Sécurité fonctionnelleSafety Integrity LevelDr. Thomas Reus

Avant-proposCibleCe guide doit aider à aborder la sécurité fonctionnelle (r Glossaire). Il s’adresse aux clients et col-laborateurs de JUMO ; son contenu est limité aux domaines et applications dans lesquels les pro-duits JUMO sont utilisés.

Pourquoi JUMO propose des produits SIL ?JUMO développe et produit, entre autres, des produits conformes à la directive sur les appareils depression, la directive sur les machines, la directive ATEX et des normes spéciales pour les produitstechniques de sécurité, comme par ex. la norme DIN 3440.

Pour ces produits conçus spécialement conçus à des fins de sécurité, la norme EN 61 508 estmaintenant incontournable puisqu’elle définit les « règles de l’art » pour la sécurité fonctionnelle.

Vue d’ensemble sur les produits homologués SILVous trouverez sur http://ww.jumo.fr une vue d’ensemble et des informations détaillées sur nos pro-duits homologués SIL.

TerminologieDans ce guide, nous utilisons souvent le terme « EN 61 508 ». Le titre complet de cette norme est :« Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmablesrelatifs à la sécurité ». Son contenu est identique à celui de la norme internationale CEI 61 508.

Fulda, avril 2006

Dr. Thomas Reus

Reproduction autorisée avec indication des sources !

Numéro d’article : 00467800Numéro du livre : FAS630Date d’impression : 04.06

JUMO Régulation SASActipôle Borny7 rue des DrapiersB.P. 4520057075 Metz - Cedex 3, FranceTél. : +33 3 87 37 53 00Fax : +33 3 87 37 89 00E-Mail : info@jumo.netInternet : www.jumo.fr

JUMO Mess- und Regeltechnik AGLaubisrütistrasse 708712 Stäfa, Suisse

Tél. : +41 44 928 24 44Fax : +41 44 928 24 48E-Mail : info@jumo.chInternet : www.jumo.ch

JUMO AUTOMATIONS.P.R.L. / P.G.M.B.H. / B.V.B.AIndustriestraße 184700 Eupen, Belgique

Tél. : +32 87 59 53 00Fax : +32 87 74 02 03E-Mail : info@jumo.beInternet : www.jumo.be

Sommaire

1 Fondements juridiques, importance des normes ......................... 5

1.1 Pourquoi des normes ? ...................................................................................... 5

1.2 Normes de sécurité fonctionnelle - Origine de la norme EN 61 508 .............. 5

1.3 Statut juridique de la norme EN 61 508 dans le cadre des directives CE ..... 6

2 Principe fondamental de la norme EN 61 508 ............................... 7

2.1 Nouveautés par rapport aux normes de sécurité antérieures ........................ 7

2.2 Diminution du risque .......................................................................................... 7

2.3 Risque tolérable .................................................................................................. 9

2.4 Cycle de vie ....................................................................................................... 10

2.5 Mission de JUMO dans le cycle de vie de sécurité ....................................... 10

3 Notions de la norme EN 61 508 ..................................................... 11

3.1 Intégrité de la sécurité et sa mesure – niveau d’intégrité de sécurité SIL .. 11

3.2 PFD, PFH : modes de fonctionnement et probabilités de défaillance ......... 11

3.3 HFT, SFF : intégrité de la sécurité du matériel ............................................... 12

3.4 Durée de vie et intervalle de test périodique ................................................. 14

3.5 Taux de défaillance ........................................................................................... 14

4 Glossaire ......................................................................................... 15

Sécurité fonctionnelle SIL

Sommaire

Sécurité fonctionnelle SIL

1 Fondements juridiques, importance des normes

1.1 Pourquoi des normes ?

Dans notre vie quotidienne, nous sommes entourés de machines et d’installations auxquelles nousconfions aveuglément notre vie, par ex. des voitures, des feux, des appareils médicaux et desinstallations d’énergie.C’est pourquoi le législateur a promulgué, dans les domaines les plus divers, des lois et d’autresrèglements qui définissent des exigences en matière de sécurité.

