Cours SIS

Systèmes instrumentés
de sécurité
www.iap.dz
F.BEKHSIS – DEPT IMT - IAP Novembre 2016

sommaire
1. Introduction générale;
2. Acronymes;
3. La sécurité fonctionnelle: principe et normes associées;
4. L’analyse des risques: démarche et méthodes;
5. Réduction des risques versus les objectifs SIL;
6. Méthodes d’allocation du SIL cible;
7. Systèmes instrumentés de sécurité;
8. Evaluation du SIL des SIF.
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 2

Introduction générale
Tchernobyl-Ukraine
26 Avril 1986, L'accident a été provoqué par l'augmentation

incontrôlée de la puissance du réacteur 4 de la centrale nucléaire
Lénine.
Le nombre de décès directement imputables à la radioactivité
varie entre 9 000, selon le rapport élaboré en 2006 par plusieurs
agences de l'ONU , et 90 000 selon Greenpeace,
Bhopal-Inde
2-3 décembre 1984, émission de 30t de MIC.

4 000 morts, 40 000 blessés , 200 000 impactés

Flixborough-UK
Le 16 juillet 1974, à 16 h 53, une explosion majeure a détruit une

partie de l'usine de Nypro à Flixborough.
Au total, 28 morts sur le site, 36 grièvement blessées et 53 blessures à
l'extérieur du site.

Flixborough
Galveston
Bhopal
Chaque
entreprise Tchernobyl
Systèmes
comporte de
des risques
sécurité : une
Seveso Challenger
nécessité pour
éviter les accidents
F.BEKHSIS – UFR IMT - IAP Novembre 2016 6

 Il y a encore des accidents, parfois mortels, et il y en aura toujours. En
effet chaque entreprise comporte des risques et le risque zéro
n’existe jamais.
 le risque peut être classé comme étant soit négligeable, acceptable ou

inacceptable. En effet, la fondation pour tout système de sécurité
moderne est de réduire le risque à un niveau acceptable ou niveau
tolérable. Dans ce contexte, la sécurité peut être définie comme
« Absence de risque inacceptable ».
 Deux approches permettent cette diminution du risque, la prévention

en minimisant la probabilité d’apparition d’un risque et la protection en
limitant les conséquences d’un dysfonctionnement.
 Pour réduire la probabilité d’apparition du risque, les Systèmes
Instrumentés de Sécurité (SIS) sont utilisés pour réaliser des
Fonctions Instrumentées de Sécurité (SIF) dont le rôle est la
surveillance des paramètres de fonctionnement et la mise en œuvre
d’actions de mise en repli lorsque le système se place dans des
conditions d’exploitation dangereuses.

Acronymes
• ALARP : As Low As Reasonably Practicable
• BPCS: Basic Process Control System
• CBA: Cost Benefit Analysis
• E/E/PE: Electriques/Electroniques/Electroniques Programmable
• EUC: Equipement Under Control
• ESD: Emergency Shut Down (système d’arrêt d’urgence)
• HAZOP: HAZard and OPerability study
• IEC: International Electrotechnical Comission (Commission International
d’Electrotechnique)
• IPL: Independent Protection Layers
• ISA: Instrument Society of America

Acronymes
• MDT: Mean Down Time (Durée Moyenne de non Fonctionnement)
• MTTR: Mean Time To Restoration (Durée Moyenne de Réparation)
• PFD: Probability of Failure on Demand (Probabilité de Défaillance à la

Demande)
• PFH: Probability of Failure per Hour (Probabilité de Défaillance par Heure)
• PFDavg: Average Probability of Failure on Demand (Probabilité de Défaillance
moyenne à la Demande)
• PCS: Process Control System (système de contrôle de procédé)
• SIS: Safety Instrumented System (Système Instrumenté de Sécurité)
• SIF: Safety Instrumented Function (Fonction Instrumenté de Sécurité)
• SIL: Safety Integrity Level (Niveau d’Intégrité de Sécurité)

La sécurité fonctionnelle:
principe
et normes associées

11
Sécurité fonctionnelle: principe
Réservoirs de stockage du pétrole brut
Salle de contrôle
Alarme: niveau élevé
LT
Le niveau du réservoir
continue de monter
malgré l'intervention
de l'opérateur du
tableau.
Le système de
contrôle de procédé
L'opérateur décide de fermer
(PCS) a échoué pour
la soupape de sécurité et va
une raison encore
sur le site pour vérifier
inconnue
Réservoirs de stockage du pétrole brut
Salle de contrôle
Alarme: niveau élevé
LT1
LT2
Le niveau du réservoir
continue de monter
Système malgré l'intervention
d'arrêt de l'opérateur du
tableau.
Le système PSS lance des actions Le système de

automatiques de sécurité : fermeture de la contrôle de procédé
(PCS) a échoué pour
soupape de sécurité, et renvoie également
une raison encore
des données à la salle de contrôle. inconnue
Sécurité fonctionnelle (SF)
Sécurité assurée par une fonction

instrumentée de sécurité (SIF)
implémentée par un système
instrumenté de sécurité (SIS)
Capteur(s) Solveur(s) Elément(s)

logique(s) Final(finaux
Détection Réalisation
Décision de l’action
de sécurité

Normes en sécurité fonctionnelle
 Toute la difficulté est d’estimer le risque que présente le process et d’évaluer la
diminution du risque que doit apporter le système instrumenté de sécurité.
 Pour concevoir les systèmes SIS, deux normes sont utilisées : l'ANSI/ISA
S84.01-1996 et l'IEC 61508s. Ces deux normes sont fondées sur le principe de
l'évaluation de la réduction du risque nécessaire pour atteindre un niveau de
risque acceptable.
 Les normes CEI 61508s établissent les prescriptions relatives à la spécification,
la conception, l'installation, l'exploitation et la maintenance du SIS, afin d'avoir
toute confiance dans sa capacité à amener et/ou à maintenir le procédé dans un
état de sécurité.

IEC 61508
 La norme CEI 61508, publiée récemment (sa première édition : en décembre
1998) par la Commission Electrotechnique Internationale, est intitulée
« sécurité fonctionnelle des systèmes E/ E/ EP (électriques,
électroniques et électroniques programmables) relatifs à la sécurité ».
 Systèmes cibles de la norme:

IEC 61508
 Afin de couvrir les multiples aspects des systèmes E/E/PE, la norme comprend
7 parties :
 61508-1 : Prescriptions générales;
 61508-2 : Prescriptions propres aux systèmes E/E/PE relatifs à la sécurité;
 61508-3 : Prescriptions relatives au logiciel;
 61508-4 : Définitions et abréviations;
 61508-5 : Exemples de méthodes pour déterminer le niveau d’intégrité de la
sécurité;
 61508-6 : Guides pour l’application des parties 2 et 3 de la norme;
 61508-7 : Présentation de techniques et mesures.

IEC 61508
 Les étapes de base commandées par la norme sont :
 Evaluer le risque existant et établir une cible de sécurité (risque acceptable);
 Identifier les fonctions de sécurité requises;
 Identifier les fonctions a confier a des systèmes E/E/EP et fixer leur objectif en
termes d’intégrité de sécurité;
 Implémenter les fonctions instrumentées de sécurité et en déterminer le SIL;
 Vérifier que le système instrumenté de sécurité permet d’atteindre la cible de
sécurité exigée au départ.

IEC 61508/IEC 61511
 L’IEC 61508 est conçue comme base pour d’autres normes dédiées par
secteur.
 Relation entre les normes CEI 61508 et CEI 61511

IEC 61508/IEC 61511

IEC 61511

IEC 61511-cycle de vie de sécurité

L’analyse des risques:
démarche et méthodes

23
L’analyse des risques
Vocabulaire
une fonction de sécurité instrumentée est inutile si elle n’est pas liée à un
danger ou à un évènement dangereux.
Qu’est ce qu’un danger?
 Le danger est lié à un état (ex: propriété intrinsèque d’un produit tel
que inflammables, explosif, toxique, corrosif, etc...) ou à une situation
(ex: pression, température, etc…).
 La définition de la norme est « source potentielle de blessure »
Qu’est ce qu’un risque?
 Le risque est la combinaison de la probabilité d’occurrence d’un

dommage et de sa gravité.
 Cela signifie que l’on a quantifie les effets su la santé et

l’environnement.

Démarche
 La démarche d’analyse des risques s’appuie sur une méthodologie
comportant trois phases:
1. Identifier tous les dangers et les évènements dangereuses;
2. Analyser les dangers et les évènements dangereuses;
3. Réduire les risques lorsque c’est nécessaire.
 Le but de cette démarche est de définir tous les dangers liés au

procédé, ou aux équipements, et de déterminer pour chaque scénario
le risque final en fonction des barrières installées.
 Cette démarche nécessite un travail de groupe d’experts: les

ingénieurs de processus, les spécialistes en danger et en risque, les
directeurs en sécurité ainsi que les ingénieurs instrumentistes.
Méthodes
 Il existe plusieurs méthodes d’analyse de risque, ces méthodes se
déclinent en trois principaux types :
 Méthodes qualitatives: celles dans lesquelles les risques sont

exprimer par des mots;
 Méthodes quantitatives: celles dans lesquelles les risques sont

exprimer par des chiffres;
 Méthodes semi-quantitatives: dans lesquelles en trouve des mots

et des chiffres.
 Les principales méthodes utilisées sont: HAZOP, AMDEC, Arbre de

défaillance, le BOW TIE

Méthodes
 L’application des méthodes d’analyse des risques fait appel à des
raisonnement de type:
 Inductif: CAUSES → EFFETS
Consiste, à partir des causes identifiées, à rechercher les évènements

indésirables pouvant conduire à des dommages;
Exemple: AMDEC, HAZOP, APR…
 Déductif: EFFETS → CAUSES
Consiste à rechercher tous les défaillances ou déviations pouvant être à

l’origine d’un évènement indésirables;
exemple;: arbre des causes, arbre des défaillances…

Méthodes d’analyse des risques
APR
 APR (Analyse Préliminaire des Risques)
 Consiste à recenser les dangers liés aux produits ou aux équipements

utilisés;
 Elle tire les enseignements des incidents et accidents séminaires

répertories;
 Elle tien comptes des interactions avec l’environnement (risque naturels…);
 recenser les paramètres importants du procédé avec leurs valeurs

nominales;
 Elle analyse ensuite les causes et les conséquences de leurs déviations par
rapport aux conditions optimales de fonctionnement;
 Elle permet enfin de mise à disposition d’éléments pour la conception des

systèmes de conduite et des systèmes de sécurité (en particuliers des
SIS).

