CADRE D’USAGE

du SIL : CEI 61508

Groupe Sonatrach – Org. Ourhoud, Algérie

2015

1- Champ d’application de la CEI 61508

2- Structure de la CEI 61508 et cycle de vie de la sécurité global

3- Concepts fondamentaux de la CEI 61508

4- Conclusion

Formation SIL, 2015 2

Version 2 1
 1- Champ d’application de la CEI 61508
La norme CEI 61508, publiée pour la première fois en 1998 par la Commission
Electrotechnique Internationale. Elle est dénommée « sécurité fonctionnelle des
systèmes E/ E/ EP relatifs à la sécurité ».
C’est une norme générique dont l’objectif principal est d’être utilisée, par les
organisations internationales de normalisation, comme une base pour le
développement des normes sectorielles.

Formation SIL, 2015 3

2- Structure de la CEI 61508

Formation SIL, 2015 4

Version 2 2
 2- Structure de la CEI 61508

Formation SIL, 2015 5

3- Concepts de la CEI 61508

La « superposition » du cycle de vie de sécurité global et la structure générale de la
CEI 61508, nous conduit à faire le zoom sur les phases 3, 4, 5 et 9.
Les phases 3, 4 et 5 du cycle de vie de sécurité décrites dans la
norme 61508-1 développent une démarche visant à réduire les
risques inhérents à une installation bien définie.
Phase 3 identification des sources de danger et les événements redoutés
susceptibles d’être engendrer ainsi que leurs évaluations afin d’en comparer la
criticité (gravité, probabilité) à une valeur limite constituant l’objectif de sécurité à
atteindre. Si cette criticité excède la valeur-seuil précitée, il sera alors nécessaire de
la réduire.
Phase 4 définition de prescriptions globales de sécurité en termes de fonctions de
sécurité et de prescriptions d’intégrité de sécurité pour l’ensemble des systèmes qui
seront chargés d’exécuter ces fonctions. Ces prescriptions sont définies en fonction de
l’ampleur de la réduction du risque.

Phase 5 Déclinaison des prescriptions globales de sécurité en

prescriptions particulières de sécurité allouées, toujours en termes de
fonctions de sécurité, à plusieurs systèmes de différents types : SRS basés
sur d’autres technologies, SRS basés sur la technologie SIS ou SRS basés
des dispositifs externes de réduction des risques.
Formation SIL, 2015 6

Version 2 3
 3- Concepts de la CEI 61508
Démarche de réduction des risques issue de la norme 61508-5

Formation SIL, 2015 7

3- Concepts de la CEI 61508

De la tolérance des risques à la détermination du Facteur de Réduction des Risques
Risque
Risques inhérentes
aux procédés
Réduction
du risque
Augmentation
du risque

Niveau des risques

tolérables

Temps

∆R = FRR = Fnp / ft

- FRR étant le Facteur de Réduction des Risques

- Fnp est la fréquence de l’évènement dangereux sans protection
- Ft est sa fréquence tolérable
Formation SIL, 2015 Slide 8

Version 2 4
 3- Concepts de la CEI 61508

Exemple simplifié d’illustration de la démarche de réduction des risques

recommandée par la CEI 61508

Formation SIL, 2015 9

3- Concepts de la CEI 61508

PAH Opérateur PL Séquence

90% Aucun dégagement 0.081
vers la torche
90% 90%
Dégagement vers 0.0081
10% la torche
10%
Pression Déversement dans 0.0009
élevée la nature
90%
10-1/an Dégagement vers 0.009
10% la torche
10%
Déversement 0.001
dans la nature

0.0981 Évènements normaux

0.0019 Évènements anormaux

Formation SIL, 2015 10

Version 2 5
 3- Concepts de la CEI 61508

Puisque l’intégration d’une PL ne permet pas d’atteindre le niveau cible de

sécurité
(< 1E-4)

Nécessité d’utiliser une SIF

Déduction de la correspondance SIF et SIL

Matrice de couche de sécurité

Formation SIL, 2015 15

3- Concepts de la CEI 61508

Nbre. de PL

3 * * * * * * * SIL 1 SIL 1
2 * * SIL 1 * SIL 1 SIL 2 SIL 1 SIL 2 SIL 3
1 SIL 1 SIL 1 SIL 2 SIL 1 SIL 1 SIL 2 SIL 3 SIL 3 SIL 3+
Faible Moyenne Élevée Faible Moyenne Élevée Faible Moyenne Élevée Prob.

Mineure Critique Catastrophique Gravité.

* : Système de sécurité non requis
+ : mesures additionnelles requises

Exemple d’une matrice couches de sécurité (CEI 61511)

Formation SIL, 2015 16

Version 2 6
 3- Concepts de la CEI 61508

Nbre. de PL

3 * * * * * * * SIL 1 SIL 1
2 * * SIL 1 * SIL 1 SIL 2 SIL 1 SIL 2 SIL 3
1 SIL 1 SIL 1 SIL 2 SIL 1 SIL 1 SIL 2 SIL 3 SIL 3 SIL 3+
Faible Moyenne Élevée Faible Moyenne Élevée Faible Moyenne Élevée Prob.

