Professional Documents
Culture Documents
Le SIL
Safety Integrity Level
45 rue Louis Blanc
92400 COURBEVOIE Niveau d'intégrité de sécurité
Tél. : +33 (0)1 47 17 62 98
Fax : +33 (0)1 47 17 63 00
Email : profluid@profluid.org
www.profluid.org
Réalisation : Neuville Impressions
Sommaire 1 INTRODUCTION
2 HISTORIQUE 3 DEFINITIONS
Vérification
Article Anomalies Causes Conséquences Protections Actions
Conception &
ingénierie du SIS Défaillance Pression
Récipient Niveau du système élevée Opérateur
élevé de conduite
Installation, mise Evaluer les
en service & validation 1) Alarme, conditions
1) Niveau Déversement opérateur, pour le
élevé déversement
Pression ou dégagement couche de
protection ou le
Exploitation & élevée 2) Incendie dans dégagement
Maintenance externe l'environnement 2) Système dans
déluge l'environne-
ment
Modification Débit Défaillance Aucune
faible/ du système conséquence
inexistant de conduite intéressante
Déclassement
Aucune
Débit conséquence
inversé intéressante
Schéma 1 : Cycle de vie de sécurité d'un système
Tableau 2 : Exemple de résultat d'étude HAZOP
p. 10 p. 11
le
ur
e t e r d
ns :lim i ce s de
u
po
on
sit
l'i
ati n : empêcher l'in
Ré
t io c
nc
n i
u
e d
én
év e
ide
et survei
llan
ôle
Att
nt
Pr
ntr du process et c
nt
e
condu Co
e : larmes
it
Processus
Schéma 3 : Construction typique de couches de protection
p. 12 p. 13
Moyenne
Moyenne
Elevée
Elevée
Elevée
Faible
Faible
Faible
• Traitement des anomalies dangereuses détectées, en 4.2.5 Installation, mise en service et validation
prenant en compte un délai de réparation supérieur au Objectif : Intégrer et essayer le SIS. Valider que le SIS
MTTR spécifié. satisfait, en tous points, aux exigences de sécurité, en
• Tolérances aux anomalies du matériel (capacité à termes de fonctions instrumentées de sécurité et d'intégrité
fonctionner en cas de défaillance de composants). de sécurité requises.
Implique la conception de sous-systèmes redondants. Méthode : L'installation et la mise en service doivent être
planifiées afin de disposer des ressources matérielles et
Tolérance minimale aux anomalies du matériel humaines nécessaires. En vue de la validation de sécurité
du SIS, tous les modes de fonctionnement du processus
SIL SFF < 60 % 60 % ≤ SFF ≤ 90 % SFF > 90 % doivent être balayés, y compris les conditions anormales
raisonnablement prévisibles.
1 1 0 0
2 2 1 0
3 3 2 1 4.2.6 Exploitation et maintenance
4 Exigences particulières (voir EN 61508) Objectif : Assurer que la sécurité fonctionnelle du SIS est
conservée pendant l'exploitation et la maintenance.
Tableau 6 : Tolérances minimales aux anomalies du
matériel selon le niveau de SIL (électronique programmable) Méthode : L'exploitation et la maintenance en particulier
doivent être planifiées, en traitant :
• Les activités d'exploitation périodique et anormale
SIL Tolérance minimale aux anomalies du matériel • Les activités de tests périodiques, de maintenance
préventive et de dépannage
Ni sécurité Sécurité positive Matériel éprouvé, • Les procédures, mesures et techniques à utiliser pour
positive ni ou autodiagnostic protection l'exploitation et la maintenance
autodiagnostic des réglages
Il est particulièrement important de documenter les
1 1 0 0 procédures nécessaires pour maintenir un niveau de
2 2 1 0 sécurité acceptable lorsqu'un shunt (court-circuitage de la
3 3 2 1 barrière de sécurité) est nécessaire à la maintenance ou aux
essais périodiques.
4 Exigences particulières (voir EN 61508)
Ces essais sont d'une importance capitale pour le maintien
Tableau 7 : Tolérances minimales aux anomalies du du niveau d'intégrité de sécurité procuré par le SIS. Ils
matériel selon le niveau de SIL (capteurs, éléments doivent permettre de vérifier le fonctionnement correct de
terminaux, logique non programmable) chaque capteur, des éléments terminaux, la bonne
réalisation de l'action logique ainsi que le bon
• Choix des composants et des sous-systèmes : possibilité fonctionnement de la signalisation et des alarmes. Un plan
de choisir des éléments "éprouvés par l'usage". Il est d'inspection visuelle doit nécessairement être établi.
important de recueillir le maximum de retour d'expérience
possible.
• Exigences concernant la maintenabilité et la testabilité (en
globalité ou par parties).