APR
 Exemple de résultat APR
fonction ou système: déchargement camions date:01/01/2000
N produit ou
situation
équipement
de danger causes conséquences P G C sécurités existantes
Chauffeur habilité
collision d'un camion déconnexion ou
erreur du Signalisation des poste libres
1 en manœuvre sur arrachement d'un bras 3 4 7
chauffeur Sens de circulation clair
autre camion en poste articulé
Vitesse camions faible
collision d'un camion erreur du fuite au niveau d'un Structures de l'ilot protégées par barriéres
2 2 3 5
sur un ilot de pierre chauffeur bras articulé métalliques et par des bornes au sol
erreur du
camion- absence de serrage déplacement d'un Terrain plat
chauffeur
3 citerne d'un frein à main camion et risque de 2 3 5 Serrage frein à main conditione ouverture des
Déffaillance
déconnexion d'un bras clapets internes hydrauliques
mécanique
circuits électriques Chauffeur habilité
non actionnement du erreur du
4 sont sous tension. 4 4 8
coupe-batterie chauffeur Mode opératoire et consigne de sécurité
Risque d'inflammation
non raccordement de erreur du inflammation vapeurs Vannes et compresseur de transfert asservis à la
5 1 4 5
la citerne à la terre chauffeur par électricité statique mise à la terre de la citerne
3 niveaux de consignes déterminés
erreur humaine montée en pression Redondance sur la mesure de niveau et

(l'évaluation dans la sphère ou déclenchement de la mise en sécurité : sonde
6 surremplissage 2 4 6 LARCO (principe optique)+ jauge de niveau à
de la quantité débordement par les
sphère est fausse) soupapes principe électromécanique avec comme action
arrêt du compresseur+fermeture vannes
Emlpissages sphère par compresseur
flux thermique 2 soupapes tarées à 15,7bar
détérioration vone
7 mise en surpression à proximité 2 4 6 Capteur de pression reporté en salle de contrôle
BLEVE de la sphère
surremplissage Arrosage automatique sphère
AMDEC
 AMDEC (Analyse des Modes de Défaillances de leurs Effets et de
leur Criticité)
 AMDE : consiste à considérer systématiquement, l’un après l’autre,

chacun des composants du système étudié et à analyser les causes et
les effets de leurs défaillances potentielles
 AMDEC : équivalent à l’AMDE, en y ajoutant la criticité du mode de

défaillance, dont l’estimation nécessite la connaissance des probabilités
d’occurrence des défaillances, et les gravités de leurs effets.
 Elle consiste donc à analyser les défaillances de chaque élément du

procédé et d’en déduire les effets sur l’élément, puis sur les sous
systèmes qui l’utilisent(boucle) et enfin sur le procédé lui-même.

AMDEC
 Exemple:
On considère une fonction de transfert de pièces réalisée par un manipulateur
pneumatique. Cette fonction est elle-même intégrée dans une fonction de
production.

AMDEC
 Exemple:
Matériel ou sous- Mode de
fonction cause Effet G F D C Détection Action
ensemble défaillance
Le distributeur Bobine grillée 1 2 3 6

Distributeurs ne bascule pas Mauvaise Alarme
Cycle bloqué 1 1 3 3
électropneumatiques quand il est connexion automate
commandé Tiroir bloqué 1 1 3 3
Rupture ou
Tubes L'air passe mal Cycle ralenti 1 1 4 4
pliure
Contrôle
Vérin grippé 2 2 4 16
Le vérin ne périodique
Vérins(vértical et
bouge pas ou Cycle ralenti
horizontal) Vérin usé (perte Contrôle
très lentement 2 2 4 16
d'étanchéité) Visuel périodique
Limiteur bouché
L'air passe mal Cycle ralenti 1 1 4 4
ou mal réglé
Transfèrer Limiteurs de débit
les pièces Le débit n'est Course du vérin
mal réglé 1 1 4 4
pas réduit trop rapide
Mauvais réglage 1 3 2 6
Non détection de Cycle bloqué Alarme
Capteur grillé 1 3 2 6
la position Marche dégradée automate
Capteurs Mauvaise
1 1 2 2
connexion
Détection Capteur en Cycle Contrôle par
3 2 4 24
permanente court-circuit désordonné automate
ventouse
Pas de transfert 1 3 4 12
bouchée Visuel
Ventouse Pas d'aspiration
Contrôle
ventouse usée Pas de transfert 1 1 4 4
périodique
Venturi Pas d'aspiration Encassement Pas de transfert 1 2 4 8

AdD
 Arbre des défaillances: Permet de déterminer les diverses combinaisons
d’évènements qui génèrent une situation indésirable unique, dont le diagramme
logique est réalisé au moyen d’une structure arborescente

AdD
Exemple arbre des défaillances

BOW TIES
 BOW TIES (nœud papillon): correspond à un arbre des défaillances avant
l’évènement redouté, puis à un arbre des évènements après cette évènement
redouté.
 Elle consiste donc à analyser tous les évènements conduisant à l’évènement

redouté, puis jusqu’aux effets en y plaçant les diverses barrières existantes:
 Les barrières placées avant l’évènement redouté s’appellent « barrières

préventives »
 Les barrières placées après l’évènement redouté s’appellent « barrières

protectrices »
 Cette méthode est adaptée lorsque les scénarios sont complexes (combinaison
d’évènements pour aboutir à l’occurrence du risque notamment).

BOW TIES
 Schéma type méthode nœud papillon:
Arbre des défaillances Arbre des évènements
Évènements
redouté
central
Barrières
causes Évènements Phénomènes Évènements
indésirables dangereux majeurs

BOW TIES
 Exemple méthode nœud papillon:

HAZOP
 HAZOP (HAzard and OPerability analysis)
 Les études HAZOP servent à identifier des dangers potentiels et des problèmes
d’exploitabilité provoqués par des écarts vis-à-vis de l’intention de conception
des usines de procédés nouvelles ou existantes.
 elles sont généralement réalisées régulièrement pendant toute la durée de vie

de l’usine:
1. Une étude HAZOP initiale ou préliminaire doit assurément être réalisée très tôt
au cours de la phase de conception;
2. Le procédé doit être examiné pendant l’avancement du développement, à

chaque proposition de modifications majeures;
3. et, enfin, à la fin du développement, afin de garantir l’absence de risque

résiduel avant l’étape de construction.

HAZOP
 La technique HAZOP
 Une étude HAZOP est réalisée au cours de réunions organisées entre les
parties concernées ayant une connaissance et une expérience suffisantes du
fonctionnement et de la maintenance de l’usine.
 La réunion est une session structurée de réflexion, au cours de laquelle des

mots-guides servent à stimuler la production d’idées sur les dangers
potentiels.
 Le procès-verbal de la réunion consigne les discussions et collecte les

informations sur les dangers potentiels, leurs causes et leurs conséquences.

HAZOP
 Equipe d’étude HAZOP
Nom Rôle
Président Explique le processus HAZOP, dirige les discussions et facilite l’étude

HAZOP. Personne ayant une bonne expérience de la méthode HAZOP,
mais pas directement impliquée dans la conception, afin de garantir le
respect scrupuleux de la méthode.
Secrétaire Consigne les discussions de la réunion HAZOP et fournit un compte
rendu de celles-ci. Consigne les recommandations ou actions.
Ingénieur de Généralement l’ingénieur responsable de l’organigramme des
procédé opérations de procédé et de l’élaboration des diagrammes de
tuyauterie et d’instrumentation (P&ID).
Utilisateur/opérateur Fournit des conseils sur l’utilisation et l’opérabilité du procédé, ainsi
que sur l’incidence d’écarts.
Spécialiste C&I Personne ayant les connaissances techniques adaptées en commandes
et instrumentation.
Technicien de Personne chargée de la maintenance du procédé.
maintenance
Représentant de Fournit des détails relatifs à la conception ou des informations
l’équipe de supplémentaires.
conception

HAZOP
 Informations utilisées dans l’étude HAZOP
• Diagrammes de tuyauterie et d’instrumentation (P&ID) pour l’installation;
• Documentation de philosophie ou de description de procédé;
• Procédures de fonctionnement et de maintenance existantes;
• Diagrammes de causes et effets (C&E);
• Plans d’aménagement d’usine.
 Mots-guides
Le processus HAZOP utilise des mots-guides afin de focaliser l’attention de l’équipe

sur les écarts vis-à-vis de l’intention de conception, ainsi que sur leurs
éventuelles causes et conséquences. Il peuvent être:
 Mots-guides principaux: le débit, la température, la pression, le niveau, etc.
 Mots-guides secondaires: plus de température, moins de niveau, pas de

pression, écoulement inverse, etc.

HAZOP
 Consignation des études HAZOP
• Il est recommandé de consigner tous les événements et toutes les

combinaisons de mots-guides envisagés. Des outils logiciels ou des feuilles de
calcul toute simple sont disponibles pour guider l’équipe tout au long du
processus HAZOP et afin de consigner les discussions et les conclusions.
 Éléments d’un rapport HAZOP
1. Référence: chaque entrée puisse être référencée à partir d’autres analyses et

fournisse aussi une traçabilité vers des analyses consécutives.
2. Mot-clé: des mots-guides principaux et secondaires doivent être employés
3. Écart: désigne une divergence par rapport à l’intention de conception, il

représente le danger identifié.
4. Cause: causes potentielles pouvant aboutir à l’apparition de l’écart
5. Conséquence: les conséquences qui découleraient de l’effet de l’écart.
6. Mesures de protection: tout équipement de protection existant qui évite la

cause ou protège des conséquences.
HAZOP
 Exemple d’étude HAZOP

 L’exemple suivant présente un schéma simplifié d’un récipient
séparateur de procédé. Le liquide de procédé arrive dans le récipient et
est chauffé par un brûleur à gaz.
 La vapeur est séparée du liquide de procédé et dirigée vers une sortie.

