Sécurité des machines, procédés et infrastructures. Démarche et solutions de mise en œuvre

Sécurité des machines, procédés et infrastructures Démarche et solutions de mise en œuvre

Sommaire 04 Les directives européennes et les normes 06 La sécurité fonctionnelle 08 Les machines et les normes de sécurité Exemple d une machine d étalonnage Exemple d une machine - analyse Exemple d une machine - conception Sistema, outil d évaluation du niveau de performance 22 Les procédés industriels et les normes de sécurité Procédés industriels - la directive Seveso Procédés industriels - la norme EN 61511 Exemple de rénovation d une unité de production chimique Exemple de rénovation - analyse Exemple de rénovation - conception Exemple de rénovation - synthèse et recommandations 36 Les infrastructures et les normes de sécurité Exemple de la centralisation d un réseau d écluses Exemple d un système de détection des vents sur un réseau ferré 42 Les solutions Schneider Electric Fonctions de base d un système de sécurité Architectures machines Architectures procédés Architectures infrastructures 52 Les services experts en sécurité de Schneider Electric 2

En tant que fournisseur d équipements et partenaire dans le domaine de la sécurité, nous souhaitons vous accompagner avec ce guide sur les dernières évolutions des directives sécurité dans les domaines de la machine, des procédés et des infrastructures ainsi que sur les normes qui les mettent en application. Nous avons particulièrement veillé à mettre l accent sur la démarche et les points essentiels afin de vous sensibiliser au respect d une méthodologie. Nous avons également illustré l ensemble de nos propos par des exemples pour montrer concrètement comment nous pouvons vous assister tout au long de vos projets et vous faire partager notre savoir-faire. machines industrie infrastructures 3

4 Les directives européennes et les normes

Une directive est un acte juridique communautaire établi par le Conseil de l Union européenne. Les États membres doivent transposer la directive dans leur droit national. Les directives sont publiées au Journal Offi ciel des Communautés Européennes. La surveillance des entreprises est assurée par les services d inspection du travail ou de la DREAL. Lorsqu une machine ou un procédé n est pas conforme aux exigences essentielles de la directive, trois types de sanctions sont susceptibles d être mises en œuvre : - une sanction administrative consistant à procéder au retrait du produit du marché européen, - une sanction judiciaire avec mise hors service de la machine ou du procédé non conforme, - des sanctions pénales à l encontre du fabricant et de l utilisateur. Les directives sont spécifi ques au secteur d activité, elles découlent des différents traités qui ont érigé des droits fondamentaux. Le tableau (Fig.1) résume les directives et les normes applicables aux fonctions de sécurité. Si la conformité d une machine neuve est de la responsabilité du constructeur, la mise en exploitation et les modifi cations sont du ressort des utilisateurs. Ils doivent, à chaque fois qu une évolution est engagée, démontrer que les directives sociales, voire environnementales sont respectées et que le niveau de sécurité est conservé. Une norme est une spécifi cation technique approuvée par un organisme reconnu. Son application n est pas obligatoire. Une norme harmonisée est une norme élaborée par un organisme européen de normalisation sur la base d un mandat délivré par la Commission Européenne. Elle est publiée au Journal Offi ciel de l Union Européenne et respecte la directive par rapport à laquelle elle est rédigée. Pour le produit ou le système qui est construit conformément à cette norme, elle lui confère présomption de conformité aux exigences essentielles de sécurité concernées. Parmi les normes citées ci-dessous, seules les EN/ISO 13849 et EN 62061 sont harmonisées, les autres normes telles qu IEC sont reconnues comme de bonnes pratiques. La norme sécurité fonctionnelle EN 61508 est générique, elle sert de référence aux normes sectorielles qui sont plus faciles à appréhender. Droits fondamentaux de l Union Européenne Libre circulation Protection des travailleurs Protection de l environnement, des personnes et des biens Directives de l Union Européenne Directives machines 2006/42/CE Directives sociales 89/391/CE Directives Seveso II 2008/99/CE 96/82/CE Secteur d activité Constructeur de machines Utilisateur intégrateur Utilisateur intégrateur Fig.1 Résumé des directives et normes applicables aux fonctions de sécurité Normes fonctions de sécurité Norme générique EN 61508 Normes harmonisées EN/ISO 13849 EN 62061 EN/ISO 13849 EN 62061 EN 61508 EN 61511 5

La sécurité fonctionnelle Réduire le risque demande la mise en œuvre d un ensemble de moyens et de prescriptions qui concourent à obtenir un niveau de sécurité acceptable. Si les protections passives (murs d enceinte, capots de protections...) ne sont pas suffisantes, des systèmes automatisés doivent être ajoutés. Ils sécurisent l accès et le fonctionnement des machines ou des procédés pour que l opérateur puisse travailler en sécurité. 6

Fig.2 Illustration de la sécurité fonctionnelle La norme EN 61508 et les systèmes de sécurité fonctionnelle Les systèmes de sécurité sont des sous-ensembles qui viendront en parallèle des automatismes de contrôle/commande. Ils compléteront les autres protections pour assurer le niveau de sécurité requis. La norme EN 61508 précise sous le terme de sécurité fonctionnelle des règles pour réaliser ces sous-ensembles et les exigences quant à leur fonctionnement. Ces sous-ensembles assurent une fonction défi nie. Ils sont constitués d une chaîne complète tels que les capteurs, les circuits électriques et électroniques, les interverrouillages et les moteurs (voir Fig.2). ensemble des moyens concourant à la sécurité autres technologies verrouillage mécanique capteur Sécurité fonctionnelle système instrumenté de sécurité (SIS) externes Sécurité fonctionnelle instrumentée fonctions instrumentées F1 F2 Fn fonction traitement mur capot actionneur Mise en œuvre de la sécurité fonctionnelle Pour faciliter la compréhension de la démarche, nous allons présenter la mise en œuvre de la sécurité fonctionnelle à travers deux exemples : une machine et un procédé industriel. Le propos n est pas de détailler les calculs, mais de présenter les diffi cultés et les points essentiels qui permettent au lecteur d orienter ses choix d architecture de système et éventuellement de solliciter des conseils. Analyse et prescriptions > concept > défi nition de l application > analyse de danger et de risques > prescriptions globales de sécurité Réalisation > spécifi cation des fonctions de sécurité > conception et développement > intégration > procédures d exploitation et de maintenance > validation Mise en service > installation > tests de validation Exploitation > maintenance > modifi cation et évolution > démantèlement Fig.3 Phases du cycle de vie Le fil conducteur de la sécurité fonctionnelle Les grandes lignes qui ont conduit l élaboration des directives sont : - une approche basée sur le risque pour déterminer les exigences d intégrité de la sécurité des systèmes. - la prise en compte de toutes les phases du cycle de vie du système. Celles-ci comprennent (Fig.3) : la conception initiale, en passant par l analyse et l évaluation des risques, le développement des exigences de sécurité, la spécifi cation, la conception des systèmes, l implémentation, la mise en service, l exploitation et la maintenance, la modifi cation, le démantèlement fi nal et la mise au rebut. - le concept de sécurité fonctionnelle qui prend en compte un ensemble complet assurant une fonction de sécurité. Ces fonctions sont composées de sous-ensembles qui s intègrent dans le système de sécurité. - des exigences pour se prémunir des pannes et pour garantir la sécurité en présence de pannes. - la formalisation des processus de décision touchant à la sécurité, des méthodes employées et de la mise à jour des documents. 7

