Documente Academic
Documente Profesional
Documente Cultură
de sécurité
www.iap.dz
1. Introduction générale;
2. Acronymes;
Tchernobyl-Ukraine
Bhopal-Inde
Flixborough
Galveston
Bhopal
Chaque
entreprise Tchernobyl
Systèmes
comporte de
des risques
sécurité : une
Seveso Challenger
nécessité pour
éviter les accidents
d’Electrotechnique)
moyenne à la Demande)
et normes associées
Le niveau du réservoir
continue de monter
malgré l'intervention
de l'opérateur du
tableau.
Le système de
contrôle de procédé
L'opérateur décide de fermer
(PCS) a échoué pour
la soupape de sécurité et va
une raison encore
sur le site pour vérifier
inconnue
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 12
Sécurité fonctionnelle: principe
Réservoirs de stockage du pétrole brut
Salle de contrôle
Alarme: niveau élevé
LT1
LT2
Le niveau du réservoir
continue de monter
Système malgré l'intervention
d'arrêt de l'opérateur du
tableau.
Détection Réalisation
Décision de l’action
de sécurité
Pour concevoir les systèmes SIS, deux normes sont utilisées : l'ANSI/ISA
S84.01-1996 et l'IEC 61508s. Ces deux normes sont fondées sur le principe de
risque acceptable.
état de sécurité.
7 parties :
sécurité;
Identifier les fonctions a confier a des systèmes E/E/EP et fixer leur objectif en
Le danger est lié à un état (ex: propriété intrinsèque d’un produit tel
que inflammables, explosif, toxique, corrosif, etc...) ou à une situation
(ex: pression, température, etc…).
Elle analyse ensuite les causes et les conséquences de leurs déviations par
rapport aux conditions optimales de fonctionnement;
Limiteur bouché
L'air passe mal Cycle ralenti 1 1 4 4
ou mal réglé
Transfèrer Limiteurs de débit
les pièces Le débit n'est Course du vérin
mal réglé 1 1 4 4
pas réduit trop rapide
Mauvais réglage 1 3 2 6
Non détection de Cycle bloqué Alarme
Capteur grillé 1 3 2 6
la position Marche dégradée automate
Capteurs Mauvaise
1 1 2 2
connexion
Détection Capteur en Cycle Contrôle par
3 2 4 24
permanente court-circuit désordonné automate
ventouse
Pas de transfert 1 3 4 12
bouchée Visuel
Ventouse Pas d'aspiration
Contrôle
ventouse usée Pas de transfert 1 1 4 4
périodique
Venturi Pas d'aspiration Encassement Pas de transfert 1 2 4 8
Cette méthode est adaptée lorsque les scénarios sont complexes (combinaison
d’évènements pour aboutir à l’occurrence du risque notamment).
Évènements
redouté
central
Barrières
causes Évènements Phénomènes Évènements
indésirables dangereux majeurs
Les études HAZOP servent à identifier des dangers potentiels et des problèmes
d’exploitabilité provoqués par des écarts vis-à-vis de l’intention de conception
des usines de procédés nouvelles ou existantes.
1. Une étude HAZOP initiale ou préliminaire doit assurément être réalisée très tôt
au cours de la phase de conception;
La technique HAZOP
Une étude HAZOP est réalisée au cours de réunions organisées entre les
parties concernées ayant une connaissance et une expérience suffisantes du
fonctionnement et de la maintenance de l’usine.