Le reste du liquide concentré est évacué par le fond du récipient une
fois la réaction terminée.
 Le récipient est équipé d’un système numérique de contrôle-

commande (SNCC), lequel contrôle le niveau de liquide dans le
récipient, la pression du gaz et la température.

HAZOP

HAZOP

Référ Mot-guide Mot-guide
Écart Source de danger Conséquences
ence principal secondaire
Pression élevée
Rupture de récipient et Le gaz libéré s’enflamme sur le brûleur et au contact des
01.10 plus dans le
rejet de gaz. surfaces chaudes. Décès possible de deux techniciens de
récipient.
maintenance. Dommages aux équipements nécessitant
Pression
Pression faible le remplacement du récipient estimés à 10 millions € et
Rupture de récipient et
01.11 moins dans le arrêt de procédé pendant 1 année.
rejet de gaz.
récipient. Dégagement mineur dans l’environnement.
Le gaz libéré s’enflamme sur le brûleur et au contact des

La température élevée surfaces chaudes. Décès possible de deux techniciens de
Température
aboutit à une pression maintenance. Dommages aux équipements nécessitant
01.14 plus élevée dans le
élevée, à la rupture du le remplacement du récipient estimés à 10 millions € et
récipient.
récipient et au rejet de gaz. arrêt de procédé pendant 1 année.
Température Dégagement mineur dans l’environnement.
Gel potentiel de liquide Dommages aux équipements nécessitant le

Température
(solidification), rupture de remplacement du récipient estimés à 10 millions € et
01.15 moins basse dans le
récipient et perte de arrêt de procédé pendant 6 mois.
récipient.
confinement Rejet dans l’environnement nécessitant une déclaration.
Le niveau élevé dans le

Niveau élevé Dommages aux équipements en aval nécessitant le
récipient pourrait aboutir à
01.20 plus dans le remplacement du récipient estimés à 10 millions € et
un transfert de liquide dans
récipient. arrêt de procédé pendant 6 mois.
la sortie de gaz.
Niveau
Le niveau bas dans le
Dommages aux équipements en aval nécessitant le
Niveau bas dans récipient pourrait aboutir à
01.21 moins nettoyage du récipient estimés à 2 millions € et arrêt de
le récipient. une fuite de gaz dans la
procédé pendant 6 semaines.
sortie de liquide.

Réduction des risques versus
les objectifs SIL

46
Réduction des Risques
 Les principaux tests appliqués pour la régulation des risques industriels
consistent à déterminer si :
a) le risque est tellement élevé qu’il doit être refusé en bloc ;
b) le risque est ou a été rendu tellement faible qu’il est négligeable ;
c) le risque se situe entre les deux états (a et b) , risque tolérable (type ALARP)
RISQUE RISQUE
RÉSIDUEL RÉEL TOLÉRABLE RISQUE INITIAL
Réduction des risques nécessaire(exigée) Augmentation

des risque
Réduction des risques réelle
Risque partiel couvert Risque partiel couvert par

par un SIS un système non SIS
La réduction du risque est réalisée par des systèmes liés à la

sécurité et les installations externes de réduction des risques
Réduction des risques
Il est indispensable avant toutes études de définir le risque tolérable
Le risque tolérable: risque accepté dans certain contexte et fondé sur les valeurs
actuelles de la société. Ce risque tolérable est propre à chaque société, mais
les textes législatifs définissent des valeurs en fonction de l’impact sur les
populations avoisinantes
 Pour définir le risque tolérable d'une application spécifique, les points suivants
sont considérés:
 les lignes directrices émises par l'autorité réglementaire en matière de

sécurité;
 les discussions et accords avec les différentes parties impliquées dans

l'application;
 les normes et lignes directrices de l'industrie;
 les discussions et accords internationaux sur les critères de sécurité appropriés

pour les applications spécifiques.

 Selon le document HSE intitulé Reducing Risks, Protecting People (R2P2) La
synthèse de la tolérance des risques peut être représentée come suite:

Principe ALARP
ALARP(As Low As Reasonably Practicable:aussi faible que raisonnablement possible).
Région Le risque ne peut être justifié,

inacceptable sauf dans des situations
extraordinaires
Le risque n’est tolérable que:

- si toute autre réduction du risque est
impossible ou si son coût est manifestement
Région tolérable: disproportionné par rapport à l’amélioration
zone ALARP obtenue et
- si la société tire un avantage de l’activité,
compte tenu du risque associé
Analyse coût-bénéfice (CBA)
Région généralement
Le niveau de risque résiduel est
acceptable considéré comme négligeable et d’autres
mesures pour réduire le risque ne sont
généralement pas requises. Aucun travail
Risque négligeable détaillé n’est nécessaire pour démontrer
l’ALARP.
Principe ALARP
 le principe ALARP nécessite que tout risque soit ramené au plus bas niveau
possible ou jusqu'à un niveau qui soit aussi faible que possible de manière
raisonnable. Autrement dit jusqu’à ce que toute autre réduction du risque ne
soit pas rentable.
 la démonstration selon laquelle les risques ont été réduits jusqu’au niveau
ALARP inclut une évaluation :
a. du risque à éviter ;
b. du sacrifice (argent, temps ou problèmes) résultant de l’adoption des

mesures visant à éviter ce risque ;
c. une comparaison des deux.

Principe ALARP/CBA
 Une analyse coûts-bénéfices (CBA, Cost Benefit Analysis) peut aider à

déterminer si des mesures supplémentaires de réduction du risque sont
justifiées.
 Une analyse CBA doit uniquement servir à étayer des décisions ALARP. Elle ne
doit pas constituer le seul argument d’une décision ALARP.
 Constat: la réduction du risque est possible si:
 plus le risque est élevé, plus le FD l’est également;

• Le FD peut être considéré comme grossier à partir de 1;
• pour des risques faibles concernant le public, un facteur 2;
• un facteur jusqu’à 3 appliqués aux risques concernant les ouvriers ;
• un facteur de 10 pour les risques élevés.

Principe ALARP/CBA
 Les coûts à prendre en compte dans une analyse CBA sont: coûts de
l’installation, du fonctionnement et de la formation, les couts de toute
maintenance supplémentaire et les couts de pertes d’activité consécutives à un
arrêt décidé exclusivement en vue de mettre la mesure en place.
 Les bénéfices doivent inclure toute réduction du risque pour le public, les
ouvriers et la société en général, et peuvent inclure : décès évités, blessures
évitées (graves à mineures), pathologies évitées et atteintes environnementales
évitées.
 Les coûts considérés doivent uniquement être ceux nécessaires à

l’implémentation de la mesure de réduction du risque (pas de mesures
superflues ou visant à réaliser un gain financier).

Principe ALARP/CBA
 Certains indicateurs financiers utilisables.
1 336 800€
Décès
Blessure entraînant une invalidité permanente. Certaines 207 200 €

restrictions permanentes pour les activités de loisir et peut-être
certaines activités professionnelles.
Blessure Grave. Certaines restrictions pour les activités professionnelles 20 500 €

et/ou les loisirs pendant plusieurs semaines/mois.
Blessure légère de type coupures mineures et ecchymoses, avec 300 €

rétablissement rapide et complet.
Maladie entraînant une invalidité permanente. Comme pour les 193 100 €
blessures.
Maladie Autres cas de maladie. Plus d’une semaine d’absence. Pas de 2300 € + 180
conséquences permanentes pour la santé. € par jour
d’absence
Affection Jusqu’à une semaine d’absence. Pas de conséquences 530 €

mineure permanentes pour la santé.

Principe ALARP/CBA
Exemple: Considérons une usine dont une explosion d’un procédé

pourrait aboutir à :
 20 décès ;
 40 personnes souffrant de séquelles permanentes ;
 100 personnes gravement blessées ;
 200 personnes légèrement blessées.
 La fréquence de survenance de cette explosion est, après analyse,

d’environ 1E-5 par an, ce qui équivaut à 1 sur 100 000 par an. La
durée de vie estimée de l’usine est de 25 ans.
 Quel montant l’entreprise pourrait-elle raisonnablement investir afin

d’éliminer le risque d’explosion ?

Principe ALARP/CBA
Solution:
1. Décès : 20 x 1336 800 € x 1E-5 x 25 ans = 6 684 €
2. Personnes souffrant de séquelles permanentes : 40 x 207 200 € x 1E-5 x 25

ans = 2 072 €
3. Personnes gravement blessées : 100 x 20 500 € x 1E-5 x 25 ans = 512.5 €
4. Personnes légèrement blessées : 200 x 300 € x 1E-5 x 25 ans = 15 €
 Bénéfice total = 9 283.5 €.
Dans notre cas, le FD reflétera le fait que les conséquences de telles explosions
sont élevées, donc un FD supérieur à 10 est improbable et, par conséquent, il
peut être envisageable raisonnablement d’effectuer un investissement de l’ordre
de 93 000 € (9 283.5 € x 10) pour éliminer le risque d’explosion.

Principe ALARP/CBA
Application du principe ALARP
 Un coût de 2 millions € par objectif de vie sauvée est employé dans un secteur
particulier.
 Une cible de risque tolérable maximum de 1E-5 pa a été établie pour un danger
particulier, lequel est susceptible de provoquer 2 décès.
 Le système de sécurité proposé a été évalué et un risque de 8,0 x 1E-6 pa a été

prévu.
 Comme le risque largement acceptable (négligeable) est 10-6 pa, l’application

du principe ALARP est nécessaire.
 Dans cet exemple, pour un coût de 10 000 €, des instruments supplémentaires

et des mesures de redondance abaisseront le risque à 2,0 x 10-6 pa (juste au-
dessus de la région négligeable) pendant la durée de vie de l’usine (à savoir 30
ans).
 La proposition doit-elle être adoptée ?

