaire est un cas
particulier de lensemble flou ( A(x) ne prend que 0 et 1). Formellement, lensemble flou A
peut scrire comme :
A = {( x, A (x )) x U }

(2.1)

 Exemple
Soit apprcier le confort li la conduite dune voiture qui circule sur une autoroute. Ce
confort est vu sous langle de la vitesse variant entre 30 et 130 km/h. En termes de la thorie
des ensembles flous, la caractrisation conduite confortable peut tre dcrite par un
ensemble flou dfini sur un univers de vitesses. ces dernires seront affects des scores
selon la compatibilit avec cette caractrisation. Supposons quun conducteur cote la conduite
confortable (CC) comme suit :
Vitesse (km/h)

30

40

50

60

70

80

90

100

110

120

130

Degr de confort

0.2

0.4

0.5

0.8

0.9

0.4

0.3

0.2

Ces rsultats montrent que les vitesses faibles ( 60 km/h) et les vitesses leves ( 80
km/h) sont dsagrables et confrent

une conduite inconfortable ; la conduite 80 km/h

correspond une conduite hautement confortable. Les valeurs des diffrents degrs de confort
sont en fait les valeurs de la fonction dappartenance cc(v) de lensemble flou CC (Figure
2.1)

34

Chapitre 2. Approche floue du graphe de risque

Degr de confort

0,8
0,6
0,4
0,2
0
30 40 50 60 70 80 90 100 110 120 130
Vitesse (km /h)

Figure 2.1 Lensemble flou conduite confortable

2.3.2 Proprits dun ensemble flou


Les caractristiques de lensemble flou de U les plus utiles pour le dcrire sont celles qui

montrent quel point il diffre dun ensemble classique de U. Citons les caractristiques
suivantes :

Support dun ensemble flou : le support dun ensemble flou, not supp(A), est

lensemble des lments de U qui appartiennent, au moins un peu, A. Cest la partie


de U sur laquelle la fonction dappartenance de A nest pas nulle :

sup p ( A) = {x U / f A ( x ) 0}.

(2.2)

Hauteur dun ensemble flou : la hauteur, note h (A), dun ensemble flou est le plus
fort degr avec lequel un lment de U appartient A, c'est--dire la plus grande
valeur prise par sa fonction dappartenance.
h( A) = sup xX f A (x ).

(2.3)

Ensemble flou normalis :


lensemble flou A de U est dit normalis si sa hauteur h(A) est gale 1.

Noyau dun ensemble flou : le noyau de lensemble flou normalis A, not noy(A), est
lensemble des lments de U pour lesquels la fonction dappartenance de A vaut 1.

noy ( A) = {x U / f A ( x ) = 1}.

(2.4)
35

Chapitre 2. Approche floue du graphe de risque

h(A)=1

x
noyau
support

Figure 2.2 Support, Hauteur et Noyau dun ensemble flou

2.3.3 Fonctions dappartenance


Les ensembles flous peuvent tre dfinis en leur affectant une fonction continue pour
dcrire analytiquement ou graphiquement lappartenance. De ce fait, la reprsentation des
ensembles flous dpend du type de la fonction dappartenance retenu. Zadeh a propos une
srie

de

fonctions

dappartenance

scinde

en

deux

groupes :

les

fonctions

dappartenance linaires et les fonctions dappartenance courbes ou de forme


gaussienne .
La fonction dappartenance Triangulaire (gnrale et symtrique) ;
La fonction dappartenance Singleton (gauche et droite) ;
La fonction dappartenance Gamma (gnrale et linaire) ;
La fonction dappartenance Trapzodale (gauche et droite) ;
La fonction dappartenance Gaussienne (gauche et droite ou pseudo exponentielle).
Les fonctions dappartenance les plus rpandues sont illustres par la figure 2.3.

36

Chapitre 2. Approche floue du graphe de risque


(x)
1

i)

(x)

m1

ii)

m2

(x)
1

iii)

Figure 2.3 Prsentation de quelques fonctions

dappartenance :
i) Triangulaire ;
ii) Trapzodale ;
iii) Gaussienne.

La fonction dappartenance Triangulaire de la figure (2.3.i) est exprime comme suit:


(x ) =

( x a ) ; a x m,
(m a )

= 1; x = m,
b x
=
; m < x b.
bm

La fonction dappartenance Trapzodale de la figure (2.3.ii) est exprime comme suit :


(x) =

( x a) ; a x < m ,
1
(m1 a)

= 1; m1 x m2 ,
=

(2.5)

(2.6)

bx
; m2 < x b.
b m2

La fonction dappartenance Gaussienne de la figure (II.3.iii) est exprime comme suit :


( x m )2
.
( x ) = exp
2

(2.7)
37

Chapitre 2. Approche floue du graphe de risque

2.3.4 Oprations sur les ensembles flous


La thorie des ensembles flous propose plusieurs oprateurs ensemblistes. Les principaux
oprateurs et relations flous sont prsents ci-dessous [ZAD 65].
i. Inclusion : On dit que A est inclus dans B, et on note A B , si et seulement si :
x U

(x )

B (x )

(2.8)

ii. Egalit : On dit que A et B sont gaux, et on note A = B, si et seulement si :


A ( x ) = B (x )

x U

(2.9)

iii. Complmentation : On dit que A et B sont complmentaires, et on note A = B


A = B , si et seulement si :
B (x ) = 1 A (x )

x U

ou

(2.10)

iv. Intersection : On dfinit lintersection de A et B, et on note A B, par le plus grand


ensemble flou de contenu la fois dans A et B, cest--dire :
x U

AI B

(x ) =

min

( A ( x ), B (x ))

(2.11)

v. Runion : On dfinit lunion ou la runion de A et B, et on note A U B, par le plus petit


ensemble flou de U qui contient la fois A et B, cest--dire :

x U

AU B

(x ) =

max ( A ( x ), B ( x ))

(2.12)

Toutes ces oprations sont des extensions des oprations ensemblistes usuelles avec
lesquelles elles concident si les ensembles considrs sont des ensembles usuels. Les
extensions de ces oprations aux ensembles flous ne sont pas uniques [KAU 77].
La figure 2.4 illustre les oprations dintersection, de runion et de complmentation.

38

Chapitre 2. Approche floue du graphe de risque

A(u )

A( u )

a)

B( u )

A( u )

b)

U
A B ( u )

c)

d)
AB ( u )

Figure 2.4

Illustration de quelques oprations sur les


ensembles flous:
a) Ensembles flous A et B
b) A
c) AB
d) AB.

Lalgbre des ensembles flous est la mme que celle des ensembles ordinaires, sauf que le
tiers-exclu nest plus vrifi. En effet, on y retrouve les oprations suivantes :
a) Commutativit :

b) Associativit :

c) Distributivit :

AI B = B I A
AU B = B U A

(2.13)

A I (B I C ) = ( A I B ) I C
A U (B U C ) = ( A U B ) U C

(2.14)

A I (B U C ) = ( A I B ) U ( A I C )
A U (B I C ) = ( A U B ) I ( A U C )

(2.15)

d) Involution :

A= A

(2.16)

e) Lois de De Morgan :
AI B = AU B
AU B = AI B

(2.17)
39

Chapitre 2. Approche floue du graphe de risque

Le tiers-exclu ntant pas vrifi par les ensembles flous (Fig. II.5) :
A I A

A U A 1U

(2.18)

AA (X)
A

Figure 2.5 Illustration de la proprit du tiers-exclu:

2.3.5 Notion de variable linguistique


Le concept de variable linguistique [ZAD 75] est utilis dans la caractrisation des
phnomnes qui sont si complexes ou si mal dfinis quils ne peuvent pas tre dcrits par des
termes quantitatifs conventionnels. Ainsi, les valeurs de la variable linguistique sont des
termes linguistiques du langage naturel, lesquelles sont modlises par des ensembles flous.
Plus spcifiquement, ces derniers reprsentent des restrictions sur les valeurs de la variable

linguistique et peuvent tre vus comme rsumant les diffrentes catgories dlments dun
univers de discours (i.e., lensemble rfrentiel). Dune manire gnrale, une variable
linguistique est caractrise par un 5-uplet (L, T(L), Gr, Mr) o :

