Evaluation du niveau d’intégrité de sécurité (SIL)

La norme IEC 61508 [IEC61508, 1998] fixe le niveau d’intégrité de sécurité (SIL) qui doit être atteint par un SIS qui réalise la Fonction Instrumentée de Sécurité (SIF). Elle donne le SIL en fonction de sa probabilité de défaillance moyenne (P F Davg) sur demande pour les SIS faible- ment sollicités (moins d’une sollicitation par an) (cf. tableau 1.3) ou en fonction de probabilité de défaillance par heure (P F H) pour les SIS fortement sollicités ou agissant en mode continu (cf.

tableau 1.4). L’allocation du SIL se fait par des méthodes qualitatives et semi quantitatives, alors que l’évaluation duP F D_avg des SIS qui doivent satisfaire au SIL exigé se fait par des méthodes quantitatives.

SIL Probabilité moyenne de défaillance à la sollicitation (P F Davg) 1 [10⁻²,10⁻¹[ 2 [10⁻³,10⁻²[ 3 [10⁻⁴,10⁻³[ 4 [10⁻⁵,10⁻⁴[

Tab. 1.3 – Niveaux d’intégrité de sécurité (SIL) : Sollicitation faible [IEC61508, 1998]

1.3. Référentiel normatif

Fig. 1.5 – Structure générale de la norme IEC 61508 [IEC61508, 1998]

Fig. 1.6 – Graphe de risque [IEC61508, 1998]

SIL Fréquence des défaillances dangereuses par heure (N) 1 [10⁻⁶,10⁻⁵[ 2 [10⁻⁷,10⁻⁶[ 3 [10⁻⁸,10⁻⁷[ 4 [10⁻⁹,10⁻⁸[

Tab. 1.4 – Niveaux d’intégrité de sécurité (SIL) : Sollicitation élevée ou continue [IEC61508, 1998]

1. Les méthodes qualitatives [IEC61508, 1998; Stavrianidis and Bhimavarapu, 1998; McCor- mick, 1981; DIN19250, 1990] : il s’agit de méthodes qui permettent d’allouer le SIL à partir de la connaissance des risques associés au procédé. La méthode la plus utilisée est le graphe de risque [Simonet al., 2006; Simon et al., 2007] (cf. figure 1.6).

Le graphe de risque s’appuie sur l’équation suivante :

R =f∗C (1.3)

oùRest le risque en l’absence de systèmes relatifs à la sécurité, f est la fréquence de l’évé- nement dangereux en l’absence de systèmes relatifs à la sécurité et C est la conséquence de l’événement dangereux.

1.3. Référentiel normatif La fréquence de l’événement dangereux f est supposée être le résultat des trois facteurs suivants (cf. figure 1.6) :

– Fréquence et durée d’exposition dans une zone dangereuse ; – La possibilité d’éviter l’événement dangereux ;

– La probabilité que l’événement dangereux se produise en l’absence de systèmes relatifs à la sécurité. C’est ce qu’on appelle la probabilité d’occurrence non souhaitée.

Finalement, nous obtenons les quatre paramètres de risque suivants : – Conséquence de l’événement dangereux (C) ;

– Fréquence et durée d’exposition au danger (F) ; – Possibilité d’éviter l’événement dangereux (P) ; – Probabilité de l’occurrence non souhaitée (W).

En combinant les paramètres de risque décrits ci-dessus, on obtient le graphe de risque présentée à la figure 1.6. Ce graphe est tiré de la norme IEC 61508 [IEC61508, 1998].

Il faut souligner que les paramètres de risque ne sont donnés que d’une manière indicative et que d’autre paramètres doivent ou peuvent être choisis selon l’application étudiée.

