systèmes de sécurité et sécurité fonctionnelle …...gep aftp paris 2016 systèmes de...

GEP AFTP Paris 2016

Systèmes de sécurité et sécuritéfonctionnelle

J-P SIGNORETJ-P SIGNORET

2 - GEP AFTP Paris 2016

Introduction


Accidents ...

Three milesIsland

Three milesIsland

Radioélémentségarés

Radioélémentségarés

TchernobylTchernobyl

Overdose enradiothérapieOverdose enradiothérapie

Black outFrance

Black outFrance

Black outNew YorkBlack outNew York

BhopalBhopal

SevesoSeveso

FlixboroughFlixborough

Piper ααααPiper αααα

GalvestonGalveston

ApolloApollo

ChallengerChallenger

PrestigePrestige

ErikaErika

ExxonValdezExxonValdez

TenerifeTenerife

ConcordeConcorde

Rio/ParisRio/Paris

ElginElgin

BuncefieldBuncefield

DéraillementSt Jacques deCompostelle

DéraillementSt Jacques deCompostelle

DéraillementEschede

(DE)

DéraillementEschede

(DE)DéraillementLac-Megantic

Québec

DéraillementLac-Megantic

QuébecHeraldof Free

Enterprise

Heraldof Free

Enterprise

Pneumatiques4x4

Pneumatiques4x4

FerriesIndonésie ou

Corée

FerriesIndonésie ou

Corée

FerryMer Baltique

FerryMer Baltique

CrashStock exchange

US

CrashStock exchange

US

Crash duStock exchange

New York

Crash duStock exchange

New York

CostaConcordia(croisière)

CostaConcordia(croisière)

Golfe duMexique

(Macondo)

Golfe duMexique

(Macondo)

CrashStock exchange

Monde

CrashStock exchange

Monde

FukushimaFukushima

Toute entreprisehumaine comporte

des risques

Toute entreprisehumaine comporte

des risques

Maîtriser les risques:une quête depuis

l'origine de l'humanité:

Maîtriser les risques:une quête depuis

l'origine de l'humanité:

Systèmesde sécuritéSystèmes

de sécuritéSûreté deFonction°Sûreté deFonction°

Impact sur lanormalisation


Risques variés

Etudes variées

Fréquence/Probabilité

Risque: vue d'ensemble

Sécurité

RentabilitéDéfinitiontrès générale

2 Dimensions Conséquences Ex: systèmesde productionEx: systèmesde production

Ex: systèmeinstrumentés

sécurité

Ex: systèmeinstrumentés

sécurité

Investissements

Environnement

FiabilitéMaintenabilitéDisponibilitéSécurité

FiabilitéMaintenabilitéDisponibilitéSécurité

Sécurité

fonctionnelle

Sécurité

fonctionnelleSûreté de

fonctionnement (SdF)

Sûreté de

fonctionnement (SdF)Nonréductibleà un seulparamètre

Nonréductibleà un seulparamètre


Organismes

fusionnés

Organismes

fusionnés

Sûreté de fonctionnement (SdF)Sûreté de fonctionnement (SdF)

Aperçu de la normalisation liée à la SdF

Beaucoup dedocuments édités

ou en chantier

Beaucoup dedocuments édités

ou en chantier

Difficile detout suivreDifficile detout suivre

Quand on y metles doigts on nesait pas où onmet les pieds !

(R.DEVOS)

Quand on y metles doigts on nesait pas où onmet les pieds !

(R.DEVOS)

Obsolescence, security, etc.Obsolescence, security, etc.

Risque decontradictions

Risque decontradictions

Besoin deliaison/ coordination

Besoin deliaison/ coordination

Sécurité fonctionnelleSécurité fonctionnelle

Disponibilité de productionDisponibilité de production

Asset management: ISO 55000Asset management: ISO 55000

Continuity management: ISO 22301Continuity management: ISO 22301

Risque sociétal: ISO 26000Risque sociétal: ISO 26000

Qualité: ISO 9000Qualité: ISO 9000

Collecte des données de fiabilitéCollecte des données de fiabilité

Risk management ISO: 31000Risk management ISO: 31000

UF65UF65

UF56UF56

CNRisque

CNRisque

SdF orientéeéconomie

SdF orientéeéconomie

SdF orientésécurité

SdF orientésécurité

Normes APINormes API


ISO14224

Participation TOTALjusqu'en 2014

IEC61511

IEC61508

ISO20815

Maximiser la productionen conditions sûres


Sécu.