L est le nom de la variable linguistique ;


T(L) est lensemble des termes, i.e., les noms des variables linguistiques de L, dont chacune
delles reprsente un ensemble flou dfini sur un univers U ;

Gr est une rgle syntaxique, gnralement de la forme dune grammaire, utilise pour
gnrer les noms des valeurs de L ;

Mr est une rgle smantique qui associe chaque nom un sens Mr(X) qui est un ensemble
flou de U.
 Exemple
Reprenons lexemple de la sous-section 2.3.1 et supposons que le confort est une variable
linguistique L. Il en ressort que

40

Chapitre 2. Approche floue du graphe de risque

lensemble des termes est T(L) = {inconfortable-, confortable, inconfortable+}. Chacun


des qualificatifs reprsente une valeur linguistique de L dcrite par un ensemble flou
dans un rfrentiel de vitesses U = [30, 130] (km/h) ;

la rgle smantique Mr associe la valeur inconfortable aux vitesses infrieures 60


km/h et suprieures 100 km/h et la valeur confortable aux vitesses comprises entre
70 et 90 km/h, selon des ensembles flous trapzodaux (un choix issu dune expertise).
La reprsentation de la variable confort est visualise sur la figure suivante :

Figure 2.6 Reprsentation de la variable linguistique confort

2.3.6 Systme dinfrence de Mamdani


2.3.6.1 A propos des systmes dinfrence
A loppos des mthodes quantitatives qui requirent des quations pour modliser les
comportements des systmes rels, la logique floue, elle,

peut caractriser ces comportements

moyennant le concept de variable linguistique et les rgles floues grce au concept densemble flou et
aux techniques dinfrence floue.
Les systmes dinfrence floue ont fait preuve de nombreuses applications et dans plusieurs
domaines tels que le contrle automatique, le traitement de donnes, lanalyse de dcision, les
systmes experts, et les tudes de scurit [NAI 09].
Parmi ces systmes dinfrence, celui propos par Mamdani et Assilian [MAM 75] est le plus
rencontr dans la rsolution des problmes base de rgles floues. Base sur une technique simple
utilisant linfrence max-min, la mthode de Mamdani a t introduite avec succs dans plusieurs
champs dapplication allant des processus de contrle jusquau diagnostic mdical.
La mthodologie gnrale des Systmes dInfrence Floue est donne par la figure 2.7.

41

Chapitre 2. Approche floue du graphe de risque

Figure 2.7

ENTREES

SORTIE

Fuzzification

Dfuzzification

Infrence floue

Sortie floue

Organigramme du Systme dInfrence Floue

2.3.6.2 Mthodologie du systme dinfrence de Mamdani


Le systme dinfrence de Mamdani peut tre dcrit comme suit [MAM 75]:
Supposons une base de rgles constitue de n Si/Alors rgles floues avec des entres
multiples et une sortie unique (Multiple Inputs and Single Output : MISO). Chaque rgle Ri (i
=1, , n) est donc de la forme :
Ri : si X1 est Ai1 et . . . et Xm est Aim alors Y est Bi,;

(2.19)

O les Xj , (j=1, ,m) et Y sont des variables linguistiques dfinies respectivement sur les
univers U =U1x xUm et V. Les ensembles flous Aij sont des lments de la partition
linguistique Tj de Uj (univers de la variable Xj).
Pour un vecteur ordinaire dentre u0 = (u10,,um0), la valeur de la sortie est dtermine
suivant les trois tapes suivantes :
 Fuzzification
La fuzzification est lopration qui consiste convertir une donne dentre ordinaire uj0 en sa
reprsentation symbolique, c'est--dire lensemble flou Aij* utilisant la partition floue Tj de Uj,
par calcul du degr dappartenance Aij (uj0) de uj0 pour chaque Aij. Ensuite le degr i = min
Aij (uj0) est calcul pour chaque rgle Ri.

 Infrence floue
Le moteur dinfrence transforme les ensembles flous dentre (issus de lopration de
fuzzification) en des ensembles flous de sortie en utilisant la base de rgles linguistiques et les
oprations dimplication floue.

42

Chapitre 2. Approche floue du graphe de risque

La sortie floue est obtenue par la mthode dinfrence max-min selon les sous-tapes
suivantes :
(i) Reprage du niveau dactivation de chaque rgle : La valeur de vrit attribue
l"antcdent" (prmisse) de chaque rgle Ri est calcule puis applique la partie
"conclusion" de cette rgle. Le calcul se fait comme suit :
i = min A (u 0j )

(2.20)

ij

(ii) Infrencement : Dans ltape dinfrence, la sortie Bi de chaque rgle Ri est calcule laide de
B I' = i B i

loprateur de conjonction (min) (voir quation II.24), do

est donn par :

uB' (v ) = min i , B (v )
i

(2.21)

(iii) Agrgation : Pour obtenir la sortie globale du systme, les sorties propres chaque rgle sont
'
union. Ainsi, B = U i B i = U i B i ,
'

combines laide de loprateur

avec

la

fonction

dappartenance :

uB' (v) = max B' (v )


i =1,...,n

(2.22)

 Dfuzzification
Ltape de dfuzzification permet de transformer la sortie floue en une valeur numrique vo
reprsentative de Y dans B. Diffrents algorithmes de dfuzzification ont t dvelopps et il
ny a pas un algorithme meilleur pour toutes les applications, cependant, la mthode de la
moyenne des maximums et la mthode du centre de gravit sont le plus frquemment
utilises. Selon cette dernire, la valeur reprsentative est donne par :

v0 =

vV

v V

(v ) v dv
B (v ) dv
B

'

(2.23)

'

43

Chapitre 2. Approche floue du graphe de risque

2.4 Graphe de risque flou propos


Comme mentionn prcdemment, malgr que la mthode graphe de risque est facile
mettre en uvre, elle prsente des difficults dinterprtation des paramtres du graphe. En
effet, lutilisation des termes linguistiques tels que rare , possible peut conduire des
interprtations qui dfrent dun valuateur un autre. Ceci peut conduire des dcisions
subjectives.
Pour remdier ce problme plusieurs alternatives ont t proposs telles quelle
propos par Ormos et Ajtonyi [ORM 04] concerne lutilisation dun systme base de rgles
floues pour dterminer la valeur de SIL. De la mme faon, Simon et al [SIM 07] proposent
une approche base de rgles floues du graphe de risque aussi bien quune valuation
subjective des paramtres du graphe par agrgation de jugements dexperts. .
Dans notre travail, nous avons tent damliorer le graphe de risque conventionnel en le
dcrivant par un systme dinfrence flou.

2.4.1 Structure du graphe de risque flou


Le modle flou dvelopp est un graphe de risque flou qui sera exploit dans le cadre
dune approche danalyse des risques base de scnarios (Scenario-based risk analysis
approach).
La structure globale du modle du graphe de risqu flou propos est illustr dans la figure 2.8

Entre
Intervalles
floues

Ensembles
flous de sortie
et fonctions
dappartenanc
e

Rgles issues
de graphe de risque

Consquence floue

Consquence
Occupation

Occupation floue

Probabilit dvitement

Probabilit dvitement floue


Taux de demande flou

Fuzzification

Taux de demande

Figure 2.8

Infrence
floue

SIL flou

Valeur unique
Dfuzzification

RRF (1/PFD)

Procdure globale dvaluation de SIL base de rgles floues

La mise en oeuvre de la GRF fait apparatre trois grands modules:

Le premier module traite les entres du systme (valeurs de C, F, P et de W). On dfinit


tout d'abord un univers de discours, un partitionnement de cet univers en classes pour
44

Chapitre 2. Approche floue du graphe de risque


chaque entre, et des fonctions d'appartenance pour chacune de ces entres. La premire
tape, appele fuzzification, consiste attribuer la valeur relle (donne du scnario) de
chaque entre sa fonction d'appartenance chacune des classes pralablement dfinies,
donc transformer l'entre relle en un ensemble flou.
Le deuxime module est constitu d'une base de rgles et d'un moteur d'infrence
permettant le calcul; il consiste en l'application de rgles.
Le troisime module dcrit l'tape de dfuzzification qui permet de passer d'un degr
d'appartenance de SIL du scnario la dtermination de la valeur prcise donner cet
SIL.
Nous reviendrons plus en dtail, dans les sections qui suivent, sur les tapes de la
dmarche propose.

