Performances en sécurité du système à réservoir de pression

Figure 4.23 : PFD et PFS du système à réservoir

La figure 4.23 montre l’évolution des deux métriques principales des performances en sécurité PFD et PFS pour une durée de 10000 heures qui est un peu supérieure à une année (8670 heures). Les paramètres du modèle sont :

lambda_actionneur float 9.0E-6

lambda_automate float 8.10^-7

lambda_capteur float 6.10^-6

lambda_demande float 1.5E-4

capti float 0

captimoin1 float 0

cd_capteur float 0.75

cd_automate float 0.75 periode_echantillonage float 0.5 sd_capteur float 24.0 sd_actionneur float 24.0 sd_automate float 24.0 ti float 0 timoin1 float 0 residu float 0 xk float 0 xkplus1 float 0 ps1 int 0 ps2 int 0 plc int 0 q int 0 qu int 0

Le taux de défaillance qui concerne l’événement dangereux dans le réservoir est choisi conformément à la clause 3.5.12. de la partie 4 de la norme qui stipule que l’on est en mode de faible demande : lorsque la fréquence des demandes de fonctionnement sur un système relatif à la sécurité est plus grande que une par an et au plus égale à deux fois la fréquence des tests périodiques.

Ceci se traduit par une fréquence comprise dans l’intervalle suivant :

1,141.10^-4< lambda_demande < 2,283.10^-4

La fonction traitement peut être plus au moins complexe. Elle peut se résumer à acquérir une grandeur mesurée par un capteur et à l’indiquer. Elle peut également récolter plusieurs informations émanant de plusieurs capteurs et en faire un traitement à partir d’une fonction combinatoire. Les unités de traitement peuvent être classées en deux catégories suivant leur technologie :

Les technologies câblées, à base de composants logiques élémentaires (relais), liés entre eux électriquement,

Les technologies programmées, à base d’automates programmables (API), de

systèmes numériques de contrôle commande (SNCC), ou de cartes électroniques à microprocesseurs.

Dans la fonction instrumentée de sécurité relative au système étudié, la logique utilisée pour la fonction traitement est réduite aux composants câblés de telle façon à réaliser des fonctions logiques contrairement aux dispositifs de terrain qui disposent eux d’une intelligence locale.

Les technologies à relais sont considérés comme un bon choix pour la logique de traitement lorsque le nombre d’entrée/sorties est faible (moins de 6) et les modifications futures dans la logique de traitement sont hautement improbables [GOB 05].

Il faut attirer l’intention sur le fait que l’utilisation de cette logique câblée n’est pas suffisante pour assurer de meilleures performances en sécurité mais ceci est compensé par la cohabitation avec cette logique câblée d’instruments intelligents capables de compenser le manque laissé par les automates programmables. Ceux ci sont généralement composés d’une architecture particulière utilisant plusieurs microprocesseurs couplés à des circuits d’entrée et de sortie via des modules spécifiques. Cette panoplie de circuiterie fait en sorte que les automates programmables disposent de taux de défaillances additionnels et de nouveaux modes de défaillances.

[ISA 84] donne une relation qui illustre ces propos :

OC OC OP MP IP IC IC PLC n λ n λ λ m λ m λ λ = × + × + + × + × où

nIC : nombre des canaux d’entrées (Input Channels), n : nombre des modules d’entrée (Input modules), m : nombres des modules de sorties (output modules), MP : processeur principal (Main Processor),

m_OC : nombre des canaux de sortie (output Channels).

Le taux de défaillance global d’un automate programmable est plus grand par rapport à celui d’une logique câblée à relais.

La valeur citée parmi les paramètres ci-dessus s’apparente à celle du taux de défaillance d’un système à logique câblée. Le taux est égal à 8.10^-7 [GOB 05] tandis que pour l’automate utilisé pour le système classique comportant le niveau 0, en ce qui concerne l’intelligence dans les instruments, celui là dispose d’un taux de 2.10^-5 (voir table 4.1).