En Allemagne, les caisses mutuelles d’assurance accident par exemple édictent des règlementspour la prévention des accidents du travail et les surveillent. Les directives européennes définis-sent, pour l’ensemble de l’Union Européenne, des exigences relatives aux installations et à leursexploitants afin de protéger la santé des individus et la qualité de l’environnement. Elles exigentque les produits présentent certaines caractéristiques pour protéger la sécurité et la santé de l’uti-lisateur.

Le respect des normes et des objectifs de sécurité exigés est une obligation légale. Les fabricantsd’appareils comme JUMO ainsi que les exploitants d’installation sont obligés d’atteindre cesobjectifs de sécurité.

À ce propos, il faut faire la différence entre les produits sûrs au sens général et les produits conçuspour remplir une fonction de sécurité. Pour ces derniers, la norme EN 61 508 est pour l’instantincontournable puisqu’elle définit les « règles de l’art » pour la sécurité fonctionnelle.

1.2 Normes de sécurité fonctionnelle - Origine de la norme EN 61 508

Le point de départ a été un accident de gaz toxique à Seveso dans le Nord de l’Italie, enjuillet 1976. Depuis, la directive de l’Union Européenne 96 / 82 / CE définit des cadres juridiques pour lesinstallations avec un potentiel de risque élevé.

Depuis 2002, la norme EN 61 508 offre une nouvelle approche pour évaluer les risques et justifierde l’efficacité des installations de sécurité afin d’être toujours conforme au règlement sur les acci-dents majeurs. Elle définit quatre niveaux de sécurité : SIL1 à SIL4.

Cette norme a été reprise par le CENELEC (Comité Européen de Normalisation Electrotechnique).Elle définit les règles de l’art pour les E / E / PES (systèmes électriques, électroniques et électro-niques programmables) utilisés pour des fonctions de sécurité, dans des applications critiquespour la sécurité.

La norme EN 61 508 est une norme générique, c’est-à-dire indépendante de l’application. C’estune norme de base, valable pour tous les E / E / PES.

La norme EN 61 508 est basée sur la norme internationale CEI 61 508, c’est pourquoi elle est vala-ble dans le monde entier. C’est le premier ensemble de règles de portée internationale, indépen-dant de l’application pour tous les E / E / PES.

1 Fondements juridiques, importance des normes 5JUMO, FAS 630, édition 04.06

1 Fondements juridiques, importance des normes

Peu à peu, des normes spécifiques à des applications en découlent, par exemple :

- CEI 61 511 pour la sécurité fonctionnelle des process industriels,

- CEI 62 061 pour la sécurité fonctionnelle des systèmes de commande.

1.3 Statut juridique de la norme EN 61 508 dans le cadre des directives CE

La norme EN 61 508 décrit les règles de l’art en matière de sécurité fonctionnelle. Toutefois elle n’est pas harmonisée dans le cadre d’une directive CE, c’est-à-dire qu’elle ne donnepas automatiquement une présomption de conformité aux objectifs de sécurité d’une directive. C’est pourquoi son respect reste encore facultatif et présente donc un caractère non-obligatoire ausens des directives CE.

Cependant le fabricant d’un produit de sécurité peut utiliser la norme EN 61 508 pour satisfaire lesexigences essentielles des directives européennes.C’est possible grâce à la « Nouvelle approche » des normes dans les cas suivants par exemple :

- une norme européenne harmonisée (par ex. EN 954, CEI 60 204-1 harmonisent la directive pourles machines) renvoie à la norme EN 61 508. Ainsi il est garanti que les exigences concernéesdes directives sont respectées (« norme valable par renvoi »). Si le fabricant utilise la norme EN 61 508 dans le cadre de ce renvoi, de façon compétente etconscient de ses responsabilités, il jouit de la présomption de conformité à la norme qui ren-voie.

- Il n’existe pas de norme harmonisée pour le domaine d’application concerné (comme par ex.DIN 3440, EN 14 597). Dans ce cas, le fabricant doit appliquer la norme EN 61 508 (règles del’art). Toutefois il n’y a pas de présomption de conformité.