2.4.2 Variables dentre et de sortie


Comme pour le graphe de risque conventionnel [CEI 61511], la base de rgles floues prend
en considration les quatre paramtres C, F, P et W comme des variables dente, et le facteur
de reduction de risque (RRF) comme variable unique de sortie.
Les paramtres C, F, P et de W permettent dobtenir une graduation signifiante du graphe
et constituent les facteurs-cls de lvaluation du SIL. Leurs niveaux sont dfinis, partir de
lanalyse du systme et de jugements dexperts, par des catgories dont le nombre rpond la
fois, la capacit des individus pouvoir distinguer ces catgories (problme de perception),
et la capacit des chelles couvrir une large gamme de risque (problme de rsolution)
[NAI 09].
La sortie du modle est un facteur de rduction de risque flou dont la dfuzzification
permet dobtenir une valeur unique qui reprsentera son niveau de SIL.
Le nombre de valeurs attribues chacune des variables dentre et de sortie correspond
lunivers de discours de cette variable.

2.4.3 Partition floue des variables dentre et de sortie


En se basant sur le concept de variable linguistique [ZAD 75], permettant de
caractriser les situations considres comme complexes ou mal dfinies par rapport
lapplication des techniques quantitatives conventionnelles, lamplitude des variables C, F, P ,
W et SIL dites variables linguistiques, est reprsente sur des chelles continues moyennant
45

Chapitre 2. Approche floue du graphe de risque


des fonctions dappartenance valeurs dans [0,1]. Les ensembles flous utiliss, avec leurs
frontires dfinies de manire non exclusive, reprsentent les valeurs des variables
linguistiques et peuvent tre vus comme rsumant diverses sous-classes dans lunivers de
discours.

2.4 .4 Dveloppement des chelles floues


Dans notre travail, il tait question de passer des chelles dintervalles ordinaires vers des
chelles floues. Pour se faire, nous nous sommes rfrs un travail rcent [NAI 09] lequel
propose les quations

(2.24) et

(2.25) qui ont pu tre dduites en considrant la

transformation dun intervalle ordinaire (des bornes E* et E*) en un intervalle flou Q


comme tant le problme inverse de la dtermination de la valeur moyenne dun intervalle
flou.

E (Q ) = E * (Q ), E * (Q ) ,

(2.24)

E (Q ) = inf E (Q ) = udF (u ),

E (Q ) = sup E (Q ) = udF (u ).

(2.25)

F* et F* tant respectivement, les fonctions de distribution infrieure et suprieure de P qui


appartient lensemble des mesures de probabilit P(Q) dfinies sur le support de Q.
A partir des expressions (2.24) et (2.25), on a pu dmontrer les quations suivantes :
E (Q ) = q

E (Q ) = q+ +

,
.

(2.26)
(2.27)

Sachant que et sont, respectivement, ltalement gauche et ltalement droit


Ces rsultats sont en cohrence avec le fait que la valeur moyenne est une fonction linaire de et
[DUB 87]. Ces talements seront dtermins en utilisant respectivement (2.26) et (2.27).

46

Chapitre 2. Approche floue du graphe de risque

uQ
1

u
0

s-

E*(Q
)

q-

q+

Figure 2.9

E (Q)

s+

Transformation dun intervalle ordinaire en un intervalle flou

Comme pour les valeurs moyennes, E* et E* sont donnes par les bornes des intervalles
ordinaires ; et sont calculs selon la mthode suivante : Premirement, on calcule la valeur
moyenne, m, de lintervalle [E*,E*] puis les bornes q- et q+ du noyau en utilisant
respectivement, la valeur moyenne des subdivisions [E*,m] et [m,E*]. Selon que lunivers de
lchelle soit, ou non, linaire, la moyenne arithmtique, comme la moyenne gomtrique,
sont utilises la fois pour obtenir m, q- et q+.
La figure 2.9 illustre la transformation dun intervalle ordinaire en un intervalle flou sur
une chelle linaire. A titre dexemple, ltalement et la borne infrieure s- de Q sont
dtermins par :
E + m

E
2

= 2 (q E ) = 2

= m E =

E + E
E
2

(2.28)

E E
,
2
s = q .
=

Les ensembles flous extrmes contenus dans la partition linguistique sont gnrs de la
transformation tout en supposant des talements infinis, c'est--dire en prenant =-, Qeg
(u)=1 pour u q- et =+, Qed (u)=1 pour u q+ (eg et ed dnotent respectivement,
lextrme gauche et lextrme droite).
En outre, transformer une partition ordinaire (discrte) irrgulire en une partition floue,
peut entraner des valeurs non significatives des termes linguistiques (problme de
47

Chapitre 2. Approche floue du graphe de risque


compatibilit). Dans ce cas, la pente de ces ensembles flous ncessite dtre raisonnablement
modifie.

2.4.5
2.4 .5.1

Construction de la base de rgles floues


Intrt des rgles floues dans lanalyse de SIL

La combinaison des valeurs des variables dentre C, F, P et de W selon les objectifs de


scurit donne lieu une base de rgles dcrivant de manire flexible les diffrent niveaux de
SIL (1-4) du risque. La base de rgles permet de dcrire SIL pour chaque combinaison des
variables dentre. Ces rgles sont le plus convenablement exprimes par des termes
linguistiques plutt que numriques, et souvent formules sous le modle Si/Alors qui est
facilement utilise pour les dclarations conditionnelles floues; o Si se rfre aux
variables dentre et Alors la variable de sortie, composant ainsi, la prmisse et la
conclusion de la rgle.
Limportance des rgles Si/Alors rside dans le fait que la connaissance et lexprience
humaine peuvent, souvent, tre reprsentes par ce type de rgles [SHA 05]. Etant donn que
les rgles floues sont linguistiques plutt que numrique, associant les paramtres du graphe
de risque (dans la prmisse) avec la valeur du SIL (dans la conclusion), elles fournissent une
structure naturelle pour exprimer ce type de connaissances. Ainsi, les experts trouvent
souvent, les rgles floues comme la manire la plus convenable pour exprimer leurs
connaissances sur une situation donne.