Mots-guides
Pression élevée
Rupture de récipient et Le gaz libéré s’enflamme sur le brûleur et au contact des
01.10 plus dans le
rejet de gaz. surfaces chaudes. Décès possible de deux techniciens de
récipient.
maintenance. Dommages aux équipements nécessitant
Pression
Pression faible le remplacement du récipient estimés à 10 millions € et
Rupture de récipient et
01.11 moins dans le arrêt de procédé pendant 1 année.
rejet de gaz.
récipient. Dégagement mineur dans l’environnement.
c) le risque se situe entre les deux états (a et b) , risque tolérable (type ALARP)
RISQUE RISQUE
RÉSIDUEL RÉEL TOLÉRABLE RISQUE INITIAL
Le risque tolérable: risque accepté dans certain contexte et fondé sur les valeurs
actuelles de la société. Ce risque tolérable est propre à chaque société, mais
les textes législatifs définissent des valeurs en fonction de l’impact sur les
populations avoisinantes
Pour définir le risque tolérable d'une application spécifique, les points suivants
sont considérés:
Région généralement
Le niveau de risque résiduel est
acceptable considéré comme négligeable et d’autres
mesures pour réduire le risque ne sont
généralement pas requises. Aucun travail
Risque négligeable détaillé n’est nécessaire pour démontrer
l’ALARP.
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 50
Réduction des risques
Principe ALARP
le principe ALARP nécessite que tout risque soit ramené au plus bas niveau
possible ou jusqu'à un niveau qui soit aussi faible que possible de manière
raisonnable. Autrement dit jusqu’à ce que toute autre réduction du risque ne
soit pas rentable.
la démonstration selon laquelle les risques ont été réduits jusqu’au niveau
ALARP inclut une évaluation :
a. du risque à éviter ;
Une analyse CBA doit uniquement servir à étayer des décisions ALARP. Elle ne
doit pas constituer le seul argument d’une décision ALARP.
Les bénéfices doivent inclure toute réduction du risque pour le public, les
ouvriers et la société en général, et peuvent inclure : décès évités, blessures
évitées (graves à mineures), pathologies évitées et atteintes environnementales
évitées.
1 336 800€
Décès
Maladie entraînant une invalidité permanente. Comme pour les 193 100 €
blessures.
Maladie Autres cas de maladie. Plus d’une semaine d’absence. Pas de 2300 € + 180
conséquences permanentes pour la santé. € par jour
d’absence
20 décès ;
Solution:
Dans notre cas, le FD reflétera le fait que les conséquences de telles explosions
sont élevées, donc un FD supérieur à 10 est improbable et, par conséquent, il
peut être envisageable raisonnablement d’effectuer un investissement de l’ordre
de 93 000 € (9 283.5 € x 10) pour éliminer le risque d’explosion.
Un coût de 2 millions € par objectif de vie sauvée est employé dans un secteur
particulier.
Une cible de risque tolérable maximum de 1E-5 pa a été établie pour un danger
particulier, lequel est susceptible de provoquer 2 décès.
Le nombre de vies sauvées pendant la durée de vie de l’usine est donné par :
La valeur VPF calculée est supérieure à 10 fois le critère de coût cible par vie
sauvée de 2 millions €. Par conséquent, la proposition doit être rejetée.
« Le SIL exigé d’une SIF doit être obtenu en tenant compte de la réduction du
risque requise, à fournir par cette fonction »
C’est à partir de cette étape que l’on va définir les spécifications fonctionnelles
de sécurité et de performance de SIS. Pour ce faire, La CEI 61508 et la CEI
61511 décrivent deux types de méthodes :
Supposons usine a une moyenne de 1 incendie tous les 2 ans et que, si nous ne
faisons rien d’autre, cet incendie provoquera un décès. Donc on dit que la
fréquence de décès est de 0.5/an (le scénario le plus défavorable).
En résumé:
Etape4: il faut encore une autre couche, avec PFD 0,1. C’est la tâche du SIS.
Ce calcul, bien qu’effectué ici sous forme graphique, fournit la valeur PFD cible
pour notre SIS et permet de déterminer le niveau SIL cible.
Pour spécifier de tels systèmes de sécurité , il faut commencer par faire une
analyse approfondie des phénomènes dangereux et voir comment on va s’y
prendre pour amener le risque à un niveau acceptable. Le système instrumenté
de sécurité constitue un des moyens pour réduire ce risque.
La norme CEI 61511-1, clause 9.2.4 regroupe les probabilités PFD cible en
bandes ou niveaux d’intégrité de sécurité (SIL).