Détails :pour les process industriels, la norme CEI 61 511 (norme générique) découle de la normeEN 61 508. Pour la directive sur les machines, il y a la norme CEI 62 061. Dans le domaine duchauffage, il y a la norme EN 50 156.

Le perfectionnement technique de la norme était nécessaire puisque les process modernes cri-tiques pour la sécurité sont toujours plus complexes. Jusqu’au milieu des années 90, on a consi-déré que l’utilisation de circuits de micro-électronique ou de micro-ordinateurs dans le domainede la sécurité était inimaginable ou possible uniquement avec un coût exorbitant du point de vuetechnique. Jusque-là beaucoup de normes comportaient des règlements qui ne décrivaient quedes solutions conventionnelles avec des dispositifs de verrouillage à relais ou contacteurs élec-tromagnétiques. Ainsi l’utilisation d’un équipement plus moderne, plus économique et souventmême de qualité bien supérieure en matière de sécurité n’était pas autorisée.Les exigences qu’un système doit satisfaire sont toujours plus nombreuses mais en règlegénérale, des solutions électroniques suffisent pour les satisfaire de manière économique.Cela s’applique en particulier à l’automatisation non dangereuse, de type numérique, danslaquelle des circuits numériques complexes sont utilisés comme unité centrale.

6 1 Fondements juridiques, importance des normes JUMO, FAS 630, édition 04.06

2 Principe fondamental de la norme EN 61 508

2.1 Nouveautés par rapport aux normes de sécurité antérieures

Dans la norme EN 61 508 sur la sécurité fonctionnelle, les exigences pour les systèmes relatifs à lasécurité sont réparties en Safety Integrity Levels (SIL) (r Glossaire). C’est pourquoi les appareils,les capteurs ou les dispositifs de commande doivent obtenir une classification SIL dans le cadrede la norme. À cela s’ajoute une nouvelle compréhension de la sécurité. Alors que dans les normestechniques de sécurité antérieures, l’examen était normalement purement qualitatif, la nouvellenorme exige pour la première fois un examen quantitatif de l’ensemble du système et la preuved’un risque résiduel suffisamment faible.

En outre, c’est la première fois que la totalité du cycle de vie de sécurité d’un système est régle-mentée, voir Chapitre 2.4 « Cycle de vie ».

2.2 Diminution du risque

Toute utilisation de la technique signifie en même temps un risque d’ingénierie de sécurité. Plus il ya d’individus, de biens ou de secteurs de l’environnement en danger, plus il faut mettre en œuvredes mesures pour diminuer le risque. Il faut diminuer le risque de telle sorte que la probabilité qu’aucours d’une année, une personne périsse à cause de la défaillance d’un dispositif technique, soitinférieure à 10−4 décès / par personne et par an.Cela correspond approximativement au risque annuel de mort naturelle d’un individu. Ce risquevarie avec l’âge de la personne et se situe entre 10−2 et 10−4. La figure 1, page 8, donne une vue d’ensemble des risques fondamentaux.

Pour atteindre la sécurité fonctionnelle d’une machine ou d’une installation, il est nécessaire queles pièces du dispositif de protection et de commande importantes pour la sécurité fonctionnentcorrectement et qu’elles se comportent en cas de défaut de telle sorte que l’installation reste dansun état déterminé ou soit mise dans un état déterminé.

Le but visé par la norme EN 61 508 est d’éviter ou de maîtriser les défauts des systèmes relatifs àla sécurité et de limiter la probabilité de défaillances dangereuses (risque) de manière définie. Unejustification quantitative est exigée pour le risque résiduel restant.

