• Avertissement au visiteur!
    • Les informations contenues dans ces pages se veulent aussi exactes que possible et vous sont proposées en toute bonne foi. Cependant leur caractère est très général et elles peuvent être inappropriée dans une situation particulière. Toute application, choix ou décision qui en découlerait doit impérativement être préalablement validée par un expert compétent.

Les Systèmes Instrumentés de Sécurité


Les Systèmes Instrumentés de Sécurité (SIS) sont destinés à surveiller les paramètres de fonctionnement d'une installation, et assurer qu'ils sont maintenus en permanence à l'intérieur du domaine opératoire. Pour cela il génère des alarmes à destination des opérateurs, et des actions automatiques qui permettent de maintenir l'installation  dans des conditions sûres de fonctionnement, et éventuellement la stoppe.

Les systèmes instrumentés de sécurité sont des combinaisons de détecteurs, d'unité de traitement et d'actionneurs destinés à remplir une fonction de sécurité. Un SIS est un système de sécurité indépendant du système de conduite.  Les capteurs et actionneurs ne sont normalement pas utilisés pour la conduite du procédé et ne sont dédiés qu'aux fonctions de sécurité. Le traitement logique est effectué sur des équipements indépendants du système de conduite, soit par des relais, soit par un automate programmable.
Un S.I.S. nécessite une énergie extérieure pour fonctionner. Ce nest pas un système passif..

Un détecteur est un équipement qui délivre, à partir d'une grandeur physique, une autre grandeur, souvent électrique (tension, courant, résistance), fonction de la première et directement utilisable pour la mesure ou la commande.Cette grandeur physique peut être la température, la pression, le débit, la concentration d'un gaz...

La fonction "traitement" peut être plus ou moins complexe. Elle peut se résumer à recevoir un signal tout ou rien en provenance d'un détecteur et à déclencher un actionneur. Elle peut également acquérir plusieurs grandeurs mesurée par des capteurs, les comparer et activer la commande d'un ou plusieurs actionneurs à partir d'une fonction combinatoire des informations reçues. Les unités de traitement peuvent être classées en deux catégories selon leur technologie :
- Les technologies câblées, à base de composants logiques élémentaires (relais), liés entre eux électriquement (ou de manière pneumatique).
- Les technologies programmées, à base de centrales d'acquisition ou d'alarmes, d'automates programmables (API), d'automates programmables de sécurité (APS).

Les actionneurs (moteur, servo-moteur…) transforment un signal (électrique ou pneumatique) en phénomène physique qui permet de commander le démarrage d'une pompe, la fermeture ou l'ouverture d'une vanne… Selon l'énergie motrice, on parle d'actionneur pneumatique, hydraulique ou électrique. Ils sont couplés aux éléments terminaux.

On appelle éléments terminaux, les éléments commandés par un actionneur. On retrouve notamment sous cette terminologie, les vannes, les machines tournantes (pompe, compresseur…), les alarmes sonores et visuelles. Il faut bien avoir à l'esprit que la finalité de la fonction de sécurité remplie par le SIS réside d'une part dans la détection du phénomène dangereux et d'autre part dans la mise en position finale de sécurité de ces éléments (ouvert /fermé, arrêt / démarrage).
Enfin, l'unité de traitement est reliée aux capteurs et aux actionneurs par des moyens de transmission. Il peut s'agir de câbles électriques, de lignes téléphoniques, d'ondes hertziennes (transmission par talkie-walkie…), ou de tuyauteries (transmission pneumatique ou hydraulique).

Le principe de sécurité positive

Un élément est dit à sécurité positive lorsque la perte du fluide moteur ou des utilités conduit à une situation sécuritaire stable. Exemples :
-    Par manque d’air sur l’actionneur, une vanne sur un fluide de chauffage se fermera si un excès peut entrainer une surpression, ou une vanne sur un circuit d’azote s’ouvrira si un manque peut conduire à un mélange inflammable
-    Par manque d’électricité un capteur déclenchera son alarme ou un automate mettra tous les actionneurs dans leur position de sécurité

Niveau de confiance des SIS

Si le SIS était parfaitement fiable, le risque d'évolution du procédé vers une situation dangereuse serait totalement éliminé. Mais le SIS est un dispositif technique reposant sur des composants ayant une certaine probabilité d'être défaillants. Aussi le SIS n'élimine pas complètement le risque, mais le diminue seulement.
La norme NF-EN 61508 permet de définir un niveau de SIL (Safety Integrity Level) pour chaque composant.

Il y a deux modes de défaillances pour un élément ou une chaîne de commande:

 - le déclenchement intempestif ou à tort, alors qu'aucun danger n'est présent; il ne conduit à aucune situation dangereuse, mais seulement à un coût opératoire injustifié consécutif à l'arrêt de production et éventuellement le déclassement d'une partie de la production. Il peut être dû à une détection erronée du capteur, une défaillance électronique de l'automate, d'un défaut d'air sur l'actionneur, ...
 - la chaîne de commande devient incapable de fonctionner, et rien ne permet de le détecter tant qu'elle n'est pas solicitée. Cela peut être dû à un capteur bouché ou bloqué et donc incapable de détecter correctement les variations du paramètre qu'il surveille, un actionneur ou une vanne grippés, .... En cas de situation anormale du procédé,  l'action de sécurité prévue ne pourra pas être réalisée. Ce type de défaillance est parfois nommée "défaillance dangereuse". C'est elle qui est prise en compte dans la détermination du SIL de l'équiment.
Le niveau de SIL correspond à une probabilité qu’a l’élément d’être défaillant lors de sa sollicitation (PFD : Probability of Failure on Demand).
Niveau de SILPFDFacteur de
réduction du risque
110-1 à 10-210 à 100
210-2 à 10-3100 à 1000
310-3 à 10-41000 à 10000

