systèmes de sécurité et sécurité fonctionnelle …...gep aftp paris 2016 systèmes de...
TRANSCRIPT
GEP AFTP Paris 2016
Systèmes de sécurité et sécuritéfonctionnelle
J-P SIGNORETJ-P SIGNORET
2 - GEP AFTP Paris 2016
Introduction
3 - GEP AFTP Paris 2016
Accidents ...
Three milesIsland
Three milesIsland
Radioélémentségarés
Radioélémentségarés
TchernobylTchernobyl
Overdose enradiothérapieOverdose enradiothérapie
Black outFrance
Black outFrance
Black outNew YorkBlack outNew York
BhopalBhopal
SevesoSeveso
FlixboroughFlixborough
Piper ααααPiper αααα
GalvestonGalveston
ApolloApollo
ChallengerChallenger
PrestigePrestige
ErikaErika
ExxonValdezExxonValdez
TenerifeTenerife
ConcordeConcorde
Rio/ParisRio/Paris
ElginElgin
BuncefieldBuncefield
DéraillementSt Jacques deCompostelle
DéraillementSt Jacques deCompostelle
DéraillementEschede
(DE)
DéraillementEschede
(DE)DéraillementLac-Megantic
Québec
DéraillementLac-Megantic
QuébecHeraldof Free
Enterprise
Heraldof Free
Enterprise
Pneumatiques4x4
Pneumatiques4x4
FerriesIndonésie ou
Corée
FerriesIndonésie ou
Corée
FerryMer Baltique
FerryMer Baltique
CrashStock exchange
US
CrashStock exchange
US
Crash duStock exchange
New York
Crash duStock exchange
New York
CostaConcordia(croisière)
CostaConcordia(croisière)
Golfe duMexique
(Macondo)
Golfe duMexique
(Macondo)
CrashStock exchange
Monde
CrashStock exchange
Monde
FukushimaFukushima
Toute entreprisehumaine comporte
des risques
Toute entreprisehumaine comporte
des risques
Maîtriser les risques:une quête depuis
l'origine de l'humanité:
Maîtriser les risques:une quête depuis
l'origine de l'humanité:
Systèmesde sécuritéSystèmes
de sécuritéSûreté deFonction°Sûreté deFonction°
Impact sur lanormalisation
4 - GEP AFTP Paris 2016
Risques variés
Etudes variées
Fréquence/Probabilité
Risque: vue d'ensemble
Sécurité
RentabilitéDéfinitiontrès générale
2 Dimensions Conséquences Ex: systèmesde productionEx: systèmesde production
Ex: systèmeinstrumentés
sécurité
Ex: systèmeinstrumentés
sécurité
Investissements
Environnement
FiabilitéMaintenabilitéDisponibilitéSécurité
FiabilitéMaintenabilitéDisponibilitéSécurité
Sécurité
fonctionnelle
Sécurité
fonctionnelleSûreté de
fonctionnement (SdF)
Sûreté de
fonctionnement (SdF)Nonréductibleà un seulparamètre
Nonréductibleà un seulparamètre
5 - GEP AFTP Paris 2016
Organismes
fusionnés
Organismes
fusionnés
Sûreté de fonctionnement (SdF)Sûreté de fonctionnement (SdF)
Aperçu de la normalisation liée à la SdF
Beaucoup dedocuments édités
ou en chantier
Beaucoup dedocuments édités
ou en chantier
Difficile detout suivreDifficile detout suivre
Quand on y metles doigts on nesait pas où onmet les pieds !
(R.DEVOS)
Quand on y metles doigts on nesait pas où onmet les pieds !
(R.DEVOS)
Obsolescence, security, etc.Obsolescence, security, etc.
Risque decontradictions
Risque decontradictions
Besoin deliaison/ coordination
Besoin deliaison/ coordination
Sécurité fonctionnelleSécurité fonctionnelle
Disponibilité de productionDisponibilité de production
Asset management: ISO 55000Asset management: ISO 55000
Continuity management: ISO 22301Continuity management: ISO 22301
Risque sociétal: ISO 26000Risque sociétal: ISO 26000
Qualité: ISO 9000Qualité: ISO 9000
Collecte des données de fiabilitéCollecte des données de fiabilité
Risk management ISO: 31000Risk management ISO: 31000
UF65UF65
UF56UF56
CNRisque
CNRisque
SdF orientéeéconomie
SdF orientéeéconomie
SdF orientésécurité
SdF orientésécurité
Normes APINormes API
6 - GEP AFTP Paris 2016
ISO14224
Participation TOTALjusqu'en 2014
IEC61511
IEC61508
ISO20815
Maximiser la productionen conditions sûres
Maximiser la productionen conditions sûres
Sécu.