2.4.5.2 Drivation des rgles


Il existe plusieurs techniques pouvant tre utilises pour gnrer les rgles floues. Citons
titre dexemple [BOW 95] :
la connaissance dexpert et lexpertise ; et
la modlisation floue du processus.
La premire approche exploite le fait que les analystes qualifis possdent souvent une "
bonne connaissance intuitive" sur le comportement du systme et les risques entrans, sans
avoir aucun modle quantitatif dans lesprit.
Dans la deuxime approche, les rgles floues peuvent tre vues comme une "fonction
floue" donnant une valuation floue de SIL pour les diverses combinaisons de consquence,
48

Chapitre 2. Approche floue du graphe de risque


occupation, probabilit dvitement et de taux de demande. Ces relations forment la base de
rgles. Comparativement la seule connaissance dexpert, cette approche (bien quelle
semble tre plus complique), elle offre parfois une structure plus tendue pour lvaluation
de la criticit.
Ces deux techniques ne sont pas mutuellement exclusives, leur combinaison est souvent la
mthode la plus efficace pour construire la base de rgles.
La cohrence de la base de rgles peut tre apprcie au travers lexamen du trac de la
surface du SIL en matire des combinaisons possibles des variables dentre. Les
incohrences sont rvles par une variation brusque du niveau SIL pour de petites variations
dans les paramtres dentre.
Dans notre approche, la base de rgles est fournie par le graphe de risqu conventionnel
partir de la rgle dassociation des paramtres C,F,P et W donnant pour rsultat, les niveaux
de SIL.
Chaque rgle se prsente sous la forme de
Si C est B et F est A et P est A et W est 3 Alors SIL est 1,

2.4.5.3 Exploitation de la base de rgles floues


On regroupe dans ce bloc, d'existence virtuelle, l'ensemble de dfinitions utilises dans le
graphe de risque conventionnel : univers de discours, partitions floues, ainsi que les rgles
Si/Alors du graphe de risque conventionnel.
Fuzzification des donnes dentre
En utilisant le simulateur Toolbox du Matlab, les donnes dentre des diffrent
paramtres du scnario considr sont fuzzifies en leur plaant sur les chelles floues
correspondantes pour dterminer les degrs dappartenance aux ensembles flous impliqus.
valuation de la conclusion floue (Infrence floue)
Les rgles floues sollicites par les variables dentre du scnario tudi sont actives. Afin
de transformer ces rgles qualitatives en un rsultat quantitatif interprtable, lalgorithme
dinfrence floue de Mamdani (modle max-min) est exploit. Lapplicabilit (la valeur de
vrit) de la rgle est dtermine partir de la conjonction et limplication des prmisses de la
49

Chapitre 2. Approche floue du graphe de risque


rgle en utilisant loprateur min . Loprateur max est utilis pour lagrgation des
sorties floues rsultantes
Dfuzzification de la sortie floue
Lvaluation des donnes dentre dans la base de rgles donne un rsultat imprcis et
flou. Le processus de dfuzzification cre un classement discret de la conclusion floue pour
exprimer le SIL du scnario tudi. La dfuzzification est requise pour [BOW 95] :
1) Dchiffrer le sens des conclusions floues et de leurs valeurs dappartenance;
2) Rsoudre les contradictions qui peuvent surgir entre les diffrents rsultats durant
lvaluation.
Le choix de lalgorithme de dfuzzification dpend des critres suivants [SHA 05]:
 labsence dambigut (rsultat sous forme de valeur numrique) ;
 la plausibilit ;
 la facilit du calcul.
Dans le cas de dfuzzification pour obtenir un niveau de SIL, la stratgie de dfuzzification
doit :
 Rsulter en un classement continu du niveau de SIL ;
 Combiner toute les rgles actives durant lvaluation, selon la valeur de vrit de la
conclusion.
En utilisant la mthode du centre de gravit (la valeur dfuzzifie correspond labscisse
du centre de gravit de la surface sous la courbe rsultante de lagrgation des rgles. Cest
une valeur numrique de SIL, comparable celle donne par le graphe conventionnel.

50

Chapitre 2. Approche floue du graphe de risque

2.5 Dtermination du SIL par graphe de risque flou


Le modle de graphe de risque que nous allons utiliser pour dterminer le niveau de
SIL des fonctions instruments en vue de maitriser les scenarios daccident reprsent par la
figure 3.3
La figure 3.3 et tableau 3.2 montrent respectivement un exemple dun graphe de risque
tel quelle est utilise dans les lignes directrices dUKOOA et les dfinitions quantitatives des
paramtres du graphe [SMI 04], [DEA 99], [GUL 04]
Taux de demande
Relativement lev
Faible Trs faible
ConsquenceExposition Evitement
Mineure

Point de
dpart

Marginale

Impossible

Impossible
Critique
Catastrophique
- = Pas dexigence de scurit
a = Pas dexigences particulires de scurit
NR = Non recommand
1, 2, 3, 4 = Niveau dIntgrit de Scurit

Figure 2.10

Graphe de risque avec description qualitative des paramtres

51

Chapitre 2. Approche floue du graphe de risque


Les chelles des paramtres C,F,P,W et de SIL auxquelles nous nous rfrons dans la suite, se
prsentent de la manire suivante :
Paramtre

Description qualitative
Mineur

Description quantitative
Pas de mort

Marginal

[10-2,10-1]

Critique

[10-1,1]

Consquence (C)

Catastrophique

>1

Rare

< 10% de temps

Frquent

10% de temps

Possible

90% probabilit
danger

Occupation (F)

dvitement

de

Probabilit dvitement (P)

Taux de demande (W)

Impossible

90% probabilit dvitement de


danger

Trs faible

<1 dans 30 ans<0.03/an

Faible

1 dans [3,30] ans [0.03, 0.3] par an

Elev

1 dans [0.3,3] ans[0.3,3] par an

Tableau 2.1 Description qualitative et quantitative des paramtres du graphe de risque

2.5.1 tablissement des chelles floues


2.5.1.1 Consquence : quatre ensembles flous, savoir Mineur, Marginale, Critique et
Catastrophique ont t dfinis sur lespace dentre de cet variable. Les valeurs variant de 10
9

10 sont reprsents sur un chelle logarithmique. A la valeur linguistique mineure dfinis

dans le graphe de risque comme pas de mort est attribu lintervalle discret [10-9,10-7] qui
reprsente convenablement un vnement improbable. Cet intervalle est transform en un
intervalle flou avec lomission de partie ngative.
2.5.1.2 0ccupation : deux ensembles flous savoir Rare et Frquente ont t dfinis sur une
chelle linaire allant de 0% 100%. Comme le prcdent paramtre la partie ngative du
premier u limite infrieur ensemble Rare est retire et la borne suprieure de son noyau a servi
lde imite

du second ensemble Frquent. La fonction dappartenance de ce dernier est

videmment ouverte
52

Chapitre 2. Approche floue du graphe de risque


2.5.1.3 Probabilit dvitement : comme dans le paramtre dentre prcdemment, deux
ensembles flous nomms respectivement Impossible et Possible ont t dfinis sur
lunivers [0,100], Pour le premier ensemble la partie ngative est enleve et la limite
suprieure de son support prend la valeur limite infrieure du noyau de lensemble
Possible . Les valeurs de ces derniers sont limites 100 avec une fonction dappartenance
ouverte droite.
2.5.1.4 Taux de demande : trois ensembles flous, savoir Trs faible , Faible et
Relativement lev ont t dfinis sur un espace de probabilit allant de 10-5 1. Les
valeurs de taux de demande sont prsentes sur un chelle logarithmique
En se rfrant aux donnes du tableau 2. lchelle des diffrent paramtres sont transforms
en ses reprsentation floue, drive de lintervalle Q = [s-,[q-, q+],s+], selon la mthode dcrite
dans 2.4.4
Le tableau 2.2 montre les rsultats numriques de la transformation pour le paramtre consquence
E*

E*

q-

q+

S-

S -*

S+

S +*

Mineur

1,00E-09

1,00E-07

1,00E-08

3,16E-09

3,16E-08

-1,16E-09

1,00E-09

1,68E-07

Marginal

0,01

0,1

3,16E-02

1,78E-02

5,62E-02

2,22E-03

1,44E-01

Critique

0,1

3,16E-01

1,78E-01

5,62E-01

2,22E-02

1,44E+00

Catastrophique

10

3,16E+00

1,78E+00

5,62E+00

2,22E-01

1,44E+01

1,00E+01

Symboles
Consquence

Tableau 2.2 Rsultats numriques de la partition floue des intervalles du paramtre consquence

Mineure

Marginale CritiqueCatastrophique

Consquence (log 10)