RAM

ISO12489SILSIL

IEC60300-1

IEC62551

IEC TC56 / UTE UF56(Sûreté de fonctionnement)

ExPrésident

ExPrésident

Normali-

sation

Compromis

Sécurité Production

RéférentielRéférentiel

SafetyInstrumented

Systems

SafetyInstrumented

Systems

ProductionAssurancePlan

ProductionAssurancePlan

CollectedonnéesCollectedonnées

SafetyRelatedSystems

SafetyRelatedSystems

Modélisation& calculs

Modélisation& calculs

ProjectleaderProjectleader

ManagementSdF

ManagementSdF

Réseauxde PetriRéseauxde Petri

DesignsécuritéDesign

sécurité

Designproductivité

Designproductivité

VérificationVérification

Terminologie•Méthodologie •Disponibilité•Maintenance•Facteur Humain•Logiciel•etc.

Terminologie•Méthodologie •Disponibilité•Maintenance•Facteur Humain•Logiciel•etc.

Sécurité fonctionnelle

IEC60300-3-1

Guide SdFGuide SdF

IEV192

IEC61703

TerminologieTerminologie

CompatibilitéCompatibilitéAPI691

Risk basedmachinery

management

Risk basedmachinery

management

IEC61025

Arbres dedéfaillancesArbres dedéfaillances

IEC61078


Diagrammesde fiabilitéDiagrammesde fiabilité

Méthodes & outils

Méthodes & outils

> 60 stds> 60 stds

API17N

IEC31010

Riskmanagement

Riskmanagement


Formulesmathématiques

Formulesmathématiques


Généralités sur les systèmes de sécurité


Modes de fonctionnement des systèmes de sécurité

Fonctionnementcontinu


Fonctionnementà la demande


Vitesse de rotation �

Boules s'écartent

Force centrifuge �

Vitesse de rotation �

Pression �

Pression dépassela force du ressort

Le ressort se comprime

La soupape s'ouvreet la pression �

Soupape de sécurité

PressionPression

Agit enpermanence

Agit enpermanence

Agit surdépassement

d'un seuil


d'un seuil

Régulateur de vitesse à boule


Mesures probabilistes de base appropriées à la réalisation des actions de sécurité





Probabilité/aptitude à fonctionner pendant une durée donnée dans des conditions données.

Probabilité/aptitude à fonctionner pendant une durée donnée dans des conditions données.

Probabilité/aptitude à fonctionner à un instant donné t et dans des conditions données.

Probabilité/aptitude à fonctionner à un instant donné t et dans des conditions données.

)( )( tTTFprobtR >=TTF

t

)( )( àmarcheEn tprobtA =t

FiabilitéFiabilitéTimeToFail

TimeToFail

Disponibilité (Instantanée)Disponibilité (Instantanée)Demande

de l'action desécurité

Demandede l'action de

sécurité


sécurité


sécurité

IEV 192

IEV 192


Exemple simplifié de système de production et des systèmes de sécurité associés

Huile

Gaz

Eau

Arrêtd'urgence

Arrêtd'urgence

Soupape

Torche

DépressurisationDépressurisation

Puits

SéparateurCV

Duse

Manifold deproduction

Manifold deproduction





Agit enpermanence

Agit enpermanence


d'un seuil


d'un seuil

L

LVESDV

ESD

P

Régulationde niveau

Régulationde niveau

SystèmeInstrumenté

deSécurité


deSécurité

ProductionProductionProductionProduction

Systèmede Sécuritéclassique

Systèmede Sécuritéclassique

Sécurité

fonctionnelle

Sécurité

fonctionnelle

Sécurité

fonctionnelle

Sécurité

fonctionnelle


deSécurité


deSécurité

Séparateur


Conception des systèmes de sécurité

Conceptiondes systèmes

de sécurité

Conceptiondes systèmes

de sécurité

Règles de l'artRègles de l'art RèglementationRèglementation

NormesNormes

Objectifs desécurité

Objectifs desécurité

Objectifs deproduction

Objectifs deproduction

Référentiel interneRéférentiel interne

ExpertiseExpertise

Modélisationet calculs

Modélisationet calculs

Approche

déterministe

Approche

déterministe

Approche

probabilisteA

pprocheprobabiliste


Sécurité versusproduction

Production sanspréoccupation de

sécurité

Production sanspréoccupation de

sécurité

Sécurité sanspréoccupation de

production

Sécurité sanspréoccupation de

production

Sécurité��

Production��Sécuri

té��

Production

��

Paramètres antagonistesParamètres

antagonistes

Sécurité Production

CompromisSécurité/production

CompromisSécurité/production



Sécurité &production

devraient êtretraitées

ensembles

Sécurité &production

devraient êtretraitées

ensembles


Approche sécuritéfonctionnelle


Sécurité fonctionnelle (SF)Sécurité fonctionnelle (SF)