8 Les machines et les normes de sécurité

Le contexte Selon qu il s agit d une machine neuve ou de la modifi cation d une machine existante, les responsabilités sont endossées par des personnes différentes. Construction d une nouvelle machine L application des directives machines 2006/42/CE est obligatoire. En se conformant aux normes harmonisées de sécurité, le constructeur obtient une présomption de conformité pour sa machine. Il peut donc apposer le marquage e et vendre dans la CEE. Le tableau ci-dessous (Fig.4) présente deux normes de type B applicables à la sécurité des machines et de leurs automatismes. Elles sont complétées des normes type C, spécifi ques à certaines machines (presses, robots...). La mise en œuvre de ces normes est détaillée à partir d un exemple concret au chapitre suivant. Directive machines européenne 2006/42/CE Si ces normes sont exigeantes, elles offrent une méthode utile pour développer la sécurité. En intégrant leurs contraintes en amont de la conception, le constructeur optimisera la part relative à la sécurité. En effet, une protection mécanique simple, telle qu un verrouillage de l accès à une partie dangereuse associé à des constituants de sécurité standards, peut être facilement mis en œuvre sans nécessairement faire appel à des systèmes d automatisme complexes. Modification d une machine existante Celui qui réalise une modifi cation prend la responsabilité du constructeur (OEM) et doit garantir la conformité du résultat. Type A normes sur les notions fondamentales EN 14121, EN 12100, EN 1050 Type B normes génériques sur les machines EN/ISO 13849-1 ou EN 62061 Type C normes spécifiques Certification et marquage e selon la directive machines Fig.4 Normes à appliquer pour la conception de la sécurité des machines et de leurs automatismes. 9

Les machines et les normes de sécurité exemple Exemple d une machine d étalonnage de produits électriques Description de l application Cette machine spéciale d étalonnage de produits électriques comporte un convoyeur d entrée, un poste de réglage, un poste de contrôle et un convoyeur de sortie. Prestation de Schneider Electric Le constructeur souhaite mettre sa machine en conformité avec la directive machine. La conception est en cours, l expert sécurité de Schneider Electric participe en amont dès l analyse des risques. Nous allons décrire la démarche qui comporte deux phases : > L analyse Elle comporte cinq grandes étapes (fi gure 5) décrites dans les normes EN 14121 et EN 12100. L itération de ces étapes est nécessaire pour maîtriser les phénomènes dangereux. > La conception du système Selon les technologies mises en œuvre le concepteur choisira la norme EN/ISO 13849-1 ou EN 62061. 10

EN 14121 Début étape 1 Détermination des limites de la machine étape 2 Identification des phénomènes dangereux Phase d analyse étape 3 Estimation du risque étape 4 Evaluation du risque La machine est-elle sûre? oui fin non étape 5 EN 12100 Réduction des risques > mesures de conception > fonctions complémentaires > information du personnel Phase de conception EN/ISO 13849-1 ou EN 62061 Conception du système de contrôle/commande relatif à la sécurité Fig.5 Les étapes d appréciation du risque 11

Les machines et les normes de sécurité exemple étape 1 Détermination des limites de la machine Les limites de la machine ont été identifi ées en prenant en compte sur l ensemble du cycle de vie : - l usage normal (substances utilisées, cadences... ), - le mauvais usage possible (utilisation hors spécifi cation... ), - les limites d espace (environnement, accès... ), - les limites de temps (durée de vie, périodes d entretien... ). étape 2 Identification des phénomènes dangereux Cette phase commence par l analyse des zones de travail et des tâches réalisées par l opérateur de production, le régleur et les personnes de maintenance : - chargement/déchargement des produits (démarrage, arrêt, arrêt d urgence, redémarrage), - changement de série (modifi cation des paramètres de tests), - nettoyage, maintenance préventive, - maintenance corrective, réglage. > identification des opérations dangereuses Elle est réalisée ensuite à partir d une check-list de phénomènes dangereux fournie par les normes EN 12100 et EN 14121. La fi gure 6 en illustre quelques-uns. Dans notre cas elles seront essentiellement d ordre mécanique et électrique avec une attention particulière pour un laser de marquage. > Les scénarios d accidents Lors de l analyse, nous avons identifi é 22 scénarios d accidents. Nous allons décrire seulement ceux qui concernent le poste de transfert. Il est plus parlant de présenter un scénario extrait de cette analyse qui conduit à estimer les risques (voir Fig.7). Fig.6 Les principaux phénomènes dangereux et leurs risques 12

