779 SIS Sil Test Periodique

  • Upload
    pma61

  • View
    228

  • Download
    0

Embed Size (px)

Citation preview

  • 7/25/2019 779 SIS Sil Test Periodique

    1/2

    MESURES 779- NOVEMBRE2005 - www.mesures.com40

    Dossier scurit de process

    Dans lapplication de la normeIEC51508 et de celles qui ensont issues, la performancedun quipement de scuritest quantifie par son SIL (Safety IntegrityLevel), cest--dire son niveau dintgrit dela scurit. Le SIL dfinit la probabilit dedfaillance dangereuse que lon sautorise.Le SIL ne peut prendre que 4valeurs pos-sibles (de 1 4), et on ne cherche donc pas

    dfinir des valeurs prcises des probabilitsde dfaillance dangereuses, mais il faut quela valeur obtenue se trouve lintrieur de lafourchette dfinie par le SIL. Pour un SIL don-n, la valeur de cette probabilit de dfaillan-ce peut varier dans un rapport10. Le concep-teur dune application de scurit peut doncsautoriser une marge derreur, sans que lavaleur du SIL soit remise en cause.Ceci tant, lorsque lon se trouve aux extr-mits de la fourchette autorise, lerreurmme minime peut vite conduire undclassement, et un systme qui tait par

    exemple SIL3 peut se retrouver en catgo-rie SIL2.Il faut savoir aussi quun niveau SIL nest pasgaranti vie. Les lments du systme de scu-rit vieillissent, leurs performances se dgra-dent. Cest la raison pour laquelle le niveauSIL est considr comme valable tant que lonne dpasse pas une dure bien dfinie.Le test en ligne et hors ligne des systmesde scurit est clairement mentionn dansles normes IEC61508 et IEC61511 commetant une condition sine qua non pourmaintenir le niveau SIL annonc. Si toutesles dfaillances taient auto-dtectes, il ne

    serait pas ncessaire de vrifier priodique-ment les lments entrant dans la composi-tion dun SIS. Des dtecteurs de niveau quisont bloqus, des relais de commande dunpressostat qui sont colls, des vannes darrtqui sont bloques, cela est frquent et celapeut tre trs dangereux si de tels dfauts servlent au moment o le systme de scu-rit est sollicit. Le seul et unique objectifdu test en ligne est de rvler ces dfauts.Bien entendu, dans un systme instrumen-t de scurit, la frquence de test dpenddu type dlment et de limportance du rle

    quil joue dans le systme. La frquence destests est calcule partir des lments four-nis par les constructeurs.Pour les automates ddis la scurit, lespriodes de test atteignent facilement plu-sieurs annes. Certains sont annoncs avecdes priodes suprieures un sicle! Bienentendu, plus il y a des redondances, plusla priode de test sera importante. Mais

    structure quivalente, il peut aussi y avoirdes grosses diffrences au niveau de la prio-de de test. Le choix des composants lec-troniques joue en effet un rle important.Dans tout systme instrument de scurit,la vanne est le composant le plus fragile. Celase comprend aisment, les vannes restentsans bouger pendant de longues priodes,et lobturateur aura tendance se coller. Et

    Pas de SIL qui tienne sans tests priodiques!

    Le niveau SIL attribu un systme instrument de scurit est calcul en prvoyant des tests priodiques sur les diffrents lmentsqui composent le systme. Pour les vannes, llment le plus fragile de la boucle de scurit, ce test nest pas pratique sauf si on arrtele process. Il existe une alternative : le test sur une petite partie de la course.

    CAPTEURS-VANNES

    10-2PFD

    Frquence devrification (annes)

    10-3

    SIL2

    SIL 3

    SIL4

    10-4

    10-5

    10-6

    0 1 1,6 2 3 4 5

    Comme on peut le voir ici, la valeur de la probabilitsur sollicitati on (PFD) se dgrade au fi l du temps. La courbe obtenue ici correspond

    un capteur de pression spcifipour une application SIL3. Il reste SIL3 pendant 1,6 an, ensuite il passe en niveau SIL2.

    10-2PFD

    Frquence devrification (annes)

    10-3

    SIL2Capteur A

    Capteur B

    SIL3

    SIL4

    10-4

    10-5

    10-60 1 2 3 4 5

    Cette illustration prsente les valeurs PFD de deux capteurs de pression, tous deux spcifis pour une application SIL3.Le capteur A est SIL3 pendant 1 an. Au bout de cette priode, si on effectue un test et que ce test atteste du bon tat de fonctionnement ducapteur, le capteur peut continuer tre utilisdans une application SIL3. Et ainsi de suite tous les ans.Le capteur B, par contre, conserve son niveau SIL3 pendant 5 ans, sans quaucun test ne soit ncessaire pendant toute cette priode.