Sécurité assurée par une fonction

instrumentée de sécurité (SIF)implémentée par un système

instrumenté de sécurité (SIS)

Sécurité assurée par une fonction

instrumentée de sécurité (SIF)implémentée par un système

instrumenté de sécurité (SIS)

Capteur(s)Capteur(s) Solveur(s)logique(s)Solveur(s)logique(s)

Elément(s)final (finaux)Elément(s)

final (finaux)

Détection(Instruments)

Détection(Instruments) DécisionDécision

Réalisationde l'action de

sécurité

Réalisationde l'action de

sécurité


HighIntegrityProtectionSystems

HighIntegrityProtectionSystems

Normes en sécurité fonctionnelle

- Concepteurs- Intégrateurs- Utilisateurs

- Concepteurs- Intégrateurs- Utilisateurs

- Fabricants- Fournisseurs- Fabricants- Fournisseurs

IEC61 508

IEC61 508

IEC61 511

IEC61 511

Sécuritéfonctionnelle

Sécuritéfonctionnelle

Normemère

Normemère

1 partie normative2 parties informatives1 partie normative2 parties informatives 4 parties normatives

3 parties informatives4 parties normatives3 parties informatives

En cours demaintenanceEn cours de

maintenance

Ed2 publiéeen 2010

Ed2 publiéeen 2010

NormesdérivéesNormesdérivées

Beaucoupde

papier

Beaucoupde

papier

Beaucoupde

papier !

ISO/TR12489

ISO/TR12489

Explications et solutionspour modélisation et calculs

Explications et solutionspour modélisation et calculs

Publiéen 2013par ISO

Publiéen 2013par ISO

IEC62 061

IEC62 061

IEC61 513

IEC61 513

ISO26 262ISO

26 262

MachineMachineNucléaireNucléaireAutomobileAutomobile

ProcessProcess

Publiéen 2016par CEN

Publiéen 2016par CEN


Plan d'urgencePlan d'urgence

Réduction des conséquences[des accidents]

Protections mécaniquesSystèmes de sécurité

Supervision des operateurs

Réduction des conséquences[des accidents]

Protections mécaniquesSystèmes de sécurité

Supervision des operateurs

Prévention[des accidents]

Sécurités mécaniquesAlarmes + opérateursSystèmes de sécurité

Prévention[des accidents]

Sécurités mécaniquesAlarmes + opérateursSystèmes de sécurité

Contrôle-commande

(BPCS)

Contrôle-commande

(BPCS)

Couches de protection typiques (d'après IEC 61511)

ProcessProcess


de sécurité


de sécurité

Systèmeprotégé

Systèmeprotégé

Systèmesde protection

Systèmesde protection

Ne pasconfondre

Ne pasconfondre

Ne pasconfondre

Ne pasconfondre


de sécurité


3èmeCouche de protection

3èmeCouche de protection

RRF = 10 à 100RRF = 10 à 100

ALARP : réductionde risque minimumALARP : réductionde risque minimum

Principe approche SIL: identification de la réduction de risque nécessaire

44

33

22

11

Fréquence desévénements dangereux

Fréquence desévénements dangereux

Risque "process"Risque

"process"RisquetolérableRisque

tolérable

1èrecouche de protection

1èrecouche de protection2ème

couche de protection

2èmecouche de protection

Réduction de risque avecmoyens conventionnels

Réduction de risque avecmoyens conventionnels

Conséquencesdes événements

dangereux

Conséquencesdes événements

dangereux

Risque sans SISRisque sans SIS

R2R2 R1R1

RRF = 100 à 1000RRF = 100 à 1000

RRF = 1000 à 10 000RRF = 1000 à 10 000

RRF > 10 000RRF > 10 000

R1/R2:RiskReductionFactor:

R1/R2:RiskReductionFactor:

SafetyIntegrityLevel: SIL

SafetyIntegrityLevel: SIL

e.g.HIPSe.g.

