20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016

SIL (SAFETY INTEGRITY LEVEL) : Les méthodes d’acquisition du Niveau SIL selon la norme internationale CEI 61511

SIL (SAFETY INTEGRITY LEVEL) : SIL Level acquisition methods according to international standard IEC 61511

Mme Shahinez BAITICHE Société : Sonatrach LRP (ex : AVAL). Adresse : BP 74, Ain el Bia, village N°06, 31230, Oran Téléphone :+ 213 561 108 653, fax : +213 41 799 054, E-mailsbaitiche@avl.sonatrach.dz Résumé Les Systèmes Instrumentés de Sécurité (SIS) assurent la Sécurité Fonctionnelle des équipements permettant d’éliminer ou réduire les phénomènes dangereux identifiés. La norme CEI 61511 s’intéresse à la sécurité fonctionnelle dans l’application des systèmes instrumentés de sécurité aux industries de production par procédé. Elle exige dans ce cadre de conduire une évaluation de danger et de risque des processus pour permettre d’en déduire des spécifications pour les SIS. Deux concepts fondamentaux sont mis en avant : le cycle de vie de sécurité et les niveaux d’intégrité de sécurité ou SIL. Cette étude s’intéresse plus particulièrement au niveau d’intégrité de sécurité et à leur allocation en fonction du SIS à évaluer. La norme décrit différentes méthodes d’allocation de SIL, qu’elles soient qualitatives ou quantitatives. Aucune méthode n’est à privilégier, le choix d’une technique dépendra de différents critères. Cette étude fait ainsi une brève description de trois méthodes répandues dans le secteur des industries de procédés dans laquelle nous présentons les critères et des exemples qui orientent le choix d’une méthode et indiquons les avantages et les inconvénients de ces différentes méthodes. Mots-Clefs : Sûreté de fonctionnement, les systèmes instrumentés de sécurité, barrières de sécurité, SIL assesment, normes CEI 61511, complexe gazier. Summary Safety Instrumented Systems (SIS) ensure the functional safety equipment to eliminate or reduce the identified hazards. IEC 61511 focuses on functional safety in the implementation of safety instrumented systems in the process production industries. It requires in this context to conduct an evaluation of danger and risk processes to allow deriving specifications for SIS. Two fundamental concepts are highlighted: the safety lifecycle and safety integrity level or SIL. This study is particularly interested in safety integrity and their allocation according to the SIS to assess. The standard describes various SIL allocation methods, whether qualitative or quantitative. No method is preferred; the choice of technique will depend on various criteria. This study and a brief description of three methods common in the process industries sector in which we present the criteria and examples that guide the choice of method and indicate the advantages and disadvantages of these methods. Keywords: Dependability, safety instrumented systems, security gates, SIL assesment, IEC 61511, gas plant.

Objectifs

Les Systèmes Instrumentés de Sécurité (SIS) assurent la Sécurité Fonctionnelle des équipements permettant d’éliminer ou réduire les phénomènes dangereux identifiés. Ces SIS, intégrant des systèmes électriques/électroniques/électroniques programmables (E/E/PES), doivent être conçus de façon à empêcher toute défaillance dangereuse ou à les maîtriser quand elles surviennent. La norme CEI 61511 s’intéresse à la sécurité fonctionnelle dans l’application des systèmes instrumentés de sécurité aux industries de production par procédé. Elle exige dans ce cadre de conduire une évaluation de danger et de risque des processus pour permettre d’en déduire des spécifications pour les SIS (Systèmes Instrumentés de Sécurité). Deux concepts fondamentaux sont mis en avant : le cycle de vie de sécurité et les niveaux d’intégrité de sécurité ou SIL (SafetyIntegrityLevel). Cette étude s’intéresse plus particulièrement au niveau d’intégrité de sécurité et à leur allocation en fonction du SIS à évaluer. La norme décrit différentes méthodes d’allocation de SIL, qu’elles soient qualitatives ou quantitatives. Aucune méthode n’est à privilégier, le choix d’une technique dépendra de différents critères. Cette étude fait ainsi une brève description des méthodes répandues dans le secteur des industries de procédés dans laquelle nous présentons les critères et des exemples étudier au niveau des complexe gazier de l’entreprise Sonatrach qui orientent le choix d’une méthode et indiquons les avantages et les inconvénients de ces différentes méthodes

Contexte Pour toute installation industrielle, il est nécessaire de définir les situations dangereuses, puis de prendre les mesures nécessaires afin : • D’éliminer ou réduire les risques, ce qui implique de les identifier et de les évaluer en termes de conséquences sur les

personnes et l’environnement, au niveau du site et de ces alentours • De prendre les mesures de sécurité nécessaires vis-à-vis des risques ne pouvant être éliminés • D’informer les employés des mesures de protection adoptées.