• Calcul des probabilités de défaillance. Plusieurs outils
existent, aux domaines de validité différents (Simulation,
AMDEC, Arbre de défaillances, Modèles de Markov…).
p. 16 p. 17
2oo2 (m=2 et n=2) : Cette architecture comprend deux 4.5 COMBINAISONS DE SIS
éléments connectés en parallèle de sorte qu'il est Dans certains cas, un facteur de réduction de risque très
nécessaire que les deux éléments demandent la fonction de élevé peut être nécessaire. Or, la réalisation de systèmes
sécurité avant que celle-ci ne survienne. Il faut que les deux instrumentés de hauts niveaux de SIL est difficile et
éléments soient opérationnels pour assurer la fonction de coûteuse (notamment le niveau SIL 4, très complexe).
sécurité. La défaillance dangereuse d'un seul élément
empêche le traitement correct de tout signal d'alarme Il peut être dans ce cas avantageux de combiner plusieurs
valide. SIS de niveau de SIL plus faible. Il convient alors d'être
2oo3 (m=2 et n=3) : Cette architecture comprend trois attentif aux facteurs de cause commune, qui viendront
éléments connectés en parallèle avec un dispositif à logique minorer le facteur de réduction de risque obtenu.
majoritaire pour les signaux de sortie de telle sorte que l'état Ces facteurs sont nombreux et peuvent être difficiles à
de sortie n'est pas modifié lorsqu'un seul élément donne un éliminer. Peuvent être cités :
résultat différent des deux autres éléments. Tant que deux • Composants électroniques de même origine
éléments sont opérationnels, la sécurité est garantie. Il
• Facteurs humains (programmation, maintenance)
faudrait la défaillance dangereuse de deux éléments pour
qu'un signal d'alarme valide ne soit pas traité correctement. • Langage de programmation
Cette architecture représente aujourd'hui "l'état de l'art" car • Facteurs climatiques
elle permet un bon compromis sécurité - disponibilité des Il est ainsi en général déconseillé d'utiliser conjointement
outils de production. deux systèmes identiques, qui partageront de nombreuses
causes communes. Il est préférable d'utiliser un deuxième
4.4 ARCHITECTURES TYPIQUES système non redondant.
La notion de tolérance minimale aux anomalies, vue en En pratique, lorsque plusieurs SIS sont utilisés en série, le
4.2.4, a entraîné la création d'architectures "types", niveau de SIL retenu pour l'ensemble sera le plus faible de
permettant de répondre aux critères de SIL1, SIL2 ou SIL3. tous les SIS. Lorsque plusieurs SIS sont utilisés en parallèle,
• SIL 1 : Architecture 1oo1 avec 1 capteur, 1 unité de une analyse des modes communs sera nécessaire pour
traitement et 1 élément terminal. déterminer si le niveau de SIL global peut être majoré. En
• SIL 2 : Intégration de fonctions de diagnostic et de tout état de cause, le niveau de SIL3 ne pourra être
redondance des capteurs et de l'unité de traitement. dépassé.
L'élément terminal peut également faire l'objet de
redondance.
• SIL 3 : Typiquement, redondance des capteurs, de l'unité
de traitement et de l'élément terminal ; fonctions de
diagnostic avancées, validation en ligne de la fonction de
sécurité pour limiter la fréquence des essais.
p. 20 p. 21
5
4.6 NOTIONS DE COUT
On comprendra aisément que la réduction de risque APPLICATIONS :
augmentant d'un facteur 10 entre chaque niveau de SIL, les SYSTEMES
exigences sur le matériel et les multiples redondances
possibles affectent lourdement le coût lorsque le niveau de
SIL demandé augmente. 5.1 BONNES PRATIQUES
A titre indicatif, on considère que le coût du développement 5.1.1 Concept éprouvé
et de l'équipement double lorsque le niveau de SIL Une fois l'architecture du système instrumenté de sécurité
augmente d'une unité. Toutes précautions prises, il peut définie, il faut procéder au choix des composants et des
être plus intéressant d'utiliser un SIL1 et un SIL2 plutôt sous-ensembles. La norme EN 61511 impose de recourir à
qu'un SIL3. des composants certifiés selon l'EN 61508 (éléments
électriques et électroniques) ou ayant fait leurs preuves.
Cette possibilité a été ajoutée de par le faible nombre
d'équipements de terrain (exemple : vannes) conçus selon
l'EN 61508.
