Sécurité fonctionnelle et niveaux d intégrité de sécurité (SIL) Vers une sécurité accrue de vos équipements et installations
Parce que le système de sécurité parfait n existe pas, «Bonjour! Ce document a pour but de vous aider à mieux cerner les nouveaux enjeux de la sécurité des équipements et systèmes industriels. Les nouvelles normes, d application volontaire, mettent à votre disposition des méthodologies qui vous aideront à concevoir et mettre en œuvre un Système de Sécurité. Leur application exige cependant une certaine expertise ; ce document guidera vos premiers pas pour vous permettre de tirer le meilleur parti de ces outils si vous adoptez une démarche rigoureuse. Au bout du chemin, des bénéfices conséquents pour vous : un système plus sûr génère moins d incidents!» page Dans les établissements industriels, les systèmes de sécurité ont pour objectif de réduire le risque d occurrence des défaillances dangereuses du matériel. L utilisation des fonctions de sécurité permet à l opérateur de satisfaire le service demandé tout en garantissant la protection de l équipement, des personnes, de l environnement et des biens. Les Systèmes de Sécurité couvrent des domaines variés tels les process pétrochimiques, les machines-outils, les presses, les scies circulaires, mais aussi les systèmes de freinage automobile, les ascenseurs, etc. Utilisés parfois comme moyens de prévention, ces systèmes comportent une proportion grandissante de systèmes électriques, électroniques ou encore électroniques programmables (E/E/EP). Ces nouveaux équipements sont habituellement complexes ; dans la pratique, ceci rend difficile la détermination de chaque mode de défaillance par l examen de tous les comportements possibles et la prévision de leurs performances en termes de sécurité. Parallèlement à ce constat, la responsabilité croissante attribuée à l employeur vis-à-vis de son personnel, les pressions environnementales de plus en plus fortes, l augmentation des prix des matières premières et le coût toujours plus important d une immobilisation impromptue accentuent la nécessité pour le responsable d un établissement industriel de définir des exigences de sécurité de plus en plus draconiennes. C est pourquoi, la conception et la mise en oeuvre d'un Système de Sécurité doivent aujourd hui satisfaire un niveau d'exigence non seulement en termes de sécurité mais aussi en termes de disponibilité. Pour répondre à ce nouvel état de fait, les dernières normes de sécurité fonctionnelle, d application volontaire, proposent de nouvelles méthodes de management des risques dès la conception, en s appuyant sur des notions comme le niveau d intégrité de sécurité (SIL) et en faisant largement appel aux concepts déjà développés par la sûreté de fonctionnement.
mettez à profit les nouveaux outils méthodologiques! Comment prendre en compte la sécurité fonctionnelle Le défi est de concevoir le système de façon à empêcher des défaillances dangereuses ou de les maîtriser quand elles surviennent. Qu est-ce que la sécurité fonctionnelle? La sécurité globale, c'est l'absence de risques inacceptables qui pourraient engendrer des blessures physiques, atteindre la santé des personnes directement ou indirectement, dégrader l'environnement ou altérer la propriété. La sécurité fonctionnelle est une partie de la sécurité au sens général, qui dépend d un système ou d un équipement répondant correctement aux entrées de ce dernier. > Par exemple, un dispositif de protection de surchauffe, qui utilise une sonde de température dans les bobinages d'un moteur électrique et coupe l alimentation du moteur avant que les bobinages ne dépassent une température excessive, est un exemple de la sécurité fonctionnelle. Mais prévoir une isolation spécifique pour résister à des températures élevées n'est pas un exemple de la