étape 3 Estimation du risque La norme EN 14121-1 défi nit le risque comme étant le produit de la gravité du dommage possible par la probabilité d occurrence. Celle-ci étant la combinaison de trois critères : - exposition de la ou des personnes au phénomène dangereux, - risque d apparition d un phénomène dangereux, - possibilité d éviter ou de limiter le dommage. Risque Gravité du dommage possible Probabilité d occurrence Les risques correspondant à chaque phénomène dangereux doivent être estimés pour chaque tâche de la phase de vie. Lors de cette analyse, nous avons identifi é 22 risques, par simplifi cation nous allons en décrire un seul. Fig.7 Identification des risques sur le poste de transfert. (1) Ces numéros correspondent aux étapes mentionnées dans la figure 5. Etape 2 : identifi cation des phénomènes dangereux (1) Zone dangereuse Tâche/opération Phénomène dangereux Situation dangereuse Événement dangereux Transfert Opération/cycle normal Ecrasement Accès d une personne dans la zone de transfert, à proximité des actionneurs alimentés Accès ou contact avec des pièces en mouvement en raison de l absence de protecteur Etape 3 (1) Dommages malgré la présence de protections Sérieux Probabilité d occurrence du dommage Probable étape 4 Evaluation du risque Fig.8 Matrice de risque utilisée dans le projet Malgré la présence de protections mécaniques, un risque résiduel élevé persiste. Il se déduit des deux lignes du tableau 7 en utilisant la matrice de risque proposée par la norme EN 14121-2. Probabilité d occurrence du dommage Gravité du dommage catastrophique sérieuse modérée mineure très probable élevée élevée élevée moyenne probable élevée élevée moyenne faible improbable moyenne moyenne faible négligeable rare faible faible négligeable négligeable Une phase préliminaire ayant fi xé le niveau de risque tolérable, cette analyse démontre la nécessité d utiliser des moyens supplémentaires pour réduire le risque. Il est décidé d ajouter une fonction de sécurité. 13

Les machines et les normes de sécurité exemple étape 5 Réduction des risques La norme EN 12100 mentionne la notion de risque tolérable comme étant la valeur acceptée par l ensemble des parties prenantes (Fig.9). Les moyens à mettre en œuvre pour réduire les risques sont de trois ordres : - les mesures prises lors de la conception de la machine pour supprimer les risques tels que les protections par carters, - des fonctions de sécurité complémentaires au cas où les autres mesures ne seraient pas suffi santes, - les informations de sécurité aux utilisateurs (affi chage de consignes et formation des opérateurs). Dans notre cas le risque résiduel est trop élevé. Il est décidé de mettre en œuvre une fonction de sécurité complémentaire. sévérité risque résiduel système sans réduction de risque risque initial inhérent à l activité niveau de risque tolérable obtenu par des mesures de réduction des risques fréquence Fig.9 Réduire le risque à un niveau tolérable À ce stade, il faut sélectionner une méthode provenant de l une des deux normes applicables aux machines (EN/ISO 13849-1 / EN 62061). Comme ces deux normes se chevauchent, le choix est assez fl exible et dépendra souvent du contexte d utilisation. Elles ont cependant un positionnement différent selon les technologies d automatisme de sécurité utilisées : > Technologie pneumatique, hydraulique, électrique La norme EN/ISO 13849-1 s applique, elle remplace la EN 954-1 en lui apportant plusieurs améliorations et surtout une cohérence avec l ensemble des normes de sécurité (Fig.10) : - elle classifi e les niveaux de risque en PL (Performance Level ou niveau de performance), - elle couvre les automatismes à relais, les automates et contrôleurs de sécurité, les logiques pneumatiques, - elle s applique généralement aux machines autonomes et aux machines intégrées aux procédés manufacturiers. EN/ISO 13849-1 A Identifier les fonctions de sécurité B Spécifier C Déterminer D Concevoir E Déterminer les caractéristiques le niveau de performance requis (PLr) la fonction de sécurité le PL de la fonction vérification PL u PLr non oui fin Fig.10 Phases de la norme EN/ISO 13849-1 14

> Technologie électrique, électronique et électronique programmable (E/E/EP) Dans ce cas la norme EN 62061 s applique. Elle intègre entre autres la notion de sécurité fonctionnelle. Elle défi nit des SIL : Safety Integrity Level (Niveau d Intégrité de Sécurité). Elle couvre les automatismes à relais, les automates et contrôleurs de sécurité. > Choix de la norme à appliquer pour notre étude Les fonctions étant peu complexes, le choix s est porté sur la EN/ISO 13849-1. Cette norme prescrit un processus basé sur le même concept que la norme EN 14121. Il est schématisé ci-contre (Fig.11). Les travaux d analyse réalisés aux étapes 1 à 4 nous permettent de passer directement à la phase C de l EN/ISO 13849-1 qui donne les règles de calcul du PL requis. 1 S1 S2 F1 F2 F1 F2 P1 P2 P1 P2 P1 P2 P1 P2 PLr Fig.11 Détermination du PL requis. Le chemin en rouge représente les paramètres retenus dans le cas du poste de transfert a b c d e faible élevé > Détermination du niveau PL requis La norme s appuie sur le graphique de risque pour obtenir le niveau de performance PL (Performance Level) requis. Les paramètres à prendre en compte sont : S gravité de la blessure - S1 blessure légère (normalement réversible) - S2 blessure grave (normalement irréversible, y compris le décès) F fréquence et/ou durée d exposition au phénomène dangereux - F1 rare à assez fréquente et/ou courte durée d exposition - F2 fréquente à continue et/ou longue durée d exposition P possibilité d éviter le phénomène dangereux ou de limiter le dommage - P1 possible sous certaines conditions - P2 rarement possible Le tableau ci-dessous (Fig.12) résume l évaluation de notre fonction. Poste de transfert : risque mécanique, contact avec un actionneur en mouvement Paramètre retenu Fig.12 Evaluation de la fonction de sécurité Justification Gravité de la blessure S2 Sectionnement du doigt Fréquence F1 Intervention machine ponctuelle (machine automatique) environ 1/jour Possibilité d évitement P2 Mouvement à vitesse rapide Niveau de performance requis PLd 15

Les machines et les normes de sécurité exemple Exemple d une machine > conception canal 1 S1 Fin de course porte 1 S3 Fin de course porte 2 Traitement contrôleur de sécurité K1 Contacteur KM1 Coupure air mise à l échappement S2 Fin de course porte 1 S4 Fin de course porte 2 K2 Contacteur KM1 Coupure air mise à l échappement canal 2 Fig.13 Représentation par blocs ouvert S1 porte 1 S2 K1 fermé ouvert S3 K2 Air porte 2 fermé S4 M A2 A1 A2 A1 EV1 EV2 Fig.14 Composants de la fonction de sécurité Conception d une fonction de sécurité Le niveau PLd de notre fonction est maintenant déterminé, nous allons la décrire. Elle doit assurer lors d une ouverture de porte : - la coupure de l alimentation des pièces nues sous tension, - la mise hors énergie des éléments mobiles (coupure alimentation et mise à l échappement air). L architecture est d abord représentée sous forme de blocs diagramme de fi abilité (Fig.13). À partir de cette représentation conceptuelle, le choix des composants est effectué et le schéma est réalisé (Fig.14) : - deux fi ns de course de sécurité XC (S1 et S2), - un contrôleur de sécurité XPS-MP, - deux contacteurs standards LC1K dont le circuit de contrôle est alimenté en 24V (K1 et K2), - des électrovannes (EV1 et EV2), commandées par les contacts auxiliaires des deux contacteurs en série. 16