Principe ALARP/CBA
Le nombre de vies sauvées pendant la durée de vie de l’usine est donné par :
N = (réduction de la fréquence de décès) x nombre de décès par incident x durée

de vie de l’usine
= (8,0 x 10-6 – 2,0 x 10-6) x 2 x 30= 3,6 x 10-4
Par conséquent, le coût par vie sauvée est :
VPF = 10 000 €/3,6 x 10-4 = 27,8 millions €
La valeur VPF calculée est supérieure à 10 fois le critère de coût cible par vie
sauvée de 2 millions €. Par conséquent, la proposition doit être rejetée.

Détermination des objectifs SIL
 L’analyse des risques (APR, AMDEC, HAZOP, …) permet d’identifier les sources
de danger et les événements redoutés inhérents à une installation bien définie.
 L’étape suivante est de déterminer les fonctions de sécurité (SIF) requises et de

déterminer à chaque SIF le SIL associé afin de réduire le risque identifié à un
niveau acceptable (tolérable).
 « Le SIL exigé d’une SIF doit être obtenu en tenant compte de la réduction du
risque requise, à fournir par cette fonction »
 C’est à partir de cette étape que l’on va définir les spécifications fonctionnelles
de sécurité et de performance de SIS. Pour ce faire, La CEI 61508 et la CEI
61511 décrivent deux types de méthodes :
 Méthodes qualitatives : graphe de risque, matrice de gravité des événements

dangereux, etc…
 Méthodes quantitatives : Analyse des couches de protection (LOPA), arbres des

Défaillances (AdD) et/ou Arbre d’Evénements (AdE),etc…

 Lors de l’évaluation de la défaillance d’un système de sécurité, deux options
principales sont disponibles, selon le mode de fonctionnement:
1. Systèmes fonctionnent sur sollicitation;
2. Systèmes à fonctionnement en mode permanent ou continu.

1. Systèmes fonctionnent à faible sollicitation ou à la demande
 lorsqu’une action spécifiée est effectuée en réponse aux conditions du procédé

ou à d’autres sollicitations. « Dans l’éventualité d’une défaillance dangereuse de
la fonction instrumentée de sécurité, un danger potentiel n’apparaît qu’en cas
de défaillance dans le procédé ou dans le BPCS ».
 Elles se caractérisent par:
 généralement séparées du procédé ;
 la défaillance de la fonction de sécurité aboutit à la perte de protection,

mais n’est pas à proprement parler dangereuse ;
 la fréquence de sollicitations de la fonction est faible, à savoir moins d’une

fois par an.
 L’exigence quantitative de SIL est de PFD (Probability of Failure on Demand)

2. Systèmes à fonctionnement continu ou permanent:
 travaillent en permanence pour maintenir un process dans un état non

dangereux. «lorsqu’en cas de défaillance dangereuse de la fonction
instrumentée de sécurité, un danger potentiel apparaît, sans autre défaillance,
sauf si une action est entreprise pour le prévenir ».
 Les caractéristiques clés d’une fonction de sécurité en mode continu sont :
 elle fournit généralement une fonction de régulation ;
 la défaillance de la fonction de sécurité aboutit généralement à une situation

dangereuse ;
 la fréquence de sollicitations de la fonction est élevée, à savoir plus d’une

fois par an, voire en continu;
 L’exigence quantitative de SIL est de PFH (Probability of Failure per Hour).

 PFD/PFH
 Les objectifs quantifies associes au SIL, dependent du type de sollicitation de la

fonction.
 La frontière entre faible et forte sollicitation est fixée a 1 par an ou a 2 fois la

fréquence des tests périodiques.
 Pour les faibles sollicitations, on se réfère a la moyenne de la probabilité de

défaillance a la demande sur [0, t] : PFDavg (average Probability of Failure on
Demand).
 Pour les fortes sollicitations, on se réfère a la probabilite de défaillance

dangereuse par heure sur [0, t] : PFH (Probability of Failure per Hour).

 PFD/PFH (exemple)
 Supposons usine a une moyenne de 1 incendie tous les 2 ans et que, si nous ne
faisons rien d’autre, cet incendie provoquera un décès. Donc on dit que la
fréquence de décès est de 0.5/an (le scénario le plus défavorable).
 Si on Installe un détecteur de fumée qui fonctionne 9 sur 10. Donc la fréquence

de décès diminuerait de 1 décès sur 2 ans à 1 décès sur 20 ans.
 Ainsi la probabilité de défaillance sur sollicitation (PFD) de ce détecteur est de 1

sur 10 (10 %), dans ce cas, PFD = 0,1.
 En résumé:
« le détecteur de fumée avec une valeur PFD de 0,1 réduirait la fréquence

de décès d’un facteur 10, soit un facteur de réduction de risque (RRF) de
10. PFD = 1/RRF. »

 Exemple de détermination de SIL cible
Etape1: déterminer la fréquence de danger, si c’est pas maitriser, e.g. 1décés/an
Etape2: spécifier un risque tolérable maximum; e.g.10-4/an.

Etape3:inclure toutes les mesures de protection existantes pouvant réduire la

fréquence du risque.
Etape3-1: l’alarme réduit la fréquence du danger de sa valeur PFD.
 mais le risque résiduel global, reste supérieur au risque tolérable maximum.

Etape3-2: d’autres mesures de réduction des risques peuvent inclure des

appareils mécaniques (limiteur de pression),des commandes de procédé,
instruments de mesure ou procédures, et chacune peut réduire le risque résiduel
de leur valeur PFD respective.

Etape4: il faut encore une autre couche, avec PFD 0,1. C’est la tâche du SIS.
Ce calcul, bien qu’effectué ici sous forme graphique, fournit la valeur PFD cible
pour notre SIS et permet de déterminer le niveau SIL cible.

 Niveau d'intégrité de sécurité (SIL)
 Pour spécifier de tels systèmes de sécurité , il faut commencer par faire une
analyse approfondie des phénomènes dangereux et voir comment on va s’y
prendre pour amener le risque à un niveau acceptable. Le système instrumenté
de sécurité constitue un des moyens pour réduire ce risque.
 Pour définir le niveau de réduction du risque, l’IEC 61508 a défini le SIL

(Security Integrity Level), c’est-à-dire le niveau d’intégrité de la sécurité que
doit avoir le système de protection.
 Dans l’application de la norme IEC 61508 et de celles qui en sont issues, la

performance d’un équipement de sécurité est quantifiée par son SIL, c’est-à-
dire son niveau d’intégrité de la sécurité. Le SIL définit la probabilité de
défaillance dangereuse que l’on s’autorise.

 Niveau d'intégrité de sécurité (SIL)
 La norme CEI 61511-1, clause 9.2.4 regroupe les probabilités PFD cible en
bandes ou niveaux d’intégrité de sécurité (SIL).
 Le SIL ne peut prendre que 4 valeurs possibles (de 1 à 4), et on ne cherche

donc pas à définir des valeurs précises des probabilités de défaillance
dangereuses, mais il faut que la valeur obtenue se trouve à l’intérieur de la
fourchette définie par le SIL.
 Plus le SIL a une valeur élevée, plus la réduction du risque est importante, par
exemple, un système de sécurité SIL4 apporte une réduction de risque
comprise entre 10 000 à 100000 alors que pour un système SIL1, cette
réduction est comprise entre 10 à 100 seulement.

Niveau d'intégrité de sécurité (SIL)
 C'est un nombre allant de ① à ④:
o SIL ④ est le plus haut niveau de sécurité
o SIL ① le plus bas
 Il représente l'ordre de grandeur de réduction de risque obtenu par la
fonction instrumentée de sécurité pour rendre le risque acceptable
 Plus le niveau SIL d'une boucle de sécurité est élevé :
o plus l'impact d'une défaillance d'une boucle de sécurité est important
o plus le taux de défaillance acceptable est faible

 Exemple d’application
 une zone de procédé est gérée par un opérateur 2 heures par jour. Une
surpression du procédé aboutira à une fuite de gaz et, selon les estimations, 1
fuite de gaz sur 10 entraînera une explosion et la mort de l’opérateur. L’analyse
indique que la condition de surpression se produira tous les 5 ans (taux de 0,2
pa).
 Supposons que la fréquence tolérable maximum pour le danger (décès de

l’opérateur suite à l’explosion) est 10-4 pa.
 Quelle est la probabilité PFD requise pour le SIS ?
 Réponse
 le taux de décès est : 0,2 pa x 2/24 x 1/10= 1,67 x 10-3 pa
 Par conséquent, le système de sécurité doit avoir une probabilité de défaillance

sur sollicitation := 10-4 pa/1,67 x 10-3 pa = 6,0 x 10-2, ce qui équivalant au
niveau SIL1
Méthodes d’allocation du
SIL cible

73
Méthodes d’allocation du SIL cible
Graphe de risque
 Le graphique de risque est une technique rapide et utile, applicable lorsque les
dangers à évaluer sont trop nombreux. Consiste à hiérarchiser les niveaux de
sécurité à partir de quatre paramètres liés à:
1. C (conséquence du risque) impact (nombre de blessés/morts, intensité de

l’impact environnemental… ) pouvant résulter de l’occurrence de l’évènement
indésirable.
2. F (taux d’occupation) utilisé uniquement pour les conséquences en terme de

sécurité du personnel. Caractérise la probabilité que la partie de l’installation
exposée soit occupée au moment de l’évènement indésiré .
3. P (probabilité d’éviter le danger):Probabilité que les personnes exposées

puisent éviter le danger la possibilité d'éviter le danger.
4. W (taux de sollicitation) probabilité (en nombre de fois par an) que

l’évènement indésiré survienne.

