SIL dans l'industrie chimique

SIL et l'industrie du process

La sécurité fonctionnelle joue un rôle central dans tous les systèmes que vous construisez pour les industries du process. L'industrie chimique impose des exigences particulièrement strictes en matière de protection des personnes et de l'environnement. La conception d'un circuit de sécurité conforme aux normes n'est nullement anodine. Cette tâche s'accomplit au mieux avec des principes de conception prudents et des données SIL fiables qui servent aux calculs. Nous serions ravis de vous accompagner lors de l'évaluation des risques et de la mise en œuvre avec nos composants éprouvés et nos systèmes redondants.

Niveau d'intégrité de sécurité (SIL)

Pour qu'un système ne devienne pas un danger pour les personnes et l'environnement en cas d'urgence, vous devez systématiquement le concevoir en respectant la sécurité fonctionnelle. Dans l'industrie des process chimiques en particulier, les exigences SIL sont donc un critère clé pour la conception des installations.

SIL signifie « Safety Integrity Level », soit « niveau d'intégrité de sécurité ». SIL est la norme internationale utilisée pour classer la sécurité fonctionnelle d'un système. Il existe quatre niveaux, de SIL1 à SIL4, ce dernier représentant le plus grand risque et nécessitant les mesures les plus strictes. Concrètement, cela signifie que vous effectuez une évaluation exacte des risques à partir des probabilités de défaillance des composants, prenez des mesures de réduction du risque résiduel, sélectionnez les appareils appropriés et veillez enfin à ce que les fonctions SIL soient correctement respectées lors des tests récurrents.

Normes de sécurité SIL

La classification SIL suit deux normes internationales : CEI 61508 et CEI 61511.

La CEI 61508 (« Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables ») est la norme de base. Elle décrit l'évaluation des risques et les mesures de conception des fonctions de sécurité correspondantes. Elle contient également les exigences pour les composants individuels du circuit de sécurité. Ceux-ci incluent des capteurs tels que des indicateurs de pression, de température et de niveau ou l'unité d'évaluation et de sortie ainsi que des vannes automatisées.

La CEI 61511 (« Sécurité fonctionnelle - systèmes de sécurité pour l'industrie des process ») s'applique particulièrement à l'automatisation de process. Ici, l'accent est mis sur les applications à faible demande avec des exigences plus faibles, qui constituent la règle dans la pratique. La CEI 61511 contient, entre autres, les critères de sélection des capteurs et actionneurs, par exemple en termes de fiabilité opérationnelle.

La procédure SIL en quatre étapes

En tant qu'installateur ou exploitant d'une installation qui pourrait mettre en danger les employés, les résidents ou l'environnement, vous devez maintenir le niveau de risque au plus bas possible. Les normes CEI 61508 et 61511 prescrivent quatre étapes principales :

1. Définition et évaluation des risques : vous déterminez d'abord les probabilités de défaillance de chaque composant, du capteur au contrôleur, en passant par l'actionneur, et ce sur toute la durée de vie du système.

2. Définition et mise en œuvre de mesures : vous définissez et mettez en œuvre des mesures adaptées pour réduire le risque résiduel.

3. Utilisation d'appareils appropriés : des composants et des groupes adaptés au niveau respectif et certifiés, si nécessaire, sont essentiels pour un test de circuit SIL réussi de votre système.

4. Contrôle périodique : l'opérateur vérifie à des intervalles spécifiés que les fonctions de sécurité sont correctement respectées.

1. Définition et évaluation des risques

Quel est le danger potentiel de mon installation ? C'est une question que doit se poser chaque ingénieur d'une installation de traitement dans l'industrie chimique. Un graphique des risques permet de répondre à cette question. Ce dernier, conformément aux normes CEI 61508 et 61511, rassemble quatre paramètres définis en une arborescence de décision :

1. Quantité de dommages (S) : quelle est la gravité des conséquences prévisibles ?

2. Fréquence d'exposition (F) : à quelle fréquence et pendant combien de temps les personnes se trouvent-elles dans la zone de danger ?