RAM
ISO12489SILSIL
IEC60300-1
IEC62551
IEC TC56 / UTE UF56(Sûreté de fonctionnement)
ExPrésident
ExPrésident
Normali-
sation
Compromis
Sécurité Production
RéférentielRéférentiel
SafetyInstrumented
Systems
SafetyInstrumented
Systems
ProductionAssurancePlan
ProductionAssurancePlan
CollectedonnéesCollectedonnées
SafetyRelatedSystems
SafetyRelatedSystems
Modélisation& calculs
Modélisation& calculs
ProjectleaderProjectleader
ManagementSdF
ManagementSdF
Réseauxde PetriRéseauxde Petri
DesignsécuritéDesign
sécurité
Designproductivité
Designproductivité
VérificationVérification
Terminologie•Méthodologie •Disponibilité•Maintenance•Facteur Humain•Logiciel•etc.
Terminologie•Méthodologie •Disponibilité•Maintenance•Facteur Humain•Logiciel•etc.
Sécurité fonctionnelle
IEC60300-3-1
Guide SdFGuide SdF
IEV192
IEC61703
TerminologieTerminologie
CompatibilitéCompatibilitéAPI691
Risk basedmachinery
management
Risk basedmachinery
management
IEC61025
Arbres dedéfaillancesArbres dedéfaillances
IEC61078
ProjectleaderProjectleader
Diagrammesde fiabilitéDiagrammesde fiabilité
Méthodes & outils
Méthodes & outils
> 60 stds> 60 stds
API17N
IEC31010
Riskmanagement
Riskmanagement
ProjectleaderProjectleader
Formulesmathématiques
Formulesmathématiques
7 - GEP AFTP Paris 2016
Généralités sur les systèmes de sécurité
8 - GEP AFTP Paris 2016
Modes de fonctionnement des systèmes de sécurité
Fonctionnementcontinu
Fonctionnementcontinu
Fonctionnementà la demande
Fonctionnementà la demande
Vitesse de rotation �
Boules s'écartent
Force centrifuge �
Vitesse de rotation �
Pression �
Pression dépassela force du ressort
Le ressort se comprime
La soupape s'ouvreet la pression �
Soupape de sécurité
PressionPression
Agit enpermanence
Agit enpermanence
Agit surdépassement
d'un seuil
Agit surdépassement
d'un seuil
Régulateur de vitesse à boule
9 - GEP AFTP Paris 2016
Mesures probabilistes de base appropriées à la réalisation des actions de sécurité
Fonctionnementcontinu
Fonctionnementcontinu
Fonctionnementà la demande
Fonctionnementà la demande
Probabilité/aptitude à fonctionner pendant une durée donnée dans des conditions données.
Probabilité/aptitude à fonctionner pendant une durée donnée dans des conditions données.
Probabilité/aptitude à fonctionner à un instant donné t et dans des conditions données.
Probabilité/aptitude à fonctionner à un instant donné t et dans des conditions données.
)( )( tTTFprobtR >=TTF
t
)( )( àmarcheEn tprobtA =t
FiabilitéFiabilitéTimeToFail
TimeToFail
Disponibilité (Instantanée)Disponibilité (Instantanée)Demande
de l'action desécurité
Demandede l'action de
sécurité
Demandede l'action de
sécurité
Demandede l'action de
sécurité
IEV 192
IEV 192
10 - GEP AFTP Paris 2016
Exemple simplifié de système de production et des systèmes de sécurité associés
Huile
Gaz
Eau
Arrêtd'urgence
Arrêtd'urgence
Soupape
Torche
DépressurisationDépressurisation
Puits
SéparateurCV
Duse
Manifold deproduction
Manifold deproduction
Fonctionnementcontinu
Fonctionnementcontinu
Fonctionnementà la demande
Fonctionnementà la demande
Agit enpermanence
Agit enpermanence
Agit surdépassement
d'un seuil
Agit surdépassement
d'un seuil
L
LVESDV
ESD
P
Régulationde niveau
Régulationde niveau
SystèmeInstrumenté
deSécurité
SystèmeInstrumenté
deSécurité
ProductionProductionProductionProduction
Systèmede Sécuritéclassique
Systèmede Sécuritéclassique
Sécurité
fonctionnelle
Sécurité
fonctionnelle
Sécurité
fonctionnelle
Sécurité
fonctionnelle
SystèmeInstrumenté
deSécurité
SystèmeInstrumenté
deSécurité
Séparateur
11 - GEP AFTP Paris 2016
Conception des systèmes de sécurité
Conceptiondes systèmes
de sécurité
Conceptiondes systèmes
de sécurité
Règles de l'artRègles de l'art RèglementationRèglementation
NormesNormes
Objectifs desécurité
Objectifs desécurité
Objectifs deproduction
Objectifs deproduction
Référentiel interneRéférentiel interne
ExpertiseExpertise
Modélisationet calculs
Modélisationet calculs
Approche
déterministe
Approche
déterministe
Approche
probabilisteA
pprocheprobabiliste