Mineure Critique Catastrophique Gravité.

Exemple d’une matrice couches de sécurité (CEI 61511)

Choix entre : SIL1 / SIL2 / SIL3

Probabilité (Pression élevée) = 0.1/an

Gravité(Pression élevée) = déversement dans la nature

Nombre de PL = 1

Formation SIL, 2015 17

3- Concepts de la CEI 61508

Réduction nécessaire du risque moyennant une Fonction Instrumentée de Sécurité

L’objectif est de déterminer si une SIF de niveau SIL2

permet de réduire le risque au niveau de sécurité cible du
procédé.

Ici, le SIS est du type 1oo2 (un sur deux).

On utilise deux capteurs de pression jumelées qui

transmettent des signaux à une unité de traitement. La
sortie de l’unité de traitement commande un robinet
d’arrêt supplémentaire

Formation SIL, 2015 18

Version 2 7
 3- Concepts de la CEI 61508

PAH Opérateur SIF PL Séquence

90% Aucun dégagement 8.1E-2
vers la torche
90% 99% Aucun dégagement 8.9E-3
vers la torche
10%
90% Dégagement vers 8. 1E-5
la torche
1%
Pression 10% Déversement dans 9E-6
élevée la nature
10-1/an 99% Dégagement vers 9.9E-3
la torche
10% 90%
Dégagement vers 9E-5
1% la torche
10% Déversement 1E-5
dans la nature

0.09997 Évènements normaux L’ajout d’un SIS la nouvelle probabilité d’occurrence

de la pression élevée est inférieure à 10-4.
0.000019 Évènements anormaux

Formation SIL, 2015 19

3- Concepts de la CEI 61508

De la réduction des risques au SIL

Formation SIL, 2015 20

Version 2 8
 3- Concepts de la CEI 61508

De la réduction des risques au SIL

A- Mode de fonctionnement du SIS à faible sollicitation (CEI 61508-1)

Un SIS est en mode de fonctionnement à faible demande lorsque la fréquence

de sollicitation est inférieure à une fois par an ( 1/an ou an-1) ou inférieure au
double de la fréquence des tests périodiques auxquels il est soumis. A partir de
l'architecture du SIS réalisant la SIF faiblement sollicitée, la PFDavg est
évaluée sur un intervalle [0; t].

Formation SIL, 2015 21

3- Concepts de la CEI 61508

De la réduction des risques au SIL

B- Mode de fonctionnement du SIS à forte

sollicitation ou sollicitation continue (CEI 61508-1)
Un SIS en mode de fonctionnement continu ou à forte demande
implique une forte sollicitation du SIS. Il est considéré lorsque la
fréquence de sollicitation est élevée ou continue, c.-à-d.., qu'elle
est supérieure à une fois par an ( 1=an) ou supérieure à deux fois
la fréquence des tests périodiques.
A partir de l'architecture du SIS réalisant la SIF fortement sollicitée,
la PFH est évaluée sur un intervalle de temps [0, t]

Formation SIL, 2015 22

Version 2 9
 3- Concepts de la CEI 61508

De la réduction des risques au SIL

C- Contraintes architecturales (Annexe C de la CEI 61508-2)

Tolérance aux anomalies de matériel d’indice N

Safe Failure Fraction (SFF) proportion de défaillances en
sécurité d’un sous-système

Formation SIL, 2015 23

3- Concepts de la CEI 61508

La « superposition » du cycle de vie de sécurité global et la structure générale de la

CEI 61508, nous conduit à faire le zoom sur les phases 3, 4, 5 et 9.

La phase 9 du cycle de vie de sécurité décrites dans la norme

61508-1 est inhérente aux moyens de réduction des risques par le
biais des SIS.

SIS est composé de :

- Sensor –S- (capteurs – détecteurs)
- Logic Solver –LS- (unité logique)
- Final Element –FE- (Actionneurs)

Un SIS se compose de n'importe quelle

combinaison de capteur(s), d'unités
logique(s) et d‘élément(s) terminal (aux).
Formation SIL, 2015 24

Version 2 10
 3- Concepts de la CEI 61508

Formation SIL, 2015 26

CONCLUSION

La norme CEI 61508 définit pour chacune des 16 phases du cycle de vie :
1- Les objectifs à atteindre
2- Le domaine d’application de la phase
3- Les données d’entrée exigées par la phase
4- Les données de sortie exigées pour être conforme aux prescriptions
5- Les activités de vérification

Ainsi, l’ensemble des activités, y compris les personnes,

concernées par l’une ou l’autre des phases du cycle de vie
doivent répondre à des exigences de sécurité pour réaliser la
réduction du risque et par la même garantir le niveau d’intégrité
de sécurité (SIL) exigé, et ce, tout au long du cycle de vie.

Formation SIL, 2015 27

Version 2 11