Systèmes instrumentés de sécurité et terminologies relatives

4.1. Système instrumenté de sécurité

La norme CEI 61511 [CEI 03] définit les systèmes instrumentés de sécurité de la façon suivante : système instrumenté utilisé pour mettre en œuvre une ou plusieurs fonctions instrumentées de sécurité. Un SIS se compose de n’importe quelle combinaison de capteur(s), d’unités logique(s) et d’élément(s) terminal(aux).

La norme CEI 61508 [CEI 00] définit quand à elle les systèmes relatifs aux applications de sécurité par : un système E/E/PE (électrique/électronique/électronique programmable) relatif aux applications de sécurité comprend tous les éléments du système nécessaires pour remplir la fonction de sécurité.

Les systèmes instrumentés de sécurité sont donc utilisés comme moyens de prévention et comportent une proportion grandissante de systèmes électriques, électroniques ou encore électroniques programmables (E/E/EP). Ces systèmes sont complexes ce qui rend difficile dans la pratique la connaissance de chaque mode de défaillance par l’examen des comportements possibles et la prévision des performances en terme de sécurité.

Un système instrumenté de sécurité est un système visant à mettre le procédé en état stable ne présentant pas de risque pour l’environnement et les personnes lorsque le procédé s’engage dans une voie comportant un risque réel pour le personnel et l’environnement (explosion, feu…).

Un certain nombre de propriétés caractérisent les systèmes instrumentés de sécurité :

- Les systèmes instrumentés de sécurité nécessitent une source d'énergie extérieure pour remplir leur fonction de sécurité.

- On retrouve tout ou partie de ces différents éléments pour constituer des chaînes de sécurité.

- Plusieurs capteurs ou actionneurs peuvent être reliés à une même unité de traitement. - Toutes les combinaisons de capteurs, d'unité de traitement et d'actionneurs qui sont

exigées pour accomplir des fonctions de sécurité sont considérées comme une partie de systèmes instrumentés de sécurité.

Les capteurs, l’unité de traitement, les éléments finaux sont des équipements de sécurité et réalisent des sous-fonctions de sécurité. L’ensemble des sous-fonctions réalise la fonction de sécurité.

4.2. Fonction instrumentée de sécurité

La figure 2.5 illustre la définition d’un système instrumenté de sécurité et des fonctions instrumentées de sécurité qui sont exécutées. Cette figure illustre, entre autres, une fonction instrumentée de sécurité (SIF n°1) qui protège la température de processus et fait fermer une vanne d'isolement en cas de dérive de température de procédé vers un état dangereux. Les autres fonctions instrumentées de sécurité exécutées dans cet exemple de SIS sont la protection du niveau et la protection du débit.

Une fonction instrumentée de sécurité (SIF, Safety Instrumented Function) est utilisée pour décrire les fonctions de sécurité implémentées par un système instrumenté de sécurité. Une fonction instrumentée de sécurité peut être considérée comme une barrière de protection fonctionnelle lorsque le système instrumenté de sécurité est considéré comme un système réalisant cette barrière de sécurité [SKL 06].

Une fonction instrumentée de sécurité est à réaliser par un système instrumenté de sécurité (ou par une combinaison des composantes de ce système), par un système relatif à la sécurité basé sur une autre technologie ou par un dispositif externe de réduction de risque.

Une fonction instrumentée de sécurité est spécifiée pour s’assurer que les risques sont maintenus à un niveau acceptable par rapport à un événement dangereux spécifique.

Fonction instrumentée de sécurité n°1

Figure 2.5 : Fonction instrumentée de sécurité

Un système instrumenté de sécurité contient habituellement plusieurs fonctions instrumentées de sécurité. Si les exigences d'intégrité de la sécurité pour ces fonctions instrumentées de sécurité diffèrent, alors les exigences applicables au niveau d'intégrité de la sécurité le plus élevé s'appliquent à l'intégralité du système instrumenté de sécurité, sauf si l'implémentation garantit une indépendance suffisante entre les fonctions de sécurité. Pour une situation donnée, plusieurs fonctions de sécurité peuvent conduire à réduire la fréquence d’occurrence du danger. Les probabilités de défaillance des différentes fonctions de sécurité ne peuvent s’additionner que si les fonctions sont indépendantes entre elles. Dans ce mémoire, nous prenons comme hypothèse que chaque SIS ne peut réaliser qu’une seule SIF.