12 - GEP AFTP Paris 2016
Sécurité versusproduction
Production sanspréoccupation de
sécurité
Production sanspréoccupation de
sécurité
Sécurité sanspréoccupation de
production
Sécurité sanspréoccupation de
production
Sécurité����
Production����Sécuri
t���
Production
����
Paramètres antagonistesParamètres
antagonistes
Sécurité Production
CompromisSécurité/production
CompromisSécurité/production
Maximiser la productionen conditions sûres
Maximiser la productionen conditions sûres
Sécurité &production
devraient êtretraitées
ensembles
Sécurité &production
devraient êtretraitées
ensembles
13 - GEP AFTP Paris 2016
Approche sécuritéfonctionnelle
14 - GEP AFTP Paris 2016
Sécurité fonctionnelle (SF)Sécurité fonctionnelle (SF)
Sécurité assurée par une fonction
instrumentée de sécurité (SIF)implémentée par un système
instrumenté de sécurité (SIS)
Sécurité assurée par une fonction
instrumentée de sécurité (SIF)implémentée par un système
instrumenté de sécurité (SIS)
Capteur(s)Capteur(s) Solveur(s)logique(s)Solveur(s)logique(s)
Elément(s)final (finaux)Elément(s)
final (finaux)
Détection(Instruments)
Détection(Instruments) DécisionDécision
Réalisationde l'action de
sécurité
Réalisationde l'action de
sécurité
15 - GEP AFTP Paris 2016
HighIntegrityProtectionSystems
HighIntegrityProtectionSystems
Normes en sécurité fonctionnelle
- Concepteurs- Intégrateurs- Utilisateurs
- Concepteurs- Intégrateurs- Utilisateurs
- Fabricants- Fournisseurs- Fabricants- Fournisseurs
IEC61 508
IEC61 508
IEC61 511
IEC61 511
Sécuritéfonctionnelle
Sécuritéfonctionnelle
Normemère
Normemère
1 partie normative2 parties informatives1 partie normative2 parties informatives 4 parties normatives
3 parties informatives4 parties normatives3 parties informatives
En cours demaintenanceEn cours de
maintenance
Ed2 publiéeen 2010
Ed2 publiéeen 2010
NormesdérivéesNormesdérivées
Beaucoupde
papier
Beaucoupde
papier
Beaucoupde
papier !
ISO/TR12489
ISO/TR12489
Explications et solutionspour modélisation et calculs
Explications et solutionspour modélisation et calculs
Publiéen 2013par ISO
Publiéen 2013par ISO
IEC62 061
IEC62 061
IEC61 513
IEC61 513
ISO26 262ISO
26 262
MachineMachineNucléaireNucléaireAutomobileAutomobile
ProcessProcess
Publiéen 2016par CEN
Publiéen 2016par CEN
16 - GEP AFTP Paris 2016
Plan d'urgencePlan d'urgence
Réduction des conséquences[des accidents]
Protections mécaniquesSystèmes de sécurité
Supervision des operateurs
Réduction des conséquences[des accidents]
Protections mécaniquesSystèmes de sécurité
Supervision des operateurs
Prévention[des accidents]
Sécurités mécaniquesAlarmes + opérateursSystèmes de sécurité
Prévention[des accidents]
Sécurités mécaniquesAlarmes + opérateursSystèmes de sécurité
Contrôle-commande
(BPCS)
Contrôle-commande
(BPCS)
Couches de protection typiques (d'après IEC 61511)
ProcessProcess
Systèmesde sécuritéSystèmes
de sécurité
Systèmesde sécuritéSystèmes
de sécurité
Systèmeprotégé
Systèmeprotégé
Systèmesde protection
Systèmesde protection
Ne pasconfondre
Ne pasconfondre
Ne pasconfondre
Ne pasconfondre
Systèmesde sécuritéSystèmes
de sécurité
17 - GEP AFTP Paris 2016
3èmeCouche de protection
3èmeCouche de protection
RRF = 10 à 100RRF = 10 à 100
ALARP : réductionde risque minimumALARP : réductionde risque minimum
Principe approche SIL: identification de la réduction de risque nécessaire
44
33
22
11
Fréquence desévénements dangereux
Fréquence desévénements dangereux
Risque "process"Risque
"process"RisquetolérableRisque
tolérable
1èrecouche de protection
1èrecouche de protection2ème
couche de protection
2èmecouche de protection
Réduction de risque avecmoyens conventionnels
Réduction de risque avecmoyens conventionnels
Conséquencesdes événements
dangereux
Conséquencesdes événements
dangereux
Risque sans SISRisque sans SIS
R2R2 R1R1
RRF = 100 à 1000RRF = 100 à 1000
RRF = 1000 à 10 000RRF = 1000 à 10 000
RRF > 10 000RRF > 10 000
R1/R2:RiskReductionFactor:
R1/R2:RiskReductionFactor:
SafetyIntegrityLevel: SIL
SafetyIntegrityLevel: SIL
e.g.HIPSe.g.