HIPS

Con

séqu

ence

Fréquence

4 jeux d'exigences

4 jeux d'exigences

Conceptsde base

Conceptsde base


Mode àfaible demande

Mode àfaible demande

PFDavgPFDavg

Classification des SIS et liens avec les paramètres probabilistes classiques

Fréquence de la demande

1/an1/an

Moyennede laProbability ofFailure onDemand

Moyennede laProbability ofFailure onDemand

ModecontinuMode

continuMode à

forte demandeMode à

forte demande

PFHPFH

Probability ofFailure perHour

Probability ofFailure perHour

Normes ensécurité

fonctionnelle

Normes ensécurité

fonctionnelle

Indisponibilitémoyenne

U(T)


U(T)

Ingénieriede la

fiabilité

Ingénieriede la

fiabilité

Fréquence moyennede défaillance

w(T)

Fréquence moyennede défaillance

w(T)

Au lieu dela fiabilitéAu lieu dela fiabilité

Paramètreconventionnel

Paramètreconventionnel


Etapes pour une étude en sécurité fonctionnelle (SF)

Evaluationdu risque process

tel qu'il est

Evaluationdu risque process

tel qu'il est

Déterminationdu risque process

acceptable

Déterminationdu risque process

acceptable

ExigencesqualitativesExigencesqualitatives

ExigencesquantitativesExigences

quantitatives

"Safe failure fraction""Safe failure fraction"

Tolérance aux fautesTolérance aux fautes

défaillances systématiquesdéfaillances

systématiques

Traçabilité des modifications

Traçabilité des modifications

Etc.Etc.

PFDavgPFDavg

PFHPFH

Ajout d'un système instrumenté desécurité (SIS) satisfaisant aux

exigences SIL relatives au RRF

Ajout d'un système instrumenté desécurité (SIS) satisfaisant aux

exigences SIL relatives au RRF

OuiRRF≥≥≥≥10Hors du

champ SF

Non

1ère étude fiabiliste

1ère étude fiabiliste

2ème étude fiabiliste

2ème étude fiabiliste



Fréquencemoyenne

Fréquencemoyenne

ISO/TR12489

ISO/TR12489

Facteurde réduction

du risque(RRF)

Facteurde réduction

du risque(RRF)


Challenges


Intégrité de sécurité: définition(s)

Probabilité moyenne pour un SIS de réaliser correctement la SIF requise dans des conditions données et durant une période de temps donnée

ProbabilitProbabilit éé moyennemoyenne pour un SIS de rpour un SIS de r ééaliser aliser correctement la SIF requise dans des conditions correctement la SIF requise dans des conditions donndonn éées et durant une pes et durant une p éériode de temps donnriode de temps donn ééee

IEC 61511ed1

IEC 61511ed1

Probabilité pour un SIS de réaliser correctement la SIF requise dans des conditions données et durant une période de temps donnée

ProbabilitProbabilit éé pour un SIS de rpour un SIS de r ééaliser correctement la aliser correctement la SIF requise dans des conditions donnSIF requise dans des conditions donn éées et es et durant une pdurant une p éériode de temps donnriode de temps donn ééee

FiabilitéFiabilité

Disponibilitémoyenne

Disponibilitémoyenne

Aptitude d'un SIS à réaliser une SIF telle qu'elle est requise et quand elle est requise.Aptitude d'un SIS Aptitude d'un SIS àà rrééaliser une SIF telle qu'elle aliser une SIF telle qu'elle est requise et quand elle est requise.est requise et quand elle est requise.

IEC 61511FDIS ed2

IEC 61511FDIS ed2

ISO/TR12489

ISO/TR12489

Sûreté de fonctionnement

d'un SIS vis-à-vis d'une SIF donnée

Sûreté de fonctionnement

d'un SIS vis-à-vis d'une SIF donnée

IEC 61508ed1

IEC 61508ed1

Définitionà retenir

Définitionà retenir


"Safe failure fraction" – SFF – (IEC 61508)

DéfaillancesDéfaillances

λλλλS + λλλλDDλλλλS + λλλλDD + λλλλDU

λλλλS + λλλλDDλλλλS + λλλλDD + λλλλDU

Taux dedéfaillances

sûres

Taux dedéfaillances

sûres

Taux de défaillancesdangereuse détectéesTaux de défaillances

dangereuse détectées

Taux de défaillancesdangereuse non détectées

Taux de défaillancesdangereuse non détectées

Défaillancesdangereuses (D)

Défaillancesdangereuses (D)

Défaillancessûres (S)

Défaillancessûres (S)

Défaillancessans impactDéfaillancessans impact

Défaillancesdangereuses non

détectées (DU)

Défaillancesdangereuses non

détectées (DU)

Défaillancesdangereuses

détectées (DD)

Défaillancesdangereuses

détectées (DD)

Safe failure fraction (SFF)Safe failure fraction (SFF)

IEC61 508

IEC61 508

Proportiondes défaillancesdu côté "sûr"

Proportiondes défaillancesdu côté "sûr"