Déterminer le PL de la fonction À ce point il est nécessaire de présenter la méthode de calcul du PL. Le PL se défi nit en terme d architecture et de probabilité de défaillance dangereuse par heure. Il est basé sur les paramètres suivants : - la catégorie de l architecture, - la fi abilité des composants (MTTFd : temps moyen avant défaillance dangereuse), - la couverture de diagnostic DC, - l estimation des défaillances de cause commune (CCF). Le PL comporte 5 niveaux, pour notre exemple le niveau PLd est requis (Fig.15). PL Probabilité de défaillance dangereuse par heure a u 10-5 < 10-4 b u 3 x10-6 < 10-5 c u 10-6 < 3 x 10-6 d u 10-7 < 10-6 e u10-8 < 10-7 Fig.15 Niveaux de performances PL (extrait de la norme EN 13949-1) > La catégorie de l architecture utilisée Cinq catégories défi nissent le comportement en cas de défaillance, c est à ce niveau que la redondance des composants est prise en compte (Fig.16). De par le choix de l architecture (Fig.14) qui comporte des composants redondants, la catégorie 3 s applique. cat. B 1 2 3 4 Comportement du système Une faute peut conduire à une perte de la fonction de sécurité Idem à B, mais exigence d une meilleure fi abilité de la fonction sécurité. Une faute peut conduire à une perte de la fonction de sécurité et la perte de la fonction de sécurité est détectée par le contrôle. Si la faute est unique, la fonction de sécurité est toujours assurée. L accumulation de défauts non détectés peut conduire à la perte de la fonction sécurité. Quand des fautes surviennent, la fonction de sécurité est toujours assurée. Les fautes seront détectées à temps afi n de ne pas perdre la fonction de sécurité. Principe pour obtenir la sécurité Choix du composant approprié Choix du composant approprié Auto contrôle Redondance Redondance + auto contrôle Fig.16 Les catégories d architectures utilisées 17

Les machines et les normes de sécurité exemple > La fiabilité des composants MTTFd La fi abilité se mesure par le temps moyen avant défaillance dangereuse du composant (Mean Time To dangerous Failure). Les composants sont combinés en canaux, la norme EN/ISO 13849-1 propose une méthode de calcul du MTTFd d un canal à partir du MTTFd de chacun de ses composants. Le MTTFd est compris entre 3 et 100 ans (Fig.17). Dans notre cas le calcul donne une valeur de 87 ans correspondant à un indice élevé. Les fabricants de composants doivent fournir ces données pour chacun de leurs produits. Indice Gamme Faible Moyen Élevé 3 ans y MTTFd < 10 ans 10 ans y MTTFd < 30 ans 30 ans y MTTFd < 100 ans Fig.17 Indice de fiabilité d un canal > La couverture de diagnostic DC Ce terme s exprime en pourcentage et défi nit la capacité de diagnostiquer une défaillance dangereuse. Par exemple, lors d un éventuel collage de contact NC d un relais, l état du contact NO donnera une information erronée à l ouverture du circuit. Si le produit a des contacts NO et NC liés, le défaut sera détecté. L estimation se fait par analyse des modes de défaillances et leurs effets. La norme reconnaît quatre niveaux. Malgrès l utilisation d un contrôleur de sécurité disposant d une très bonne couverture de diagnostic, la couverture de diagnostic de l ensemble de la fonction de sécurité est limitée à un niveau moyen par la mise en cascade des capteurs et la surveillance de la coupure d air (Fig.18). Couverture de diagnostic Gamme Nul DC < 60 % Faible 60 % y DC < 90 % Moyen 90 % y DC < 99 % Élevé 99 % y DC Fig.18 Gamme de couverture de diagnostic 18

> Les défaillances de cause commune CCF Il s agit ici des défaillances pouvant impacter l ensemble des fonctions comme une coupure de tension. Il faudra mettre en œuvre des mesures pour maintenir le niveau de sécurité lorsqu elles se produiront. Le tableau ci-dessous énumère les mesures et contient des valeurs associées, fondées sur une évaluation d expert. Pour chaque mesure listée, seuls les résultats tout ou rien peuvent être déclarés. Si une disposition est partiellement réalisée, le score résultant est nul. La norme EN/ISO 13849 donne une méthode de notation détaillée dont nous donnons un extrait ci-dessous (Fig.19). Elle impose un score total qui doit être au minimum de 65. Dans l exemple traité le score atteint 70. Mesure contre les CCF Score maxi Score réalisé Séparation/Isolement Séparation physique entre les voies de signaux Diversité différents principes de conception/technologies ou principes physiques sont utilisés (ex : composants de diverses technologies, premier canal électronique programmable et second canal câblé) Conception/application/expérience (protection surtensions, courant, etc., composants éprouvés) Appréciation/analyse (ex. : analyse des modes de défaillance) Fig.19 Groupes de mesures contre les CCF 15 15 20 0 20 20 5 5 Compétence/formation 5 5 Environnement : CEM, fi ltration des fl uides 25 25 Environnement : températures, chocs, vibrations, humidité 10 0 Total 100 70 Schneider Electric propose une large gamme de composants de sécurité et de composants standards en capteurs, contrôleurs et actionneurs. Un panorama de l offre de sécurité est proposé à la fin de ce document. L ensemble de l offre est présenté sur le site de l entreprise : www.schneider-electric.fr 19