3. Défense/évitement (P) : puis-je empêcher ou limiter l'occurrence ?

4. Probabilité d'occurrence (W) : à quelle fréquence dois-je m'attendre à un incident ?

L'expérience pratique acquise montre que les risques liés à la sécurité se retrouvent principalement dans les détails et ne se révèlent souvent que pendant le fonctionnement. Une analyse systématique permet d'identifier ces points faibles déjà lors de la planification. Nous vous accompagnons dans l'évaluation des risques conforme aux normes et vous montrons ce que Festo peut faire pour la sécurité fonctionnelle dans votre cas qui vous occupe, que ce soit par le biais de solutions système complètes, de concepts d'automatisation sophistiqués ou de composants individuels. Vous êtes invités à nous consulter à ce stade.

Quatre niveaux discrets (SIL1 à SIL4). Plus le SIL d'un système lié à la sécurité est élevé, plus la probabilité que le système ne puisse pas exécuter les fonctions de sécurité requises est faible.

Quatre niveaux discrets (SIL1 à SIL4). Plus le SIL d'un système lié à la sécurité est élevé, plus la probabilité que le système ne puisse pas exécuter les fonctions de sécurité requises est faible.

2. Détermination et mise en œuvre des mesures

L'évaluation systématique des risques de votre système montre également quels facteurs poussent les exigences SIL vers le haut. Certains d'entre eux, par exemple le site de production, sont évidents. D'autres portent sur les vis de réglage qui peuvent être tournées.

Le premier regard permet logiquement d'examiner la probabilité de défaillance. Des composants résistants aux défaillances et des systèmes redondants vous permettent particulièrement d'augmenter considérablement la disponibilité et la fiabilité. Selon le processus, même des solutions qui permettent de contrôler et de remplacer chaque composant en cours de fonctionnement peuvent être utiles.

Les mesures de sécurité structurelle, par exemple des systèmes de décompression, dépendent de la production spécifique à chaque cas individuel. En principe, on peut imaginer la manière de concevoir des processus pour qu'ils présentent le moins de risques possible. Des mesures structurelles et des précautions sont également à prendre en compte, comme l'échappement, la protection anti-débordement (par exemple dans le cas de réservoirs d'acide) ou le revêtement du béton (en cas de risque d'explosion).

Il est également conseillé de choisir des appareils et des composants ayant fait leurs preuves et qui garantissent une durée de vie longue et fiable du système. En font également partie les matériaux résistants à la température, insensibles aux acides et protégés contre la corrosion. De plus, nous avons développé, pour presque tous les processus individuels, des solutions conformes aux normes qui ont fait leurs preuves dans l'industrie chimique et électrochimique, du terminal de distributeurs avec arrêt intégré à la commande 2oo3 hautement fiable.

3. Appareils appropriés

Il résulte également de la définition du niveau d'intégrité de sécurité que la conception du circuit SIL doit atteindre ce niveau dans chaque pièce. Cela signifie qu'en tant qu'ingénieur, vous avez besoin d'appareils et de composants présentant la compatibilité SIL requise. Il faut alors des preuves :

  • Déclaration du fabricant : jusqu'à SIL2, les fabricants évaluent eux-mêmes leurs appareils. Avec SIL1, une personne indépendante réalise l'évaluation technique, et avec une classification SIL2, un service indépendant s'en charge.
  • Certificat : à partir de SIL 3, chaque appareil que vous utilisez dans le circuit de sécurité doit être certifié par une institution indépendante conformément à la norme CEI 61508. En Allemagne, par exemple, il s'agit de TÜV ou d'Exida.

Vous pouvez trouver tous les certificats SIL et les déclarations du fabricant pour nos produits en saisissant le type de produit ou le numéro de pièce dans la barre de recherche ci-dessus et sur la page contenant les détails du produit, sous « Support et Téléchargements ».