Graphe de risque
La classification repose sur une hiérarchisation en 6 classes d'exigences graduées de "a" à "b" en
passant par SIL1 à SIL 4:
La catégorie "a" correspond alors à "aucune exigence particulière de sécurité »
Les numéros 1, 2, 3 et 4 représentent les quatre SIL.
la catégorie "b" correspond à une situation inacceptable (le système instrumenté est insuffisant).

Graphe de risque
 Exemple de classification des paramètres du risque
CA Blessure mineure
CB Blessure sérieuse touchant une ou plusieurs
Gravité des conséquences personnes, mortel pour une personne
CC Mort de plusieurs personnes
CD Grand nombre de morts
Temps d’exposition au FA Rare

risque FB Fréquent
Probabilité d’éviter le PA Possible

phénomène dangereux PB Invraisemblable
Probabilité d’apparition W1 Très faible probabilité

d’un accident W2 Faible probabilité
W3 Forte probabilité

Graphe de risque
 Exemple1: une cuve de stockage de pétrole peut déborder et dégager des

vapeurs susceptibles de s’enflammer, avec comme conséquence plusieurs décès
sur le site. La probabilité de la survenance du danger pourrait être W1
(probabilité très faible). Il n’y a aucun moyen pour les employés de l’usine
d’éviter le danger si celui-ci se concrétise. Le personnel de l’usine est sur site
très rarement pour les activités de maintenance, lesquelles durent
généralement moins d’une heure par jour.

Graphe de risque
 Exemple2: un danger peut aboutir à de nombreux décès, avec une exposition

rare et un taux de sollicitation de 0,05/an, le taux de sollicitation se trouve
quelque part entre les catégories ‘faible’ et ‘moyen’, et une décision doit être
prise concernant le choix de la colonne (w1/w2) .
 Une approche prudente résulterait en un niveau cible SIL3.
 Une interprétation moins prudente aurait donné un niveau cible SIL2.

Graphe de risque
 Une phase de calibration ou d'étalonnage du diagramme de risque est

nécessaire.
 Elle permet d'adapter les paramètres en prenant en compte les spécificités de

l'entreprise et la réglementation.
 La difficulté est alors de calibrer le graphe. L'étalonnage des paramètres doit

permettre de prendre en compte toutes les situations sans pour autant obtenir
une échelle trop large qui ne permettrai pas une précision suffisante.
 En effet, selon les choix de l'analyste, les résultats peuvent rapidement passer
d'un niveau d'intégrité à un autre.

Graphe de risque
 Exemple de calibrage

Graphe de risque
 Exemple (fuite d’un gaz toxique):
• Phénomène dangereux :une importante fuite de gaz toxique provenant d’une

conduite de gaz. La réalisation de ce phénomène pourrait occasionner plusieurs
morts→(CC).
• Fréquence d’exposition :on suppose que la zone exposée au danger est

souvent occupée par le personnel de l’installation→(FB).
• Possibilité d’évitement :on considère que les effets du nuage toxique

s’observent après quelques minutes. On suppose donc que les gens ont la
possibilité de détecter ce nuage et sont bien préparés pour ce mettre dans un
endroit confiné→(PA).
• Fréquence d’occurrence de l’événement initiateur :la fuite de gaz peut

être due à deux causes principales : (1) erreur humaine (l’opérateur laisse la
vanne ouverte après une opération de maintenance), (2) endommagement de
la conduite par un projectile (suite à une explosion par exemple). La fréquence
de l’erreur humaine est estimée à 0.1/an, celle de la deuxième cause est
F.BEKHSIS
estimée à– 0.01/an→
DEPT IMT - IAP
W Novembre
= 0.1 + 0.01 = 0.11→(W 3). 2016 81
Graphe de risque
 Exemple (fuite d’un gaz toxique):
Pour réduire le risque de dispersion du

nuage toxique à un niveau acceptable, il faut
installer un SIS exécutant une fonction de
sécurité (arrêter l’alimentation en gaz) qui
répond au moins aux prescriptions d’un SIL3.

Matrice de risque
 La formule de calcul de risque :
 Classiquement, la représentation graphique de cette mesure est une matrice

dont l’abscisse correspond à la gravité (ou impact) et l’ordonnée à la
vraisemblance (ou probabilité).
 La gravité des conséquences peut être classée au moyen de descriptions

génériques : négligeable, mineure, grave, catastrophique.
 La quantification de la vraisemblance de survenance peut être classée de

manière descriptive de très fréquente à très rare, et il est possible d’affecter des
plages de fréquence à chaque catégorie.
 Ainsi, le tableau résultant permet une classification des risques allant de très
faible (TF), à faible (F), moyen (M), Élevé (E) et très élevé (TE), en fonction de
la catégorie de gravité et de la fréquence.

Matrice de risque
fréquences < 0,001/an < 0,01/an > 1/an >2/an

A B C D
très rare rare fréquente très fréquence

conséquences
négligeable TF TF F M
mineure TF F M E
grave F M E TE
catastrophique M E TE TE

Matrice de risque
 Exemple matrice de risque :

<
< 0,01/an < 0,25/an > 1/an > 2/an
0,05/an
A B C D E
Personnes Actif Environnement Réputation Jamais Jamais Déjà Se produit Se produit
entendu survenu survenu puslieurs puslieurs
parler dans dans le dans fois/an dans fois/an dans
le secteur secteur l’entreprise l’entreprise l’installation
Pas de pas de
pas d'effet pas d'effet SIL1
blessure dommage
Dommage
Blessure légère Effet Légère
léger (< 10 SIL1 SIL1
(< 1/an) léger incidence
000 $)
Blessure Dommage
Effet Incidence
mineure (< mineur SIL1 SIL1 SIL2
mineur mineure
1E-01/an) (< 100 000 $)
Blessure Dommage
Effet Incidence
majeure majeur SIL1 SIL1 SIL2 SIL3
localisé considérable
(< 1E-02/an) (< 500 000 $)
Dommage
Décès
majeur Effet Incidence
unique SIL1 SIL1 SIL2 SIL3 N/A
(< 10 millions majeur nationale
(< 1E-03/an)
$)
Dommages
Plusieurs
étendus Effet Incidence
décès SIL1 SIL2 SIL3 N/A N/A
(> 10 millions massif internationale
(< 1E-04/an)
$)
Matrice de risque
1. les fréquences de survenance doivent être quantifiées d’une manière

que soit cohérente avec la description et qui aboutisse au niveau SIL
cible correct.
2. les fréquences de risque tolérable maximum doivent être appropriées.
3. pour que les niveaux SIL cible soient incrémentés par ligne et par
colonne, les fréquences de survenance doivent aussi augmenter
considérablement entre chaque colonne.
4. pour les catégories commerciales, la fréquence de survenance des

dommages aux actifs doit être réaliste et cohérente avec le coût
d’implémentation de la fonction instrumentée de sécurité (SIF) requise.
5. Aucune protection n’est nécessaire en l’absence d’événement

dangereux.

Matrice de risque
 la matrice de risque nécessite un étalonnage

LOPA
 L’analyse des couches de protection ou LOPA(Layer of Protection Analysis) est
une méthode structurée, se déroule de manière similaire à une étude HAZOP,
pour calculer l’objectif de réduction du risque et les niveaux SIL cible.
 Elle évalue la réduction du risque en analysant la contribution de toutes les
couches de protection de l'entreprise en cas d'accident.
 Elle est utilisée pour déterminer quel SIL est assigné à chaque SIF et elle
permet de déterminer combien de couches de protection sont nécessaires pour
ramener le risque à un niveau tolérable.

LOPA
 LOPA: plusieurs couches de protection
Plan d’intervention (8)
Plan d’urgence site (7)
Protection post-décharge
(cuvette de rétention) (6)
Sécurités physiques (organes de

décharge (5)
Systèmes instrumentés de
sécurité (4)
Alarmes et intervention
humaines (3)
Conduite du procédé (2)

Conception
du procédé
(1)
LOPA
 les couches de protection doivent satisfaire les conditions suivantes :
 Les couches de protection doivent être indépendantes (IPL : Independant

Protection Layers),
 Chaque couche de protection doit être capable à elle seule d’assurer la

protection contre l’événement dangereux en question.
 Les couches (barrières) peuvent être de:
 prévention (diminution de la fréquence de l’occurrence de l’événement

dangereux : double enveloppe sur une tuyauterie, système d’arrêt d’urgence
(SIS),…).
 protection (réduction des impactes de l’événement dangereux : cuvette de

rétention, accès limité, alarmes et procédures d’évacuation, rideaux d’eau pour
limiter la dispersion d’un gaz toxique,…).

LOPA
 L'analyse comprend les étapes suivantes:
1. La définition de l'impact de l'événement redouté (gravité) ;
2. La détermination et l'énumération de tous les événements initiateurs;
3. La détermination et l' énumération de toutes les couches de protection qui

empêchent la propagation de l'événement initiateur conduisant à l'événement
redouté;
4. La détermination de l'efficacité des couches de protection en probabilité de

défaillance sur demande;
5. Le calcul de la fréquence de l'événement redouté.
6. La quantité totale de réduction du risque est ensuite déterminée, et le besoin

d’une réduction du risque supplémentaire est analysé.
7. Si une protection supplémentaire doit être fournie sous la forme d’un SIS, LOPA
déterminera le niveau SIL approprié et de la PFD requise.