HIPS
Con
séqu
ence
Fréquence
4 jeux d'exigences
4 jeux d'exigences
Conceptsde base
Conceptsde base
18 - GEP AFTP Paris 2016
Mode àfaible demande
Mode àfaible demande
PFDavgPFDavg
Classification des SIS et liens avec les paramètres probabilistes classiques
Fréquence de la demande
1/an1/an
Moyennede laProbability ofFailure onDemand
Moyennede laProbability ofFailure onDemand
ModecontinuMode
continuMode à
forte demandeMode à
forte demande
PFHPFH
Probability ofFailure perHour
Probability ofFailure perHour
Normes ensécurité
fonctionnelle
Normes ensécurité
fonctionnelle
Indisponibilitémoyenne
U(T)
Indisponibilitémoyenne
U(T)
Ingénieriede la
fiabilité
Ingénieriede la
fiabilité
Fréquence moyennede défaillance
w(T)
Fréquence moyennede défaillance
w(T)
Au lieu dela fiabilitéAu lieu dela fiabilité
Paramètreconventionnel
Paramètreconventionnel
19 - GEP AFTP Paris 2016
Etapes pour une étude en sécurité fonctionnelle (SF)
Evaluationdu risque process
tel qu'il est
Evaluationdu risque process
tel qu'il est
Déterminationdu risque process
acceptable
Déterminationdu risque process
acceptable
ExigencesqualitativesExigencesqualitatives
ExigencesquantitativesExigences
quantitatives
"Safe failure fraction""Safe failure fraction"
Tolérance aux fautesTolérance aux fautes
défaillances systématiquesdéfaillances
systématiques
Traçabilité des modifications
Traçabilité des modifications
Etc.Etc.
PFDavgPFDavg
PFHPFH
Ajout d'un système instrumenté desécurité (SIS) satisfaisant aux
exigences SIL relatives au RRF
Ajout d'un système instrumenté desécurité (SIS) satisfaisant aux
exigences SIL relatives au RRF
OuiRRF≥≥≥≥10Hors du
champ SF
Non
1ère étude fiabiliste
1ère étude fiabiliste
2ème étude fiabiliste
2ème étude fiabiliste
Indisponibilitémoyenne
Indisponibilitémoyenne
Fréquencemoyenne
Fréquencemoyenne
ISO/TR12489
ISO/TR12489
Facteurde réduction
du risque(RRF)
Facteurde réduction
du risque(RRF)
20 - GEP AFTP Paris 2016
Challenges
21 - GEP AFTP Paris 2016
Intégrité de sécurité: définition(s)
Probabilité moyenne pour un SIS de réaliser correctement la SIF requise dans des conditions données et durant une période de temps donnée
ProbabilitProbabilit éé moyennemoyenne pour un SIS de rpour un SIS de r ééaliser aliser correctement la SIF requise dans des conditions correctement la SIF requise dans des conditions donndonn éées et durant une pes et durant une p éériode de temps donnriode de temps donn ééee
IEC 61511ed1
IEC 61511ed1
Probabilité pour un SIS de réaliser correctement la SIF requise dans des conditions données et durant une période de temps donnée
ProbabilitProbabilit éé pour un SIS de rpour un SIS de r ééaliser correctement la aliser correctement la SIF requise dans des conditions donnSIF requise dans des conditions donn éées et es et durant une pdurant une p éériode de temps donnriode de temps donn ééee
FiabilitéFiabilité
Disponibilitémoyenne
Disponibilitémoyenne
Aptitude d'un SIS à réaliser une SIF telle qu'elle est requise et quand elle est requise.Aptitude d'un SIS Aptitude d'un SIS àà rrééaliser une SIF telle qu'elle aliser une SIF telle qu'elle est requise et quand elle est requise.est requise et quand elle est requise.
