Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

MESURES 813 - MARS 2009 - www.mesures.com 21 Sur la longue route de la norme CE

MESURES 813 - MARS 2009 - www.mesures.com 21 Sur la longue route de la norme CEI 61511 Selon une étude américaine du cabinet Arc, la sécurité fonctionnelle se porte bien. Matériel, logiciels, services, le marché mondial devrait continuer à croître d’au moins 11 % par an, passant d’environ 1 milliard de dollars en 2006 à près de 1,5 milliard de dollars en 2010. Même si la crise actuelle peut modérer cette croissance, la sécurité reste une priorité des industriels. Aujourd’hui, la mise en place de fonctions de sécurité instrumentées est guidée par deux textes de références, les normes internationales CEI 61508 et 61511. En France, l’application de ces normes n’est pas obligatoire, mais elle est fortement recommandée par des organismes de tutelle ou de contrôle. Ainsi, sous la contrainte, vous êtes de plus en plus nombreux à mettre une infrastructure “sécurité fonctionnelle” selon l’approche probabiliste définie par les normes CEI 61508 et 61511. Alors premier conseil : ne pas se décourager. Car plus on avance dans le processus de mise en place de fonctions instru- mentées de sécurité, plus on s’aperçoit que le chemin est long et escarpé. Plus on s’ap- plique à comprendre tous les alinéas des normes CEI 61508 et 61511, plus on s’aperçoit que c’est compliqué et que ça ne finit jamais. Il ne suffit pas d’acheter du matériel “qua- lifié” pour construire sa sécurité. Il faut développer toute une organisation, avec des outils matériels et logiciels mais aussi des documents, des bases de données, des moyens d’ex- ploitation, de suivi et bien sûr des compétences… « Oui, c’est un très gros travail, disent les experts, mais c’est la meilleure méthode si on ne veut pas avoir d’accidents. »  Sécurité fonctionnelle  Page 22 Définir, réaliser, maintenir la fonction de sécurité Page 24 Première étape : la maîtrise des sigles Page 26 Trois méthodes pour évaluer le SIL Page 30 Côté systèmes, SIS et SNCC cherchent à cohabiter en toute sécurité Page 33 Formation : la certification des compétences se met en marche Page 34 Instrumentation : des équipements à surveiller de près Dossier réalisé par Marie-Pierre Vivarat-Perrin avec l’aide des documents fournis notamment par l’Ineris, l’Exera, ArcWeb, Emerson Process Management, Hima, Pr Electronic, Endress + Hauser… SOMMAIRE Dossier Iso Ingénierie Hima Pr Electronic Ineris MESURES 813 - MARS 2009 - www.mesures.com tion de sécurité. Il existe pour cela toute une batterie de moyens : tests périodiques, fonc- tions d’autodiagnostics, maintenance, retour d’expérience. Mais, bien avant d’en arriver là, se lancer dans l’approche sécurité de la norme CEI 61511, c’est d’abord être confronté à des difficultés d’interprétation. Entre la norme CEI 61508 qui s’adresse aux cons- tructeurs de matériels et la norme CEI 61511 qui s’adresse aux utilisateurs et intégrateurs, il peut y avoir quelques malentendus. Par exemple, pour affecter un niveau SIL à leurs instruments et équipements de process, les constructeurs suivent les prescriptions de la CEI 61508. Pour affecter un niveau SIL à leurs fonctions SIF, les utilisateurs suivent les prescriptions de la norme 61511. Et ce n’est pas la même chose. Ce n’est pas parce que vous achetez des composants certifiés SIL 2 que votre fonction de sécurité sera SIL 2. Si on additionne les probabilités moyennes de défaillance (PFD) des différents composants, on peut se trouver dans le cas de figure où le total des PFD sera supérieur à la valeur cor- respondante au SIL requis pour l’ensemble de la fonction. Donc méfiez-vous aux abus de langage : dire qu’un instrument est SIL X signifie simplement qu’il peut rentrer dans une fonction de sécurité SIL X. Cela veut dire qu’il est “qualifié pour” ou si l’on retient le terme anglais qu’il est “capable” (SIL Capability). Autre point d’incompréhension : demandez à un constructeur si un équipement SIL 3 peut être intégré sans aucune redondance dans une SIF SIL 3. Il vous répondra oui, sans aucun doute. L’utilisateur, quant à lui, vous assurera que, pour garantir, un niveau SIL 3, il a été obligé de doubler son point de mesure. Là encore, personne n’a tort, personne n’a raison, c’est une question d’interprétation. La norme CEI 61508 introduit la notion de SFF (Safety Failure Fraction), taux de défaillances n’ayant pas le potentiel de mettre le système relatif à la sécurité dans un état dangereux ou inacceptable. Un niveau élevé, comme le SIL 3, impose obligatoirement une tolérance aux défaillances. Ainsi, les constructeurs déve- loppent des produits intrinsèquement sûrs en doublant les composants internes. De