2 Principe fondamental de la norme EN 61 508 7JUMO, FAS 630, édition 04.06

2 Principe fondamental de la norme EN 61 508

Figure 1 : vue d’ensemble des risque de base

mort naturelle 45 - 54 ans

mort naturelle 35 - 44 ans

accident de travail dans l industrie minière

mort naturelle 5 - 15 ansaccident de la circulationaccident domestique

accident de travail (chimie)

noyade

attentat (Europe)

catastrophes naturelles ( tats-Unis),décharge électrique (Europe)

É

foudre (Europe)

piqûre d abeille

tué par un avion qui s est écrasé

10-2

10-3

10-4

10-5

10-6

10-7

risq

ue d

e d

écès

par

ind

ivid

u et

par

an

8 2 Principe fondamental de la norme EN 61 508 JUMO, FAS 630, édition 04.06

2 Principe fondamental de la norme EN 61 508

2.3 Risque tolérable

Le risque tolérable de chaque technique n’est pas toujours défini clairement mais il est déterminésur une base sociale et tient compte de facteurs sociaux et politiques.Si le risque d’une installation technique est considéré comme trop élevé, il faut prendre des mesu-res particulières pour diminuer le risque.La combinaison de toutes les mesures de protection relatives à la sécurité permet de diminuer lerisque autant que nécessaire. Le risque résiduel doit être au maximum égal au risque tolérable.Pour finir, le risque résiduel doit être pris en charge et accepté par l’exploitant de l’installation.

Figure 2 : diminution du risque : concepts généraux

Risquecroissant

Risque résiduel

Risqueacceptable

Risquesans mesuresde protection

Diminution nécessaire du risque

Diminution actuelle du risque

Risque partielcouvert pardes systèmesrelatifs à la sécuritéd autres technologies

Risque partielcouvert pardes systèmesE / E / PErelatifs à la sécurité

Risque partielcouvert pardes dispositifsexternes dediminution du risque

Diminution du risque grâce à tous les systèmesrelatifs à la sécurité et dispositifs externes

de diminution du risque

2 Principe fondamental de la norme EN 61 508 9JUMO, FAS 630, édition 04.06

2 Principe fondamental de la norme EN 61 508

2.4 Cycle de vie

Pendant toute la durée du cycle de vie, les exploitants des installations techniques de sécuritédoivent prendre des mesures adaptées pour évaluer et diminuer le risque. Pour cela, la normeEN 61 508 stipule les étapes suivantes :

- définition et évaluation du risque suivant des probabilités de défaillance détaillées – aussi bienpour l’ensemble du circuit de protection (Loop) depuis le point de mesure en passant par le dis-positif de commande jusqu’à l’actionneur, ainsi que pour la totalité du cycle de vie (Overall Safe-ty Lifecycle) de l’application. C’est possible à l’aide d’une FMEDA (Failure Mode, Effect and Dia-gnostics Analysis) ou une Hazard Analysis par exemple.

- Définition et mise en œuvre de mesures (Management of Functional Safety) pour diminuer le risque résiduel.

- Utilisation d’appareils adaptés (certifiés).

- Test périodique du respect des directives.

La figure 3 donne une vue d’ensemble des procédures systématiques. D’abord on effectue uneanalyse d’erreur. Ensuite on choisit les mesures de contrôle de l’erreur et on les met en œuvre.

Figure 3 : procédures de mise en œuvre de la norme EN 61 508

2.5 Mission de JUMO dans le cycle de vie de sécurité

Les exploitants d’installations techniques de sécurité ont besoin, pour tous les appareils utilisés,d’une série de données et d’informations techniques afin de pouvoir procéder à l’évaluation néces-saire du risque pour la totalité du circuit de protection et la totalité de la durée de vie.

Naturellement pour l’exploitant de l’installation, utiliser des appareils certifiés SIL est un avantage.Dans ce cas, le fabricant, par ex. JUMO, a déjà recherché les données nécessaires pour l’appareilconcerné au moyen d’une analyse de danger et de risque détaillée. Toutes les données et informa-tions importantes pour le client sont ensuite rassemblées dans un manuel de sécurité (SafetyManual). Les notions utilisées ici sont expliquées dans le chapitre suivant.

Cycle de viede sécurité

Spécification

Planification etmise en uvreœ

Installation etmise en service

Exploitation etmaintenance

Modification aprèsmise en service

Gestionde sécurité

Exigencestechniques

Qualificationpersonnel

Causes de défaillance

10 2 Principe fondamental de la norme EN 61 508 JUMO, FAS 630, édition 04.06

3 Notions de la norme EN 61 508

3.1 Intégrité de la sécurité et sa mesure – niveau d’intégrité de sécurité SIL

L’intégrité de la sécurité (fiabilité de la sécurité, en anglais : safety integrity) d’un système, est « laprobabilité qu’un système technique de sécurité exécute la fonction technique de sécurité néces-saire, dans toutes les conditions spécifiées et dans un intervalle de temps donné ».