Les machines et les normes de sécurité exemple > Vérification du PL de la fonction L architecture de la fonction et les composants étant choisis, il reste maintenant à déterminer le PL. La fi gure 20 résume les différents éléments du PL présentés dans les paragraphes précédents. Paramètre Catégorie d architecture 3 DC MTTFd CCF 70 Résultat pour la fonction 96 % - élevé (supérieur à moyen pour Fig.21) 87 ans - élevé Fig.20 Composants du PL Pour aider le concepteur à orienter sa décision, la norme propose un graphe de choix (Fig.21). Nous y avons entouré les données de notre fonction, ce qui conduit à un niveau supérieur ou égal à PLd. Cette valeur correspond bien au niveau requis. Depuis quelques années, des bases de données communes se sont standardisées. Elles intègrent les règles présentées au paragraphe précédent et il devient plus simple de déterminer le PL d une fonction. catégorie a b c d e Catégorie d architecture Niveau de performance PL B 1 2 2 3 3 4 Fig.21 Graphe de choix du PL MTTFd faible moyen élevé Couverture DC nulle nulle faible moyenne faible moyenne élevée 20

Sistema, outil d évaluation du niveau de performance Fig.22 Capture d écran du logiciel Sistema Les logiciels spécialisés de détermination du PL Plusieurs solutions logicielles sont apparues sur le marché : - les solutions propriétaires sous forme de feuilles de calcul ou de logiciels, - les solutions ouvertes telles que Sistema du BGIA. Sistema est un logiciel gratuit qui permet d évaluer le niveau de performance PL à partir d une architecture déterminée par l utilisateur. Ce logiciel prend en charge des bases de données standardisées fournies par différents fabricants. Schneider Electric met à disposition une base de données pour ses produits de sécurité directement exploitable dans Sistema. L utilisation de Sistema dans notre exemple confi rme le PL que nous avions calculé. Ce logiciel est disponible sur le site de Schneider Electric à l adresse : http://xsl.schneider-electric.com menus > utilitaires > bibliothèques > bibliothèques SISTEMA Si le logiciel est d une aide importante, il reste essentiel de conduire en amont du projet l analyse du risque. C est une étape clé pour obtenir une machine sûre et optimiser les fonctions de sécurité nécessaires. 21

22 Les procédés industriels et les normes de sécurité

La directive 96/82/CE, appelée aussi directive Seveso II, concerne la maîtrise des accidents majeurs pouvant survenir dans les procédés potentiellement dangereux. Elle fixe comme priorité la prévention et la réduction des risques à la source. Les accidents majeurs Un accident majeur est un événement tel que : - une émission de polluant, - un incendie, - une explosion, résultant d une anomalie survenue au cours de l exploitation, entraînant un danger grave, immédiat ou différé pour : - la santé humaine, - l environnement, - l intérieur ou l extérieur de l établissement. L importance de l organisation comme cause d accidents «Sur la période 1992-2006, les défaillances d ordre humain ou organisationnel sont à l origine de près de la moitié des accidents [...].» (Fig.23) Source : bureau du ministère chargé de l Environnement (Bureau d Analyse des Risques et Pollutions Industrielles). Il est à noter que les défaillances proviennent en majorité de mauvaises spécifications et des modifications après mises en service. Il en découle la nécessité de travailler la sécurité le plus en amont possible et de traiter non seulement l ensemble du cycle de vie du procédé, mais aussi l organisation (processus de décision, méthodes, gestion des documents) et les compétences du personnel. La norme de sécurité fonctionnelle EN 61511 Cette norme, applicable aux procédés industriels, concerne les Systèmes Instrumentés de Sécurité (SIS) construits à partir de technologies électriques, électroniques et électroniques programmables. Elle est basée sur deux concepts fondamentaux : - le cycle de vie complet du procédé, - le niveau d intégrité de sécurité (SIL : Safety Integrity Level) qui sera présenté dans l exemple sur la rénovation d une unité de production chimique (voir page 28). 14,7 % 20,6 % 5,9 % 14,7 % 44 % 44 % Spécification 14,7 % Conception & implémentation 5,9 % Installation & mise en service 14,7 % Exploitation & maintenance 20,6 % Modifications après mise en service Fig.23 Répartition des causes de défaillances. (Source ministère de l Environnement) 23

Les procédés industriels et les normes de sécurité Procédés industriels > la norme EN 61511 Le cycle de vie En reprenant les concepts de cycle de vie de la norme EN 61508, l EN 61511 précise une méthodologie comportant 8 phases. phase 1 Analyse des dangers et des risques - identifi er les risques associés aux événements dangereux - défi nir le niveau de risque acceptable et la réduction de risque nécessaire phase 2 Allocation des fonctions de sécurité aux couches de protection - identifi er les couches de protection et leurs fonctions - allouer le niveau de sécurité associé phase 3 Prescription de sécurité, spécification du Système Instrumenté de Sécurité (SIS) - spécifi er les exigences pour chaque SIS - allouer le niveau de sécurité associé phase 4 Conception et ingénierie du SIS - concevoir les SIS - planifi cation des essais phase 5 Installation, mise en service et validation - intégrer et essayer les SIS - valider que les SIS satisfassent aux exigences de sécurité phase 6 Exploitation et maintenance - s assurer que le niveau de sécurité du SIS est conservé pendant l exploitation et la maintenance phase 7 Modifications - faire des corrections, des améliorations ou des adaptations au SIS - s assurer que le niveau de sécurité n est pas dégradé et qu il n y a pas de nouveau risque généré phase 8 Déclassement - lors du démantèlement s assurer que le SIS reste approprié La gestion de la sécurité fonctionnelle Pour garantir la qualité du travail de l ensemble de ces phases il est nécessaire de mettre en œuvre un management qui consiste à : - établir un planning global - défi nir des étapes de vérifi cation entre chaque phase - planifi er des audits Les phases 1 et 2 sont détaillées page 26. Les phases 3 et 4 sont illustrées par un exemple concret de réalisation d une fonction instrumentée de sécurité (FIS) page 28. 24

phase 1 Analyse des dangers et des risques phase 2 Allocation des fonctions de sécurité aux couches de protection Gestion de la sécurité fonctionnelle Planification Vérification phase 3 phase 4 Prescription de sécurité spécification du SIS Conception et ingénierie du SIS phase 5 phase 6 Installation, mise en service et validation Exploitation et maintenance Conception et développement des autres moyens de réduction de risque phase 8 phase 7 Modifications Déclassement Fig.24 Le cycle de vie selon l EN 61511 25