IEC 61511FDIS ed2
IEC 61511FDIS ed2
ISO/TR12489
ISO/TR12489
Sûreté de fonctionnement
d'un SIS vis-à-vis d'une SIF donnée
Sûreté de fonctionnement
d'un SIS vis-à-vis d'une SIF donnée
IEC 61508ed1
IEC 61508ed1
Définitionà retenir
Définitionà retenir
22 - GEP AFTP Paris 2016
"Safe failure fraction" – SFF – (IEC 61508)
DéfaillancesDéfaillances
λλλλS + λλλλDDλλλλS + λλλλDD + λλλλDU
λλλλS + λλλλDDλλλλS + λλλλDD + λλλλDU
Taux dedéfaillances
sûres
Taux dedéfaillances
sûres
Taux de défaillancesdangereuse détectéesTaux de défaillances
dangereuse détectées
Taux de défaillancesdangereuse non détectées
Taux de défaillancesdangereuse non détectées
Défaillancesdangereuses (D)
Défaillancesdangereuses (D)
Défaillancessûres (S)
Défaillancessûres (S)
Défaillancessans impactDéfaillancessans impact
Défaillancesdangereuses non
détectées (DU)
Défaillancesdangereuses non
détectées (DU)
Défaillancesdangereuses
détectées (DD)
Défaillancesdangereuses
détectées (DD)
Safe failure fraction (SFF)Safe failure fraction (SFF)
IEC61 508
IEC61 508
Proportiondes défaillancesdu côté "sûr"
Proportiondes défaillancesdu côté "sûr"
Hypothèse:les défaillances
deviennent suresdès qu'elle sont
détectées
Hypothèse:les défaillances
deviennent suresdès qu'elle sont
détectées
Hypothèseimplicite:
la sécurité ����si la SFF ����
Hypothèseimplicite:
la sécurité ����si la SFF ����
23 - GEP AFTP Paris 2016
Plus la SFF augmente plus les contraintesde tolérance aux fautes diminuent
mais … les défaillance intempestives augmentent
Plus la SFF augmente plus les contraintesde tolérance aux fautes diminuent
mais … les défaillance intempestives augmentent
≤≤≤≤ 99%≤≤≤≤ 99%
90% - <99%90% - <99%
60% - <90%60% - <90%
< 60%< 60%
SIL3SIL3
SIL2SIL2
SIL1SIL1
SIL4SIL4
SIL3SIL3
SIL2SIL2
SIL1SIL1
SIL4SIL4
SIL4SIL4
SIL3SIL3
SIL2SIL2
Contraintes architecturales IEC 61508 route "1 H", composants de type B
interditinterdit
11 22
Safe Failure
Fraction(SFF)
Safe Failure
Fraction(SFF) 00
Tolérance minimum requiseaux fautes matérielles (HFT)Tolérance minimum requiseaux fautes matérielles (HFT)
Composantspour lesquels
il existe une partd’ignorance
Composantspour lesquels
il existe une partd’ignorance
HFT 2HFT 2
CC
AA
BB
HFT 0HFT 0
AA
HFT 1HFT 1
AA
BB
HardwareFaultTolerance
HardwareFaultTolerance
24 - GEP AFTP Paris 2016
Il est recommandé
de ne pas l'utiliser
Il est recommandé
de ne pas l'utiliser
Demandes surd'autres systèmes
de sécurité
Demandes surd'autres systèmes
de sécurité
Augmentationerreur humaineAugmentation
erreur humaine
Coupsde bélier,
etc.
Coupsde bélier,
etc.
Entraîne desRedémarrageEntraîne desRedémarrage
Augmentationpertes de
production
Augmentationpertes de
production
SFF peut être néfaste pour la sécurité &la production
SFF peut être nnééfastefaste pour la sécurité &la production
C'est seulement un remède pour atteindre l'objectif de sécurité quand λλλλD
est trop élevé
C'est seulement un remède pour atteindre l'objectif de sécurité quand λλλλD
est trop élevé
Deux composants avec le même λλλλDU sont identiques du point de vue sécurité mais
pas du point de vue de la norme ?!
Deux composants avec le même λλλλDU sont identiques du point de vue sécurité mais
pas du point de vue de la norme ?!
De fortes SFF impliquent un grand nombre de défaillances intempestives
De fortes SFF impliquent un grand nombre de défaillances intempestives
Augmenter λλλλsartificiellement permet
de falsifier la SFF
Augmenter λλλλsartificiellement permet
de falsifier la SFF
La SFF n'est pas uncritère de sécurité
en elle même.
La SFF n'est pas uncritère de sécurité
en elle même.
Une haute SFF plusfacile à obtenir avec demauvais composants
Une haute SFF plusfacile à obtenir avec demauvais composants
Indicateur
de mauvaise
qualité pour lesutilisateurs!!!
Indicateur
de mauvaise
qualité pour lesutilisateurs!!!
Les insuffisancesde la SFF
Route"2 H"
Route"2 H"
IEC61 508IEC
61 508
Eradicationde la SFF dans
l'IEC 61511
Eradicationde la SFF dans
l'IEC 61511
25 - GEP AFTP Paris 2016
La SFF parfaite !