LOPA
 Contenu des tableaux d’une revue LOPA:
 ID/réf. de danger: fournit un identifiant pour chaque danger;
 Description d’événement (danger);
 la conséquence du danger, en termes de sécurité du personnel, de risques pour

l’environnement et aussi de risques pour l’actif;
 Catégorie de gravité des conséquences, peut être classé se forme d’un tableau;
P1,P2,P3…,E1,E2,E3…..;
 Risque tolérable maximum (MTR): la fréquence tolérable maximum de la

conséquence du danger;
 Cause déclenchante du danger;
 Taux de survenance de la cause déclenchante, (/an);
 Modificateurs conditionnels, exemple: distribution de tailles de fuite;

LOPA
 Couches de protection indépendantes (IPL) avec ses PFD correspondantes,

exemples:
IPL PFD
Boucle de régulation standard ≥ 1E-1
Réponse opérateur (formé à des taches répétitives) 1E-2 à 1E-4
Réponse opérateur stressé 0,5 à 1

Soupape de sécurité /disque de rupture 1E-1 à 1E-3
 Vraisemblance d’événement de niveau intermédiaire, est calculée en multipliant
la vraisemblance de déclenchement par les probabilités PFD des couches de
protection;
 PFD nécessaire de SIL: le calcul est effectué en comparant le risque tolérable

maximum et la vraisemblance d’événement de niveau intermédiaire
 Exemple: la fréquence tolérable est établie à 1E-5/an ; la fréquence de

l’événement initiateur est estimée à 0.05/an: PFDmoy (SIS) ≤ 2E - 4 → SIL3
LOPA
 SIL nécessaire de SIS: est obtenu à partir du tableau suivant:

LOPA
 Exemple
Vraisemblance
Vraisemblance de couches de protection indépendents
Causes d’événement de
déclenchement
déclenchantes niveau
(pa)
intermédiaire (pa)
1 2 3 4
A 0,1 1 0,01 1 0,1 0,0001

B 0,1 0,1 0,01 1 0,1 0,00001
C 0,5 0,1 0,01 1 1 0,0005
D
E
vraisemblance d'événement(pa) 0,00061

Risque tolérable maximum 0,00003
PFD requise 0,049180328
SIL requis 2

LOPA
 Exercice LOPA

noeud de papillon
 Démarche
 Arbre des défaillances (AdD) : à partir d’un événement sommet (accident,
événement initiateur,…), on cherche les combinaisons d’événements (via des
portes logiques: ET, OU, …) qui conduisent à cet événement sommet (méthode
déductive).
 Arbre des évènements (AdE) : à partir d’un événement initiateur, on établie

les scénarios d’accidents en fonction des réponses successives des couches de
protection (Succès/Echec) (méthode inductive).

noued de papillon
 Démarche

noeud de papillon
 Solution exersice AdD-adE

Conclusion
 Méthodes qualitatives :
 Sont convenables lorsque la détermination du risque existant est basée sur un

jugement qualitatif (ou semi-quantitatif : rangs de valeurs numériques).
 Dépendent largement du degré d’expertise du groupe de travail.
 Difficiles à être appliquées convenablement dans le cas des installations neuves

ou trop complexes.
 La confiance accordée à leurs résultats (SIL requis) dépend du calibrage des

paramètres utilisés pour apprécier le risque).
 Sont plus adaptées pour un SIS fonctionnant en faible demande
 Néanmoins, leur mise en œuvre est simple et nécessite peu de temps et de

moyens.
 Constituent un point de départ pour une éventuelle utilisation d’une méthode

quantitative.

Conclusion
 Méthodes quantitatives :
 Sont convenables lorsque l’on dispose des valeurs numériques relatives à la

fréquence tolérable (Ft), à la fréquence de l’événement initiateur (FIE) et aux
données permettant de calculer les probabilités moyennes de défaillances des
couches de protection.
 Sont plus précises : la confiance accordée à leurs résultats dépend de la fiabilité

des données numériques. Dans tous les cas, cette confiance est plus élevée que
celle liée à une approche qualitative.
 Sont adaptées pour les deux modes de fonctionnement du SIS.
 Sont très gourmandes en termes de temps et de ressources.

Systèmes instrumentés
de sécurité

102
Systèmes instrumentés de sécurité
définition
 un système E/E/PE utilisé pour mettre en œuvre une ou plusieurs fonctions
instrumentées de sécurité. Il se compose de n’importe quelle combinaison de
capteur(s), d’unités logique(s) et d’élément(s) terminal (aux).
 un système visant à mettre le procédé en état stable ne présentant pas de risque

pour l’environnement et les personnes lorsque le procédé s’engage dans une voie
comportant un risque réel (explosion, feu…).

définition
 La fonction de sécurité « SIF » est la fonction qui doit être réalisée par un SIS
pour but de maintenir un état sécurisé du process.
 Exemple: un réservoir sous pression contenant un liquide inflammable

lorsqu’une haute pression a lieu à l’intérieur du réservoir, la fonction SIF dans
ce cas agira selon deux procédures :
 Fermeture de la vanne pour arrêter l’alimentation du liquide.
 Arrêt de la pompe qui injecte le liquide dans le réservoir.
Les composants intervenant à la réalisation de cette fonction instrumentée de

sécurité sont: transmetteur de pression, solveur, vanne et pompe.
architecture minimale
 Les SIS sont constitués de différents éléments unitaires reliés entre eux par des
moyens de transmissions. Au minimum, on retrouve en série un capteur, une
unité de traitement et un actionneur.

architecture minimale
1. Sous-système « Eléments d’entrée (S) » : constitué d’un ensemble
d’éléments d’entrée (capteurs, transmetteurs, détecteurs) qui surveillent
l’évolution des paramètres représentatifs du comportement de l’EUC
(température, pression, débit, niveau…).
2. Sous-système « Unité Logique (LS) » : comprend un ensemble d’éléments
logiques ( APIds, eg: S7-400FH, triconex, ABB800/A) qui récoltent l’information
en provenance du sous-système S et réalisent le processus de prise de décision
qui s’achève éventuellement, si l’un des paramètres dévié au-delà d’une valeur-
seuil, par l’activation du sous-système FE.
3. Sous-système « Eléments Finaux (FE) » : agit directement (vanne d’arrêt
d’urgence) ou indirectement (alarme) sur le procédé pour neutraliser sa dérivée
en le mettant, en général, dans un état sûr.

SIS vs SIF
 Un seul SIS peut implémenter une ou plusieurs SIF.
Les prescriptions d’intégrité de sécurité (en termes de SIL) doivent être

affectées au SIS vis-à-vis de la fonction de sécurité (SIF) qu’il doit réaliser.
Principes généraux
 Lorsque le SIS doit aussi contenir des fonctions non de sécurités(besoin de
production) celles-ci ne doivent pas affecter le fonctionnement normale des SIF.
 Les parties communes du SIS doit être conçues avec le niveau de SIL le plus
élevé.
 Le désigne du SIS doit prendre en compte les besoins d’opérabilité, de

maintenabilité et de testabilité.
 Un bouton d’arrêt d’urgence indépendant de la logique doit être prévu pour

activer les actionneurs sans action du SIS.
 Lorsqu’un élément de SIF ne prend pas la position de sécurité par manque

d’énergie, toutes les exigences suivantes doivent être satisfaites:
 La perte d’intégrité de circuit est détectée
 L’intégrité de l’alimentation en énergie est assurée
 La perte d’alimentation au niveau du sous-système est détectée
 Le système doit prévoir des actions spécifiée en cas de détection de
défaut pour maintenir la sécurité ou pour réparation

Redondance au sein d'un SIS
 Pour améliorer le niveau de confiance d'un SIS, il est possible, de doubler une
partie de ses composants (redondance partielle) ou de la doubler totalement
(redondance totale)
 la redondance peut être réalisée avec du matériel identique ou avec du

matériel de technologie différente, ce dernier type permet de limiter les modes
communs de défaillance.
 Tous les éléments constituant un système instrumenté de sécurité peuvent être

redondés : capteurs, unité de traitement, actionneurs et même les moyens de
transmission.
 Convention de notation : KooN (K out of N): La notation « KooN » est utilisée

pour caractériser l’architecture d’un système pour laquelle il est nécessaire que
N canaux (sur les K que compte le système) fonctionnent correctement pour
que la fonction de sécurité soit exécutée (lorsqu’elle est sollicitée)

1. Architecture 1oo1:
 Architecture à 1 seul canal, pour lequel

toute défaillance dangereuse empêche le
traitement de signal d’alarme valide.
 Les diagnostics ne sont présents que pour assurer une détection de fautes en
vue de réparer le système
 Exemple d’un schéma électrique de

principe relatif à l’architecture 1oo1.
L’exécution de la fonction de sécurité
nécessite l’ouverture des relais
(coupure de l’alimentation de la
charge)

 2 canaux réalisent la fonction de sécurité
 La fonction de sécurité est exécutée dès qu’un canal en fait la demande
 Il faut une défaillance dangereuse dans les 2 canaux pour conduire à la

défaillance de la fonction de sécurité

 Cette architecture est composée de trois canaux connectés en

parallèle,
 ce système restera opérationnel, vis-à-vis des défaillances

dangereuses, tant qu’au moins un de ces canaux le sera.

 Cette architecture consiste en deux canaux en parallèle de sorte que les deux
canaux doivent demander la fonction de sécurité pour que celle-ci soit activée
: fonctionnement série au sens fiabiliste.
 Le système a donc un comportement dangereux dès qu’une défaillance

dangereuse survient dans un des deux canaux.

 Cette architecture comprend trois canaux connectés en parallèle avec un

dispositif à logique majoritaire pour les signaux de sortie, de telle sorte que
l’état de sortie n’est pas modifié lorsqu’un seul canal donne un résultat
différent des deux autres.
 le nombre de défaillances nécessaires aussi bien à l’empêchement de

l’exécution de la fonction de sécurité qu’au déclenchement intempestif du SIS
s’élève à deux.

 D’une manière générale, pour une architecture KooN ces deux
nombres sont établis ainsi :
 (N–K+1) représente le nombre de défaillances dangereuses dont

l’occurrence induit la perte de la fonction de sécurité.
 K représente le nombre de défaillances sûres dont l’occurrence

conduit à l’activation intempestive de cette même fonction.
 La configuration optimale parmi celles présentées précédemment est

l’architecture 2oo3, car en effet le nombre de défaillances nécessaires
à l’inhibition de la fonction de sécurité est celui nécessaire à son
déclenchement intempestif : N-K+1=2=K. Ce fait est confirmé par
l’utilisation courante de cette architecture dans le domaine industriel.

