Introduction
La "scurit fonctionnelle" est devenue un enjeu majeur Pour des informations plus dtailles, il est conseill de
depuis la publication des normes CEI/EN 61508 et CEI/ consulter la documentation associe, les rgles et dispositions
EN 61511. Le terme SIL (safety integrity level = niveau pertinentes. Par consquent, les informations contenues dans
dintgrit de scurit) est frquemment utilis dans ce cette brochure doivent tre considres comme des exemples et
contexte. Mais quest-ce que le SIL ? ne peuvent tre utilises pour un modle spcifique.
Cette brochure vise donner un premier aperu de la "scurit Vous trouverez des informations dtailles ainsi que les
fonctionnelle". Son contenu se limite essentiellement aux certifications SIL des produits Endress+Hauser sur le site :
domaines et aux applications dans lesquels les produits
Endress+Hauser sont utiliss. www.fr.endress.com/SIL.
9. Glossaire ...............................................................................................................................14
4 Scurit fonctionnelle
1. Danger et risque
q p
Risque
Mesures de protection
Risque sans mesures
SIL 1 4
de protection
Risque tolrable
Risque rsiduel
Rduction du risque
Directives
sectionetornormes
rubric 5
Lvnement catalyseur a t un accident survenu en rgissaient la classification lie la scurit, la nouvelle norme
juillet 1976 dans la ville de Seveso, dans le nord de requiert une prise en compte quantitative de lintgralit du
lItalie, au cours duquel un nuage de gaz toxique avait systme et une documentation dcrivant un systme de gestion
t libr. Depuis, la directive europenne 96/82/CE de la scurit fonctionnelle correspondant. Lexploitant et les
a dfini les exigences lgales pour les installations qui organismes de surveillance doivent tablir clairement quelles
prsentent un danger potentiel majeur (directive Seveso sont les mesures conomiquement ralisables qui doivent tre
II). En Allemagne, cette directive a t transpose par imposes. Lobjectif est de prvenir les erreurs systmatiques
lOrdonnance sur lincidence des dangers dans le cadre au sein des systmes relatifs la scurit et de contrler les
de la loi fdrale sur le contrle des immissions et par dfaillances alatoires, ainsi que de limiter la probabilit des
lOrdonnance sur la scurit du travail dans lentreprise dfaillances dangereuses (risque) dune manire dfinie.
(12e BImSchV et BetrSichV).
Dans ce contexte, une distinction doit tre opre entre la
scurit des produits au sens gnral et les produits dvelopps
et conus spcifiquement pour les fonctions en lien avec
la scurit. Pour ces derniers, la norme DIN EN 61508 est
indispensable, car elle dfinit aujourdhui les rgles de lart
pour les techniques de scurit fonctionnelle.
Elle dtermine quatre niveaux de scurit : de SIL 1 SIL 4.
La norme CEI/DIN EN 61508 est une norme gnrique,
cest--dire indpendante de lapplication. Il sagit dune
norme de base, ce qui la rend globalement applicable tous
les systmes lectriques, lectroniques ou lectroniques
programmables (E/E/PE). Cest le premier ensemble de rgles
et de rglementations publi lchelle internationale pour les
fonctions de scurit dans les applications critiques pour la
scurit.
qui sappliquent les normes CEI/DIN EN 61508 et
CEI/DIN EN 61511 ? Lanalyse des dangers et des risques
peut tre utilise pour dterminer tous les risques lis un
BASF - Press Photo
3. Cycle de vie
Les exploitants des systmes relatifs la scurit doivent Dfinition et valuation des risques daprs la probabilit
prendre des mesures adaptes pour analyser et rduire le dtaille de dfaillance la sollicitation pour tout
risque tout au long du cycle de vie. La norme CEI/DIN le circuit de scurit (boucle), depuis le capteur via
EN 61508 prconise certaines tapes cet gard : le systme de commande jusqu llment final
(actionneur), pendant toute la dure de vie.
Dtermination et mise en pratique des mesures (gestion
de la scurit fonctionnelle).
Utilisation dappareils adquats (certifis).