Le niveau d’intégrité de sécurité (SIL) mesure l’intégrité de la sécurité. Il est réparti sur quatreniveaux discrets : le niveau d’intégrité de sécurité 4 est le niveau le plus élevé, le niveau d’intégritéde sécurité 1 est le plus faible.

Le SIL que l’on peut atteindre est fixé par les grandeurs caractéristiques suivantes :

- probabilité de défaillance dangereuse d’une fonction de sécurité (PFD ou PFH),

- tolérance aux erreurs matérielles (HFT),

- proportion de défaillances non dangereuses (SFF),

- types de composants (type A ou type B),

- durée de vie (Lifetime) et

- test périodique (Proofcheck).

3.2 PFD, PFH : modes de fonctionnement et probabilités de défaillance

Pour déterminer le SIL d’un appareil, on distingue deux modes de fonctionnement : Low DemandMode et High Demand Mode.

Low Demand ModePour le mode de fonctionnement Low Demand Mode (faible sollicitation), on suppose que lafonction de sécurité est sollicitée en moyenne une fois par an. Dans ce cas, la valeur SIL est don-née par la valeur PFD (Probability of failure on demand).La PFD est une mesure de la probabilité d’une défaillance de la fonction de sécurité dans un modede fonctionnement avec un taux de sollicitation faible.

Typiquement on trouve le Low Demand Mode dans les installations de process industriels. On ytrouve par exemple des systèmes d’arrêt d’urgence qui ne sont actifs que lorsque le process nor-mal est hors contrôle.

High Demand ModePour le mode de fonctionnement High Demand Mode (forte sollicitation), on suppose que lafonction de sécurité est sollicitée en continu ou en moyenne une fois par heure.En cas de sollicitation forte ou continue, on utilise la valeur PFH (Probability of failure per hour) ;elle donne la probabilité d’une défaillance de la fonction de sécurité par heure.

Typiquement on trouve le High Demand Mode dans les installations industrielles de fabrication quinécessitent une surveillance continue des process.

3 Notions de la norme EN 61 508 11JUMO, FAS 630, édition 04.06

3 Notions de la norme EN 61 508

Tableau 1 : niveau d’intégrité de sécurité : valeurs limites de défaillance d’une fonctionde sécurité utilisée avec le mode de fonctionnement à faible sollicitation

Tableau 2 : niveau d’intégrité de sécurité : valeurs limites de défaillance d’une fonctionde sécurité utilisée avec le mode de fonctionnement à sollicitation forte oucontinue

3.3 HFT, SFF : intégrité de la sécurité du matériel

En outre pour la classification SIL, on utilise les grandeurs caractéristiques suivantes :

- tolérance aux erreurs matérielles HFT (Hardware Fault Tolerance) et

- proportion de défaillances non dangereuses SFF (Safe Failure Fraction).

Les tableaux 3 et 4 les présentent.D’après la norme EN 61 508, il faut distinguer les systèmes de type A et ceux de type B.

Systèmes de type AUn sous-système peut être considéré de type A si pour les composants nécessaires à l’obtentionde la fonction de sécurité,

a) le mode de défaillance de tous les composants utilisés est suffisamment défini et

b) le comportement du sous-système peut être totalement déterminé en cas de défaut (testabilitéde 100%),

c) pour ce sous-système, il y a des données de défaillance fiables et issues de l’expérience, quimontrent que les taux de défaillance admis sont atteints pour des défaillances dangereusesdétectées et non détectées.