Les autres paramètres cités ci-dessus sont utilisés pour la détermination du résidu pour la reconstruction de la sortie en cas de défauts dans le capteur (capti, captimoin1, ti, timoin1,

residu) ou comme variables internes décrivant le fonctionnement dans quelques dispositifs (xk, xkplus1) ou comme identificateurs propres aux dispositifs (ps1, ps2, plc).

La figure 4.23 montre les performances en sécurité d’un système instrumenté de sécurité à réservoir de pression. L’évolution des deux métriques qui décrivent les performances en sécurité du système étudié montrent une nette diminution de la probabilité de défaillances sûres et une augmentation de la probabilité de défaillances sûres. Une illustration est faite sur le tableau 4.7 suivant :

Durée (heures) SIS normal (niveau 0) ^{SIS avec validation} (niveau 3) PFD 1000 5.10^-3 2.10^-4 5000 2,25.10^-2 1,4.10^-3 8760 4,13.10^-2 3,4.10^-3 10000 4,79.10^-2 4,2.10^-3 PFS 1000 2,79.10^-2 1,46.10^-2 5000 1,351.10^-1 6,64.10^-2 8760 2,221.10^-1 1,123.10^-1 10000 2,513.10^-1 1,273.10^-1

Tableau 4.7 : Comparaison des performances en sécurité

L’adjonction de la fonctionnalité validation telle qu’elle a été décrite auparavant a contribué à l’amélioration des performances en sécurité d’une façon significative. En effet, la probabilité de défaillances dangereuses a nettement diminué alors que la probabilité de défaillances sûres a sensiblement diminué par rapport aux valeurs relatives à un SIS classique. Notons que ces probabilités correspondent respectivement à la présence dans les états 4 et 3 décrits dans la figure 4.24. Nous relevons donc une forte diminution de la valeur de la PFD due essentiellement à la transformation de quelques cas dangereux induisant le système dans un état dégradé (2). D’ailleurs, la probabilité de siéger dans cet état est passée de 2,87510^-2 pour le SIS normal à 7,03.10^-2 lorsqu’il y a validations dans les deux capteurs. Ceci montre clairement que la présence du système dans cet état quasi normal (état dégradé) s’est accrue en affectant aussi la probabilité des défaillances dangereuses. La nette diminution de la valeur de la PFS par rapport aux valeurs du système SIS classique a pour motif la prise en compte dans les capteurs de pression des valeurs octroyées par le modèle qui décrit la fonctionnalité de la validation. En effet, en présence de défaillances sûres, la continuité du service peut être assurée. L’impact est pressenti globalement dans le système de sécurité.

La valeur moyenne de l’indisponibilité de la fonction de sécurité donnée par la PFDmoy pour une durée de simulation de 10000 heures qui correspond à un intervalle entre deux tests périodiques est de 1,707.10^-3. Le système est par conséquent dans un état correspondant au SIL 2. Pour le système normal (niveau 0), la valeur moyenne de l’indisponibilité de la fonction de sécurité PFDmoy = 2,33.10^-2, ce qui correspond à un système SIL 1. Nous constatons que le niveau de SIL a changé et il est amélioré du fait qu’il est passé du niveau 1 au niveau 2. Ce résultat illustre bien la contribution des instruments intelligents dans les boucles de sécurité.

La figure 4.24 montre l’évolution des deux métriques (PFD et PFS) et illustre les chutes de leurs valeurs lorsque nous sommes passés d’un système classique à un système SISID.

Figure 4.24 : Chute des deux métriques

Le tableau 4.8 donne les pourcentages de temps passé dans les différentes zones SIL. Ce tableau montre qu’il existe une cohérence apparente entre la valeur de la PFDmoy et le temps passé dans les différentes zones SIL.

SIL Pourcentage de temps passé dans les zones SIL (%)

SIL0 0

SIL1 0

SIL2 70,73

SIL3 26,35

SIL4 2,92

Tableau 4.8 : Pourcentage de temps passé dans les zones SIL