Hypothèse:les défaillances

deviennent suresdès qu'elle sont

détectées

Hypothèse:les défaillances

deviennent suresdès qu'elle sont

détectées

Hypothèseimplicite:

la sécurité ��si la SFF ��

Hypothèseimplicite:

la sécurité ��si la SFF ��


Plus la SFF augmente plus les contraintesde tolérance aux fautes diminuent

mais … les défaillance intempestives augmentent

Plus la SFF augmente plus les contraintesde tolérance aux fautes diminuent

mais … les défaillance intempestives augmentent

≤≤≤≤ 99%≤≤≤≤ 99%

90% - <99%90% - <99%

60% - <90%60% - <90%

< 60%< 60%

SIL3SIL3

SIL2SIL2

SIL1SIL1

SIL4SIL4

SIL3SIL3

SIL2SIL2

SIL1SIL1

SIL4SIL4

SIL4SIL4

SIL3SIL3

SIL2SIL2

Contraintes architecturales IEC 61508 route "1 H", composants de type B

interditinterdit

11 22

Safe Failure

Fraction(SFF)

Safe Failure

Fraction(SFF) 00

Tolérance minimum requiseaux fautes matérielles (HFT)Tolérance minimum requiseaux fautes matérielles (HFT)

Composantspour lesquels

il existe une partd’ignorance

Composantspour lesquels

il existe une partd’ignorance

HFT 2HFT 2

CC

AA

BB

HFT 0HFT 0

AA

HFT 1HFT 1

AA

BB

HardwareFaultTolerance

HardwareFaultTolerance


Il est recommandé

de ne pas l'utiliser

Il est recommandé

de ne pas l'utiliser

Demandes surd'autres systèmes

de sécurité

Demandes surd'autres systèmes

de sécurité

Augmentationerreur humaineAugmentation

erreur humaine

Coupsde bélier,

etc.

Coupsde bélier,

etc.

Entraîne desRedémarrageEntraîne desRedémarrage

Augmentationpertes de

production

Augmentationpertes de

production

SFF peut être néfaste pour la sécurité &la production

SFF peut être nnééfastefaste pour la sécurité &la production

C'est seulement un remède pour atteindre l'objectif de sécurité quand λλλλD

est trop élevé

C'est seulement un remède pour atteindre l'objectif de sécurité quand λλλλD

est trop élevé

Deux composants avec le même λλλλDU sont identiques du point de vue sécurité mais

pas du point de vue de la norme ?!

Deux composants avec le même λλλλDU sont identiques du point de vue sécurité mais

pas du point de vue de la norme ?!

De fortes SFF impliquent un grand nombre de défaillances intempestives

De fortes SFF impliquent un grand nombre de défaillances intempestives

Augmenter λλλλsartificiellement permet

de falsifier la SFF

Augmenter λλλλsartificiellement permet

de falsifier la SFF

La SFF n'est pas uncritère de sécurité

en elle même.

La SFF n'est pas uncritère de sécurité

en elle même.

Une haute SFF plusfacile à obtenir avec demauvais composants

Une haute SFF plusfacile à obtenir avec demauvais composants

Indicateur

de mauvaise

qualité pour lesutilisateurs!!!

Indicateur

de mauvaise

qualité pour lesutilisateurs!!!

Les insuffisancesde la SFF

Route"2 H"

Route"2 H"

IEC61 508IEC

61 508

Eradicationde la SFF dans

l'IEC 61511

Eradicationde la SFF dans

l'IEC 61511


La SFF parfaite !

Taux de défaillances dangereuses = 0Taux de défaillances dangereuses = 0

Taux de défaillances sûres = ∞ ∞ ∞ ∞Taux de défaillances sûres = ∞ ∞ ∞ ∞

SFF100%SFF

100%


Contraintes architecturalesIEC 61511 FDIS ed2

1 (tous modes confondus)1 (tous modes confondus)

2 (faible demande)2 (faible demande)

2 (forte demande / continu)2 (forte demande / continu)



SILSIL Tolérance minimum requiseaux fautes matérielles (HFT)Tolérance minimum requiseaux fautes matérielles (HFT)

00

00

11

11

22

AA

AA

BB

CC

AA

BB

Route"2 H"

Route"2 H"

La "SFF"est éradiquéede l'IEC 61511

FDIS ed2

La "SFF"est éradiquéede l'IEC 61511

FDIS ed2


Tests décalésTests décalés plus de tests des défaillance de cause communeplus de tests des défaillance de cause commune