Figure 2.11

Fonction dappartenance gnre pour la consquence

53

Chapitre 2. Approche floue du graphe de risque

Occupation

Figure 2.12

Fonction dappartenance gnre pour loccupation

Probabilit dvitement

Figure 2.13

Fonction dappartenance gnre pour la probabilit dvitement

Trs faible

Faible

Elev

Taux de demande (Log 10)

Figure 2.14 Fonction dappartenance gnre pour le taux de demande

54

Chapitre 2. Approche floue du graphe de risque


chelle de SIL
Le SIL du comme variable unique de sortie est dfinie sur un chelle de RRF .L univers de
discours de valeurs entre 1 et 10-6 et reprsente sur une chelle logarithmique avec une partition
rgulire. Six ensembles flous sont compris dans lchelle : NSSR, SIL1, SIL2, SIL3, SIL4 et NR

RRF (1/PFD) log 10

Figure 2.15 Fonction dappartenance gnre pour SIL

2.5.2 tablissement des rgles floues


Un certain nombre de rgles floues Si-Alors sont extraites en suivant la logique du
graphe de risque et en utilisant les descripteurs linguistiques associs aux paramtres de risque
et au SIL. Dans ce cas, la base de rgle peut tre comprise comme une traduction du graphe
de risque.
Rgle

Consquence

Occupation

Probabilit
d'vitement

Taux de
demande

SIL

Mineur

Nant

Nant

Eleve

Mineur

Nant

Nant

Faible

Mineur

Nant

Nant

Trs faible

Marginale

Rare

Possible

Eleve

Marginale

Rare

Possible

Faible

Marginale

Rare

Possible

Trs faible

Marginale

Rare

Impossible

Eleve

Marginale

Rare

Impossible

Faible

Marginale

Rare

Impossible

Trs faible

10

Marginale

Frquent

Possible

Eleve

11

Marginale

Frquent

Possible

Faible

12

Marginale

Frquent

Possible

Trs faible

13

Marginale

Frquent

Impossible

Eleve

14

Marginale

Frquent

Impossible

Faible

55

Chapitre 2. Approche floue du graphe de risque


15

Marginale

Frquent

Impossible

Trs faible

16

Critique

Rare

Nant

Eleve

17

Critique

Rare

Nant

Faible

18

Critique

Rare

Nant

Trs faible

19

Critique

Frquent

Nant

Eleve

20

Critique

Frquent

Nant

Faible

21

Critique

Frquent

Nant

Trs faible

22

Catastrophique

Nant

Nant

Eleve

NR

23

Catastrophique

Nant

Nant

Faible

24

Catastrophique

Nant

Nant

Trs faible

Tableau 2.3 Rgles de combinaison des paramtres du risque


Le tableau prcdent reprsente lensemble des rgles de combinaison des paramtres C,F,P et W
dduites de graphe de risque. La rgle 4, par exemple, doit tre lue comme suit :
Si la Consquence est marginale et loccupation est rare et la probabilit dvitement est possible et le
taux de demande est leve alors le SIL est 1.

RRF

Consquence

Figure 2.16

Probabilit dvitement

Surface floue de SIL

2.6 Conclusion
Dans ce chapitre, nous avons propos une approche floue dvaluation de SIL par graphe
de risque, en loccurrence, le graphe de risque flou que nous estimons prometteuse et capable
de reprsenter et traiter, avec souplesse, la connaissance relative

graphe de risque

conventionnel.

56

Chapitre 2. Approche floue du graphe de risque


Afin de tester lapproche propose, nous consacrerons le prochain chapitre une tude
exprimentale portant sur un procd industriel pour pouvoir affirmer quelle peut constituer
une alternative aux pratiques classiques dvaluation de SIL des fonctions instrumentes.

57

Chapitre 3. Application un four rebouilleur

3
Application un four rebouilleur
3.1 Introduction
Dans lindustrie ptrolire, le process prsente des risques majeurs et ncessitent des
moyens de scurit sophistiqus pour la maitrise de ces risques. Parmi ces moyens BPCS,
SIS. Cependant, avant limplmentation de ces systmes la dtermination de leurs niveaux de
SIL est exige. Dans ce contexte, lutilisation du graphe de risque conventionnel prsente
des inconvnients concernant la qualit des chelles des paramtres du graphe. En plus, les
donnes ncessaires lvaluation du SIL en fonction des C, F, P et W sont entaches
dimprcision et dincertitude. Ce qui conduit laffectation de la qualit de lvaluation en
donnant des rsultats imprcis sur le niveau de SIL requis, ce qui peut ramener lentreprise
dcider des mesures de scurit non appropries la gestion du risque rsiduel.
Lobjet de ce chapitre est lapplication, dans un premier temps du graphe de risque
conventionnel sur un systme oprationnel, savoir Four H321 de lassociation
Sonatrach/BP/Statoil. Le modle graphe de risque flou propos sera galement appliqu au
mme systme dans le but de comparer les rsultats des deux applications et montrer lintrt
de lapproche floue dans la rduction de lincertitude.

58

Chapitre 3. Application un four rebouilleur

3.2 Prsentation du processus


Linstallation prise en rfrence pour la prsente tude tant un four rebouilleur du CPF
(Cental Process Facilities) au sein de la raffinerie dhydrocarbures Sonatrach/BP/Statoil du
site industriel In Amenas.
Dans une unit ptrolire, le rle du four est dapporter la chaleur ncessaire au
rchauffement des fluides en les portant des niveaux de temprature leve. Le four
rebouilleur H-101 est destin au rchauffement du lhuile pour alimenter les changeurs de
chaleur situs dans les trois trains de lunit de traitement de gaz.

Huile Te=240C
06E322ABC

H 321

Fuel gaz
Train 1

TS=285C

Train 2
Train 3

Figure 3.1

Schma du circuit dhuile chaude

Dans le CPF, lhuile des changeurs 06E322ABC passe travers les pompes, dans le
four 240C. Le fluide sortant porter 285C est renvoy vers les changeurs 06E322ABC
comme reflux chaud pour un change thermique entre ce fluide (lhuile) et le condensat
passant dans la partie tubulaire des changeurs. (Voir figure 3.1).
Le four H321 est de type cylindrique vertical compos de deux zones :
Dune zone de radiation (chambre de combustion) intrieurement garnie par un matriau
rfractaire isolant. Dans cette chambre se trouvent des tubes exposs la flamme et
recevant par rayonnement la chaleur dgage des produits en combustion ;

59

Chapitre 3. Application un four rebouilleur


Dune zone de convection (ventuellement garnie) installe la sortie des fumes de la
chambre de combustion et constitue dun faisceau tubulaire plac perpendiculairement
la direction des fumes ;
Une chemine: dvacuation des fumes.
Daccessoires: Portes daccs, brleurs, pilotes, thermocouples et diverses connexions
ncessaires au fonctionnement du four.

Chemine

Zone de
convection

Zone de
radiation

Brleur

Fig. 3.2

Architecture du four rebouilleur H321

3.3 Analyse structurelle et fonctionnelle du systme four rebouilleur


Pour une meilleure description du systme tudi une analyse structurelle et
fonctionnelle savre indispensable. Le but de cette analyse est de dcomposer le systme et
identifier les diffrentes fonctions de chaque partie de ce systme.
Les rsultats de cette analyse sont indiqus dans le tableau 3.1 suivant :

60

Chapitre 3. Application un four rebouilleur

Sous-systmes

quipements

Composants
C111 : Vanne FV 3202
[rgulation de pression de fuel
gaz en fonction de la
temprature de liquide]

E11 : circuit comburant (Fuel Gaz)


[Assure lalimentation en
combustible]

C112 : Les pilotes


[Garantir une flamme continue
pour lamorage du fuel gaz]
C113 : Les brleurs

SS1 : circuit
[Raliser la combustion de

dalimentation

fuel gaz]
[Alimentation du
four rebouilleur]

C121 : Pompes P301 A/B/C


[pomper lhuile lentre du
four]
E12 : circuit Liquide (lhuile)
[Assure lalimentation en huile des
changeurs]