    EmersonProcessManagement

    EmersonProcessManagement

  • 7/25/2019 779 SIS Sil Test Periodique

    2/2

    MESURES 779- NOVEMBRE2005 - www.mesures.com 41

    Dossier scurit de process

    donc ne pas se dcoller le jour o la vannedevra tre actionne.Emerson Process Managementestime que 50% des dfaillances viennent

    des vannes tout-ou-rien. Il faut donc, bienvidemment, pratiquer des tests priodiques.Le problme, cest que les arrts des process

    pour maintenance sont de moins en moinsfrquents: il y avait autrefois un arrt par an,la tendance est de faire un arrt tous les trois cinq ans. Autrement dit, si on veut conti-nuer faire comme par le pass un test annuelcomplet douverture de la vanne, il faut pr-voir des dispositifs permettant de raliser

    quand mme ces tests. Il est par exemple pos-sible de prvoir des dispositifs pneumatiquesou des bypass. Ces solutions sont ou co-teuses ou potentiellement dangereuses. Dansle cas dun test ralis laide dun bypass,qui ncessite des interventions manuelles,que se passe-t-il si, au moment de raliser lestests, le systme scurit doit entrer en action?Pour contourner ces limitations,Emerson Pro-cess Managementpropose de raliser des tests enligne douverture partielle (de 1 30%) dela vanne, histoire de sassurer que la vannenest pas colle. Bien entendu, si cest le cas,linformation est remonte au contrleur. Le

    gros avantage de cette technique est que lestests partiels peuvent tre pratiqus despriodes trs rapproches, ce qui permet demaintenir le SIL au niveau initial. Bien enten-du, cela ne dispense pas de raliser des testspriodiques approfondis mais ceux-ci peu-vent tre beaucoup plus espacs et tre pra-tiqus lors des arrts du process.

    Le tableau ci-contre montre les valeurs

    de SFF obtenues pour les vannes dans

    le cas o on pratique un test complet

    aux priodes normales (espaces) et

    dans le cas o on pratique un test sur

    une partie de la course (priodes

    beaucoup plus rapproches).

    Le tableau ci-contre donne lincidence de

    la valeur du SFF sur larchitecture du syst-

    me de scurit (au niveau de la vanne).

    Une tolrance la faute de n signifie que

    sil y a n + 1 fautes, le systme de scuri-

    t nest plus oprationnel. Autrement dit,

    si on veut une tolrance 1dfaillance, il

    faut prvoir une redondance simple et si

    on veut une tolrance 2 dfaillances, il

    faut prvoir une redondance double.

    Supposons que lapplication exige un

    SIL2. Ce tableau montre que pour une

    vanne prvue avec un test priodique

    normal (donne pour un SFF de 55 %), on

    ne peut atteindre un SIL2 qu condition

    de prvoir une redondance simple (chiffre

    marqu en rouge). Si on utilise une vanne

    avec un test sur une partie de la course

    (SFF = 82 %), il est possible datteindre un

    SIL2 sans redondance (chiffre en vert).

    Pour les mmes raisons, un SIL3 ne peut

    tre atteint dans le premier cas quavec

    une redondance double. Dans le deuxi-

    me cas (test sur une partie de la course), il

    peut tre atteint avec une redondance

    simple.

    Lintrt du test sur une partie de la course dune vanne

    Test priodique Avec test sur unenormal partie de la course

    Dfaillance dangereuse dtecte (DD) 810

    Dfaillance dangereuse non dtecte (DU) 1 350 540

    Dfaillance non dangereuse dtecte (SD) 1 650

    Dfaillance non dangereuse non dtecte (SF) 1 650

    Pourcentage de dfaillance en scurit

    SFF =DD + SD + SF 55 % 82 %

    DD + DU + SD + SF

    Tolrance aux dfaillances

    SFF 0 1 2

    < 60 % SIL1 SIL2 SIL360% - 90% SIL2 SIL3 SIL4

    90 % - 99 % SIL3 SIL4 SIL4

    > 99 % SIL3 SIL4 SIL4

    10-2PFD

    Frquence devrification (annes)

    10-3

    SIL2

    SIL3

    SIL4

    intervalledetest10-4

    10-5

    10-60

    1 2 3 4 5

    Pour maintenir un niveau de PFD relativement faible (et donc un SIL lev), les vannes de scuritdoivent tre soumises des tests prio-diques. Comme on le voit ici sur la courbe rouge, il est impossible davoir la fois un SIL levet une priode de test longue. Une priodede test longue serait pourtant bien pratique car les tests des vannes ncessitent darrter le process (il existe des alternatives mais elles sont

    coteuses et peuvent tre dangereuses). Si on veut un SIL levsur une longue priode sans test, la solution classique consiste prvoir uneredondance au niveau de la vanne (mais cest une solution coteuse).La courbe verte prsente une alternative. Ici on pratique un test intervalles rapprochs mais sur une course partielle de la vanne, ce qui

    vite davoir arrter le process. On voit quil est ds lors possible de garantir un niveau SIL2 (voire SIL3) pendant une longue dure,avec une seule vanne.

    intervallede test

    Vannetestesur la totalitede sa courseVannetestesur (petite) partiede sa course

    EmersonProcessManagement