sécurité fonctionnelle (même s il est du ressort de la sécurité et peut protéger contre le même danger). Les fonctions de sécurité et les systèmes relatifs à la sécurité D'une façon générale, les phénomènes dangereux significatifs pour un équipement et tous ses systèmes de contrôlecommande associés doivent être identifiés par le spécificateur ou le concepteur à partir d'une analyse des phénomènes dangereux. Si une réduction des risques est nécessaire, alors la sécurité fonctionnelle doit être prise en considération d'une façon appropriée dans la conception. > La sécurité fonctionnelle est juste une façon d éliminer ou de réduire les phénomènes dangereux. D autres moyens, tels que la sécurité intrinsèque utilisée dans la conception, sont d une importance primordiale. Le terme «relatif à la sécurité» est employé pour décrire les systèmes qui sont prescrits pour réaliser une fonction ou des fonctions spécifiques pour s assurer que les risques sont maintenus à un niveau acceptable. De telles fonctions dont la défaillance peut entraîner un accroissement immédiat du ou des risques sont, par définition, des fonctions de sécurité. > Les défaillances dangereuses peuvent provenir des : - spécifications incorrectes du système, du matériel ou du logiciel, - omissions dans les spécifications des prescriptions concernant la sécurité, - mécanismes de défaillance aléatoire du matériel, - mécanismes de défaillance systématique du matériel, - erreurs de logiciel, - défaillances de mode commun, - erreurs humaines, - influences environnementales, - perturbations du système d alimentation électrique - etc. La sécurité fonctionnelle correspond à la réduction des risques à un niveau inférieur ou égal au risque tolérable. On obtient généralement cette réduction par l action cumulée de plusieurs types de systèmes de sécurité (voir illustrations ci-dessous). Risque résiduel Niveau de protection Moyen(s) externe(s) de réduction du risque Systèmes E/E/EP relatifs à la sécurité Systèmes relatifs à la sécurité basés sur d'autres technologies Réduction réelle du risque réalisée par tous les systèmes relatifs à la sécurité et les dispositifs externes de réduction du risque Risque tolérable Passif (mur, fossé,... ) Actif (soupape, disque de rupture,...) Sécurité Fonctionnelle Intervention humaine Process Réduction nécessaire du risque Risque brut initial Niveau du risque Sans aucune sécurité Avec les sécurités t1 t t t4 temps page
La norme CEI 61508, pour prendre en compte la sécurité fonctionnelle gravité Deux voies de réduction des risques Zone de risques inacceptables Prévention Protection Zone de risques tolérables La norme CEI 61508 utilise une approche basée sur le risque encouru afin de déterminer les prescriptions nécessaires concernant l'intégrité de sécurité des systèmes E/E/EP relatifs à la sécurité. Elle contient des exemples illustrant cette démarche. Elle décrit un modèle de cycle de vie de sécurité global servant de cadre aux activités qui sont nécessaires pour s assurer que la sécurité fonctionnelle est réalisée par les systèmes E/E/EP relatifs à la sécurité. Elle couvre toutes les activités de ce cycle de vie de sécurité depuis la conceptualisation initiale, en passant par l'analyse des dangers et l évaluation du risque, la détermination des prescriptions concernant la sécurité, la conception, l exploitation, la maintenance, les modifications, jusqu à la mise hors service et la dépose. La norme CEI 61508 englobe les aspects aléatoires (ex. défaillance des composants) et les aspects systématiques (ex. erreurs de conception). Elle comporte à la fois les prescriptions pour empêcher les défaillances (évitant l'introduction de pannes) et les prescriptions pour le contrôle des défaillances (assurant la sécurité même lorsque les pannes sont présentes). Enfin, elle spécifie les