Gestion de la
Sicherheits-
Spcification
Spezifikation
scurit
Management
Planung
Planifi undet
cation
+ Implementierung
mise en uvre
Exigences
Technische Installation et
Installation undmise
techniques
Anforderungen Inbetriebnahme
en service
+ Fonctionnement
Betrieb und
et maintenance
Wartung
Qualification du
Qualifikation
Fehlerursachen
Causes derreurs personnel
Personal nderung nach
Changement aprs
Inbetriebnahme
mise en service
Auerkraftsetzung
Mise hors service
Rduction
sectiondu
or risque
rubric 7
4. Rduction du risque
Wolfgang Jargstorff - Fotolia.com
Chaque application technologique comporte galement Lobjectif de la norme CEI EN 61508 est de prvenir
un risque li la scurit. Plus le danger est important ou contrler les erreurs au sein des systmes relatifs
pour les personnes, lenvironnement ou les biens, plus la scurit et de limiter la probabilit de dfaillances
il est ncessaire de prendre des mesures pour minimiser dangereuses dune manire dfinie. Une documentation
le risque. Les applications industrielles prsentent de quantitative est exige pour les ventuels risques rsiduels.
nombreux systmes et appareils avec un potentiel de La rduction du risque requise est obtenue en combinant
danger variable. Afin dobtenir le niveau de scurit requis toutes les mesures de protection. Le risque rsiduel ne doit
pour ces systmes, les lments relatifs la scurit pas excder le risque tolrable. Au final, lexploitant de
pour les systmes de protection et de scurit doivent linstallation doit assumer et accepter le risque rsiduel.
fonctionner correctement et se comporter de manire ce
que le systme reste dans un tat de scurit ou passe un
tat de scurit en cas de dfaut.
8 Scurit fonctionnelle
Des systmes diffrents entranent des risques diffrents. Plus la valeur numrique du niveau dintgrit de scurit (SIL)
Par consquent, les exigences relatives aux dfauts de est leve, plus la rduction du risque est importante.
scurit des systmes instruments de scurit (SIS) Cela signifie que le SIL reprsente la dimension correspondant
deviennent plus strictes mesure que le risque saccrot. la probabilit que le systme de scurit puisse remplir
Les normes CEI/EN 61508 et CEI/EN 61511 dfinissent correctement les fonctions de scurit requises pendant un
quatre niveaux de scurit diffrents qui dcrivent les laps de temps prcis. La probabilit de dfaillance moyenne
mesures de contrle du risque dans ces composants. Il sagit (PFD ou PFH) baisse selon un facteur de 10 par niveau de
des quatre niveaux dintgrit de scurit, ou SIL (Safety scurit.
Integrity Level).
Probabilit de concrtisation
Pas de systme instrument de scurit
W3 W2 W1 (par ex. mesures techniques)
CA
Consquence du dommage
PA CA Blessure lgre dune personne ou problmes environnementaux
SIL 1 SIL 1 mineurs, par ex. ceux qui ne sont pas couverts par lOrdonnance
FA
sur lincidence des dangers.
PB CB Blessure grave, irrversible dune ou de plusieurs personnes ou
SIL 2 SIL 1 SIL 1
CB dcs dune personne ou problmes environnementaux passagers
PA majeurs, par ex. ceux dcrits dans lOrdonnance sur lincidence
SIL 2 SIL 2 SIL 1 des dangers.
FB
CC Dcs de plusieurs personnes ou problmes environnementaux
PB
SIL 3 SIL 2 SIL 2 majeurs de longue dure, par ex. ceux dcrits dans lOrdonnance
sur lincidence des dangers.
FA CD Consquences catastrophiques, nombreux morts.
SIL 3 SIL 3 SIL 2
CC
FB Frquence et dure dexposition
SIL 4 SIL 3 SIL 3 FA Rarement plus souvent
FB Frquemment en permanence
CD
SIL 4 SIL 3 Probabilit dviter le danger
PA Possible sous certaines conditions
Consquence
PB Rarement possible
du dommage Systme de scurit
Frquence et dure du contrle des Probabilit de concrtisation
dexposition process insuffisant W1 Trs faible
Probabilit dviter W2 Faible
le danger W3 Relativement leve
6. Modes de fonctionnement :
faible sollicitation et forte sollicitation
Deux modes de fonctionnement sont utiliss pour dfinir le SIL des appareils :
le mode faible sollicitation et le mode forte sollicitation.