Composants testés en même tempsComposants testés en même temps

SIL3

SIL3

Risque en conception versus risque opérationnel: notion de

SIL permanent

SIL2

0 2000 4000 6000 8000 10000 12000 14000 16000 18000 20000 22000 24000 26000

5.0e-4

1.0e-3

1.5e-3

T=8760

28.1%71.9%

6300 h

0 2000 4000 6000 8000 10000 12000 14000 16000 18000 20000 22000 24000 26000

2.0e-4

4.0e-4

6.0e-4

8.0e-4

1.0e-3T=8760

4.46e-4

6.94e-4

Temps passédans les

zones SIL

Temps passédans les

zones SIL

ValeurmaximumValeur

maximum

2460 h SIL3permanent

SIL3permanent SIL3SIL3

Point

de vue

concepteur

Point

de vue

concepteur

Point de

vue des

travailleurs

Point de

vue des

travailleurs

"PFDavg""PFDavg"

PFD(t)

PFD(t)


La PFDavg n'est pas un bon indicateur pour les travailleurs en opération

La PFDavg n'est pas un bon indicateur pour les travailleurs en opération

SIL Bridge !


IEC 61508 ed2: Méthodes "alternatives"ISO/TR 12489: Détail de la mise en oeuvreIEC 61508 ed2: Méthodes "alternatives"

ISO/TR 12489: Détail de la mise en oeuvre

IEC 61508Ed1

IEC 61508Ed1

Formulessimplifiées

Développementde Taylor

Développementde Taylor

Arbre dedéfaillances (AdD)Bloc diagrammede fiabilité (BdF)

Modèles états transitions(Automates à états finis)

MéthodesanalytiquesMéthodes

analytiquesSimulation deMonte Carlo

Simulation deMonte Carlo

Outilsgénériques

Outilsgénériques

FormulesspécifiquesFormules

spécifiques

Modèlescomportementaux

Modèlescomportementaux

Réseaux dePetri (RdP)Réseaux dePetri (RdP)

Langagesformels

Langagesformels

ApprochebooléenneApprochebooléenne

Approchemarkovienne

Approchemarkovienne

Développéesavant l'arrivéede l'ordinateur

Développéesavant l'arrivéede l'ordinateur Adaptés aux

ordinateursAdaptés auxordinateurs

Aperçu des

modèles probabilistes

Aperçu des

modèles probabilistes55 ans

d'expérience 55 ans

d'expérience

État del'art

État del'art


Formule simple du type IEC 61508 ed1: courbe en dents de scie typique.)

)exp()( λδδ −−= 1U

U(t)

Intervalleentre testsIntervalle

entre tests

τ << 1/λτ << 1/λτ << 1/λτ << 1/λτ << 1/λτ << 1/λτ << 1/λτ << 1/λ

τ

λδδ ≈)(U

U (T)=λτ λτ λτ λτ /2

Tδ

Indisponibilitéinstantanée

Indisponibilitéinstantanée

Test et réparation

instantanésU(t) repart de zéroU(t) repart de zéro

PFDavgPFDavg

λ.τλ.τλ.τλ.τMaximumMaximum

Approximationde la probabilitéde défaillance

cachée

Approximationde la probabilitéde défaillance

cachée

Temps


Modèle markovien multi-phases (IEC 61508 ed2, ISO/TR 12489)

λλλλ

µµµµA

DU

R

A

DU

R

A

DU

R

1

1

1

Matriced'enchaînement

des états [C]

Matriced'enchaînement

des états [C]

ττττ δδδδ

3 paramètres :λ λ λ λ : taux de défaillance DUτ τ τ τ : intervalle entre tests µ µ µ µ : taux de réparation


AA

DisponibleDisponible

Défaillancedangereuse

non-détectée

Défaillancedangereuse

non-détectée

RéparationRéparation

Matrice markovienne

[M]

Matrice markovienne

[M]

Comportementdurant

intervalleentre tests

Comportementdurant

intervalleentre tests

Effet dutest

Effet dutest

λλλλ

µµµµA

DU

R

TestTest

La réparationcommence dèsque la panneest détectée

La réparationcommence dèsque la panneest détectée

Phase 1Phase 1 Phase 1Phase 1A

DU

R

A

DU

R

1

1

1


Courbes en dents de scie typiques d'un composant simple

US(t)

Us(T)

USt)

Us(T)

US(t)

Us(T)

US(t)

Us(T)

Us(T)

US(t)

Peuvent êtreutilisées comme

entrées des arbresde défaillances (AdD)

Peuvent êtreutilisées comme

entrées des arbresde défaillances (AdD)