techniques et les mesures qui sont nécessaires pour réaliser l'intégrité de sécurité prescrite. Deux types de prescriptions sont nécessaires pour réaliser la sécurité fonctionnelle : - les prescriptions concernant la fonction de sécurité (ce que réalise la fonction), - les prescriptions concernant l'intégrité de sécurité (la probabilité pour qu'une fonction de sécurité soit réalisée d'une manière satisfaisante). Les prescriptions concernant la fonction de sécurité sont dérivées de l'analyse des phénomènes dangereux et les prescriptions concernant l intégrité de sécurité sont dérivées d'une évaluation du risque. Plus le niveau d'intégrité de sécurité est élevé, plus la probabilité de défaillance dangereuse est faible. Des normes complémentaires Process (continu et batch) Sécurité systèmes Machines (process manufacturier) CEI 6061 EN ISO 1849-1 CEI 61511 Automatismes Electromécanique CEI 61508- pour machines (logiciel inclus) et électronique Composants simples Logiciels fréquence «Chaque risque est le produit d une gravité par une fréquence d occurence. Pour le réduire, on cherchera à diminuer la probabilité qu il survienne (c est la fonction des systèmes de prévention) et à en atténuer les conséquences (en améliorant la protection). La norme CEI 61508 aide à structurer une politique de prévention et de protection.» «La norme CEI 61511 s'adresse aux concepteurs de systèmes, la CEI 61508 aux concepteurs de dispositifs (produits), pour les produits incluant une SIF (Fonction instrumentée de sécurité). Une fonction instrumentée est une fonction réalisée à partir de capteurs et d'actionneurs gérés par un API ou un système de commande réparti.» Sécurité équipements/systèmes Entraînements Projet CEI 61800-5- CEI 61508 page 4
Le SIL, une mesure de la sécurité fonctionnelle La CEI 61508 définit 4 niveaux de performance de sécurité pour une fonction de sécurité. Ceux-ci s'appellent des niveaux d'intégrité de sécurité. Le niveau 1 d'intégrité de sécurité (SIL1) est le niveau le plus bas tandis que le niveau 4 (SIL4) est le niveau le plus élevé. La norme détaille les prescriptions nécessaires pour répondre aux exigences de chaque niveau d'intégrité de sécurité. Ces prescriptions deviennent plus rigoureuses à mesure que le niveau de SIL s élève en vue d obtenir la probabilité d une défaillance dangereuse de plus en plus faible. La CEI 6061 s est quant à elle limitée à l utilisation des premiers niveaux de SIL pour l application machines. Un système E/E/EP relatif à la sécurité intégrera souvent plus d'une fonction de sécurité. Si les prescriptions concernant l'intégrité de sécurité pour ces fonctions de sécurité diffèrent, les prescriptions, applicables au niveau approprié le plus élevé d'intégrité de sécurité, s'appliqueront au système entier E/E/EP relatif à la sécurité, à moins qu'il y ait une indépendance suffisante d intégration entre ces fonctions. * Safety Integrity Level SIL 4 SIL SIL SIL 1 PFH d (pour des systèmes fortement sollicités*) PFD average (pour des systèmes faiblement sollicités*) PFH d = PFD average = 10-5 à 10-4 10-9 à 10-8 10-4 à 10-10 -8 à 10-7 10 - à 10-10 -7 à 10-6 10 - à 10-1 10-6 à 10-5 Systèmes fortement sollicités (plus d'une fois par an) : PFH d = λ DU équivalent λ DU = taux de défaillance dangereuse non détectée par auto-test ou test de diagnostic PFH d = nombre moyen de passages à l'état dangereux sur la durée de vie du produit (exprimé en h -1 ) Systèmes faiblement sollicités (moins d'une fois par an) : PFD average = Probabilité moyenne de défaillance lors d'une sollicitation PFD average dépend du λ DU, de l'architecture (redondances), de TI (périodicité du test), du MTTR et de ß (facteur de mode commun) Facteur de réduction du risque 10 000 à 100 000 --- 1 000 à 10 000 --- 100 à 1 000 --- 10 à 100 --- page 5