Taux de défaillances dangereuses = 0Taux de défaillances dangereuses = 0
Taux de défaillances sûres = ∞ ∞ ∞ ∞Taux de défaillances sûres = ∞ ∞ ∞ ∞
SFF100%SFF
100%
26 - GEP AFTP Paris 2016
Contraintes architecturalesIEC 61511 FDIS ed2
1 (tous modes confondus)1 (tous modes confondus)
2 (faible demande)2 (faible demande)
2 (forte demande / continu)2 (forte demande / continu)
3 (tous modes confondus)3 (tous modes confondus)
4 (tous modes confondus)4 (tous modes confondus)
SILSIL Tolérance minimum requiseaux fautes matérielles (HFT)Tolérance minimum requiseaux fautes matérielles (HFT)
00
00
11
11
22
AA
AA
BB
CC
AA
BB
Route"2 H"
Route"2 H"
La "SFF"est éradiquéede l'IEC 61511
FDIS ed2
La "SFF"est éradiquéede l'IEC 61511
FDIS ed2
27 - GEP AFTP Paris 2016
Tests décalésTests décalés plus de tests des défaillance de cause communeplus de tests des défaillance de cause commune
Composants testés en même tempsComposants testés en même temps
SIL3
SIL3
Risque en conception versus risque opérationnel: notion de
SIL permanent
SIL2
0 2000 4000 6000 8000 10000 12000 14000 16000 18000 20000 22000 24000 26000
5.0e-4
1.0e-3
1.5e-3
T=8760
28.1%71.9%
6300 h
0 2000 4000 6000 8000 10000 12000 14000 16000 18000 20000 22000 24000 26000
2.0e-4
4.0e-4
6.0e-4
8.0e-4
1.0e-3T=8760
4.46e-4
6.94e-4
Temps passédans les
zones SIL
Temps passédans les
zones SIL
ValeurmaximumValeur
maximum
2460 h SIL3permanent
SIL3permanent SIL3SIL3
Point
de vue
concepteur
Point
de vue
concepteur
Point de
vue des
travailleurs
Point de
vue des
travailleurs
"PFDavg""PFDavg"
PFD(t)
PFD(t)
28 - GEP AFTP Paris 2016
La PFDavg n'est pas un bon indicateur pour les travailleurs en opération
La PFDavg n'est pas un bon indicateur pour les travailleurs en opération
SIL Bridge !
29 - GEP AFTP Paris 2016
IEC 61508 ed2: Méthodes "alternatives"ISO/TR 12489: Détail de la mise en oeuvreIEC 61508 ed2: Méthodes "alternatives"
ISO/TR 12489: Détail de la mise en oeuvre
IEC 61508Ed1
IEC 61508Ed1
Formulessimplifiées
Développementde Taylor
Développementde Taylor
Arbre dedéfaillances (AdD)Bloc diagrammede fiabilité (BdF)
Modèles états transitions(Automates à états finis)
MéthodesanalytiquesMéthodes
analytiquesSimulation deMonte Carlo
Simulation deMonte Carlo
Outilsgénériques
Outilsgénériques
FormulesspécifiquesFormules
spécifiques
Modèlescomportementaux
Modèlescomportementaux
Réseaux dePetri (RdP)Réseaux dePetri (RdP)
Langagesformels
Langagesformels
ApprochebooléenneApprochebooléenne
Approchemarkovienne
Approchemarkovienne
Développéesavant l'arrivéede l'ordinateur
Développéesavant l'arrivéede l'ordinateur Adaptés aux
ordinateursAdaptés auxordinateurs
Aperçu des
modèles probabilistes
Aperçu des
modèles probabilistes55 ans
d'expérience 55 ans
d'expérience
État del'art
État del'art
30 - GEP AFTP Paris 2016
Formule simple du type IEC 61508 ed1: courbe en dents de scie typique.)
)exp()( λδδ −−= 1U
U(t)
Intervalleentre testsIntervalle
entre tests
τ << 1/λτ << 1/λτ << 1/λτ << 1/λτ << 1/λτ << 1/λτ << 1/λτ << 1/λ
τ
λδδ ≈)(U
U (T)=λτ λτ λτ λτ /2
Tδ
Indisponibilitéinstantanée
Indisponibilitéinstantanée
Test et réparation
instantanésU(t) repart de zéroU(t) repart de zéro
PFDavgPFDavg
λ.τλ.τλ.τλ.τMaximumMaximum
Approximationde la probabilitéde défaillance
cachée
Approximationde la probabilitéde défaillance
cachée
Temps
31 - GEP AFTP Paris 2016
Modèle markovien multi-phases (IEC 61508 ed2, ISO/TR 12489)
λλλλ
µµµµA
DU
R
A
DU
R
A
DU
R
1
1
1
Matriced'enchaînement
des états [C]
Matriced'enchaînement
des états [C]
ττττ δδδδ
3 paramètres :λ λ λ λ : taux de défaillance DUτ τ τ τ : intervalle entre tests µ µ µ µ : taux de réparation
3 paramètres :λ λ λ λ : taux de défaillance DUτ τ τ τ : intervalle entre tests µ µ µ µ : taux de réparation
AA
DisponibleDisponible
Défaillancedangereuse
non-détectée
Défaillancedangereuse
non-détectée
RéparationRéparation
Matrice markovienne
[M]
Matrice markovienne
[M]
Comportementdurant
intervalleentre tests
Comportementdurant
intervalleentre tests
Effet dutest
Effet dutest
λλλλ
µµµµA
DU
R
TestTest
La réparationcommence dèsque la panneest détectée
La réparationcommence dèsque la panneest détectée
Phase 1Phase 1 Phase 1Phase 1A
DU
R
A
DU
R
1
1
1
32 - GEP AFTP Paris 2016
Courbes en dents de scie typiques d'un composant simple
US(t)
Us(T)
USt)
Us(T)
US(t)
Us(T)
US(t)
Us(T)
Us(T)
US(t)
Peuvent êtreutilisées comme
entrées des arbresde défaillances (AdD)
Peuvent êtreutilisées comme
entrées des arbresde défaillances (AdD)