C122 : Vanne FV 3200


[rgulation de dbit de liquide]
C123 : Serpentin
[Assure la circulation et
lchauffement du liquide]

Tableau 3.1 Dcomposition du four H321

61

Chapitre 3. Application un four rebouilleur

Sous-systmes

quipements

Composants
C211 : DCS (SOLVER)
[Adaptation du dbit de
liquide lentre de four par

E21 : contrle de dbit

action sur la vanne FV 3200]

[Contrle le dbit du liquide

C212 : Dbitmtre FT 3200

lentre du four]
[Mesure le dbit du liquide
lentre de four]
SS2 : de contrle
[contrle des

C221 : DCS (SOLVER)

paramtres du

[Adaptation de temprature de

procd]

liquide la sortie de four par


action sur la vanne TV 3213]
E22 : contrle de temprature
[Contrle la temprature du

C222 : Thermocouple TI 3213

liquide lintrieur et la sortie

[Mesure la temprature du

du four]

liquide la sortie du four]


C223 : Indicateurs de
temprature locale TI
[Indique la temprature]

Tableau 3.1 Dcomposition du four H321 (suite)

62

Chapitre 3. Application un four rebouilleur

Sous-systme

Equipement

Composant

E31 : TAH/ FAL/ PAL/PAH

C311 : Thermocouple TI/


Dbitmtre FT/ Transmetteur
de pression PT

[alarme de haute temprature du


SS3 : dalarmes

lhuile chauff]

[Faire alerter

[alarme de bas dbit du lhuile

loprateur par un

lentre du four]

signal audio-visuel]

[alarme de basse/ haute pression de


fuel gaz]

[Mesure la temprature du
liquide la sortie du four/
Mesure le dbit du liquide
lentre de four/ mesure la
pression de fuel gaz]
C312 : DCS
[Adaptation de la mesure de
temprature, dbit et pression
une alarme audio-visuelle]
C411 : Thermocouple TI/

SS4 : darrt
durgence
[Mettre le four a
ltat darrt]

E41 : TAHH/ FALL/ PALL/PAHH

Dbitmtre FT/ Transmetteur

[alarme de trs haute temprature

de pression PT

du lhuile chauff]

C412 :SDV3210/ SDV 3211

[alarme de trs bas dbit du lhuile [Isolement de la ligne de gaz


combustible]
lentre du four]
[alarme de trs basse et haute
pression de fuel gaz]

C413 : PLC
[[Assurer les missions de mise en
scurit du four par action sur les
vannes SDV 3210/ 3211]

Tableau 3.1 Dcomposition du four H321 (suite)

63

Chapitre 3. Application un four rebouilleur

3.4 Identification des scnarios daccidents


Lidentification des scnarios daccidents pouvant se produire dans le four rebouilleur H
321 est faite moyennant la mthode HAZOP, lutilisation de la mthode HAZOP permet
didentifier les causes, les consquences et les barrires de mesures de scurit mises en
uvre dans le systme pour faire face au dveloppement de ces scnarios.
Le tableau 3.2 de HAZOP montre ces diffrentes causes et consquences et barrires de
scurits existantes au niveau du four rebouilleur H-101.

64

Chapitre 3. Application un four rebouilleur

SYSTEME TUDIE : Four Rebouilleur 06-H-321, N du dessin (P&ID) : 537-434-162-BA-0, N de RVISION : 0.

PARTIE CONSIDERE : Serpentin du four depuis


l'admission dhuile (avant la mesure du dbit), jusqu' la sortie
(aprs contrle de la temprature)

Motguide

lment

Dviation

Causes possibles

La vanne FV 3200
ferme

NE
PAS
FAIRE/
MOIN
S

Dbit
dhuile

Pas/ Moins
de dbit

Mauvaise
manipulation sur
lune des vannes
manuelles lentre
de H-321 (ferme)

INTENTION DE
CONCEPTION :

Entres : Alimentation en huile, chaleur du four

Activits : Vaporisation partielle, surchauffe et transfert du

Consquences

Pas du liquide dans H321, endommagement


de serpentin (incendie)
& arrt d'unit
(possible arrt module)

Pas de dbit dans lun


des pass du H-321,
temprature leve,
endommagement de
serpentin (incendie) &
arrt d'unit (possible
arrt module)

Protections

Commentaires

Mesures

prendre

Responsable
des mesures

- Oprateurs
- FAL : alarme
- Arrt durgence de H-321

- FAL alarme
-Arrt durgence de H-321
- Oprateurs

Tableau 3.2 Feuille de prsentation HAZOP


65

Chapitre 3. Application un four rebouilleur


SYSTEME TUDIE : Four Rebouilleur 06-H-321

Motguide

lment

Dviation

Causes possibles

La vanne PCV
3211 ferme

NE
PAS
FAIRE/
MOIN
S

Dbit de gaz
combustible

Pas/ Moins
de dbit

Consquences

Pas de fuel gaz pour H321, basse temprature


la sortie de H-321,
passage possible de
produit en OFF-SPEC

Protections

Commentaires

Mesures

prendre

Responsable
des mesures

- PAL : alarme
- Arrt durgence de H-321

- PAL : alarme

La vanne FV 3200
ferme

Pas de fuel gaz pour H321, basse temprature


la sortie de H-321,
passage possible de
produit en OFF-SPEC

- Arrt durgence de H-321

Tableau 3.2 Feuille de prsentation HAZOP (suite)

66

Chapitre 3. Application un four rebouilleur

SYSTEME TUDIE : Four Rebouilleur 06-H-321

Motguide

PLUS

lment

Dbit de gaz
combustible

Dviation

Causes possibles

Consquences

La vanne PCV
3211 ouverte

Haut dbit de fuel gaz


pour H-321, haute
pression de fuel gaz
pour les bruleurs, haute
temprature la sortie
de H-101(explosion) &
arrt d'unit (possible
arrt module)

La vanne FV 3200
ouverte

Haut dbit de fuel gaz


pour H-321, haute
pression de fuel gaz
pour les bruleurs, haute
temprature la sortie
de H-101(explosion) &
arrt d'unit (possible
arrt module)

Plus de
dbit

Protections

Commentaires

Mesures

prendre

Responsable
des mesures

- PAH : alarme
- Arrt durgence de H-321

- PAH : alarme
- Arrt durgence de H-321

Tableau 3.2 Feuille de prsentation HAZOP (suite)

67

Chapitre 3. Application un four rebouilleur

3.5 Dtermination du SIL des scnarios


3.5.1 Dtermination des paramtres C,P,F et W
3.5.1.1 Consquence
Le choix des consquences tudier est fonction de la mthodologie dvaluation des
risques adopte par lentreprise et des ressources quelle doit mettre en place pour affiner
lanalyse [. Ainsi, les consquences bases sur plusieurs critres :
 Les personnes : Blessure, Mort ;
 Lenvironnement : pollution, rejets des matires dangereux
 Perte de production: Dgradation de la capacit de linstallation, arrt de lunit ou
lusine).
On sintresse dans notre tude aux scnarios donnant comme consquence une atteinte
lhomme.
Scnario

Consquence

Critique plusieurs morts

Haut dbit du fuel gaz

Extinction de la flamme et
son rapparition peut
provoquer une explosion
Endommagement du
serpentin (Incendie)

Marginale blessures graves ou


mort dune personne

Faible dbit dhuile


lentre du four

Description

Tableau 3.3 Description des consquences de scnarios

3.5.1.2 Taux de demande


Le taux de demande est calcul partir des frquences des vnements initiateurs des
scnarios et qui sont identifis par lanalyse prliminaire HAZOP

68

Chapitre 3. Application un four rebouilleur


Scenario

Evnement initiateur

Frquence

Rf

Sc1 : Haut dbit du -Dfaillance de


fuel gaz (explosion)
vanne FV 3202

la 1/10 an

[ICS 09, JK 04]

