Introduction

La valeur SIL permet d'évaluer la robustesse d'une application contre les défaillances, ce qui indique la capacité d'un système à réaliser une fonction de sécurité avec une probabilité définie. La norme IEC 61508 définit 4 niveaux de performances de la sécurité en fonction des risques ou des impacts engendrés par le processus pour lequel est utilisé le système lié à la sécurité. Plus les impacts possibles sont dangereux sur la communauté et l'environnement, plus les exigences de la sécurité doivent être élevées pour réduire les risques.

Description de la valeur SIL

Le niveau TOR (1 sortie sur 4 possibles) permet de définir les exigences d'intégrité de la sécurité des fonctions de sécurité à allouer aux systèmes de sécurité, où le niveau 4 correspond au plus haut niveau d'intégrité de la sécurité et le niveau 1 au plus faible niveau d'intégrité de la sécurité. Reportez-vous à la section Niveaux SIL en faible demande.

Description des exigences SIL

Pour atteindre la sécurité fonctionnelle, 2 types d'exigences sont requis :

  • Exigences des fonctions de sécurité, qui définissent les fonctions de sécurité à réaliser

  • Les exigences de l'intégrité de la sécurité, qui définissent le degré de certitude nécessaire pour réaliser les fonctions de sécurité

Les exigences des fonctions de sécurité sont issues de l'analyse des risques, et les exigences de l'intégrité de la sécurité de l'évaluation des risques.

Les risques sont quantifiés comme suit :

  • Délai moyen entre les défaillances

  • Probabilités de défaillance

  • Taux de défaillance

  • Couverture du diagnostic

  • Proportion de défaillances en sécurité

  • Tolérance aux anomalies matérielles

Selon le niveau d'intégrité de la sécurité, ces valeurs doivent être comprises dans des seuils définis.

NOTE : La combinaison d'équipements associés à différents niveaux d'intégrité de la sécurité sur un réseau ou pour une fonction de sécurité nécessite d'extrêmes précautions, conformément à la norme IEC 61508, et a des répercussions sur la conception et l'exploitation.

Description des niveaux SIL

Comme défini dans la norme IEC 61508, la valeur SIL est limitée par la proportion de défaillances en sécurité (SFF) et la tolérance aux anomalies matérielles (HFT) du sous-système qui exécute la fonction de sécurité. Si la valeur de HFT est n, les défaillances n+1 peuvent entraîner la perte de la fonction de sécurité, l'état sécurisé ne peut pas être atteint. La valeur SFF dépend du taux de défaillance et de la couverture du diagnostic.

Le tableau ci-dessous montre la relation entre les valeurs SFF, HFT et SIL pour les sous-systèmes de sécurité complexes selon la norme IEC 61508-2, dans laquelle les modes de défaillance de tous les composants ne peuvent pas être totalement définis :

SFF

HFT = 0

HFT = 1

HFT = 2

SFF ≤ 60 %

-

SIL1

SIL2

60 % < SFF ≤ 90 %

SIL1

SIL2

SIL3

90 % < SFF ≤ 99 %

SIL2

SIL3

SIL4

SFF > 99 %

SIL3

SIL4

SIL4

Un certain niveau d'intégrité peut être atteint de deux manières :

  • Augmentation de la valeur HFT en fournissant des procédures d'arrêt indépendantes supplémentaires

  • Augmentation de la valeur SFF au moyen de diagnostics supplémentaires

Description de la relation entre niveaux SIL et demande

La norme IEC 61508 fait la distinction entre le fonctionnement en mode faible demande et en mode forte demande (ou continu).

En mode de faible demande, la fréquence de la demande de fonctionnement sur un système lié à la sécurité n'est pas supérieure à 1 par an et n'est pas supérieure à deux fois la fréquence du test périodique. La valeur SIL d'un système lié à la sécurité en faible demande est directement liée à la probabilité moyenne de défaillance du système dans l'exécution de la fonction de sécurité sur demande, ou simplement à la probabilité de défaillance sur demande (PFD).

En mode de forte demande (ou mode continu), la fréquence de la demande de fonctionnement sur un système lié à la sécurité est supérieure à 1 par an et supérieure à deux fois la fréquence du test périodique. La valeur SIL d'un système lié à la sécurité en forte demande est directement liée à la probabilité moyenne de défaillance dangereuse du système par heure, ou simplement à la probabilité de défaillance par heure (PFH).

Niveaux SIL en faible demande

Le tableau ci-dessous répertorie les exigences d'un système dans le mode de fonctionnement en faible demande :

Niveau d'intégrité de la sécurité

Probabilité de défaillance sur demande (PFD)

4

≥ 10-5 à < 10-4

3

≥ 10-4 à < 10-3

2

≥ 10-3 à < 10-2

1

≥ 10-2 à < 10-1

Niveaux SIL en forte demande

Le tableau ci-dessous répertorie les exigences d'un système dans le mode de fonctionnement en forte demande :

Niveau d'intégrité de la sécurité

Probabilité de défaillance par heure (PFH)

4

≥ 10-9 à < 10-8

3

≥ 10-8 à < 10-7

2

≥ 10-7 à < 10-6

1

≥ 10-6 à < 10-5

Pour SIL3, les probabilités de défaillance requises pour un système à sécurité intégré :

  • PFD ≥ 10-4 à < 10-3 pour une faible demande

  • PFH ≥ 10-8 à < 10-7 pour une forte demande

Description de la boucle de sécurité

La boucle de sécurité de l'automate de sécurité M580 comporte 3 parties :

  • Capteurs

  • Automate de sécurité M580 avec alimentation, CPU de sécurité, coprocesseur de sécurité et modules d'E/S de sécurité

  • Actionneurs

Une embase ou une connexion distante incluant un commutateur ou un CRA ne détruit pas une boucle de sécurité. Les embases, les commutateurs et les modules CRA font partie du « canal noir ». Cela signifie que les données échangées par les E/S et le PAC ne peuvent pas être corrompues sans que le récepteur ne le détecte.

L'illustration suivante représente une boucle de sécurité classique :

Comme le montre la figure ci-dessus, la contribution du PAC n'est que de 10 à 20 % car la probabilité de défaillance des capteurs et des actionneurs est assez élevée en général.

L'hypothèse prudente de 10 % pour la contribution du PAC de sécurité à la probabilité totale laisse davantage de marge à l'utilisateur et aboutit aux probabilités requises ci-dessous pour le PAC de sécurité :

  • PFD ≥ 10-5 à < 10-4 pour une faible demande

  • PFH ≥ 10-9 à < 10-8 pour une forte demande

Description de l'équation PFD

La norme IEC 61508 suppose que la moitié des défaillances aboutissent à l'état sécurisé. Par conséquent, le taux de défaillance λ est composé de :

  • λS : défaillance en sécurité

  • λD : défaillance dangereuse, elle même composée de

    • λDD : défaillance dangereuse détectée par le diagnostic interne

    • λDU : défaillance dangereuse non détectée.

Le taux de défaillance peut être calculé à partir du délai moyen entre les défaillances (MTBF), une valeur spécifique au module, comme suit :

λ = 1/MTBF

L'équation de calcul de la probabilité de défaillance sur demande (PFD) est la suivante :

PFD(t) = λDU x t

t représente le temps entre deux tests réguliers.

La probabilité de défaillance par heure implique un intervalle de temps de 1 heure. Par conséquent, l'équation PFD est réduite à la suivante :

PFH = λDU