Courbe endents de scie
classique
Courbe endents de scie
classique
λ λ λ λ ����λ λ λ λ ����
1/µ 1/µ 1/µ 1/µ ����1/µ 1/µ 1/µ 1/µ ����
1/µ 1/µ 1/µ 1/µ ��������1/µ 1/µ 1/µ 1/µ ��������
τ τ τ τ ����τ τ τ τ ����
3 paramètres :λ λ λ λ : taux de défaillance DUτ τ τ τ : intervalle entre tests µ µ µ µ : taux de réparation
3 paramètres :λ λ λ λ : taux de défaillance DUτ τ τ τ : intervalle entre tests µ µ µ µ : taux de réparation
AA
τ << 1/λτ << 1/λτ << 1/λτ << 1/λτ << 1/λτ << 1/λτ << 1/λτ << 1/λ
1/µ << τ1/µ << τ1/µ << τ1/µ << τ1/µ << τ1/µ << τ1/µ << τ1/µ << τ
ττττ ����0Idem
défaillancesimmédiatement
révélées
ττττ ����0Idem
défaillancesimmédiatement
révélées
33 - GEP AFTP Paris 2016
Modélisation d'un système de sécurité"multiples" (2 couches de protection)
Processus de Markovpiloté par AdD
(IEC 61508et ISO/TR 12489)
Processus de Markovpiloté par AdD
(IEC 61508et ISO/TR 12489)
PFDavg=U(t)PFDavg=U(t)
Modèlemarkovien
multi phases
Modèlemarkovien
multi phases
Composantpériodiquement testé
Composantpériodiquement testé
Valeur correcte:7.4E-4
Valeur correcte:7.4E-4
Valeur approchée:6.3E-4
Valeur approchée:6.3E-4
Combinaisondes PFDavg des
composants
Combinaisondes PFDavg des
composants
Nonconservatif
Nonconservatif
Ecart:17.5%Ecart:17.5%
Couchen°1
Couchen°1
Couchen°2
Couchen°2
34 - GEP AFTP Paris 2016
Simulation de Monte Carlo (Réseaux de Petri pilotés par bloc diagrammes de fiabilité)(IEC 61508 ed 2, ISO/TR 12489)
2/3 O1
AA
BBEE
FFDDO1 O2 S
CC O1=A.B+A.C+B.CO1=A.B+A.C+B.C
O2= O1.DO2= O1.DS= O2.(E+F)S= O2.(E+F)
Disponibilité des capteurs
0.4
0.6
0.8
1
0 5000 10000 15000 20000 25000 30000 35000
Temps
Disponibilité de 3 capteurs en 2oo3
0.4
0.6
0.8
1
0 5000 10000 15000 20000 25000 30000 35000
Temps
Solveur logique (pannes révélées)
0.9984
0.9988
0.9992
0.9996
1
0 5000 10000 15000 20000 25000 30000 35000
Temps
Disponibilité vannes de sécurité
0.4
0.6
0.8
1
0 5000 10000 15000 20000 25000 30000 35000
Temps
Disponibilité SIS
0.4
0.6
0.8
1
0 5000 10000 15000 20000 25000 30000 35000
Temps
Indisponibilité du SIS – PFD( t)
0
0.2
0.4
0.6
0 5000 10000 15000 20000 25000 30000 35000
Temps
Non SNon S
PFDavgPFDavg
SS
35 - GEP AFTP Paris 2016
Techniques préférées
BdFBdF
AdDAdD
MarkovMarkov
RdPRdP
Représentation préférée des ingénieursReprésentation préférée des ingénieurs
Méthode systémique souvent connue des sous-traitants
Méthode systémique souvent connue des sous-traitants
Adorée par l'universitéAdorée par l'université
Utilisée par ELF et TOTAL depuis 35 ansUtilisée par ELF et TOTAL depuis 35 ans
A permis de résoudre tous les problèmes de modélisation et calculs probabilistes depuis 35 ans
A permis de résoudre tous les problèmes de modélisation et calculs probabilistes depuis 35 ans
Passage facile aux diagrammes de flux (production)Passage facile aux diagrammes de flux (production)
Connue quelquefois par les sous-traitantsConnue quelquefois par les sous-traitants
Processus deMarkov pilotés
par BdF ou AdD
Processus deMarkov pilotés
par BdF ou AdD
BdFstochastiques
BdFstochastiques
Module Petro:disponibilité
de production
Module Petro:disponibilité
de production
FormulesFormules• Très difficile à établir et à comprendre
• PFD(t) non établie (pb pour le SIL permanent)
=> Utilisation non recommandée
• Très difficile à établir et à comprendre
• PFD(t) non établie (pb pour le SIL permanent)
=> Utilisation non recommandée
ModuleSIL
ModuleSIL
AtelierlogicielAtelierlogiciel
36 - GEP AFTP Paris 2016
Utiliser " l'état de l'art" des méthodes et outilsUtiliser " l'état de l'art" des méthodes et outils
Prendre avantage des 55 ans de "know-how" en SdFPrendre avantage des 55 ans de "know-how" en SdF
Les calculs avec les PFD avg peuventconduire à des résultats non conservatifs
Les calculs avec les PFD avg peuventconduire à des résultats non conservatifs
Une courbe en dents de scie a à la fois une moyenne et un maximum
Une courbe en dents de scie a à la fois une moyenne et un maximum
Attention aux limitations implicites des approches simplifiéesAttention aux limitations implicites des approches simplifiées
Le SIL n'est pas directement lié à la réduction de risqueLe SIL n'est pas directement lié à la réduction de risque
Attention aux déf. intempestives due à la SFFAttention aux déf. intempestives due à la SFF
Participation plus grandedes utilisateurs finaux
aux comités IEC
Participation plus grandedes utilisateurs finaux
aux comités IEC
ETET
Conseils pour améliorer la sécurité fonctionnelle
Help!Help!