Plus le SIL a une valeur élevée, plus la réduction du risque est importante, par
exemple, un système de sécurité SIL4 apporte une réduction de risque
comprise entre 10 000 à 100000 alors que pour un système SIL1, cette
réduction est comprise entre 10 à 100 seulement.
une zone de procédé est gérée par un opérateur 2 heures par jour. Une
surpression du procédé aboutira à une fuite de gaz et, selon les estimations, 1
fuite de gaz sur 10 entraînera une explosion et la mort de l’opérateur. L’analyse
indique que la condition de surpression se produira tous les 5 ans (taux de 0,2
pa).
Réponse
Le graphique de risque est une technique rapide et utile, applicable lorsque les
dangers à évaluer sont trop nombreux. Consiste à hiérarchiser les niveaux de
sécurité à partir de quatre paramètres liés à:
La classification repose sur une hiérarchisation en 6 classes d'exigences graduées de "a" à "b" en
passant par SIL1 à SIL 4:
La catégorie "a" correspond alors à "aucune exigence particulière de sécurité »
Les numéros 1, 2, 3 et 4 représentent les quatre SIL.
la catégorie "b" correspond à une situation inacceptable (le système instrumenté est insuffisant).
CA Blessure mineure
CB Blessure sérieuse touchant une ou plusieurs
Gravité des conséquences personnes, mortel pour une personne
CC Mort de plusieurs personnes
CD Grand nombre de morts
En effet, selon les choix de l'analyste, les résultats peuvent rapidement passer
d'un niveau d'intégrité à un autre.
Exemple de calibrage
Ainsi, le tableau résultant permet une classification des risques allant de très
faible (TF), à faible (F), moyen (M), Élevé (E) et très élevé (TE), en fonction de
la catégorie de gravité et de la fréquence.
négligeable TF TF F M
mineure TF F M E
grave F M E TE
catastrophique M E TE TE
Pas de pas de
pas d'effet pas d'effet SIL1
blessure dommage
Dommage
Blessure légère Effet Légère
léger (< 10 SIL1 SIL1
(< 1/an) léger incidence
000 $)
Blessure Dommage
Effet Incidence
mineure (< mineur SIL1 SIL1 SIL2
mineur mineure
1E-01/an) (< 100 000 $)
Blessure Dommage
Effet Incidence
majeure majeur SIL1 SIL1 SIL2 SIL3
localisé considérable
(< 1E-02/an) (< 500 000 $)
Dommage
Décès
majeur Effet Incidence
unique SIL1 SIL1 SIL2 SIL3 N/A
(< 10 millions majeur nationale
(< 1E-03/an)
$)
Dommages
Plusieurs
étendus Effet Incidence
décès SIL1 SIL2 SIL3 N/A N/A
(> 10 millions massif internationale
(< 1E-04/an)
$)
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 85
Méthodes d’allocation du SIL cible
Matrice de risque
3. pour que les niveaux SIL cible soient incrémentés par ligne et par
colonne, les fréquences de survenance doivent aussi augmenter
considérablement entre chaque colonne.
Elle est utilisée pour déterminer quel SIL est assigné à chaque SIF et elle
Protection post-décharge
(cuvette de rétention) (6)
Systèmes instrumentés de
sécurité (4)
Alarmes et intervention
humaines (3)
7. Si une protection supplémentaire doit être fournie sous la forme d’un SIS, LOPA
déterminera le niveau SIL approprié et de la PFD requise.
Catégorie de gravité des conséquences, peut être classé se forme d’un tableau;
P1,P2,P3…,E1,E2,E3…..;
Vraisemblance
Vraisemblance de couches de protection indépendents
Causes d’événement de
déclenchement
déclenchantes niveau
(pa)
intermédiaire (pa)
1 2 3 4
Méthodes qualitatives :
Méthodes quantitatives :
Les parties communes du SIS doit être conçues avec le niveau de SIL le plus
élevé.