    
De même, le SIS qui est un assemblage d’éléments ayant chacun un certain niveau de confiance, peut être qualifié d’un SIL. La détermination du SIL d’un système répond à quelques règles :
-    Le SIL d’un système comprenant des éléments en série est limité au SIL du maillon le plus faible ; le système ne fonctionne que si tous les éléments fonctionnent.
-    Le SIL d’un système comprenant des éléments en parallèle, correspond à la somme des  SIL ; si chaque élément individuellement peut assurer la fonction, la probabilité que la fonction ne soit pas réalisée est plus faible que si l’élément le plus fiable était seul.
Exemple :
La pression d’un procédé est limitée par un système instrumenté composé de 2 capteurs de pression (SIL 1) traités en 1oo2 sur un automate de sécurité (SIL 2) et agissant sur une vanne (SIL 1).
La fonction de détection de pression sera qualifiée d’un SIL 2 puisqu’un seul capteur en état suffit pour détecter la pression et que l’automate est lui-même SIL 2, mais la fonction limitation de la pression qui implique le fonctionnement de la vanne n’est que SIL 1 à cause de l’élément « vanne ».
Le niveau de confiance d’un système ne dépend pas seulement de la qualité de ses éléments, mais aussi de la fréquence des tests réalisés pour vérifier leur bon fonctionnement.

A noter que la plupart des détecteurs ou vannes sont maintenant fournis avec un certificat assurant du niveau de SIL de l'équipement, même s'il est destiné à la régulation de base du procédé. On pourrait conclure à tort, que ceci confère à l'installation un "certain niveau de sécurité". Il n'en est rien. Un SIS doit être totalement indépendant du système de conduite. Il est destiné à compenser des défaillances provenant du sytème de conduite, mais aussi d'erreurs opérateurs, d'un manque d'utilité, d'une matière première non conforme, .... Un SIS indépendant peut être nécessaire même si le système de conduite est très fiable.

Redondance des détecteurs

Si le niveau de confiance d’un détecteur ne peut être augmenté, la multiplication des détecteurs peut augmenter le niveau de confiance du système. Les détecteurs redondants peuvent être de technologies différentes pour éviter les causes communes de défaillance.
La multiplication des détecteurs peut aussi augmenter la probabilité de détection à tort qui peut nuire à la disponibilité du procédé.
Différentes architectures sont possibles offrant différentes qualités de fiabilité et de disponibilité des installations:
DescriptionFiabilitéDispo
1oo1 (1 out of 1): un seul détecteur installé déclenchant systématiquement une actionSIL-1
SIL-2
-+
1oo2 (1 out of 2) : deux détecteurs installés dont un seul suffit pour déclencher une action. Si l'un des deux est défaillant il provoquera un déclenchement à tort.SIL-2
SIL-3
+-
1oo2D (1 out of 2 avec diagnostic): deux détecteurs installés dont un seul suffit pour déclencher une action. Pour limiter les déclenchements à tort, une autosurveillance est prévue; par exemple, la différence entre les valeurs relevées par les deux capteurs est surveillée et initie une vérification si elle devient trop élevée. SIL-2
SIL-3
++
2oo2 (2 out of 2) : deux détecteurs installés et les deux ensembles sont nécessaires pour déclencher une action , mais si l'un d'eux est défaillant, la chaîne de commande ne fonctionnera pas.SIL-1--++
2oo3 (2 out of 3) : trois capteurs installés dont deux au moins sont nécessaires pour déclencher une action. Souvent nommé système tripliqué.
SIL-3++ ++

Tests de fonctionnement

La fréquence des tests de fonctionnement est un élément important dans la détermination du niveau de SIL d'une chaîne de commande. Plus la fréquence des tests est élevée, plus grande sera le niveau de confiance accordé au système.
Le test des SIS est obligatoire avant chaque démarrage d'une installation, pour s'assurer qu'aucune modification intempestive, désactivation temporaire oubliée, ne persiste au démarrage. Ces tests sont aisés à faire tant que l'installation est à l'arrêt.
Les test des SIS au moins une fois par an est nécessaire pour assurer un niveau de SIL élevé (>1). C'est difficile à réaliser pour des unités fonctionnant en continu sur plusieurs années. Les équipements modernes basés sur des technologies numériques permettent de contourner cette difficulté:
 - lorsque plusieurs capteurs sont employés pour mesurer un même paramètre, il est possible de mettre en place une détection de la différence de valeur relevée entre les deux capteurs; si une différence significative apparait entre les deux mesures, une alarme est déclenchée invitant à rechercher lequel est défaillant.
 - les vannes peuvent être équipées de positionneurs numériques permettant des fermetures partielles des vannes, sans conséquence sur le fonctionnement de l'installation, mais permettant de s'assurer périodiquement du bon fonctionnement de la chaîne de commande. Ces tests peuvent être automatisés.

Exemples de configurations                




©Copyright 2013-2019. Droits réservés