4. Contrôle périodique

Les fonctions de sécurité de votre système doivent être contrôlées à intervalles réguliers. Il s'agit d'une exigence qui ne ressort que des dispositions légales de l'ordonnance allemande sur la sécurité au travail ou des règles de prévention des accidents. Des exigences légales locales peuvent également s'appliquer. L'inspection périodique SIL est principalement destinée à prévenir les blessures corporelles, les dommages matériels et les dégâts environnementaux, mais sert également à renforcer la fiabilité du système en empêchant les temps d'arrêt imprévus et, enfin et surtout, à garantir la sécurité juridique des ingénieurs. En effet, en cas de dommage, ces tests peuvent prouver que le dysfonctionnement n'est pas causé par un défaut d'équipement ou de conception.

L'opérateur fixe lui-même les délais d'inspection. L'évaluation des risques est basée, entre autres, sur les paramètres de sécurité des différents composants SIL. C'est la raison pour laquelle, au niveau de la conception, des solutions stables, qui peuvent être remplacées si nécessaire sans devoir interrompre les opérations, peuvent clairement se révéler avantageuses. Nous vous remettons volontiers pour nos produits des recommandations portant sur les délais.

FAQ SIL : Questions et réponses

Que signifient les abréviations figurant dans le certificat SIL ?

Les fiches techniques des produits, les certificats et les calculs de modèles pour la sécurité fonctionnelle utilisent un certain nombre de chiffres clés et de termes. Voici les plus importants pour le calcul SIL :

  • λ (taux de défaillance), les affectations suivantes s'appliquent : S pour le taux global de défaillances sûres, SD pour le taux de défaillances sûres et identifiables, SU pour le taux de défaillances sûres et inidentifiables, D pour le taux total de défaillances dangereuses, DD pour le taux de défaillances dangereuses et identifiables et DU pour le taux de pannes dangereuses et inidentifiables.

  • Types d'appareil : A est l'abréviation d'un appareil pour lequel le comportement de défaillance de tous les composants utilisés et le comportement d'erreur sont correctement déterminés, par exemple par des tests opérationnels. Le type d'appareil B, d'autre part, signifie que le comportement de défaillance d'au moins un composant utilisé et le comportement en cas de défaut ne sont pas suffisamment déterminés.

  • HFT (Hardware Failure Tolerance) : la possibilité de continuer à exécuter une fonction requise en cas d'erreurs et d'écarts. Avec HFT0, une seule erreur peut entraîner la perte de la fonction de sécurité (par exemple avec des interconnexions 1oo1). Avec HFT1, une perte de sécurité ne se produit que si au moins deux erreurs se produisent simultanément (par exemple avec des interconnexions 1oo2). Avec HFT2, au moins trois erreurs doivent se produire en même temps (par exemple avec des interconnexions 1oo3).

  • High Demand : un mode de fonctionnement avec un taux de demande élevé ou une demande continue sur le système de sécurité. Il fonctionne en continu ou est demandé plus d'une fois par an.

  • Low Demand : un mode de fonctionnement avec un faible taux de demande pour le système de sécurité. Il ne peut être activé plus d'une fois par an.

  • MTBF (Mean Time Between Failure) : le temps moyen entre deux pannes consécutives.

  • PFD (Probability of Failure on Demand) : la probabilité de défaillance d'une fonction de sécurité avec un faible taux de demande (< 10 demandes/an) = Low Demand, faible demande.

  • PFH (Probability of Failure per Hour) : probabilité de défaillance d'une fonction de sécurité avec une utilisation continue (>10 demandes / an) = High Demand, forte demande.

  • SFF (Safe Failure Fraction) : proportion d'erreurs sûres dans le nombre total d'erreurs.

En quoi consiste un système de sécurité ?


Un circuit SIL se compose généralement de trois segments :

  • Capteurs (p. ex. capteurs de pression, de température et de niveau)
  • Unité d'évaluation et de sortie (par ex. API de sécurité)
  • Vanne automatisée composée d'un électrodistributeur, d'un actionneur et d'une vanne.