L’architecture fonctionnelle d’un système instrumenté de sécurité qui est composée d’un ensemble de fonctions instrumentées de sécurité est constituée de trois fonctionnalités de base, la détection (ou la mesure), la décision et l’actionnement.

Les exigences de niveaux d’intégrité de sécurité sont allouées aux fonctions instrumentées de sécurité spécifiques. Pour évaluer l’intégrité de sécurité d’un point de vue matériel, il est nécessaire de faire une analyse des configurations de l’architecture matérielle supportée par la fonction instrumentée de sécurité spécifiée [LUN 06].

D’une autre façon, c’est la projection de l’architecture fonctionnelle sur l’architecture matérielle qui est un ensemble de composants interconnectés qui forme l’architecture opérationnelle [FAU 02] [CON 99].

4.3. Le système instrumenté de sécurité comme couche de protection

L’application de couches de protection multiples pour mettre le procédé en sécurité est souvent utilisée dans les industries de transformation [WIE 02]. Pour ce type d'industries, l'installation en sécurité peut être définie par une situation où tous les risques sont réduits à un risque tolérable [KNE 02]. Des critères clairs et non ambigus doivent être définis en regard des niveaux de risque tolérable. Des mesures pour la mise en sécurité du procédé doivent être

Transmetteur de température Transmetteur de température Capteur de niveau Unité de traitement transmetteur de débit

Solénoïde Vanne d’arrêt

Pompe

Solénoïde Vanne

dédiées à chaque spécificité de protection. Par exemple, pour protéger une unité particulière d'une installation contre une surpression, les dispositions de sécurité doivent se rapporter à la première couche comprenant un transmetteur de pression, une unité de traitement et un actionneur et à la seconde couche de protection comportant une soupape de sécurité de surpression. Les deux couches de protection forment des systèmes relatifs à la sécurité (Safety related systems SRS). La première couche est composée par des systèmes à base de technologie E/E/EP (électrique, électronique et électronique programmable). Ce type de systèmes est appelé systèmes instrumentés de sécurité (SIS). La seconde couche désigne les SRS de type mécanique.

Figure 2.6 : Concept de couches de protection

La figure 2.6 montre le concept des couches de protection et la composition des différents types de systèmes relatifs à la sécurité (SRS) comme définis dans la norme CEI 68511-3. Il est à noter qu'il existe une distinction claire entre les BPCS et les SIS comme composantes des couches de protection. L'objectif primaire d'un BPCS est d'optimiser les conditions de conduite de procédé afin de maximiser la qualité et la production. Les systèmes instrumentés de sécurité s'appliquent pour prévenir des situations dangereuses (prévention) et réduire les conséquences d'événements dangereux (protection). La distinction est motivée par le fait que le BPCS n'est nécessairement pas utilisé pour contribuer à la réduction de risque et parfois il est lui-même source de risques potentiels.

Les méthodes de réduction sont de différents types et concernent tout d’abord le procédé dont la conception doit être plus au moins sûre. La conduite et la surveillance sont assurées par les systèmes de commande de procédés de base (BPCS), les systèmes de surveillance (alarmes du procédé) et par la surveillance des opérateurs.

CONDUITE ET SURVEILLANCE

PREVENTION PROTECTION

MOYENS DE SECOURS INTERNES MOYENS DE SECOURS EXTERNES

La partie prévention des couches de protection est assurée par les dispositifs de sécurité mécaniques, par les alarmes suivies d’action et par les systèmes instrumentés de sécurité de prévention. La protection est assurée par des dispositifs de sécurité mécaniques, la supervision par l’opérateur et par les systèmes instrumentés de sécurité d’atténuation [KNE 02]. Les moyens de secours internes et externes concernent respectivement les procédures d’évacuation lors de l’occurrence d’une situation critique ainsi que la réaction du public après une radiodiffusion d’urgence.