MarkovMarkovArbres
de déf.
Arbres
de déf.
Le " lego" ne remplace pas une analyse systémiqueLe " lego" ne remplace pas une analyse systémique
OREDAOREDA
Attention au SIL sur étagères des fournisseursAttention au SIL sur étagères des fournisseurs
Ne pas confondre la probabilité de défaillance due à la
demande et l'indisponibilité moyenne (PFDavg)Ne pas confondre la probabilité de défaillance due à la
demande et l'indisponibilité moyenne (PFDavg)
Relier les définitions IEC 61508 / 11 aux définitions classiques de la SdFRelier les définitions IEC 61508 / 11 aux définitions classiques de la SdF
Réseaux
de Petri
Réseaux
de Petri
Collecter les données de fiabilitéCollecter les données de fiabilité
ModuleSIL
ModuleSIL
37 - GEP AFTP Paris 2016
Observations et conclusionsBeaucoup de documents
édités ou en chantier Beaucoup de documents
édités ou en chantier Difficile de tout suivreDifficile de tout suivre
PruritnormatifPrurit
normatif
Problèmes terminologiquesProblèmes terminologiques Chacun invente ses définitionssans trop tenir compte des autresChacun invente ses définitions
sans trop tenir compte des autres
Trèsdifficile àmaîtriser
Trèsdifficile àmaîtriser
- Conflits larvés entreISO et API ou ISO et IEC
- Embargos divers
- Conflits larvés entreISO et API ou ISO et IEC
- Embargos diversPerturbation des travauxPerturbation des travaux
Coordinationentre les institutions
Coordinationentre les institutions
Il faut être assidu pourêtre entendu
Il faut être assidu pourêtre entendu
Il faut être motivé et avoir temps etbudget pour participer aux réunionsIl faut être motivé et avoir temps et
budget pour participer aux réunionsAttention au
dilettantismeAttention au
dilettantismeAustraliens, Japonais,
Canadiens, Américains,Anglais, Allemand sont très actif
Australiens, Japonais,Canadiens, Américains,
Anglais, Allemand sont très actif
Ils viennent de très loinquand des Français n'ont mêmepas le budget pour venir à Pau
Ils viennent de très loinquand des Français n'ont mêmepas le budget pour venir à Pau Ou n'ont
pas de budgetdu tout …
Ou n'ontpas de budgetdu tout …Les Chinois arrivent
en forceLes Chinois arrivent
en forceAttention aux changements
de leadershipAttention aux changements
de leadership
Réunionsen Asie
Réunionsen Asie
Normalise toi mêmeou bien d'autres vont s'en
charger pour toi !!!
Normalise toi mêmeou bien d'autres vont s'en
charger pour toi !!!
3 ans pour
faire sa place,
10s pour couper
le budget
3 ans pour
faire sa place,
10s pour couper
le budget
38 - GEP AFTP Paris 2016
Des questions?
Des questions?FinFin
39 - GEP AFTP Paris 2016
Modélisation et calculs fiabilistes des systèmes de sécurité - Contenu de l'ISO/TR 12489
MatièresgénéralesMatières
générales
ApprochesApprochesDiversDivers
Applicationstypiques
Applicationstypiques FormulesFormules
BooléenBooléenMarkovMarkov
PetriPetri
DéfinitionsDéfinitions
Généralités approches analytique
Généralités approches analytique
FacteurhumainFacteurhumain
Def. Cause Commune
Def. Cause Commune
Monte CarloMonte Carlo
IncertitudesIncertitudes
Systèmes de sécuritéSystèmes
de sécurité
Données de fiabilitéDonnées de fiabilité
41%
32%
21%
6%
5%
28%
7%
8%
34%3%
14%5%
30%
26%
29%
26%
Contenuglobal
(266 pages)
Contenuglobal
(266 pages)
ApprochesApproches
MatièresgénéralesMatières
générales
Plus de30Systèmes de
sécurité identifiés
Plus de30Systèmes de
sécurité identifiés