Mode de fonctionnement à faible sollicitation (Low Demand Mode)

Niveau d’intégrité de sécurité

PFD

(probabilité moyenne de défaillance de la fonction de sécurité sur sollicitation)

SIL 4 ≥10−5 à <10−4

SIL 3 ≥10−4 à <10−3

SIL 2 ≥10−3 à <10−2

SIL 1 ≥10−2 à <10−1

Mode de fonctionnement à forte sollicitation (High Demand Mode)

Niveau d’intégrité de sécurité

PFH

(probabilité de défaillance dangereuse par heure)

SIL 4 ≥10−9 à <10−8

SIL 3 ≥10−8 à <10−7

SIL 2 ≥10−7 à <10−6

SIL 1 ≥10−6 à <10−5

12 3 Notions de la norme EN 61 508 JUMO, FAS 630, édition 04.06

3 Notions de la norme EN 61 508

Systèmes de type BTous les autres systèmes sont de type B ; c’est-à-dire qu’un sous-système peut être considéré detype B si pour les composants nécessaires à l’obtention de la fonction de sécurité,

a) le mode de défaillance d’au moins un des composants utilisés n’est pas suffisamment défini ou

b) le comportement du sous-système ne peut être totalement déterminé en cas de défaut ou

c) pour ce système, il n’y a pas suffisamment de données de défaillance fiables et issues del’expérience qui étayent les taux de défaillance retenus pour les défaillances dangereusesdétectées et non détectées.

HFT (tolérance aux erreurs matérielles)Une tolérance aux erreurs matérielles de N signifie que N+1 erreurs peuvent conduire à une pertede la fonction de sécurité.La tolérance aux erreurs matérielles est fixée par l’architecture « MooN » utilisée.La désignation MooN (architecture de M voies sur N, en anglais : M out of N) permet de décrirel’architecture d’un appareil SIL. Exemple : une architecture 1oo2 signifie qu’avec 2 voies, chacunedes 2 voies peut exécuter la fonction de sécurité.Un système « 1oo2 » a une HFT = 1. Un système « 1oo1 » a une HFT = 0.

SFF (Safe Failure Fraction)La SFF est la proportion de défaillances non dangereuses, c’est-à-dire que plus la valeur SILnécessaire est élevée, plus la valeur SFF doit être élevée.La SFF d’un système est calculée à partir des taux de défaillance (valeurs λ) des différents compo-sants, voir Chapitre 3.5 « Taux de défaillance ».

Tableau 3 : intégrité de la sécurité du matériel : limitations sur la base de leur architec-ture des sous-systèmes de type A relatifs à la sécurité

Tableau 4 : intégrité de la sécurité du matériel : limitations sur la base de leur architec-ture des sous-systèmes de type B relatifs à la sécurité

Systèmes de type A

Proportion de défaillances non dangereuses

(SFF)

Tolérance aux erreurs matérielles

HFT = 0 HFT = 1 HFT = 2

<60% SIL1 SIL2 SIL3

60 à <90% SIL2 SIL3 SIL4

90 à <99% SIL3 SIL4 SIL4

≥99% SIL3 SIL4 SIL4

Systèmes de type B

Proportion de défaillances non dangereuses

(SFF)

Tolérance aux erreurs matérielles

HFT = 0 HFT = 1 HFT = 2

<60% non autorisé SIL1 SIL2

60 à <90% SIL1 SIL2 SIL3

90 à <99% SIL2 SIL3 SIL4

≥99% SIL3 SIL4 SIL4

3 Notions de la norme EN 61 508 13JUMO, FAS 630, édition 04.06

3 Notions de la norme EN 61 508

3.4 Durée de vie et intervalle de test périodique

Durée de vie (Lifetime)À l’expiration de sa durée de vie, il faut remplacer l’appareil puisqu’il n’est plus conforme aux exi-gences de sa certification SIL.

Intervalle de test périodique (Proof Check)L’intervalle de test périodique impose une vérification récurrente pour découvrir des défaillancesdans un système de sorte que, le cas échéant, le système puisse être « remis à neuf ». Si l’inter-valle de test périodique est égal à la durée de vie, aucun test n’est nécessaire.

3.5 Taux de défaillance

Lorsqu’on a effectué l’analyse de danger et de risque, il est nécessaire de la mettre en œuvre dansun système. La capacité d’un système à détecter des défauts et à y réagir en conséquence est trèsimportante. C’est pourquoi on fait la différence entre les défaillances dangereuses et les défail-lances non dangereuses ainsi qu’entre la possibilité de les détecter ou pas.