-Dfaillance de
vanne PCV 3202

la 1/10 an

[ICS 09, JK 04]

-Dfaillance de
vanne FV 3200

la 1/10 an

[ICS 09, JK 04]

Sc2 : Faible dbit


dhuile (Incendie)

Tableau 3.4 Frquence des vnements initiateurs des scnarios

3.5.2 Fuzzification des donnes de scnarios


Les donnes dentres sur les scnarios en terme de taux de demande ont t dj obtenues
dans la 3.5.1.1 et 3.5.1.2 Concernant la consquence, il est clair que les consquences
correspondantes identifies sont de lordre critique se rapportant le mort de plusieurs
personnes pour le premier scnario et marginale se rapportant une blessure graves ou mort
dune personne pour le deuxime scnario 2.
Les donnes relatives la vitesse dvitement et la PFD de lalarme/oprateur doivent tre
introduites au systme dinfrence floue de Mamdani (pour fuzzification) sous forme de
valeurs uniques (singletons), pour obtenir la probabilit dvitement des scnarios tudis

Figure 3.3 Processus dinfrence de la probabilit dvitement


floues Cas du

69

Chapitre 3. Application un four rebouilleur

3.5.3 Rsultats obtenues


En utilisant le simulateur du Matlab, lensemble doprations dinfrence se fait de
manire automatique. La figure suivante reprsente une illustration du processus dinfrence
floue pour le scnario 1.
RRF=2.9

Figure 3.4 Processus dinfrence des rgles flous : cas Sc1


Un rcapitulatif de rsultats de lvaluation est reprsent sur le tableau 3.
Scnario
Entre

Haut Dbit du fuel


gas

Sortie (SIL)

Graphe de risque
conventionnel

[0,1- 1]

[0-25]

41

0,2

SIL 3

Graphe de risque flou

SIL2- 0,8/SIL3-0.4

SIL1- 0,7/SIL2-0.5
Faible dbit de
lhuile

SIL 2
[0,01-0,1]

[0-25]

41

0,1

Tableau 3.5 Comparaison des rsultats de lvaluation du SIL des scnarios.


70

Chapitre 3. Application un four rebouilleur


 Discussion des rsultats

La comparaison des rsultats des deux approches dvaluation du SIL montre une
diffrence comme montr sur le tableau prcdent.
Nous constatons que le SIL dtermin par graphe de risque flou est caractris par une
appartenance progressive plus dun niveau.
Dans le cas du premier scnario, le SIL appartient aux niveaux 2 et 3 avec des degrs
dappartenance respectivement 0 .8 et 0.4. De mme, pour le scnario 2, le SIL appartient
galement deux niveaux 1 et 2 avec des degrs dappartenance respectivement 0 .7 et 0.5.
Cette comparaison montre quil ya surestimation du SIL dans le cas des deux
scnarios malgr que cette surestimation conduit un rsultat conservative menant la
conception dune intgrit de la scurit suffisante, elle conduit galement des couts
dinstallation du SIS et dentretien plus levs.

3.6 Conclusion
Lobjet de ce chapitre est lapplication du modle graphe de risque floue propos sur un
systme oprationnel four rebouilleur H 321 et la comparaison des rsultats ceux obtenus
par le graphe de risque conventionnel.
Une application un systme oprationnel a servi de support la validation du modle
propos.
Le modle graphe de risque flou propos a des avantages suivants
Il prserve les quatre paramtres utiliss de graphe conventionnel
Les chelles avec valeurs linguistiques sont utilises pour valuer les paramtres de
risque et ltalonnage du modle peut tre fait en faisant varier les valeurs de paramtres
du graphe.

71

Conclusion gnrale

Conclusion gnrale
Bien que les graphes de risque conventionnels sont faciles et simples mettre en uvre, ils
peuvent conduire des rsultats incohrents qui peut entrainer une surestimation ou sousestimation du SIL. En effet lutilisation des paramtres dcrits qualitativement peut conduire
des fausses interprtations. Dautre part, ltalonnage des paramtres du graphe de risque
laide des intervalles discrets viole la transition progressive entre les intervalles.

Travail ralis
Notre travail a la prtention davoir abord le problme de dtermination du SIL par la
mthode graphe de risque et davoir tent de dvelopper et valider le modle flou propos.
Les concepts densemble flou, de variable linguistique et de rgle floue issus de cette logique
nous ont permis de prendre en compte :
Le problme de reprsentation des donnes relatives aux paramtres du graphe (C,F,P et
W). En effet, les chelles floues ont la capacit de dcrire la continuit des catgories avec
une transition progressive de lune lautre ;
Le problme de caractrisation du SIL : Un indice du SIL pouvant appartenir plus dune
catgorie avec des degrs dappartenances diffrents.
Le modle du graphe de risque flou propos est bas sur un systme dinfrence base de
rgles floues appliqu lvaluation du SIL. Le graphe de risque flou

constitue un

complment du graphe conventionnel qui sert de table de dcision pour le premier. Le


modle graphe de risque flou est dot dune flexibilit qui lui permet de traiter les variables
linguistiques et incertaines. Les paramtres dentre appliqus au systme dinfrence sont
soit des donnes dexpertise, soit le rsultat dun modle danalyse des risques tels que larbre
de dfaillances et larbre dvnement.

72

Conclusion gnrale

Les rsultats de ltude de SIL inhrents un systme four rebouilleur montrent que le
modle flou dvelopp offre la possibilit de prserver linformation figurant sur le graphe
conventionnel mais avec lopportunit de pouvoir manipuler et traiter les donnes incertaines
et imprcises relatives au systme, quelles soient qualitatives ou quantitatives.
Le modle flou propos prsente un avantage trs clair par rapport graphe de risque
conventionnel, celui de permettre une prise de dcision sur la base dun niveau du SIL prcis
et par consquent, de mener bien une dmarche de rduction des risques dans le cadre dun
investissement rationnel.

73

Bibliographie

Bibliographie
[BAU 05]

C. Baudrit, Reprsentation et propagation de connaissances imprcises et


incertaines : application lvaluation des risques lis aux sites et aux sols
pollus , Universit de Toulouse III Paul Sabatier, France, 2005.

[BEU 06]

Beugin, J. (2006). Contribution lvaluation de la scurit des systmes


complexes de transport guid. PhD thesis, Universit de Valenciennes et du
Hainaut-Cambrsis, France.

[BEU 07]

Beugin, J., Renaux, D., and Cauffriez, L. (2007). A sil quantification approach
based on an operating situation model for safety evaluation in complex guided
transportation systems. Reliability Engineering and System Safety, 92
:16861700.

[BOU 95]

B. Bouchon - Meunier, La logique floue et ses applications - Vie artificielle ,


Ed. Addison - Wesley France, Paris, 1995.

[BOW 95] J. B. Bowles and C. E. Pelez, Fuzzy logic prioritization of failures in a


system failure mode, effects and criticality analysis , Reliability Engineering
& System Safety, vol. 50, no. 2, pp. 203213, 1995.
[CHA 02]

Charpentier, P. (2002). Artchitecture d'automatisme en scurit des machines :


Etude des conditions de conception lies aux dfaillances de mode commun.
PhD thesis, Nancy Universit, Institut Nationnal Polytechnique de Lorraine,
France.

[DEA 99]

S.Dean, IEC 61508-Assessing the Hazard and Risk, Sauf consulting Ltd, 1999.

[DEM 67]

A. P. Dempster, Upper and lower probabilities induced by multivalued


mapping , Annals of mathematical statistics, no. 39, pp. 325-339

[DES 03]

Desroches, A., Leroy, A., and Valle, F. (2003). La gestion des risques :
principes et pratiques, volume 1. Lavoisier, France.

[DUB 88]

D. Dubois and H. Prade, Possibility theory : An approach to computerized


processing of uncertainty , Plenum Press, 1988.