Pour identifier les fonctions instrumentées de sécurité et définir leur SIL, il est nécessaire que les risques soient préalablement identifiés, ainsi que leurs conséquences sur les personnes et l’environnement. Les données suivantes sont donc indispensables : • Description des procédés et des installations ;

Communication 1B /3 page 1/4

20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016

• Recensement des matières et produits utilisés • Historiques des incidents et accidents répertoriés (retours d’expériences) • Identification et caractérisation des potentiels de dangers et estimation de leurs effets • Analyses de risque réalisées

Ces données ne sont pas toujours explicitement formulées et recensées au niveau de la documentation de l’entreprise. Par conséquent, il est nécessaire de réaliser un travail visant soit à améliorer la documentation soit à rechercher les informations indispensables notamment d’identifier les risques potentiels et les barrières de sécurité existantes. Pour ce faire, un audit de l’installation peut être envisagé afin de recenser les documents existants, de rassembler les éléments nécessaires à la définition du SIL et d’identifier les analyses complémentaires à mener.

Méthode La norme CEI 61511 décrit différentes méthodes de détermination de SIL. Nous avons choisi de revenir plus en détails sur quelques-unes afin de comprendre les différentes philosophies mises en œuvre. Parmi celles-ci, on citera les méthodes les plus utilisées dans l’industrie tels que : 1. Les méthodes qualitatives « le graphe de risque » et la « grille de criticité » :

1-1 La Grille de Criticité

Tableau N°01 : Grille de Criticité adoptée par Entreprise Sonatrach.

Probabilité Gravité

1 : Improbable de se produire durant la durée de la vie de l’installation.

2 : Rare, peut se produire une fois durant de vie de l’installation

3 : Occasionnel, peut se produire plus qu’une fois durant la durée de vie de l’installation

4 : Fréquent, peut se produire plusieurs fois durant la durée de vie de l’installation.

1 : Négligeable -Blessures superficielles -Dégradation de la capacité de l’installation à moins de 10%

Faible Faible Faible Modérée

2 : Modérée - Blessures mineurs. -Dégradation de la capacité de l’installation à moins de 50%

Faible Modérée Modérée Elevé

3 : Critique -Blessures graves -Arrêt de l’unité (train)

Modérée Modérée Elevé Elevé

4 : Catastrophique -La mort -Arrêt de l’usine

Elevé Elevé Elevé Elevé

1-2 Le Graphe de Risques

Figure N°01 : Graphe de hiérarchisation du risque présenté dans la norme CEI 61511-3 Le « Graphe de Risques » mis en pratique : Fonction de la SIF, Sécurité de niveau très haut dans les sphères de stockage (voir tableau N°02) But de la SIF est d’éviter la montée du niveau et l'éclatement de capacité par sur remplissage. Le niveau SIL requis : SIL-2

Communication 1B /3 page 2/4

20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016

Figure 02 : Architecture de la boucle de sécurisation du niveau très haut dans les sphères de stockage

Tableau N°02 : Fonction de la SIF, Sécurité de niveau très haut dans les sphères de stockage au niveau d’un complexe GNL-Sonatrach.

But de la SIF Scénarios de sollicitation Conséquences Critère

Paramètres de risque Niveau SIL SIL REQUIS C F P W

Eviter la montée du niveau et

l'éclatement de capacité par

surremplissage

Défaillance de la boucle régulation (ouvre en grand la vanne)

Formation d'un nuage inflammable Risque d'un VCE ou flash fire, jet

enflammé

Atteinte aux personnes Cc Fb Pa W1 SIL 1 SIL2

Les recommandations (mise en redondance des capteurs en voting 2004 et fermeture, en complément des vannes à l’entrée de chaque sphère de stockage, de la vanne HV-0042 d’alimentation principale des 4 sphères) permettent d’atteindre le niveau SIL requis (SIL-2). 2. Et la méthode quantitative « Calcule la Probabilité moyenne de défaillance à la sollicitation de la fonction « PFD ». {01} {02}

Tableau N° 03 : L’évaluation du niveau SIL avec le calcul du PFD

2.1 La méthode mis en pratique dans un complexe gazier Le complexe gazier par ses moyens techniques et organisationnels, s’est engagé à maintenir ces systèmes de sécurité en état de fonctionnement fiable en permanence ; d’où la nécessité d’avoir une approche fiabiliste en se basant sur l’analyse fonctionnelle des systèmes de sécurité. Une de ces barrières exploitée au niveau de ce complexe fera l’objet de notre étude à savoir la barrière de détection gaz.

a- La démarche adoptée (la méthodologie) pour l’évaluation le SIL des détecteurs de gaz au niveau d’un

complexe gazier Sonatrach, comporte les principales étapes suivantes :

- Extraction des données de détections gaz et alarmes (réelles) à partir du système Process History Database et du système de gestion de la maintenance GATIOR.