Les procédés industriels et les normes de sécurité phase 1 Analyse des dangers et des risques Définition du risque Le risque se défi nit comme le produit de la fréquence d apparition du phénomène dangereux par la sévérité des dommages occasionnés aux personnes et à l environnement. Risque Sévérité des dommages Fréquence d apparition L expertise de Schneider Electric intervient dès l analyse de risque pour contribuer à définir les fonctions instrumentées de sécurité (SIS). L analyse du risque comporte deux dimensions : - la probabilité d occurrence et les conséquences du phénomène dangereux, - le comportement des personnes face au risque, leur compétence et leur capacité à anticiper ou à réagir en cas d accident. Des arrêtés nationaux, basés sur les directives européennes, défi nissent des exigences pour les installations classées à risque. Comme le risque zéro n existe pas, un niveau de risque acceptable doit être défi ni. Le travail d analyse et d évaluation est généralement réalisé par une équipe multidisciplinaire sous l autorité de l ingénieur responsable de la sécurité de l entreprise. SIS Système de contrôle/commande Le risque étant évalué, il convient ensuite d identifi er les moyens qui participent à sa réduction. Ils sont aussi bien d ordre organisationnel que matériel. En voici quelques exemples : - description du processus - plan de formation du personnel - plan d évacuation - enceinte de protection - systèmes instrumentés de sécurité (SIS) Ces moyens organisés en couches complémentaires contribuent à obtenir le niveau de sécurité requis (Fig.25). Niveau de sécurité requis Plan d évacuation Enceintes de protection Plan de formation Description du processus Phénomène dangereux Fig.25 Les moyens organisés en couches complémentaires 26

phase 2 Allocation des fonctions de sécurité aux couches de protection Dans un automatisme, la partie spécifique liée à la sécurité peut représenter 20 % du coût total, le reste étant assuré par des produits standards. En prenant ces contraintes en amont dès la conception, il sera possible de réduire les coûts liés à la sécurité, et de limiter ceux engendrés par la remise en conformité d une installation. Chaque couche participe à la prévention du risque (ex. fi abilité du système, formation du personnel) ou à la réduction de ses conséquences (ex. enceinte de confi nement, soupape de sécurité, plan d évacuation). Les SIS participent à l une ou à l autre. De la qualité du travail réalisé dans cette phase dépendra la qualité du système de sécurité. Cette phase est de la responsabilité du client et fait appel à de nombreuses compétences complémentaires capables d apporter leur expertise sur chacune des couches qui contribuent à la sécurité. Séparation des couches Pour prévenir les défaillances de cause commune (surtensions, CEM, perte d énergie...), la conception doit assurer que l indépendance entre les couches de protection et le système de contrôle/commande est suffi sante. L évaluation peut être qualitative ou quantitative et doit prendre en compte : - l indépendance entre les couches de protection, - la diversité entre les couches de protection, - la séparation physique entre les différentes couches de protection, - les défaillances de cause commune entre les couches de protection. Risque résiduel réduction et prévention des risques par l ensemble des couches réduction Soupape de sécurité Risque tolérable Réduction minimum requise Réduction effective du risque prévention Système Instrumenté de Sécurité (SIS) Risque initial niveau de risque prévention Système de contrôle commande Les systèmes de sécurité (SIS) Ils sont défi nis après la mise en œuvre des autres couches devant assurer la réduction du risque et contribuent à atteindre les objectifs de sécurité de l ensemble (Fig.26). - Le niveau de sécurité des SIS permet de donner une réponse adaptée au niveau de SIL recherché. - Les SIS sont indépendants du système de gestion du procédé. L exemple ci-dessous (Fig.27) montre la complémentarité d un SIS mettant le système en sécurité lors d une défaillance du contrôle/ commande. Système Instrumenté de Sécurité (SIS) Système de contrôle/commande Seuil de sécurité Seuil d alarme Action du SIS Action du contrôle/commande Fig.27 Exemple d intervention du SIS lors de la défaillance du contrôle/commande Stratégie pour atteindre le niveau d intégrité requis (SIL) Un système est confronté à deux principaux types de défaillance : - les défaillances matérielles aléatoires. Malgré leur qualité les composants ne sont pas parfaits. Ils se caractérisent par leur taux de défaillance ; - les défaillances systématiques. Elles sont plus diffi ciles à mesurer. Un défaut logiciel par exemple se reproduira toujours dans les mêmes conditions. La norme défi nit des exigences pour tout le cycle de vie de la fonction de sécurité. Les contraintes d architecture et le calcul de la probabilité de défaillance dangereuse sont deux exigences parmi d autres qui sont développées dans les phases 3 et 4. Sécurité fonctionnelle Fig.26 Exemple de participation des SIS à la réduction du risque. 27

Les procédés industriels et les normes de sécurité exemple Exemple de rénovation d une unité de production chimique Contexte Il s agit, pour cette unité, de rénover l ensemble des systèmes de contrôle/commande et de sécurité et de se mettre en conformité avec les directives européennes sachant que l établissement est classé Seveso. L exploitant souhaite profi ter de sa mise en conformité pour renégocier son contrat d assurance. Le procédé étant existant, il est essentiel de minimiser l impact sur l ensemble, la mise en conformité devant être assurée par la seule refonte du SIS. L étude de danger est faite et le niveau de risque acceptable identifi é (phase 1 du cycle de vie). L allocation des fonctions de sécurité aux couches de protection est réalisée (phase 2). Le client souhaite conserver intacte la partie procédé et les sécurités existantes telles que les vannes et autres protections (phase 2). Le niveau de sécurité sera atteint à l aide du nouveau système instrumenté de sécurité (SIS) (phase 2). Sous l autorité du responsable HSE (hygiène, sécurité et environnement) Schneider Electric a été sollicité pour défi nir et réaliser un SIS et en particulier : - l aider à spécifi er les fonctions de sécurité (phase 3 du cycle de vie) - les concevoir (phase 4) et démontrer l atteinte du niveau d intégrité requis. Prestation de Schneider Electric Schneider Electric a proposé une prestation sur les phases 2 à 4. La méthode s appuie sur la norme EN 61511, bien adaptée à ce type d industrie. À partir d une des fonctions de sécurité choisie comme exemple concret, nous allons décrire la démarche qui a conduit à spécifi er (phase 3) puis à concevoir son architecture et à choisir ses composants (phase 4). 28