Evaluation du SIL des
SIF

Evaluation du SIL des SIF
généralités
 l’IEC 61508 s’applique à l’ensemble du système E/E/PE de sécurité,
c’est-à-dire à la boucle complète, avec le capteur, l’automate et la
vanne. Le SIL concerne donc le système dans son ensemble, pas les
éléments qui le composent. Cela n’a pas empêché les fabricants de
produits entrant dans la conception de ces systèmes d’attribuer un SIL
à leurs produits. Cela n’a pas de sens à proprement parler mais ça
peut permettre de faciliter la sélection des éléments de sécurité.
 la PFD de l’ensemble est obtenu en additionnant les PFD des différents
éléments. Par exemple, pour un système comportant un capteur, un
automate et une vanne, on aura :
PFDSIS = PFDcapteur + PFDautomate + PFDvanne

généralités
 Si on utilise un capteur donné avec un PFD de 0,005 (SIL2), un
automate avec un PFD de 0,0005 (SIL3) et une vanne avec un PFD de
0,05 (SIL1), on obtient un PFDSIS égal à 0,0555, ce qui correspond à
SIL1.
 C’est le maillon le plus faible de la boucle qui a le plus d’incidence sur

la valeur du SIL.
 si tous les éléments de la boucle ont le même niveau SIL, ce n’est pas
pour autant que l’ensemble de la boucle a le même niveau de SIL.
 Prenons le cas d’un capteur avec un PFD de 0,006 (SIL2), un automate

avec un PFD de 0,0015 (SIL2) une vanne avec un PFD de 0,008
(SIL2), l’addition des trois donne un PDF de 0,0155,ce qui correspond
à un SIL1.

généralités
 L’évaluation du niveau de SIL d’une SIF comporte plusieurs étapes :
 Étape 1 : Choisir une méthode de calcul ;
 Étape 2 : Collecter et estimer les données nécessaires aux calculs ;
 Étape 3 : Vérifier que le SIL calculé est compatible avec les exigences
architecturales de la norme IEC 61511.
 Pour ce faire, différentes méthodes peuvent être appliquées :
 formules de calcul « approchées » ;
 arbre de défaillances ;
 graphes de Markov ;
 réseaux de Pétri.

généralités
 Pour une meilleure compréhension des formules analytiques liées aux
différentes grandeurs probabilistes , une clarification des différentes
paramètres fiabilistes, caractérisant les éléments constitutifs des SIS,
s’impose. Cette clarification concerne:
 La classification des défaillances des SIS selon leurs causes;
 La classification des défaillances selon leurs effets sur la fonction de

sécurité;
 Défaillances de cause commune;
 Tests de système instrumenté de sécurité.

Classification des défaillances des SIS
selon leurs causes
 Défaillances aléatoires du matériel (physiques)
 défaillances survenant de manière aléatoire et résultant de divers

mécanismes de dégradations au sein du matériel et dont l'instant exact
d'occurrence n'est pas prévisible.
 Une telle défaillance rend donc le système incapable de remplir sa

fonction suite à sa dégradation physique (ex.vanne bloqué fermée suite
à l’usure).
 La dégradation physique du système à deux causes principales:
 Vieillissement du matériel.
 Exposition aux contraintes excessives, ces contraintes peuvent être

induites par des facteurs externes ou par des erreurs humaines.

selon leurs causes
 Défaillances systématiques (fonctionnelles)
 défaillances reliées de façon déterministe à une certaine cause, ne

pouvant être éliminée que par une modification de la conception ou du
processus de fabrication, des procédures d'exploitation, de la
documentation ou d’autres facteurs appropriés.
 Une telle défaillance rend le SIS incapable de remplir sa fonction de

sécurité, mais sans aucune dégradation physique.
 Les défaillances systématiques peuvent être divisées en deux

catégories :
 Défaillances de conception : sont introduites lors des phases du cycle de vie du
SIS. Elles existent à l’état latent et se révèlent lors du fonctionnement du SIS.
 Défaillances d'interactions : sont initiées par les erreurs humaines pendant les
phases d’exploitation, de maintenance,…(ex. l’opérateur ferme une vanne par
erreur).
selon leurs effets
Toutes les défaillances (aléatoires du matériel et systématiques), selon
leurs effets sur la fonction de sécurité, peuvent être classées dans l’une
des deux catégories suivantes :
 Défaillances dangereuses (dangerous failure: D) : «défaillance qui

a la potentialité de mettre le système relatif à la sécurité (SIS) dans un
état dangereux ou dans l’impossibilité d’exécuter sa fonction».
Une autre partition résulte du fait que ces défaillances peuvent être:
 défaillances dangereuses détectées (dangerous detected failures: DD) :
défaillances détectées immédiatement après leur occurrence par des tests en
ligne.
 défaillances dangereuses non détectées (dangerous undetected

failures: DU): défaillances qui ne peuvent être révélées que lors de tests
périodiques hors ligne (de période égale à T1 ).

selon leurs effets
 Défaillance en sécurité (safe failure: S) : «défaillance qui n’a pas la
potentialité de mettre le système relatif à la sécurité (SIS) dans un état
dangereux ou dans l’impossibilité d’exécuter sa fonction».
 ces défaillances peuvent être:
 défaillances en sécurité détectées (safe detected failures: SD):

défaillances détectées immédiatement après leur occurrence par des
tests en ligne.
 défaillances en sécurité non détectées (safe undetected

failures: SU): défaillances qui ne peuvent être révélées que lors de tests
périodiques hors ligne.

Quantification des défaillances
Détectées Non détectées

Défaillances
DD DU
Dangereuses
Sûres
SD SU
𝑵𝒃𝒓𝒆 𝒑𝒂𝒏𝒏𝒆𝒔
Où: ʎ = 𝒕𝒂𝒖𝒙 𝒅𝒆 𝒅é𝒇𝒂𝒊𝒍𝒍𝒂𝒏𝒄𝒆 =
𝑫𝒖𝒓é𝒆 𝒅𝒆 𝒕𝒆𝒔𝒕 ∗𝑵𝒃𝒓𝒆 𝒅′ é𝒍é𝒎𝒆𝒏𝒕𝒔 𝒕𝒆𝒔𝒕é𝒔
Exemple: si pendant le test de 5000 composants durant 400 heures, on

obtient deux défaillances: ʎ=2/5000*400=1E-6/h

Quantification des défaillances
Chaque catégorie de défaillances aléatoires du matériel est appréciée à travers son
taux de défaillance :
Taux de défaillance aléatoires du matériel : λ = λD + λS
1) Taux de défaillance aléatoire dangereuse : λD = λDD + λDU
 Taux de défaillance aléatoire dangereuse détectée : λDD = DC × λD
 Taux de défaillance aléatoire dangereuse non détectée : λDU = (1-DC) × λD
DC (Couverture de Diagnostic) : la capacité d’un canal à la détection « en ligne »
des défaillances dangereuses, exprimée par un nombre allant de 0 à 1(e.g : 0.6).
Taux de défaillance aléatoire en sécurité : λS = λSD + λSU
 Taux de défaillance aléatoire en sécurité détectée : λSD = DCS × λS
 Taux de défaillance aléatoire en sécurité non détectée : λSU = (1- DCS) × λS
DCS: la capacité d’un canal à la détection « en ligne » des défaillances en sécurité.
La norme introduit également la notion de Safe Failure Fraction (SFF) qui

caractérise l’impact des défaillances sécuritaires
défaillance de cause commune
 Mais, on doit tenir compte de certains événements :
• alimentation électrique commune
• agression de l’environnement (inondation, foudre,…)
• incendie, explosion,…
• Composants électroniques de même origine.
• erreurs de fabrication, d’exploitation,…
 Défaillance de cause commune (CCF): Une contrainte aléatoire qui provoque la

défaillance de deux composants ou plus en même temps, pour la même raison.
Elle diffère d’une défaillance systématique, en ce sens où elle est aléatoire et
probabiliste, mais n’est pas du type cause et effet fixe et prévisible.
défaillance de cause commune
La contribution des CCF sur des canaux redondants parallèles est prise
en compte en incluant un facteur β.
Taux de défaillances Taux de défaillances

de cause commune indépendentes
λ = (1 – β) × λ + β × λ
Le modèle du facteur β doit être appliqué à l’ensemble des catégories
de défaillances (voir DU,DD,SU,SD) :
λx= λxind + λxDCC = (1-βx) λx+ βx λx

Tests de SIS
 Les normes mentionnent clairement les tests en ligne et hors ligne
comme une condition pour maintenir le niveau de SIL pour les
systèmes de sécurité.
 Généralement ces tests sont établis pour vérifier et contrôler le bon

fonctionnement de SIS.
 Deux types de tests qui sont faits au niveau de SIS :
 Tests de diagnostic :
Tests en ligne (en fonctionnement) pour détecter des défauts, ce sont

effectués périodiquement et automatiquement pour détecter les
défauts latents cachés qui empêchent le SIS de répondre à une
demande. comme un WatchDog , un test de la mémoire vive (RAM) ou
de la mémoire programme.

Tests de SIS
 Il existe 2 types de tests de diagnostics :
 les diagnostics de référence : comparaison par rapport à une valeur

prédéterminée comme la mesure de la période de temps (watch dog),
le calcul de la somme de contrôle d’une mémoire programme
(checksum), le rebouclage de toutes les sorties sur une entrée
(détection des pannes des préactionneurs en cas de discordance).
 Selon Goble4 (p.86), le taux de couverture de ces tests est

généralement bon (entre 0.9 et 0.999);
 les diagnostics par comparaison à une unité opérationnelle (

comparaison de tables de données logiques entre 2 ou plusieurs
canaux).