Courbe endents de scie

classique

Courbe endents de scie

classique

λ λ λ λ ��λ λ λ λ ��

1/µ 1/µ 1/µ 1/µ ��1/µ 1/µ 1/µ 1/µ ��

1/µ 1/µ 1/µ 1/µ ��1/µ 1/µ 1/µ 1/µ ��

τ τ τ τ ��τ τ τ τ ��



AA

τ << 1/λτ << 1/λτ << 1/λτ << 1/λτ << 1/λτ << 1/λτ << 1/λτ << 1/λ

1/µ << τ1/µ << τ1/µ << τ1/µ << τ1/µ << τ1/µ << τ1/µ << τ1/µ << τ

ττττ ��0Idem

défaillancesimmédiatement

révélées

ττττ ��0Idem

défaillancesimmédiatement

révélées


Modélisation d'un système de sécurité"multiples" (2 couches de protection)

Processus de Markovpiloté par AdD

(IEC 61508et ISO/TR 12489)

Processus de Markovpiloté par AdD

(IEC 61508et ISO/TR 12489)

PFDavg=U(t)PFDavg=U(t)

Modèlemarkovien

multi phases

Modèlemarkovien

multi phases

Composantpériodiquement testé

Composantpériodiquement testé

Valeur correcte:7.4E-4

Valeur correcte:7.4E-4

Valeur approchée:6.3E-4

Valeur approchée:6.3E-4

Combinaisondes PFDavg des

composants

Combinaisondes PFDavg des

composants

Nonconservatif

Nonconservatif

Ecart:17.5%Ecart:17.5%

Couchen°1

Couchen°1

Couchen°2

Couchen°2


Simulation de Monte Carlo (Réseaux de Petri pilotés par bloc diagrammes de fiabilité)(IEC 61508 ed 2, ISO/TR 12489)

2/3 O1

AA

BBEE

FFDDO1 O2 S

CC O1=A.B+A.C+B.CO1=A.B+A.C+B.C

O2= O1.DO2= O1.DS= O2.(E+F)S= O2.(E+F)

Disponibilité des capteurs

0.4

0.6

0.8

1

0 5000 10000 15000 20000 25000 30000 35000

Temps

Disponibilité de 3 capteurs en 2oo3

0.4

0.6

0.8

1

0 5000 10000 15000 20000 25000 30000 35000

Temps

Solveur logique (pannes révélées)

0.9984

0.9988

0.9992

0.9996

1

0 5000 10000 15000 20000 25000 30000 35000

Temps

Disponibilité vannes de sécurité

0.4

0.6

0.8

1

0 5000 10000 15000 20000 25000 30000 35000

Temps

Disponibilité SIS

0.4

0.6

0.8

1

0 5000 10000 15000 20000 25000 30000 35000

Temps

Indisponibilité du SIS – PFD( t)

0

0.2

0.4

0.6

0 5000 10000 15000 20000 25000 30000 35000

Temps

Non SNon S

PFDavgPFDavg

SS


Techniques préférées

BdFBdF

AdDAdD

MarkovMarkov

RdPRdP

Représentation préférée des ingénieursReprésentation préférée des ingénieurs

Méthode systémique souvent connue des sous-traitants

Méthode systémique souvent connue des sous-traitants

Adorée par l'universitéAdorée par l'université

Utilisée par ELF et TOTAL depuis 35 ansUtilisée par ELF et TOTAL depuis 35 ans

A permis de résoudre tous les problèmes de modélisation et calculs probabilistes depuis 35 ans

A permis de résoudre tous les problèmes de modélisation et calculs probabilistes depuis 35 ans

Passage facile aux diagrammes de flux (production)Passage facile aux diagrammes de flux (production)

Connue quelquefois par les sous-traitantsConnue quelquefois par les sous-traitants

Processus deMarkov pilotés

par BdF ou AdD

Processus deMarkov pilotés

par BdF ou AdD

BdFstochastiques

BdFstochastiques

Module Petro:disponibilité

de production

Module Petro:disponibilité

de production

FormulesFormules• Très difficile à établir et à comprendre

• PFD(t) non établie (pb pour le SIL permanent)

=> Utilisation non recommandée

• Très difficile à établir et à comprendre

• PFD(t) non établie (pb pour le SIL permanent)

=> Utilisation non recommandée

ModuleSIL

ModuleSIL

AtelierlogicielAtelierlogiciel


Utiliser " l'état de l'art" des méthodes et outilsUtiliser " l'état de l'art" des méthodes et outils

Prendre avantage des 55 ans de "know-how" en SdFPrendre avantage des 55 ans de "know-how" en SdF

Les calculs avec les PFD avg peuventconduire à des résultats non conservatifs

Les calculs avec les PFD avg peuventconduire à des résultats non conservatifs

Une courbe en dents de scie a à la fois une moyenne et un maximum

Une courbe en dents de scie a à la fois une moyenne et un maximum

Attention aux limitations implicites des approches simplifiéesAttention aux limitations implicites des approches simplifiées

Le SIL n'est pas directement lié à la réduction de risqueLe SIL n'est pas directement lié à la réduction de risque

Attention aux déf. intempestives due à la SFFAttention aux déf. intempestives due à la SFF

Participation plus grandedes utilisateurs finaux

aux comités IEC

Participation plus grandedes utilisateurs finaux

aux comités IEC

ETET

Conseils pour améliorer la sécurité fonctionnelle

Help!Help!