Le taux de défaillance est défini par le facteur λ pour chaque type de défaillance ; on distinguequatre groupes (voir figure 4) :

- λSD = safe detected failure rate (défaillances non dangereuses détectées),

- λSU = safe undetected failure rate (défaillances non dangereuses non détectées),

- λDD = dangerous detected failure rate (défaillances dangereuses détectées),

- λDU = dangerous undetected failure rate (défaillances dangereuses non détectées).

Normalement les défaillances non dangereuses détectées représentent la plus grande proportion.Par contre les défaillances dangereuses non détectées λDU ne représentent qu’une petite partie del’ensemble des défaillances. Toutefois ces défaillances sont les plus dangereuses, c’est pourquoides mesures adéquates doivent permettre de maintenir leur proportion aussi faible que possible.

Les valeurs λ sont exprimées en FIT (défaillance par unité de temps, 1 × 10−9 par h).

Figure 4 : défaillances dans le détail

�DD

�DU

�SD�SU

14 3 Notions de la norme EN 61 508 JUMO, FAS 630, édition 04.06

4 Glossaire

Taux de défaillance λ (Failure rate)

= les taux de défaillance λ d’un système se répartissent en quatregroupes, en fonction de la défaillance : λSD = safe detected failure rate

(défaillances non dangereuses détectées),λSU = safe undetected failure rate

(défaillances non dangereuses non détectées),λDD = dangerous detected failure rate

(défaillances dangereuses détectées),λDU = dangerous undetected failure rate

(défaillances dangereuses non détectées).

E / E / PES = systèmes électriques, électroniques et électroniques programma-bles

FIT(Failure in Time)

= défaillances par unité de temps (1 × 10−9 par h)

Sécurité fonctionnelle(Functional Safety)

= aptitude d’un système à exécuter les actions nécessaires pouratteindre ou maintenir un état sûr défini pour les installations sous lecontrôle de ce système.

HFT(Hardware fault tolerance)

= une tolérance aux erreurs matérielles de N signifie que N+1 erreurspeuvent conduire à une perte de la fonction de sécurité.

Durée de vie(Lifetime)

= après écoulement de sa durée de vie, il faut remplacer l’appareilpuisqu’il n’est plus conforme aux exigences de sa certification SIL.

MooN (M out of N)

= architecture de sécurité avec M voies sur N.Exemple : 1oo2 correspond à une architecture à 2 voies parmilesquelles chacune des deux voies peut exécuter la fonction desécurité.

PFD(Probability of failure on demand)

= PFD est une mesure de la probabilité d’une défaillance de lafonction de sécurité dans un mode de fonctionnement avec un tauxde sollicitation faible (probabilité que le système soit en panne sursollicitation). Pour un taux de sollicitation élevé ou continu, on utilisecomme mesure PFH qui indique la probabilité d’une défaillance dela fonction de sécurité par heure (taux de défaillance dangereuse).

PFH(Probability of failure per hour)

Intervalle de test périodique (Proof Check)

= le Proof Check est un test récurrent pour découvrir les défaillancesd’un système SIL de sorte que, si besoin est, le système peut êtreremis « à neuf ».

SFF (Safe failure fraction)

= proportion de défaillances non dangereuses

SIL(Safety Integrity Level)

= le niveau d’intégrité de sécurité (SIL) est une mesure de l’intégritéde la sécurité d’un système.L’intégrité de la sécurité est la probabilité que le système exécute lafonction de sécurité nécessaire, conformément à toutes les conditi-ons stipulées et dans un intervalle de temps donné.Le SIL est réparti sur quatre niveaux discrets où le niveau d’intégritéde sécurité 4 est le niveau le plus élevé de l’intégrité de sécurité, leniveau d’intégrité de sécurité 1 le plus faible.

4 Glossaire 15JUMO, FAS 630, édition 04.06

4 Glossaire

16 4 Glossaire JUMO, FAS 630, édition 04.06