Afin datteindre un niveau dintgrit de scurit (SIL 1 SIL 4), Les calculs sont raliss pour les diffrents composants au
la totalit du SIS doit rpondre aux exigences relatives aux niveau des composants. On obtient ainsi la valeur PFD et la
erreurs systmatiques (software) et aux erreurs alatoires base pour le calcul permettant de dterminer la valeur du
(hardware). En dautres termes, le rsultat du calcul du circuit SIL.
de scurit doit correspondre au SIL requis. Normalement,
ceci dpend de la structure et de larchitecture du systme Erreurs systmatiques Les erreurs systmatiques sont
de scurit. En consquence, les appareils SIL 2 dans des gnralement des erreurs de dveloppement, de conception
structures redondantes vote majoritaire peuvent tre ou de configuration de projet. La plupart des erreurs
utiliss dans les systmes SIL 3. En raison de la structure systmatiques se produisent gnralement dans le software
redondante du systme utilisant des appareils quivalents de lappareil. En vue de rpondre aux exigences dun SIL
SIL 2, dans une redondance homogne relative aux erreurs prcis (par ex. SIL 3) pour les erreurs systmatiques, tout le
systmatiques, le software doit tre de niveau SIL 3. systme doit tre conu selon SIL 3. Il est galement possible
dy parvenir si deux appareils diffrents (redondance
Types derreurs Au sein dun circuit de scurit, on htrogne) ou des appareils avec des technologies
distingue les erreurs systmatiques et les erreurs alatoires. diffrentes sont utiliss.
Pour correspondre au SIL requis, les deux types derreurs
doivent tre pris en considration.
Architecture voie unique Pour une architecture voie unique, laddition des valeurs
PFD ou PFH des diffrents composants doit tre prise en
compte afin de dterminer le niveau dintgrit de scurit
Capteur Commande Actionneur
(SIL) du systme. Cest la seule faon de sassurer que toute
SIL 2 SIL 2 SIL 2
la fonction de scurit rpond aux exigences du SIL requis.
Important:
Capteur A
SIL 2 Commande Dterminer la PFD ou la PFH pour une architecture
1oo2 Actionneur
plusieurs voies est plus compliqu. La norme VDI/VDE 2180,
SIL 3 SIL 3
Capteur B partie 4, contient des formules dapproximation simplifies
SIL 2 pour le calcul de la PFDav.
Source
CEI/DIN EN 61508, partie 1 partie 7 | CEI/DIN EN 61511, partie 1 partie 3 | VDI/VDE 2180
12 Scurit fonctionnelle
8. Valeurs caractristiques
Intgrit de scurit du hardware (HFT, SFF) Les valeurs Tolrance aux pannes hardware (HFT) La tolrance
caractristiques suivantes sont galement utilises pour la aux pannes hardware correspond la capacit dun
classification SIL : appareil continuer daccomplir une fonction de scurit
Tolrance aux pannes hardware correctement lorsquune erreur se produit. Une HFT de N
(Hardware Fault Tolerance = HFT) signifie que N+1 erreurs peuvent entraner la perte de la
Taux de dfaillances non dangereuses fonction de scurit.
(Safe Failure Fraction = SFF)
Le tableau suivant illustre le rapport entre ces paramtres. Taux de dfaillances non dangereuses (SFF) Le taux
Distinction est faite entre les systmes de type A et les de dfaillances non dangereuses indique le pourcentage
systmes de type B dans ce contexte. de dfaillances qui ne prsentent pas de danger. Plus le
SIL requis est lev, plus le SFF doit ltre galement.
Systmes de type A Un systme peut tre considr Le SFF dun systme est dtermin sur la base des taux
comme tant de type A si le comportement en cas de de dfaillance individuels (valeurs ) des diffrents
dfaillance des composants requis pour la fonction de composants.
scurit peut tre dcrit en termes simples. Il sagit
par exemple de composants tels que rsistances film
mtallique, transistors, relais, etc.
Taux de dfaillances non Tolrance aux pannes hardware Tolrance aux pannes hardware
dangereuses (SFF) (Type A appareil simple) (Type B appareil complexe)
0 1 2 0 1 (0*) 2 (1*)
< 60 % SIL 1 SIL 2 SIL 3 Interdit SIL 1 SIL 2
60% < 90% SIL 2 SIL 3 SIL 4 SIL 1 SIL 2 SIL 3
90% < 99% SIL 3 SIL 4 SIL 4 SIL 2 SIL 3 SIL 4
99% SIL 3 SIL 4 SIL 4 SIL 3 SIL 4 SIL 4
* Avec vrification des performances prouves conformment la norme CEI/EN 61511 (uniquement pour SIL < 4)
Valeurssection
caractristiques
or rubric 13
Taux de dfaillance La capacit dun systme dtecter Priodicit des tests (Ti) Le test de fonctionnement
les dfaillances et ragir en consquence joue un rle rcurrent (Ti) est utilis pour dtecter les dfaillances
important. Distinction est donc faite entre les dfaillances dangereuses. La fonction de scurit dun appareil doit tre
dangereuses et non dangereuses, ainsi quau niveau de la teste intervalles appropris. Cette valeur est intgre
capacit dtecter ou non ces dfaillances. dans le calcul de la valeur caractristique PFD/PFH et doit
tre choisie de manire se situer dans la plage requise
Le taux de dfaillance est dfini par la variable et rparti pour le SIL vis.
en quatre groupes :
SD = taux de dfaillances non dangereuses reconnues Il incombe lexploitant de dterminer le type dinspection
SU = taux de dfaillances non dangereuses non reconnues et la priodicit. Les tests doivent tre raliss de
DD = taux de dfaillances dangereuses reconnues manire dmontrer le bon fonctionnement du systme
DU = taux de dfaillances dangereuses non reconnues instrument de scurit par rapport tous les composants.