MarkovMarkovArbres

de déf.

Arbres

de déf.

Le " lego" ne remplace pas une analyse systémiqueLe " lego" ne remplace pas une analyse systémique

OREDAOREDA

Attention au SIL sur étagères des fournisseursAttention au SIL sur étagères des fournisseurs

Ne pas confondre la probabilité de défaillance due à la

demande et l'indisponibilité moyenne (PFDavg)Ne pas confondre la probabilité de défaillance due à la

demande et l'indisponibilité moyenne (PFDavg)

Relier les définitions IEC 61508 / 11 aux définitions classiques de la SdFRelier les définitions IEC 61508 / 11 aux définitions classiques de la SdF

Réseaux

de Petri

Réseaux

de Petri

Collecter les données de fiabilitéCollecter les données de fiabilité

ModuleSIL

ModuleSIL


Observations et conclusionsBeaucoup de documents

édités ou en chantier Beaucoup de documents

édités ou en chantier Difficile de tout suivreDifficile de tout suivre

PruritnormatifPrurit

normatif

Problèmes terminologiquesProblèmes terminologiques Chacun invente ses définitionssans trop tenir compte des autresChacun invente ses définitions

sans trop tenir compte des autres

Trèsdifficile àmaîtriser

Trèsdifficile àmaîtriser

- Conflits larvés entreISO et API ou ISO et IEC

- Embargos divers

- Conflits larvés entreISO et API ou ISO et IEC

- Embargos diversPerturbation des travauxPerturbation des travaux

Coordinationentre les institutions

Coordinationentre les institutions

Il faut être assidu pourêtre entendu

Il faut être assidu pourêtre entendu

Il faut être motivé et avoir temps etbudget pour participer aux réunionsIl faut être motivé et avoir temps et

budget pour participer aux réunionsAttention au

dilettantismeAttention au

dilettantismeAustraliens, Japonais,

Canadiens, Américains,Anglais, Allemand sont très actif

Australiens, Japonais,Canadiens, Américains,

Anglais, Allemand sont très actif

Ils viennent de très loinquand des Français n'ont mêmepas le budget pour venir à Pau

Ils viennent de très loinquand des Français n'ont mêmepas le budget pour venir à Pau Ou n'ont

pas de budgetdu tout …

Ou n'ontpas de budgetdu tout …Les Chinois arrivent

en forceLes Chinois arrivent

en forceAttention aux changements

de leadershipAttention aux changements

de leadership

Réunionsen Asie

Réunionsen Asie

Normalise toi mêmeou bien d'autres vont s'en

charger pour toi !!!

Normalise toi mêmeou bien d'autres vont s'en

charger pour toi !!!

3 ans pour

faire sa place,

10s pour couper

le budget

3 ans pour

faire sa place,

10s pour couper

le budget


Des questions?

Des questions?FinFin


Modélisation et calculs fiabilistes des systèmes de sécurité - Contenu de l'ISO/TR 12489

MatièresgénéralesMatières

générales

ApprochesApprochesDiversDivers

Applicationstypiques

Applicationstypiques FormulesFormules

BooléenBooléenMarkovMarkov

PetriPetri

DéfinitionsDéfinitions

Généralités approches analytique

Généralités approches analytique

FacteurhumainFacteurhumain

Def. Cause Commune

Def. Cause Commune

Monte CarloMonte Carlo

IncertitudesIncertitudes

Systèmes de sécuritéSystèmes

de sécurité

Données de fiabilitéDonnées de fiabilité

41%

32%

21%

6%

5%

28%

7%

8%

34%3%

14%5%

30%

26%

29%

26%

Contenuglobal

(266 pages)

Contenuglobal

(266 pages)

ApprochesApproches

MatièresgénéralesMatières

générales

Plus de30Systèmes de

sécurité identifiés

Plus de30Systèmes de

sécurité identifiés

systèmes de sécurité et sécurité fonctionnelle …...gep aftp paris 2016 systèmes de...

Documents