Ce graphe s’explique de la manière suivante. L’utilisation des paramètres de risque C,F et P aboutit à un certain nombre de sorties (X₁, X₂, ..., X_n). Chaque sortie est consi- gnée dans une des trois échelles (W1,W2 etW3). Chaque échelle indique le niveau de SIL nécessaire auquel doit satisfaire le système relatif à la sécurité pris en considération. La mise en correspondance avec W₁, W₂ ou W₃ permet de réaliser la contribution d’autres mesures de réduction du risque. Le décalage dans les échelles W1,W2 etW3 est nécessaire pour avoir trois niveaux différents de réduction des risques à partir d’autres mesures. Cette échelle est composée de l’échelle W₃, qui fournit la réduction minimale du risque grâce à d’autres mesures, c’est-à-dire la plus forte probabilité de l’apparition d’un événement non désiré. L’échelle W₂ caractérise une contribution moyenne et l’échelle W₁ caractérise une contribution maximale. La sortie finale du graphe de risque donne le niveau de SIL du SIS (c’est-à-dire 1, 2, 3 ou 4) et correspond à une mesure de la réduction nécessaire du risque pour le système.

2. Les méthodes semi quantitatives [IEC61508, 1998; CCPS, 1993; McCormick, 1981; Sta- vrianidis, 1995; Bhimavarapu et al., 1997] : la méthode la plus répandue est la matrice de risque (cf. figure 1.7). Cette matrice donne le niveau de SIL en fonction de la gravité de risque et de sa fréquence d’occurrence.

La matrice de risque est présentée dans la norme IEC 61508 [IEC61508, 1998] comme une méthode qui considère trois questions pour arriver a l’estimation du SIL exigé :

– Le paramètre du risque de la conséquence.

– Le paramètre du risque de la fréquence.

– Le nombre de paramètre de fonctions de protection indépendantes.

Fig. 1.7 – Matrice de risque [IEC61508, 1998]

3. Les méthodes quantitatives [ISA-TR84.00.02-2002, 2002; Bhimavarapu et al., 1997; of Eu- ropean Communities, 1992; Siu, 1996; Stavrianidis, 1995] : il s’agit des méthodes qui per- mettent de calculer la probabilité de défaillance moyenne des SIS à partir des paramètres de fiabilité de leurs composants.

Les méthodes les plus répandues sont :

– Les équations simplifiées [ISA, 2002a] qui donnent le P F D_avg du SIS en fonction de l’architecture des composants (1oo1, 1oo2, etc.) et des paramètres de fiabilité utilisés (taux de défaillance des composants λ, taux de défaillance dangereuses détectées DC et le facteur β qui caractérise les défaillances de cause commune).

Nous avons jugé bon de rappeler certains principes et hypothèses de base qui justifient l’utilisation des équations données par la norme :

– L’évaluation probabiliste des boucles de sécurité s’applique à des composants ayant des défaillances aléatoires et modélisées par une distribution exponentielle. Les taux de défaillance sont supposés être constants et indépendants du temps.

– Les pannes sont classées en quatre catégories. Nous distinguons les défaillances sûres et les défaillances dangereuses, chacune de ces catégories étant divisée en défaillances détectées et non détectées.

1.3. Référentiel normatif

– Il faut tenir compte du taux de couverture de diagnostic qui exprime la proportion des défaillances dangereuses détectées.

– La probabilité moyenne de défaillance dangereuse (P F D_avg) à la sollicitation est due : – A l’apparition de défaillances dangereuses détectées lors de tests en ligne.

– A la présence de défaillances dangereuses non détectées pendant la phase de fonction- nement et nécessitant une intervention. Pendant la phase de réparation, la fonction de sécurité n’est pas assurée.

– Les défaillances dangereuses totales sont égales aux défaillances dangereuses détectées et non détectées.

– Le temps de détection des tests en ligne est considéré comme nul.

– On introduit également des défaillances de causes communes pour les architectures redondantes.

– Les arbres de défaillance [ISA-TR84.00.02-2002, 2002].

– Les approches markoviennes [ISA, 2002b].