phase 3 Spécification du SIS Définition de la fonction de sécurité La fonction analysée surveille la température d un réacteur chimique. Elle a pour but d anticiper le risque d emballement de la réaction qui entraînerait le déconfi nement de gaz, dangereux pour les personnes. La fonction doit en cas de dépassement du seuil dangereux assurer les opérations suivantes : - couper l électrovanne de distribution d air, - arrêter les pompes d alimentation des produits primaires, - ouvrir le refroidissement. Cette opération permet de redémarrer plus rapidement. L étude amont (phase 1) réalisée par le client a abouti - pour cette fonction de sécurité - à une exigence d intégrité de sécurité SIL2. Précision sur les exigences de sécurité de la fonction La norme EN 61511 requiert entre autres les points suivants : - la description de toutes les fonctions instrumentées, - l identifi cation et prise en compte des défaillances de cause commune, - la défi nition de tous les états du procédé, - les sources et le taux de sollicitation de la fonction, - les exigences pour les intervalles de tests périodiques, - les exigences de temps de réponse. Un extrait des exigences pour notre fonction est donné dans la fi gure 28. Fig.28 Extrait des exigences pour la fonction de sécurité surveillant la température du réacteur Paramètre de la fonction Description de la fonction de sécurité Fréquence de sollicitation de la fonction de sécurité Intervalle de test périodique Temps de réponse du système de sécurité Niveau d intégrité de sécurité souhaité Acquisition des mesures Action des sorties Relation fonctionnelle entre les entrées et les sorties de la fonction Caractéristiques Surveillance de la température d une réaction chimique pour prévenir un emballement de la réaction pouvant conduire à des dommages. Si la T > 120 C dans le réacteur il faut fermer les vannes et arrêter les pompes d introduction. Rare Contrôle annuel, sauf pour les vannes qui peuvent être testées mensuellement. De l ordre de plusieurs secondes SIL2 mode faible sollicitation Mesures température par sonde de température PT100 + interface 4-20 ma Fermeture des vannes par coupure de l électrovanne de distribution air Coupure des pompes d introduction par un contacteur Autorisation de marche si T < 120 C dans le réacteur Retour en mode normal Acquittement manuel sur la sécurité (état sûr) si T + hystérésis < 120 C Conséquences d une activation intempestive de la fonction de sécurité Interface avec les autres systèmes Arrêt du procédé, pas de nouveau risque généré. Interface avec automate du contrôle/commande et de la supervision. Représentation structurelle de la fonction À ce stade la structure de la fonction est défi nie et représentée fi gure 29. Bien que l ouverture du refroidissement soit commandée par l automate de sécurité, elle n entre pas dans la chaîne de sécurité. Capteur Automate Programmable de Sécurité (APS) Coupure arrivée d air Coupure pompes Ouverture refroidissement Fig.29 Fonction de surveillance de température du réacteur chimique 29

Les procédés industriels et les normes de sécurité exemple phase 4 Conception et ingénierie du SIS Détermination du niveau SIL de la fonction de sécurité La structure de notre fonction de sécurité étant défi nie (Fig.29), nous allons passer en revue les paramètres nécessaires au calcul du niveau d intégrité SIL. Nous donnerons en fi n de chapitre le résultat de ces calculs sans en présenter les détails, leur développement sortirait du cadre de cet ouvrage. La méthode s appuie sur deux notions : La tolérance aux anomalies du matériel (HFT) Elle concerne l architecture. Par exemple, deux capteurs montés en série auront une meilleure tolérance aux pannes qu avec un seul. Si un contact reste collé, le deuxième assurera l ouverture. (Fig.30) capteur 1 capteur 2 Fig.30 Exemple de tolérance aux pannes de deux contacts en série Tolérance aux anomalies du matériel (HFT) Les défaillances se répartissent en deux catégories : - les défaillances systématiques Comme nous l avons vu en phase 1, elles proviennent d erreur de conception ou d exploitation. Leur réduction passe par la rigueur des méthodes employées et la formation du personnel, - les défaillances aléatoires de la fonction Leur prise en compte débouchera sur le choix d architecture. Le calcul se base sur les quatre éléments suivants : > La proportion de défaillance en sécurité SFF La première étape consiste à évaluer les conséquences d une défaillance (Fig.31). - la défaillance est sûre si elle ne met pas le système dans un état dangereux lors d un défaut, - la défaillance est dangereuse si elle conduit le système est dans un état potentiellement dangereux ou si elle rend la fonction de sécurité inopérante. La probabilité de défaillance des fonctions aux sollicitations (PFH ou PFD). Cette exigence quantitative est basée sur des calculs probabilistes refl étant le comportement du SIS en cas de défaillance de ses composants. λ D = λ DD + λ DU λ DD λ DU Fig.31 Proportion de défaillance en sécurité SFF λ S λ D Taux de défaillances dangereuses par heure λ S Taux de défaillances sûres par heure λ DD Taux de défaillances dangereuses détectées λ DU Taux de défaillances dangereuses non détectées 30

Ensuite, il faudra vérifi er si les défaillances peuvent être détectées ou non. Nous arrivons ainsi au calcul du SFF (Safe Failure Fraction) qui se défi nit comme le rapport du taux de défaillances sûres ou détectées sur le taux global. SFF = ( λ s + λ DD ) / ( λ s + λ D ) Ce taux s exprime en % et traduit la capacité du système à passer en position sûre en cas de défaut, soit intrinsèquement, soit par action spécifi que sur détection de defaillance. > La couverture du diagnostic (DC) C est le taux des défaillances détectées divisé par le taux total de défaillance de la fonction, il s exprime en %. DC=λ dd / λ d Par exemple, la surveillance d un contact auxiliaire placé sur une vanne permet de contrôler l état de la vanne, et de détecter son coincement. > La redondance La norme classifi e la tolérance aux anomalies matérielles HFT en trois niveaux : 0-une seule défaillance conduit à la perte de la fonction de sécurité. 1-le système tolère 1 défaillance sans perdre la fonction de sécurité. 2-le système tolère deux défaillances sans perdre la fonction de sécurité. les sous-systèmes de type B (Fig.33). Ces équipements plus complexes (ex : électronique fortement intégrée, électronique programmée) ne bénéfi cient pas d un retour d expérience permettant de maîtriser tous leurs modes de défaillance. Proportion de défaillances en sécurité (SFF) < 60 % non autorisé Tolérance aux anomalies matérielles (HFT) 0 1 2 SIL 1 SIL 2 60 % - 90 % SIL 1 SIL 2 SIL 3 90 % - 99 % SIL 2 SIL 3 SIL 4 > 99 % SIL 3 SIL 4 SIL 4 Fig.33 Sous-système type B. Pour atteindre le niveau SIL2 avec un SFF < 90 %, il faut un système redondant. Dans notre exemple où la valeur SIL2 est requise il sera possible de l atteindre avec des produits électromécaniques. Il est à noter que les fonctions électroniques redondantes intègrent souvent des logiques de détection qui améliorent le SFF. > Le type d équipement ou sous-système Nous utiliserons ici les critères de la EN 61508 qui reconnaît deux types d équipements : les sous-systèmes de type A (Fig.32). Ce sont des équipements simples dont le comportement et les modes de défaillance sont connus, et sur lesquels il y a un retour d expérience. Un contacteur, un bouton poussoir entrent dans cette catégorie. Proportion de défaillances en sécurité (SFF) Tolérance aux anomalies matérielles (HFT) 0 1 2 < 60 % SIL 1 SIL 2 SIL 3 60 % - 90 % SIL 2 SIL 3 SIL 4 90 % - 99 % SIL 3 SIL 4 SIL 4 > 99 % SIL 3 SIL 4 SIL 4 Fig.32 Sous-système type A (selon EN 61508). Le niveau SIL2 avec un SFF > 60 % est atteint sans redondance. À noter que pour les procédés la valeur se limite à SIL3. 31