Comment déterminer un SIL? Qu est-ce qui est SIL x? Veillez à éviter un abus de langage fréquent: c est la fonction de sécurité réalisée par un produit qui est SIL x et non le produit en tant que tel. Il est plus correct de dire que le produit «a une capacité de SIl x» (SIL capability) s il est utilisé conformément à son manuel de sécurité (safety manual). Cas concret proposé par la norme CEI 6061 1 ère étape Identification des phénomènes dangereux y compris ceux résultant d'un mauvais usage raisonnablement prévisible. N Phénomène dangereux Se Fr Pr Av Cl 1 x + = + + = ème étape Estimation du risque, conduite pour chaque phénomène dangereux en déterminant les paramètres du risque, c'est-à-dire la sévérité des blessures ou dommages à la santé (Se) et la probabilité d'apparition d'un dommage. Cette dernière est fonction de : la fréquence et la durée d'exposition (Fr) la probabilité d'un événement dangereux (Pr) la probabilité d'évitement ou de limitation d'un dommage (Av) La somme de ces trois paramètres détermine la classe de probabilité d un dommage. Conséquences Sévérité (Se) Classe Cl -4 5-7 8-10 11-1 14-15 Mort, perte d un œil ou d un bras 4 SIL SIL SIL Fréquence et durée (Fr) Probabilité d évén. dangereux (Pr) SIL SIL < 1 h 5 Très forte Permanentes, perte des doigts AM SIL 1 SIL SIL > 1 h < 1 jour 5 Probable Réversibles, suivi médical AM SIL 1 SIL > 1 jour < sem. 4 Possible Réversibles, premiers soins 1 AM : autres mesures SIL 1 > sem. < 1 an Rare > 1 an Négligeable 1 Evitement (Av) N Phénomène dangereux Se Fr Pr Av Cl 1 x 4 + 5 + 5 = 14 + + = AM 5 4 Impossible Possible Probable 5 1 L'utilisation du tableau aboutit à un niveau de SIL attribué au système de sécurité destiné à traduire ce phénomène dangereux particulier. page 6
Comparaison SIL / Niveau de performance MTTF, MTBF : des définitions à préciser Le graphe ci-dessous permet d établir un parallèle entre la notion de SIL (selon la CEI 61508) et de niveau de performance (selon la pren ISO 1849-1) : MTTF Durée moyenne de fonctionnement avant défaillance (Mean Time To Failure) Espérance mathématique de la durée de fonctionnement avant défaillance MTBF Moyenne des temps de bon fonctionnement (Mean operating Time Between Failure) Espérance mathématique de la durée de bon fonctionnement Niveau de performance pren ISO 1849-1 SIL CEI 61508 MTTFd Durée moyenne de fonctionnement avant défaillance dangereuse Espérance mathématique de la durée de fonctionnement avant défaillance dangereuse MTTR Durée moyenne de panne; moyenne des temps pour la tâche de réparation (Mean Time To Repair) Espérance mathématique de la durée de panne. Catégorie Couverture du diagnostic 10-4 10-5 10-6 10-7 10-8 a b c d e Probabilité de défaillance dangereuse par heure B nulle 1 nulle faible moyen MTTF d =faible MTTF d = moyen MTTF d = élevé (MTTF d pour un seul canal) faible moyen 4 élevé * 1 1 9000 900 90 0,9 Défaillances dangereuses par année et pour 10 000 systèmes * Aucune prescription de sécurité particulière 9 Mise en service MTTF Première défaillance Détection + diagnostic Réparation MTTR Etat de marche Etat de panne Réglages + tests MTBF Remise en service Seconde défaillance Remise en service MDT MUT MDT MUT MTBF Temps MUT Durée moyenne de disponibilité (Mean Up Time) Espérance mathématique de la durée de temps de disponibilité MDT Durée moyenne d indisponibilité (Mean Down Time) Espérance mathématique de la durée de temps d indisponibilité page 7