Tests de SIS
 Proof Test :
Test périodique hors ligne réalisé pour détecter des pannes dans un
système de telle sorte que le système puisse être réparé afin de
revenir dans un état équivalent à son état initial.
 L’impact des tests périodiques sur la disponibilité:

Tests de SIS
 Il faut savoir aussi qu’un niveau SIL n’est pas garanti à vie. Les
éléments du système de sécurité vieillissent, leurs performances se
dégradent. C’est la raison pour laquelle le niveau SIL est considéré
comme valable tant que l’on ne dépasse pas une durée bien définie.

Les formules de calcul « approchées »
Deux sources reconnues internationalement peuvent être utilisées :
1. les formules du guide ISA (ISA-TR84.00.02-2002 - Part 2) ;
2. les formules proposées dans la norme IEC 61508-6.
 Les formules de l’IEC 61508-6
 La norme IEC 61508-6 propose des formules de calcul permettant

d’évaluer la PFD moyenne (PFDavg) à la sollicitation pour quelques
redondances KooN. La norme ne traite que quelques architectures
couramment répandues dans l’industrie.
 Les architectures couvertes par les formules sont : 1oo1, 1oo2, 2oo2
et 2oo3. Pour les autres architectures KooN, il faut recourir à
l’utilisation de formules provenant d’autres sources (formules
proposées par l’ISA par exemple).

 Formules de calcul de la probabilité moyenne de défaillance sur demande (pour mode
de fonctionnement faible demande: PFD) d’après la norme « IEC 61508-6 »:
 1oo1
 1oo2
 2oo2
 2oo3
 Formules de calcul de la Probabilité de défaillance par heure (pour un mode de
fonctionnement demande élevée ou continu: PFH) d’après la norme « IEC 61508-6 »:
 1oo1
 1oo2
 2oo2
 2oo3
 Définitions des termes intervenant dans les formules de calcul de la
PFD/PFH de la norme IEC 61508-6

 Définitions des termes intervenant dans les formules de calcul de la
PFD/PFH de la norme IEC 61508-6
Terme Définition
λD Taux de défaillances dangereuses (par heure)
λDD Taux de défaillances dangereuses détectées (par heure)
λDU Taux de défaillances dangereuses non détectées (par heure)
TI Intervalle de temps séparant deux tests de bon fonctionnement (en heure)
MTTR Durée moyenne de réparation du système (en heure)

Couverture de Diagnostic (pourcentage des défauts révélés par les diagnostics sur le
DC
nombre total de défauts)
β Pourcentage de défaillances de cause commune non détectées
βD Pourcentage de défaillances de cause commune détectées
Temps moyen d'indisponibilité équivalent du canal (en heures) pour les architecture
tCE 1oo1, 1oo2, 2oo2 et 2oo3 (temps d’indisponibilité combiné pour tous les composants
dans le canal du sous-système)
Temps moyen d'indisponibilité équivalent du groupe à logique majoritaire (en heures)

tGE pour les architectures 1oo2 et 2oo3 (temps d'indisponibilité combiné pour tous les
canaux du groupe à logique majoritaire)

Exemple de calcul de PFD architecture 1oo1:
 Un SIS est doté d’un capteur, d’un réseau et d’un circuit électronique
qui coupe l’alimentation moteur par l’intermédiaire d’un contacteur.
 Le mode de fonctionnement du système est à faible sollicitation.

Exemple de calcul de PFD architecture 1oo2:
 Le concepteur envisage une autre configuration pour le SIS (2

contacteurs câblés en série)

les contraintes architecturales
La tolérance aux pannes matérielles (HFT):
 IEC61508-4 définit "tolérance de panne" comme «la capacité d'une unité

fonctionnelle de continuer à accomplir une fonction requise en présence de
fautes ou d'erreurs ».
 Une tolérance de 0 de panne matérielle signifie que si il ya une faute,

l‘élément ne sera pas capable de remplir sa fonction.
 Une tolérance de N de panne matérielle signifie que N + 1 défauts pourraient

entraîner une perte de la fonction de sécurité.
 lorsqu’un défaut aboutit directement à la survenance d’un ou de plusieurs

défauts consécutifs, ces derniers sont considérés comme un seul défaut ;
 lors de la détermination de la tolérance aux pannes matérielles, certains

défauts peuvent être exclus, à condition que la vraisemblance de leur
survenance soit très faible par rapport aux exigences d’intégrité de sécurité du
sous-système. Une telle exclusion de défaut quelle que soit doit être justifiée
et documentée.
 Pour chaque élément de la fonction de sécurité, la proportion SFF doit être

calculée.
 La valeur doit ensuite être employée dans le tableau afin de déterminer la

conformité SIL pour le niveau de tolérance aux pannes matérielles.
 les sous-systèmes sont classés en tant que type A ou type B.
 En général, si les modes de défaillances sont parfaitement définis, si le
 comportement dans des conditions de défaut peut être entièrement déterminé

et s’il y a suffisamment de données de terrain appropriées, le sous-système
peut être considéré comme de type A.
 Si une de ces conditions n’est peut-être pas vraie, le sous-système doit être
considéré comme de type B.

 Les équipements mécaniques simples tels que les vannes sont généralement
considérés comme de type A.
 Les analyseurs logiques sont habituellement de type B car ils contiennent

certaines capacités de traitement et, en tant que tels, leur comportement dans
des conditions de défaut peut ne pas être complètement déterminé.
 Les capteurs peuvent être de type A ou de type B selon la technologie et la

complexité de l’équipement.

 Sous-système de type A:
 Sous-système de type B:

 Exemple

Combinaison des SIL pour des canaux hétérogènes
Selon la norme IEC 61508-2, le SIL des combinaisons des canaux
différents (hétérogènes) peuvent être estimer comme suit:
 Pour une architecture série (NooN):
SIL (sous-fonction) = MIN (SIL (canal i))
avec i = 1,…, N SIL3 SIL1 SIL2
SIL=MIN(SIL3,SIL1,SIL2)=SIL 1
 Pour une architecture de type KooN:
SIL (sous-fonction) = MIN (MAX (SIL (canal i )) + N–K, SIL 4)
SIL3 SIL2
SIL1
SIL1
SIL3
SIL3 SIL2
SIL (SIS) = MIN (SIL (s-s capteurs), SIL (s-s unités logiques), SIL (s-s vannes))
= MIN (SIL 4, SIL 4, SIL 3) = SIL 3 (SIL3 est le SIL maximum autorisé pour ce SIS)
www.themegallery.com

Cours SIS

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Cours SIS

Încărcat de

Drepturi de autor:

Formate disponibile

Systèmes instrumentés

F.BEKHSIS – DEPT IMT - IAP Novembre 2016

3. La sécurité fonctionnelle: principe et normes associées;

4. L’analyse des risques: démarche et méthodes;

5. Réduction des risques versus les objectifs SIL;

6. Méthodes d’allocation du SIL cible;

7. Systèmes instrumentés de sécurité;

8. Evaluation du SIL des SIF.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 2

26 Avril 1986, L'accident a été provoqué par l'augmentation

2-3 décembre 1984, émission de 30t de MIC.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 4

Le 16 juillet 1974, à 16 h 53, une explosion majeure a détruit une

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 5

F.BEKHSIS – UFR IMT - IAP Novembre 2016 6

 le risque peut être classé comme étant soit négligeable, acceptable ou

 Deux approches permettent cette diminution du risque, la prévention

 Pour réduire la probabilité d’apparition du risque, les Systèmes

Instrumentés de Sécurité (SIS) sont utilisés pour réaliser des

Fonctions Instrumentées de Sécurité (SIF) dont le rôle est la

surveillance des paramètres de fonctionnement et la mise en œuvre

d’actions de mise en repli lorsque le système se place dans des

conditions d’exploitation dangereuses.

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 8

• BPCS: Basic Process Control System

• CBA: Cost Benefit Analysis

• E/E/PE: Electriques/Electroniques/Electroniques Programmable

• EUC: Equipement Under Control

• ESD: Emergency Shut Down (système d’arrêt d’urgence)

• HAZOP: HAZard and OPerability study

• IEC: International Electrotechnical Comission (Commission International

• IPL: Independent Protection Layers

• ISA: Instrument Society of America

• MTTR: Mean Time To Restoration (Durée Moyenne de Réparation)

• PFD: Probability of Failure on Demand (Probabilité de Défaillance à la

• PFH: Probability of Failure per Hour (Probabilité de Défaillance par Heure)

• PFDavg: Average Probability of Failure on Demand (Probabilité de Défaillance

• PCS: Process Control System (système de contrôle de procédé)

• SIS: Safety Instrumented System (Système Instrumenté de Sécurité)

• SIF: Safety Instrumented Function (Fonction Instrumenté de Sécurité)

• SIL: Safety Integrity Level (Niveau d’Intégrité de Sécurité)

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 10

F.BEKHSIS – DEPT IMT - IAP Novembre 2016

Le système PSS lance des actions Le système de

Sécurité fonctionnelle (SF)

Sécurité assurée par une fonction

Capteur(s) Solveur(s) Elément(s)

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 14

 Toute la difficulté est d’estimer le risque que présente le process et d’évaluer la

diminution du risque que doit apporter le système instrumenté de sécurité.

l'évaluation de la réduction du risque nécessaire pour atteindre un niveau de

 Les normes CEI 61508s établissent les prescriptions relatives à la spécification,

la conception, l'installation, l'exploitation et la maintenance du SIS, afin d'avoir

toute confiance dans sa capacité à amener et/ou à maintenir le procédé dans un

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 15

 Systèmes cibles de la norme:

F.BEKHSIS – DEPT IMT - IAP Novembre 2016 16

 61508-1 : Prescriptions générales;

 61508-2 : Prescriptions propres aux systèmes E/E/PE relatifs à la sécurité;

 61508-3 : Prescriptions relatives au logiciel;

 61508-4 : Définitions et abréviations;

 61508-5 : Exemples de méthodes pour déterminer le niveau d’intégrité de la

 61508-6 : Guides pour l’application des parties 2 et 3 de la norme;