Les recommandations pour les tests de fonctionnement
Le taux de dfaillances dangereuses non reconnues (DU) a rcurrents se trouvent dans les manuels de scurit des
pour effet une perte indtectable de la fonction de scurit appareils.
et doit tre rduit au minimum au moyen de mesures
adquates. Test de fonctionnement
PFD
Lunit utilise pour les valeurs est le FIT (priodicit des tests Ti)
t n
0,1
me
on de
("Failure in time", 1 x 10-9 par heure).
ne
c ti est
fonans t
SIL 1
S
0,01 PFDav
SIL 2
DU
DD 0,001 SIL 3
0,0001
SIL 4
Ti par ex. 1 an Dure de service
PFDav = DU x Ti
9. Glossaire
SIL (Safety Integrity Level) Le niveau dintgrit de scurit (SIL) est une rfrence pour lintgrit de scurit
dun systme. Lintgrit de scurit correspond la probabilit que le systme excute
la fonction requise relative la scurit dans toutes les conditions dfinies sur une
priode de temps donne. Le SIL comprend quatre niveaux distincts, le niveau 4
reprsentant le niveau dintgrit de scurit le plus lev et le niveau 1 le plus faible.
Scurit fonctionnelle Capacit dun systme effectuer les actions ncessaires lobtention ou au maintien
dun tat de scurit dfini pour les installations sous contrle dun systme.
Taux de dfaillance Taux de dfaillance dun systme, gnralement rparti en quatre groupes par type de
dfaillance :
SD = taux de dfaillances non dangereuses reconnues
SU = taux de dfaillances non dangereuses non reconnues
DD = taux de dfaillances dangereuses reconnues
DU = taux de dfaillances dangereuses non reconnues
FIT (Failure In Time) Taux de dfaillances alatoires sur une priode de temps dfinie (1 x 10-9 par heure).
HFT (Hardware Fault Une tolrance aux pannes hardware de N signifie que N+1 erreurs peuvent entraner la
Tolerance) perte de la fonction de scurit.
PFH (Probability of Failure Pour les modes forte sollicitation ou continu, la mesure numrique de la PFH
per Hour) (probabilit de dfaillance par heure) est utilise ; elle prcise la probabilit dune
dfaillance de la fonction de scurit par heure (taux de dfaillances dangereuses).
MooN (M out of N) Architecture avec M voies sur N avec diagniostic. Il sagit par exemple dune architecture
2 voies dans laquelle chacune des deux voies peut excuter une fonction de scurit.
Proof test (Ti) Le test de fonctionnement est un test de fonctionnement rcurrent destin dtecter
les dfaillances au sein dun systme SIL, de manire ce que le systme puisse tre
restaur dans un tat comme neuf .
Endress+Hauser SAS Agence Paris-Nord Agence Export Endress+Hauser Endress+Hauser SA Endress+Hauser Metso AG
3 rue du Rhin, BP 150 94472 Boissy St Lger Cedex Endress+Hauser SAS 6800 Cte de Liesse 13 rue Carli Kgenstrasse 2
68331 Huningue Cedex 3 rue du Rhin, BP 150 Suite 100 B-1140 Bruxelles Postfach
CP01008Z/14/FR/03.13
info@fr.endress.com Agence Ouest 68331 Huningue Cedex H4T 2A7 Tl. (02) 248 06 00 CH-4153 Reinach
www.fr.endress.com 33700 Mrignac Tl. (33) 3 89 69 67 38 St Laurent, Qubec Tlfax (02) 248 05 53 Tl. (061) 715 75 75
Fax (33) 3 89 69 55 10 Tl. (514) 733-0254 Tlfax (061) 715 27 75
Agence Est info@fr.endress.com Tlfax (514) 733-2924
Case 91, 69673 Bron Cedex www.fr.endress.com
Endress+Hauser
1075 Sutton Drive
Burlington, Ontario
Tl. (905) 681-9292
Tlfax (905) 681-9444