Glossaire Sources CEI 61508 et VEI 191 Pour en savoir plus Sécurité fonctionnelle (Functional safety) Sous-ensemble de la sécurité globale se rapportant à l Equipement (EUC) et au système de commande de l Equipement (EUC) qui dépend du fonctionnement correct des systèmes E/E/PE relatifs à la sécurité, des systèmes relatifs à la sécurité basés sur une autre technologie et des dispositifs externes de réduction de risque E/E/PE : Electrical and/or electronic and/or programmable electronic EUC: Equipment Under Control Matériel commandé Système de sécurité - Système relatif à la sécurité (Safety-related system) Un tel système est un système qui, à la fois - met en œuvre les fonctions de sécurité requises pour atteindre un état de sécurité de l Equipement (EUC) ou pour maintenir un tel état ; - est prévu pour atteindre, par lui même ou grâce à des systèmes E/E/PE relatifs à la sécurité, ou des systèmes relatifs à la sécurité basés sur une autre technologie ou des dispositifs externes de réduction de risque, le niveau d intégrité de sécurité nécessaire à la mise en œuvre des fonctions de sécurité requises. Fonction de sécurité (safety function) Fonction à réaliser par un système E/E/PE relatif à la sécurité, par un système relatif à la sécurité basé sur une autre technologie, ou par un dispositif externe de réduction de risque, prévue pour assurer ou maintenir un état de sécurité de l Equipement (EUC) par rapport à un événement dangereux spécifique (voir.4.1) Intégrité de sécurité (Safety integrity) Probabilité pour qu un système relatif à la sécurité exécute de manière satisfaisante les fonctions de sécurité requises dans toutes les conditions spécifiées et dans une période de temps spécifié. Niveau d intégrité : SIL (Safety Integrity Level) Niveau discret (parmi quatre possibles) permettant de spécifier les prescriptions concernant l intégrité de sécurité des fonctions de sécurité à allouer aux systèmes E/E/PE relatifs à la sécurité. Le niveau 4 d intégrité possède le plus haut degré d intégrité ; le niveau 1 possède le plus bas. Dommage (Harm) Blessure physique ou atteinte à la santé affectant des personnes soit directement soit indirectement comme conséquence à un dégât causé aux biens ou à l environnement. Risque (Risk) Une combinaison de la probabilité d un dommage et de sa gravité. Risque tolérable (tolerable risk) Risque accepté dans un certain contexte et fondé sur les valeurs actuelles de la société. Les adhérents du secteur «Automatismes, contrôle-commande et instrumentation» du Gimélec : ABB AUTOMATISME & CONTRÔLE DATASENSOR ACTEMIUM BOSCH REXROTH EMERSON PROCESS MANAGEMENT ALSTOM CEGELEC ENDRESS+HAUSER AMEC SPIE CROUZET AUTOMATISMES FOXBORO AREVA T&D DANFOSS FUJI ELECTRIC ATEMATION DATA SYSTEMS & SOLUTIONS GE FANUC Défaillance (Failure) Cessation de l aptitude d une entité à accomplir une fonction requise Défaillance dangereuse (Dangerous failure) Défaillance qui a la potentialité de mettre le système relatif à la sécurité dans un état dangereux ou dans l'impossibilité d'exécuter sa fonction Défaillance en sécurité (Safe faillure) Défaillance qui n a pas la potentialité de mettre le système relatif à la sécurité dans un état dangereux ou dans l impossibilité d exécuter sa fonction Panne (Fault) Etat d une entité inapte à accomplir une fonction requise, non comprise l inaptitude due à la maintenance préventive ou à d autres actions programmées ou due à un manque de moyens extérieurs. Erreur (Error) Ecart ou discordance entre une valeur ou une condition calculée, observée ou mesurée, et la valeur ou la condition vraie, prescrite ou théoriquement correcte. HONEYWELL IFM ELECTRONIC INEO KEB KROHNE LENZE MOELLER ELECTRIC MOTEURS LEROY-SOMER rue Galilée 75116 Paris Tél./Fax 01 40 70 07 69 gimelec-promotion@gimelec-promotion.fr Documentations de référence : * CEI 61508-0 * CEI 61508-1 à 7 * CEI 61511-1 à * CEI 61800-5- * CEI 6061 OMRON ELECTRONICS PEPPERL+FUCHS PHOENIX CONTACT PILZ ROCKWELL AUTOMATION SCHNEIDER ELECTRIC SEW-USOCOME SICK * pren ISO 1849-1 (EN 954-1) * EN ISO 1849- (EN 954-) SIEMENS SSD DRIVES TURCK-BANNER YOKOGAWA Gimélec Promotion - Edition novembre 004 - Tous droits réservés Crédits photos DigitalVision, Photodisc, Goodshoot Illustration Luximage