Cette architecture consiste en deux canaux en parallèle de sorte que les deux
canaux doivent demander la fonction de sécurité pour que celle-ci soit activée
: fonctionnement série au sens fiabiliste.
si tous les éléments de la boucle ont le même niveau SIL, ce n’est pas
pour autant que l’ensemble de la boucle a le même niveau de SIL.
Étape 3 : Vérifier que le SIL calculé est compatible avec les exigences
architecturales de la norme IEC 61511.
arbre de défaillances ;
graphes de Markov ;
réseaux de Pétri.
Vieillissement du matériel.
Défaillances d'interactions : sont initiées par les erreurs humaines pendant les
phases d’exploitation, de maintenance,…(ex. l’opérateur ferme une vanne par
erreur).
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 12
Classification des défaillances des SIS
selon leurs effets
Toutes les défaillances (aléatoires du matériel et systématiques), selon
leurs effets sur la fonction de sécurité, peuvent être classées dans l’une
des deux catégories suivantes :
Une autre partition résulte du fait que ces défaillances peuvent être:
défaillances dangereuses détectées (dangerous detected failures: DD) :
défaillances détectées immédiatement après leur occurrence par des tests en
ligne.
DD DU
Dangereuses
Sûres
SD SU
𝑵𝒃𝒓𝒆 𝒑𝒂𝒏𝒏𝒆𝒔
Où: ʎ = 𝒕𝒂𝒖𝒙 𝒅𝒆 𝒅é𝒇𝒂𝒊𝒍𝒍𝒂𝒏𝒄𝒆 =
𝑫𝒖𝒓é𝒆 𝒅𝒆 𝒕𝒆𝒔𝒕 ∗𝑵𝒃𝒓𝒆 𝒅′ é𝒍é𝒎𝒆𝒏𝒕𝒔 𝒕𝒆𝒔𝒕é𝒔
• incendie, explosion,…
λ = (1 – β) × λ + β × λ
Tests de diagnostic :
Test périodique hors ligne réalisé pour détecter des pannes dans un
système de telle sorte que le système puisse être réparé afin de
revenir dans un état équivalent à son état initial.
Les architectures couvertes par les formules sont : 1oo1, 1oo2, 2oo2
et 2oo3. Pour les autres architectures KooN, il faut recourir à
l’utilisation de formules provenant d’autres sources (formules
proposées par l’ISA par exemple).
1oo1
1oo2
2oo2
2oo3
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 13
Evaluation du SIL des SIF
Les formules de calcul « approchées »
Formules de calcul de la Probabilité de défaillance par heure (pour un mode de
fonctionnement demande élevée ou continu: PFH) d’après la norme « IEC 61508-6 »:
1oo1
1oo2
2oo2
2oo3
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 13
Evaluation du SIL des SIF
Les formules de calcul « approchées »
Définitions des termes intervenant dans les formules de calcul de la
PFD/PFH de la norme IEC 61508-6
Temps moyen d'indisponibilité équivalent du canal (en heures) pour les architecture
tCE 1oo1, 1oo2, 2oo2 et 2oo3 (temps d’indisponibilité combiné pour tous les composants
dans le canal du sous-système)
Un SIS est doté d’un capteur, d’un réseau et d’un circuit électronique
qui coupe l’alimentation moteur par l’intermédiaire d’un contacteur.
Si une de ces conditions n’est peut-être pas vraie, le sous-système doit être
considéré comme de type B.
Les équipements mécaniques simples tels que les vannes sont généralement
considérés comme de type A.
Sous-système de type A:
Sous-système de type B:
Exemple
SIL1
SIL3
SIL3 SIL2
SIL (SIS) = MIN (SIL (s-s capteurs), SIL (s-s unités logiques), SIL (s-s vannes))
= MIN (SIL 4, SIL 4, SIL 3) = SIL 3 (SIL3 est le SIL maximum autorisé pour ce SIS)
F.BEKHSIS – DEPT IMT - IAP Novembre 2016 145
www.themegallery.com