Comment les PFD/PFH sont-ils répartis entre les sous-systèmes ?

La répartition des probabilités de défaillance entre les sous-systèmes d'une fonction de sécurité est la suivante pour les systèmes monocanaux. L'accent est mis sur le taux de défaillance SD des actionneurs.

Niveau d'intégrité de sécurité SIL

Où sont les valeurs pour le calcul SIL ?

Toutes les probabilités de défaillance dont vous avez besoin pour le calcul SIL se trouvent dans les déclarations ou certificats du fabricant (surlignées en bleu). Sur cette base, vous calculez la probabilité de défaillance totale (les valeurs surlignées en gris) en fonction du SIL.

Calcul SIL

Quand les certificats sont-ils nécessaires ?

Plus le niveau de sécurité requis d'un système est élevé, plus la norme est exigeante en termes d'indépendance de l'organisme qui évalue la sécurité fonctionnelle. Selon la norme CEI 61511, jusqu'à SIL2, les déclarations du fabricant sont tout à fait suffisantes. À partir de SIL3, le certificat d'une organisation indépendante telle que TÜV ou Exida est requis.

Safety Integrity Level - organisme chargé de l'évaluation

SIL 1 - personne indépendante

SIL 2 - département indépendant

SIL 3 - organisation indépendante

SIL 4 - organisation indépendante

Où se trouvent les certificats SIL ?

Les certificats SIL et les déclarations SIL des fabricants pour les produits Festo se trouvent sur la page des détails du produit, sous la rubrique « Support et Téléchargements », catégorie « Certificats ».

Comment contrôler les actionneurs de manière redondante ?

SIL

Quelles solutions de redondance SIL propose Festo ?

SIL : bloc de distributeurs redondant

Festo vous propose la commande redondante adaptée à chaque exigence de sécurité :

Bloc NAMUR redondant (1oo2, 2oo2) : le bloc NAMUR permet l'installation de deux électrodistributeurs avec un schéma de connexion NAMUR, qui sont connectés de manière redondante via l'interface NAMUR. Les blocs sont disponibles avec une fonction de sécurité intégrée (1oo2) ou avec une disponibilité accrue (2oo2). Vous pouvez monter le bloc directement sur des actionneurs quart de tour via l'interface. Une installation séparée avec la tuyauterie correspondante est également possible.

Distributeurs en ligne redondants (1oo2, 2oo2) : Festo utilise la technologie de distributeurs VOFD éprouvée avec ces systèmes compacts. Le distributeur est connecté de manière redondante et garantit une fonction de sécurité redondante (1oo2) ou une disponibilité accrue (2oo2) pour les vannes automatisées. Le revêtement Ematal vous donne un distributeur qui répond aux normes de sécurité les plus strictes en ingénierie de process et résiste aux conditions ambiantes les plus rudes.

Bloc de distributeurs combiné (2003) : le système 2oo3 combine les deux technologies et offre ainsi une sécurité et une disponibilité maximales. Ce bloc de distributeurs est une variante en ligne qui est raccordée au sein de votre système. Les distributeurs standard installés sont définis via l'interface NAMUR selon la norme VDI/VDE 3845 et montés sur le bloc. Cela signifie que le bloc est installé une seule fois, seuls les distributeurs sont remplacés via l'interface conformément au plan Service Life/Safety Lifecycle. Avec ce système, vous pouvez également contourner les fonctions des quatre vannes par dérivation, afin que la maintenance puisse avoir lieu pendant le fonctionnement. Les indicateurs de pression montés directement sur le bloc indiquent de manière fiable si la pression est présente au niveau d'une vanne.

Qui doit le savoir ?

N'hésitez pas à obtenir l'avis de vos spécialistes avant de choisir Festo. Vous pouvez facilement transmettre nos solutions et exemples d'application via ce lien.