Les procédés industriels et les normes de sécurité exemple phase 4 Conception et ingénierie du SIS (suite) La probabilité de défaillance de la fonction en cas de sollicitation (PFH, PFD) En cas de détection d un défaut le système réagira-t-il? Pour répondre à cette question, la norme reconnaît deux situations : - le système est rarement sollicité, la probabilité se mesurera par sollicitation (PFD). C est le cas de notre exemple ou une mesure de température anormale sera rare. La norme EN 61511 considère ce mode comme une sollicitation qui intervient moins d une fois par an, ce qui est bien le cas de la fonction que nous étudions. - le système est sollicité en continu, la probabilité se mesurera par heure (PFH). C est le cas d une ouverture de grille de sécurité sur une machine. Le tableau (Fig.35) donne la valeur du PFD en fonction de l exigence SIL. Par exemple, il est accepté dans le cas de SIL1, que le système ne fonctionne pas une fois sur 10 et à SIL 3 1 fois sur 1000. SIL Facteur de réduction du risque Probabilité de défaillance à la sollicitation PFD Probabilité de défaillance dangereuse par heure PFH 4 100000 10000 10-5 y PFD < 10-4 10-9 y PFH < 10-8 3 10000 1000 10-4 y PFD < 10-3 10-8 y PFH < 10-7 2 1000 100 10-3 y PFD < 10-2 10-7 y PFH < 10-6 1 100 10 10-2 y PFD < 10-1 10-6 y PFH < 10-5 Fig.35 Sélection du PFD pour un niveau SIL2 Analyse fonctionnelle À partir de la spécifi cation de la fonction (voir phase 3), le système est décomposé en sous-systèmes selon la fi gure 36 : - le sous-système capteur assure la fonction mesure, - le sous-système logique assure la fonction traitement, > - le sous-système élément fi nal assure la fonction mise en sécurité. Détection Capteur Traitement logique Actionneurs Coupure arrivée d air Fig.36 Décomposition de la fonction en sous-systèmes Automate Programmable de Sécurité (APS) Coupure pompes Ouverture refroidissement 32

La description détaillée de ces sous-systèmes aboutit au choix des composants illustrés par la fi gure 37, dont les produits Schneider Electric suivants : - un automate de sécurité Quantum Safety niveau SIL3, pour la gestion de l ensemble des fonctions de sécurité, - des contacteurs Tesys D. La partie logicielle de l automate est également abordée dans cette étape (spécifi cation logicielle et analyse organique). Automate (APS) Fig.37 Réalisation de la fonction de sécurité Capteur Coupure arrivée d air Coupure pompes Ouverture refroidissement > Diagrammes de fiabilité C est un diagramme logique qui permet de déterminer le dysfonctionnement du système à partir des dysfonctionnements possibles des composants. Pour notre exemple, le bloc-diagramme de fi abilité est représenté ci-dessous. (Fig.38) Capteur APS Coupure arrivée d air Coupure pompes Fig.38 Diagramme de fiabilité de la fonction de sécurité > Données de fiabilité Les données de fi abilité qui seront utilisées par la suite proviennent des fournisseurs, des avis d experts, ou des recueils de données de fi abilité. 33

Les procédés industriels et les normes de sécurité exemple phase 4 Conception et ingénierie du SIS (suite) Calcul du niveau d intégrité de sécurité (SIL) Tous les éléments sont réunis pour aboutir au calcul du niveau SIL de la fonction : - l architecture et les composants sont défi nis - les données de fi abilité sont disponibles - la méthodologie est décrite. Les calculs qui ne sont pas détaillés aboutissent aux deux tableaux de résultats suivants : > La tolérance aux anomalies du matériel (HFT) Le niveau d intégrité de sécurité de la fonction est déterminé par le soussystème qui satisfait le niveau le plus bas, comme la vanne et le contacteur de pompe permettent un niveau SIL1, le niveau de la fonction sera limité à SIL1 (Fig.39). Sous-système Élément SFF HFT Intégrité de sécurité Le résultat n est pas conforme au cahier des charges qui exige un niveau SIL2 pour notre fonction de surveillance de la température du réacteur chimique. Capteurs température Fig.39 Résultats des calculs SFF et HFT > La probabilité de défaillances dangereuses de la fonction (PFD) Après calcul, le PFD de la boucle est de 1.59E -02 ce qui correspond à un niveau d intégrité SIL1 (Fig.40). Composant Type PFD moy Contribution Capteurs température PT100, transmetteur Fig.40 Résultats des calculs PFD 1.15E -02 72 % APS Quantum Safety 1.50E -04 1 % Actionneurs Vanne 3.94E -03 24 % Actionneurs PT100, transmetteur Contacteur Pompe 64 % 0 SIL2 APS Quantum Safety SIL3 Actionneurs Vanne 15 % 0 SIL1 Actionneurs Contacteur Pompe 27 % 0 SIL1 3.20E -04 2 % Somme de la boucle complète 1.59E -02 100 % 34