5 Par analyse du retour d'expérience, il est nécessaire de
Coût
10 -2
SIL2
-3
10
SIL3 SIL2
PFD
PFD
-4
10
SIL4 SIL3
T1
10 -5 T1
SIL4
T2 T2
TEMPS TEMPS
Elément 1
Elément 2
t1 : intervalle de test de l'élément 1 t1 : intervalle de test complet
t2 : intervalle de test de l'élément 2 t2 : intervalle de test partiel
Schéma 6 : Evolution de la PFD de 2 éléments dans le Schéma 7 : Evolution de la PFD du même sous-ensemble
temps. L'élément 2 est capable de garder un taux de selon qu'il subisse un test complet de longue période ou
défaillance compatible SIL3 plus longtemps que l'élément 1. des tests partiels à plus haute fréquence. Le niveau de
SIL2 est maintenu plus longtemps avec les tests partiels.
6
5.3 AUTRES CRITERES
5.3.1 Temps de réponse
APPLICATIONS :
Un temps de réponse cible doit être déterminé pour chaque
ROBINETTERIE
fonction de sécurité, en fonction de la cinétique des
conséquences d'un évènement redouté. On l'a vu, un système instrumenté de sécurité se
Une réaction chimique en chaîne nécessitera par exemple compose de la chaîne suivante.
une action de mise en sécurité bien plus rapide qu'un
débordement de bac de stockage de produit pétrolier. Capteur Unité logique Elément terminal
Tout comme le niveau d'intégrité de sécurité, ce temps de
réponse devra être évalué régulièrement afin de déceler Dans de très nombreux cas, si ce n'est la majorité,
d'éventuelles anomalies. Les essais pourront être partiels l'élément terminal qui va physiquement mettre le
quand un test en ligne complet n'est pas réalisable. procédé dans un état sûr est une vanne. Or, il est estimé
5.3.2 Integration du facteur humain que les vannes sont responsables de 50% des anomalies
Les normes EN 61508 et EN 61511 ne prévoient pas affectant les systèmes instrumentés de sécurité !
l'intégration du risque lié au facteur humain dans les calculs Aussi bien des vannes de sectionnement que des
de PFD d'une fonction instrumentée de sécurité, pour la vannes de réglage peuvent être utilisées dans des SIS.
simple raison qu'il n'est pas quantifiable. Dans le cas des vannes de réglage, on se rappellera qu'il
Hors fonction instrumentée, il est néanmoins estimé que la est difficile d'atteindre un niveau SIL élevé lorsque les
PFD d'un opérateur formé et non stressé est comprise fonctions de sécurité ne sont pas indépendantes de
entre 10-4 et 10-2 et qu'en situation de stress, la PFD est celles de contrôle du procédé.
comprise entre 0,5 et 1 (de 50% à 100% de risque Les soupapes de sûreté sont des composants
d'erreur !). largement utilisées pour la réduction des risques, mais
La nécessaire intégration du facteur humain lors du elles ne sont en général pas instrumentées et ne sont
développement de fonctions instrumentées de sécurité se donc pas considérées lors des études de sureté de
fera à travers la documentation utilisateur, qui devra être fonctionnement liées au SIL.
extrêmement explicite, ainsi que par la formation des
opérateurs. 6.1 APPLICATION DES CONCEPTS DE SIL
Deux cas peuvent être distingués, selon les besoins :
6.1.1 Fournir des données de fiabilité
Sur demande de l'intégrateur, le fournisseur de robinetterie
doit indiquer des données de fiabilité (et non pas des
valeurs de SIL, qui concernent la chaîne de sécurité). Il
s'agit donc de mettre en place une démarche de retour
d'expérience, qui se structure ainsi :
• Détermination des modes de défaillance (AMDEC)
• Recueil de données de fiabilité en conditions réelles (ou à
défaut, par essais)
• Dépouillement pour affecter les taux de défaillance aux
modes identifiés.
p. 28 p. 29
CERTIFICATION
0,1
7 ET BASES
DE DONNEES
Le recours à la certification n'est pas obligatoire pour
attester de la conformité d'un niveau de SIL selon les
PFDavg
8
NORMES :
SOURCES
AUTRES SUPPORTS :
• Guide d'application des concepts de SIL aux
équipements de robinetterie - CETIM Performances
• Evaluation des barrières techniques de sécurité -
Ω10 - INERIS
• Démarche d'évaluation des barrières humaines de
sécurité - Ω20 - INERIS
• Dossier "Sécurité de Process" - Mesures Novembre
2005
www.safetyusersgroup.com
www.wikipedia.com
www.risknowlogy.com
Tous droits réservés - Reproduction interdite - Édition 2011
Le SIL
Safety Integrity Level
45 rue Louis Blanc
92400 COURBEVOIE Niveau d'intégrité de sécurité
Tél. : +33 (0)1 47 17 62 98
Fax : +33 (0)1 47 17 63 00
Email : profluid@profluid.org
www.profluid.org
Réalisation : Neuville Impressions