son côté, l’intégrateur qui suit la norme CEI 61511 cherche à réduire sa probabilité moyenne de défaillance (PFD) de l’ensemble de la partie mesure. Celle-ci comprend bien sûr les interfaces avec le procédé (piquages, réchauffage, qualité du produit, etc.) qui ne sont jamais prises en compte au niveau des constructeurs. Pour un niveau SIL 3 d’une fonction SIF, il doit en effet doubler la me- sure. La redondance du capteur peut être un des moyens mais ce n’est pas le seul. Il peut aussi mettre en place deux mesures diffé- rentes (par exemple, une mesure de tempé- rature et une mesure de pression). « Lorsqu’il s’agit de réduire le PFD, on pense tout de suite à re- dondance, mais celle-ci n’est qu’un moyen, il peut y en avoir d’autres », précise Dominique Pedron. Le SIL ne suffit pas Après avoir déjoué tous les pièges des textes normatifs, il ne faut pas céder à la facilité. « Ces notions de PFD et de niveaux de confiance SIL sont aujourd’hui à peu près bien comprises mais elles ne sont pas suffisantes pour construire ses fonctions de sécurité, souligne Brice Lanternier. Lorsque l’on achète les différents composants qui constitueront la fonction de sécurité, il y a d’autres informations à demander que le seul SIL des équipements. » Pour chaque dispositif, il est, par exemple, impor- tant de connaître les taux de défaillance en fonction des modes de défaillance. Il est éga- lement nécessaire de choisir le taux de dé- faillance de l’équipement selon son fonction- nement. En d’autres termes, il est essentiel de connaître les caractéristiques les plus impor- tantes pour son application. « Le taux de dé- faillance correspondant au mode de défaillance “ouver- ture d’une vanne”, alors que celle-ci doit se fermer pour mettre en sécurité le process, n’est pas très im- portant, illustre Brice Lanternier. Le temps de réponse est un paramètre bien plus crucial. » Cette connaissance des besoins doit être également maîtrisée au cours de l’exploitation et no- tamment lors des tests périodiques. Il s’agit de s’assurer qu’à un seuil prévu l’informa- tion d’un capteur arrivera bien à l’automate et que celui-ci transmettra l’information dans un temps suffisamment court à l’action- neur. « Pour cela, il ne suffit pas de vérifier les signaux d’entrée ou de sortie, indique Charles Milardo. Il faut savoir exactement ce que l’on veut vérifier, déterminer les tests adéquats, écrire des pro- cédures les plus détaillées possibles. » Les fonctions d’autodiagnostics sont également très utiles. Au niveau de l’automate, elles peuvent détec- ter jusqu’à 99 % des défaillances. « Pour le système logique, c’est plus facile car il est isolé du process, poursuit Charles Milardo. En revanche, les équipements de process peuvent avoir un très bon autodiagnostic mais ils ne sauront pas détecter une fuite ou un piquage défectueux ou encore un produit qui colmate. » Evidemment, les tests ne sont pas une fin en soi. Il faut ensuite savoir les interpréter, les exploiter, les faire fructifier. « Le retour d’expé- rience est une pierre angulaire de la norme CEI 61511 », souligne Dominique Pedron. Cette norme incite à s’assurer de l’adéqua- tion d’un appareil sur la base de son utilisa- tion antérieure. En d’autres termes, « le maté- riel doit être éprouvé par l’usage ». La validation de l’équipement par le fabricant ne suffit pas. « De plus, l’usage d’un matériel n’est pas le même sur une plate-forme off shore ou sur un site d’incinéra- tion, ce retour d’expérience doit être mis en place pour chaque type d’industrie », poursuit Dominique Pedron. Il convient donc que chaque indus- triel mette en place un suivi sur le long terme. « Avant d’intégrer un nouvel équipement dans une SIF, nous le testons sur un process classique jus- qu’à ce que nous ayons apporté la garantie de sa fia- bilité, précise Charles Milardo. Ensuite, nous conservons tous les historiques de tous les équipe- ments. » Il est évident que pour des petites ou moyennes entreprises, un tel suivi peut paraî- tre difficilement envisageable. « Il y a pourtant urgence, affirme Dominique Pedron, car le retour d’expérience est un maillon indispensable de toute la chaîne de sécurité. Et il faut au moins cinq ans pour en retirer les premiers bénéfices. Aujourd’hui, pour la plupart, c’est toujours un chaînon manquant. » ■ 23 MESURES 813 - MARS 2009 - www.mesures.com 22 Etude du danger, définition des fonctions de sécurité avec allocation d’un niveau SIL, conception d’une architecture matérielle et logicielle, dossier d’évaluation, maintenance et suivi, retour d’expérience. C’est très rare qu’un industriel ait une parfaite maîtrise de l’ensemble uploads/Industriel/ 813-dossier-cei61511-securite-fonctionnelle-1.pdf