- La démarche suivi est celle de faire un historique de valeurs détectés et leurs alarmes affichés sur une durée s’étalant du 17/04/2008 jusqu’au 17/07/2009 avec un intervalle maximal de 30 min et de 01 min minimum de fonctionnement normal entre deux valeurs. Ceci est fait principalement pour comparer les valeurs du MTTR avec la prise en charge réelle de l’anomalie.

NB : Les durées d’indisponibilités et de perturbation de signal sont exclues du calcul de disponibilité mais sont exploitées dans le calcul du MTTR et du PFD.

Niveau SIL Probabilité moyenne de défaillance à la sollicitation de la fonction PFD SIL 4 10 -5≤PFD < 10 -4 SIL 3 10 -4≤ PFD < 10 -3 SIL 2 10 -3≤ PFD < 10 -2 SIL 1 10 -2≤ PFD < 10 -1

PFD = (λi*t) / 2

λi: Taux de défaillance des i constituants ou fonctions élémentaires,

MTBF = 1/ λi

Communication 1B /3 page 3/4

20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016

zone emplacement Détecteurs SIL requis

N° Train PFD

Calculé SIL

évaluée les recommandations SIL moyen par section

1

Frac

tionn

emen

t

CG

DE-

ETH

ANIS

ER

SRG

DR

U

AIT3735.PV SIL 2

T1 1,25E-03 2

SIL 01

T2 4,71E-02 1 T3 8,95E-02 2 T4 2,68E-01 1 T5 2,51E-01 1 T6 2,54E-01 1

CG

DE-

PRO

PAN

R

EFLU

X D

RU

M

AIT3736.PV SIL 2

T1 7,30E-04 3

SIL 01

T2 1,26E-03 2 T3 2,51E-01 1 T4 6,05E-03 2 T5 7,55E-04 3 T6 1,59E-01 1

Tableau N°03 : Exemple de l’étude de l’évaluation du SIL des détecteurs de gaz d’un complexe gazier Sonatrach.

b-Synthèse des résultats (il existe 360 détecteurs de gaz au niveau d’un complexe GNL) :

Sur les 180 détecteurs de gaz il y a presque 8% des détecteurs sont défectueux que en dois remplacer, 45.5% de détecteurs du SIL1, 26.6% de détecteur du SIL2 et 19.44 % de SIL3. Ainsi on peut dire que le niveau d’intégrité de sécurité des 180 détecteurs de gaz du complexe GNL et du SIL1. Selon nos calculs du MTTR, on a déduit que la maintenance a une influence directe sur la sécurité, car Le niveau d’intégrité de sécurité décroît avec le temps. Il convient d’ajouter des barrières de sécurité pour réduire le risque et le niveau d’intégrité soit conforme avec les exigences de sécurité SIL2 et/ou SIL3.

Conclusion

La vérification et la justification du respect des exigences SIL, ou la détermination du niveau SIL s’effectuent au travers de la mise en œuvre de plusieurs méthodes selon la norme internationale CEI 61511. L’application de ces méthodes quantitatives et qualitatives montre qu’une première étape indispensable, reposant sur un audit sur site, permet d’analyser le fonctionnement de l’installation et ses principales caractéristiques et de rassembler les éléments disponibles. La deuxième étape permet, quant à elle, de définir les fonctions instrumentées de sécurité ainsi que leur SIL requis en s’appuyant sur les informations fournies par l’exploitant et les spécificités du site étudié (retour d’expérience) et complétée par l’expertise dans le domaine considéré. Le choix de la méthode de détermination du SIL dépend essentiellement de la nature des données d’entrée. Il est préférable de bien utiliser une méthode qualitative que d’utiliser une méthode quantitative lorsque les données d’entrée sont insuffisantes. Ces dernières s’appliqueront mieux lorsqu’il y a des données de retour d’expérience quantifiées et lorsque l’organisation du site permet une analyse en couches fonctionnelles indépendantes.

Communication 1B /3 page 4/4