[DUB 94]

D. Dubois et H. Prade, La fusion dinformations imprcises , Traitement du


Signal, pp. 447458, 1994.

[EN50126
99]

EN50126, Railway applications. The specification and demonstration of


reliability, availability, maintainability and safety (RAMS), 1999.

[EN50128
01]

EN50128, Railway applications. Communications, signalling and processing


systems. Software for railway control and protection systems, 2001.

74

Bibliographie
[EN50129
98]

EN50129 , Safety related electronic systems for signalling, 1998.

[EXI]

Exida. Safety Equipment Reliability Handbook. 2nd Edition.

[FAR 67]

Farmer., F. R. ,Siting criteria : a new approach. Atom, chapter 128, page


152166, 1967.

[GUL 04]

W.G. Gulland, Methods of determining Safety Integrity level (SIL)


requirements-Pros and Con, in : Safety Critical Symposium, 2004, pp. 105-122.

[GUO 06]

Guo, H. and Yang, X, A simple reliability block diagram method for safety
integrity verification. Reliability Engineering and System Safety, 92 :12671273,
2006.

[ICS 06]

Groupe de travail ICSI Frquence des vnements initiateurs daccidents et


disponibilit des barrires de protection et de prvention , Institut pour une
Culture de Scurit Industrielle, 2006.

[IEC61508
98]

IEC61508, Functional safety of electrical/electronic/programmable electronic


(e/e/pe) safety related systems. International Electrotechnical Commission
(IEC), 1998.

[IEC61511
00]

IEC61511, Functional safety : Safety instrumented systems for the process


industry sector. International Electrotechnical Commission (IEC), 2000.

[INN 08]

Innal, F. ,Contribution la modlisation des systmes instruments de scurit


et lvaluation de leurs performances Analyse critique de la norme CEI 61508.
PhD thesis, Universit Bordeaux I, France, 2008.

[JK 04]

JK joint venture Vendor instrument integrity level report ,In Amenas,2004.

[MAS 92]

D. W. Massaro, Broadening the domain of the Fuzzy Logical Model of


Perception. In: H.L. Pick, P. Van Den Broek et D.C. Knill (Eds), Cognition:
Conceptual and methodological issues, Washington, DC, 1992.

[MAZ 08]

Mazouni, M.-H, Pour une Meilleure Approche du Management des Risques : De


la modlisation Ontologique du Processus Accidentel au Systme Interactif
dAide la Dcision. PhD thesis, Nancy Universit, Institut Nationnal
Polytechnique de Lorraine, France, 2008.

[MEC 11]

Mechri.W,Evaluation de la performance des Systmes Instruments de Scurit


paramtres imprcis.Doctorat thesis,Tunis universit, Ecole Nationale
d'Ingnieurs de Tunis,2011.

[MKH 08]

Mkhida, A, Contribution lvaluation de la sret de fonctionnement des


Systmes Instruments de Scurit intgrant de lIntelligence. PhD thesis,
Nancy Universit, Institut Nationnal Polytechnique de Lorraine, France, 2008.

[NAI 09]

R. Nait-Sad, F. Zidani and N. Ouzraoui, Modified risk graph method using


fuzzy rule-based approach, Journal of Hazardous Materials, vol. 164, no. 2-3,
pp. 651-658, 2009.

[OHS 99]

OHSAS18001, Systme de management de la sant et de la scurit au travailSpcification - BSI, Afnor, 1999.

[ORM 04]

L.Ormos, I.Ajtonyi, Soft computing method for detemining the safety of


technological system by IEC 61508, in :Romanian-Hungarian Joint Sympsiom
on Applied Computational Inelligence, Timisoara, 2004.

75

Bibliographie
[RAU 93]

Rauzy, A, New algorithms for fault trees analysis. Reliability Engineering &
System Safety, 59(5) :203-211, 1993.

[RAU 04]

Rausand, M. and Hoyland, A, System Reliability Theory ; Models, Statistical


Methods and Applications. New York, Wiley, 2nd edition, 2004.

[RAU 06]

Rauzy, A., Dutuit, Y., and Signoret, J.-P, Assessment of safety integrity levels
with fault trees. In ESREL Estoril, Portugal, 2006.

[SAL 06a]

Sallak, M., Simon, C., and Aubry, J.-F, Aide la dcision dans la rduction de
lincertitude des sil : une approche floue/possibiliste. e-STA, Revue des
Sciences et Technologies de lAutomatique, 2006.

[SAL 06b]

Sallak, M., Simon, C., and Aubry., J.-F, Evaluating safety integrity level in
presence of uncertainty. In In KONBiN, The 4th International Conference on
Safety and Reliability, Krakow, Poland, 2006.

[SAL 07]

Sallak, M, Evaluation de paramtres de sret de fonctionnement en prsence


dincertitudes et aide la conception : Application aux Systmes Instruments
de Scurit. PhD thesis, Nancy Universit, Institut Nationnal Polytechnique de
Lorraine, France, 2007.

[SAL 08]

Sallak, M., Simon, C., and Aubry, J.-F, A fuzzy probabilistic approach for
determining safety integrity level. IEEE Transactions on Fuzzy Systems, 16(1)
:239-248, 2008.

[SCH 10]

Schonbeck, M., Rausand, M., and Rouvroye, J, Human and organisational


factors in the operational phase of safety instrumented systems : A new
approach. Safety Science, 48 :310-318, 2010.

[SHA 05]

R. K. Sharma, D. Kumar and P. Kumar, Systemic failure mode effect analisis


(FMEA) using fuzzy linguistic modeling , International Journal of Quality &
Reliability Management, vol. 22, no 9, pp. 986-1004, 2005.

[SIG 04]

Signoret, J.-P, High integrity protection system (hips)overcoming sil calculation


difficulties. Technical report, TOTAL document, Pau, 2004.

[SIG 06]

Signoret, J.-P, Managing risks in hips by making sil calculations effective. In


IQPC2006, Aberdeen, Great Britain, 2006.

[SIG 07]

Signoret, J.-P., Dutuit, Y., and Rauzy, A, High integrity protection systems
(hips) : Methods and tools for efficient safety integrity levels (sil) analysis and
calculations. In Risk, Reliability and Societal Safety Aven and Vinnem (eds),
2007.

[SIM 07]

Simon, C., Sallak, M., and Aubry., J.-F, SIL allocation of sis by aggregation of
experts opinions. In ESREL, Safety and Reliability Conference, Stavanger,
Norvge, 2007.

[SMI O4]

D.J. Smith, K.J.L. Simpson, Functional Safety : A straightforward Guide to


Applying IEC 61508 and related Standards, Elsiever Butterworth-Heinemman,
2004.

[VIL 87]

Villemeur, A, Evaluation de la fiabilit, disponibilit et maintenabilit des


systmes rparables : la mthode de lEspace des Etats. Number 2. Eyrolles,
1987.

76

Bibliographie
[VIL 98]

Villemeur, A, Sret de fonctionnement des systmes industriels. Number 2.


Eyrolles, 1998.

[ZAD 65]

L. Zadeh, Fuzzy sets , Information and Control, vol. 8, pp. 338353, 1965.

[ZAD 75]

L. Zadeh, The concept of a linguistique variable an dits application to


approximate reasoningIII , Information Sciences, vol. 8, no. 3, pp. 199-249,
301-357, 1975.

[ZAD 78]

L. Zadeh, Fuzzy sets as a basis for a theory of possibility , Fuzzy Sets and
Systems, vol. 1, pp. 328, 1978.

[ZAD 92]

L. Zadeh, The calculus of fuzzy if/then rules , AI Expert, vol. 7, pp.23-27,


1992.

[ZHA 03]

Zhang, T., Long, W., and Sato, Y ,Availability of systems with self- diagnostic
components-applying markov model to iec 61508-6. Reliability Engineering
Systems Safety, 80 :133141, 2003.

77

S-ar putea să vă placă și