Il faut noter qu’il existe un amalgame à propos de l’emplacement des systèmes instrumentés de sécurité comme couche de protection. Certains auteurs qualifient la couche allouée à ce type de systèmes comme une couche de prévention [KNE 02] (la norme aussi d’ailleurs) [CEI 03] alors que ce type de systèmes est voué uniquement à la protection par la réduction du risque nécessaire de telle sorte que ce risque devienne tolérable.

Il faut aussi différencier le BPCS qui est le système de commande de base du processus et le SIS qui est le système instrumenté de sécurité. En effet, le BPCS est aussi composé de capteurs, de régulateurs et d’éléments finaux. Bien que les architectures apparaissent similaires, les fonctions diffèrent beaucoup entre le BPCS et le SIS [GOB 05]. La fonction primaire d'une boucle de régulation est généralement de maintenir une variable de processus dans des limites prescrites. Le SIS surveille une variable de processus et ordonne l'action lorsque c’est exigé.

Les SIS sont rarement activés et durant les opérations normales du processus, ils demeurent statiques, dormants. La période moyenne entre l’occurrence d’événements dangereux est souvent estimée à plus d’une dizaine d’années [GOB 05]. Avec le BPCS, les signaux de commande sont normalement dynamiques. Les modes de défaillances diffèrent aussi entre un BPCS et un SIS.

Pour éviter qu’une cause unique ou cause commune affecte simultanément les fonctions de contrôle (BPCS) et de sécurité (SIS), la norme IEC 61508 recommande [SMI 04]:

pour les fonctions à faible criticité (SIL1 à 2) : la distinction des fonctions de pilotage et de sécurité notamment du point de vue logiciel. A ce niveau, la norme autorise l’utilisation d’équipements (matériels) communs qui assurent simultanément des fonctions de pilotage et de sécurité, ils sont alors considérés comme des SRS et doivent êtres conçus comme tels, notamment du point de vue du SIL.

pour les fonctions à criticité moyenne (SIL2 à 3) : distinction de la circuiterie, (électrique, ou autre : pneumatique par exemple), des capteurs et actionneurs.

pour les fonctions à haute criticité (SIL4) : séparation intégrale physique, électrique et, dans la mesure du possible, géographique des systèmes.

4.4. Problèmes typiques des systèmes instrumentés de sécurité

Une étude réalisée par [HSE 95] a illustré l'origine d'un nombre de défaillances de systèmes conduisant à des événements dangereux très sérieux.

Les défaillances des systèmes ne sont pas tout simplement dues à des opérations incorrectes. En effet, les défaillances concernent les différentes étapes de la durée de vie d’un système (cf figure 2.7).

Figure 2.7 : Causes primaires des défaillances des systèmes de commande [HSE 95]

Shell [SHE 98] a réalisé une autre étude illustrative à l'usine nationale de GNL en Oman au Moyen-Orient. Le procédé de production complet a été composé des systèmes de rétablissement de champ, d'une installation de transformation centrale, et d'un complexe de liquéfaction. Pendant une étude de sécurité basée sur l’intégrité de sécurité SIL, la conclusion est que :

67% des fonctions instrumentées de sécurité (SIF) semblent sur-calibrées en terme de SIL,

27% n'exigent aucun changement. Elles sont correctement calibrées,

6% des SIF semblent sous-calibrées.

Shell a réalisé un certain nombre de ces études sur différents sites qui ont présenté des résultats comparables.

Les fautes pourraient avoir été produites pendant l'évaluation des risques et la spécification des conditions de sécurité ; des défaillances pourraient également avoir été faites pendant la conception et l'exécution du SIS, ou pendant la validation. Généralement après avoir passé en revue les deux études précédentes, la conclusion tirée est que les défaillances pourraient se produire à différentes étapes du cycle de vie.

Dans les deux sections suivantes, nous allons nous intéresser aux concepts sous-jacents à la notion de risque (définie au §2.2) et les relations entre le risque et l’intégrité de sécurité. Ces concepts se rapportent à l’analyse de risque et à l’évaluation de risque.