Dernière modification: 08/08/2023
Introcution
La IEC 61511 (toutes les parties) est conçue comme la mise en œuvre de la IEC 61508 dans le secteur de l’industrie de transformation ; elle traite de l’application des SIS (systèmes instrumentés de sécurité) dans l’industrie de transformation.
Les fonctions instrumentées de sécurité (SIF) sont des fonctions de protection mises en œuvre dans un système instrumenté de sécurité (SIS). Un SIS typique est composé de plusieurs SIF ; en général, chaque SIS possède des capteurs de processus qui mesurent une déviation du processus, un résolveur logique qui exécute la logique fonctionnelle, et des éléments de contrôle finaux tels que des vannes marche/arrêt, qui amènent le processus à un état de sécurité. La série de normes IEC 61511 traite des SIS basés sur l’utilisation de la technologie électrique, électronique ou électronique programmable dans le secteur de l’industrie de transformation. La série IEC 61511 traite également de l’évaluation des dangers et des risques (H&RA) d’un processus, à partir de laquelle les spécifications des SIS sont dérivées.
La norme reconnaît que les défaillances systématiques proviennent d’erreurs humaines et qu’elles peuvent être réduites par la mise en œuvre de processus organisationnels solides.
La première édition de la norme a été publiée en 2003. La deuxième édition a été publiée en 2016. La norme comporte quatre parties :
- Partie 1 – Il s’agit de la seule partie normative de la série. Elle comprend la terminologie et les exigences relatives aux spécifications, à la conception du matériel et à la programmation des applications, à la mise en service, à la validation, à l’exploitation, à la maintenance et aux essais des composants du SIS.
- Partie 2 – Il s’agit d’un guide informatif sur la partie 1. Elle contient l’annexe A, qui fournit des orientations et des exemples de mise en œuvre des exigences énoncées dans la partie 1.
- Partie 3 – Il s’agit d’une partie informative de la série qui fournit des informations sur les méthodes disponibles pour effectuer une évaluation des dangers et des risques (H&RA) afin de déterminer les exigences en matière d’intégrité, c’est-à-dire le niveau d’intégrité de la sécurité (SIL).
- Partie 4 – Il s’agit en fait d’un rapport technique. Elle contient l’explication et la justification des changements entre l’édition 1 et l’édition 2.
La conformité à la série de normes IEC 61511 contribuera à garantir une mise en œuvre fiable et efficace du SIS afin d’atteindre les objectifs de réduction des risques et d’améliorer ainsi la sécurité des processus.
La IEC 61511 est reconnue comme une bonne pratique d’ingénierie dans la plupart des pays et comme une exigence réglementaire dans un nombre croissant de pays. Les utilisateurs finaux de l’industrie des procédés devraient utiliser cette série de normes pour développer leurs procédures internes, leurs processus de travail et leurs systèmes de gestion. La mise en œuvre d’un système de gestion du cycle de vie des SIS fournit un cadre pour la gestion des personnes, des processus et des systèmes afin d’améliorer la sécurité globale et les performances opérationnelles.
La norme s’applique lorsque des dispositifs répondant aux exigences de la série IEC 61508 sont intégrés dans un système global de contrôle relatif à la sécurité, destiné à être utilisé dans une application du secteur des procédés. Elle ne s’applique pas aux fabricants qui souhaitent affirmer que leurs dispositifs sont adaptés à une utilisation dans des SIS pour le secteur des procédés ; à cette fin, les normes IEC 61508-2 [6] et IEC 61508-3 [7] doivent être utilisées.
La partie normative ne contient pas de formule. La raison en est que l’esprit de la IEC 61511-1 est de définir ce qui doit être réalisé et non comment le réaliser.
La deuxième édition
La deuxième édition renforce la nécessité de concevoir pour la gestion de la sécurité fonctionnelle plutôt que de se concentrer sur les calculs, et elle peut être utilisée pour gérer la performance réelle du SIS au fil du temps. La IEC/TR 61511-4 a été rédigée pour fournir une brève introduction aux questions ci-dessus, le contenu plus détaillé restant dans les parties principales de la norme. La gestion de la sécurité fonctionnelle concerne les défaillances systématiques, principalement causées par l’homme, qui ne sont pas quantifiables à l’aide de modèles mathématiques. Ces activités, qui couvrent l’ensemble du cycle de vie de la sécurité, sont appliquées par le biais de processus et de procédures.
Dans cette deuxième édition, l’idée est que la sécurité n’est pas seulement basée sur des composants fiables, mais qu’elle provient d’une approche holistique donnée par le concept du cycle de vie de la sécurité. Pour garantir la sécurité fonctionnelle, plusieurs activités (réalisées par différentes parties prenantes, telles que les utilisateurs finaux, les sociétés d’ingénierie, les fournisseurs, etc. Elles sont toutes reliées les unes aux autres comme une chaîne et la force de cette chaîne sera seulement aussi forte que le maillon le plus faible. Il est essentiel de considérer la sécurité fonctionnelle comme un cycle de vie, qui commence par l’identification des dangers et se termine par la mise hors service du SIS : toutes les activités du cycle de vie de la sécurité sont influencées par les activités en amont et en aval.
Chaque projet SIS comporte des rôles et des responsabilités clairement définis. Toutes les parties concernées sont conscientes de leurs responsabilités et sont compétentes pour mener à bien les activités connexes nécessaires à la sécurité fonctionnelle. Les compétences sont tenues à jour. Toutes les activités nécessaires dans le cadre d’un projet sont décrites dans un plan de sécurité qui peut être spécifique à un projet ou un document général propre à l’entreprise. Pour toutes les activités pertinentes, une évaluation de la sécurité fonctionnelle est effectuée afin de démontrer qu’une ISP répond à toutes les exigences et qu’elle est conforme aux normes convenues. La gestion des performances en cours d’exploitation s’effectue par la collecte de données sur le terrain pour les informations relatives à la fiabilité du SIS et à la demande de processus du SIS. Des audits de sécurité fonctionnelle sont réalisés à intervalles réguliers pour démontrer que l’organisation reste capable de satisfaire aux exigences de sécurité fonctionnelle définies. Les activités d’évaluation et d’audit sont menées par des personnes indépendantes de l’équipe de projet. Les résultats de l’évaluation et de l’audit font l’objet d’une documentation significative et les recommandations sont suivies en vue d’une clôture effective.
Conception d’un SIS
Concevoir un système de sécurité instrumenté signifie
- Contrôler les effets des défaillances aléatoires du matériel et
- éviter ou contrôler les défaillances systématiques.
L’activité peut être résumée dans les quatre parties suivantes :
- Sélectionner les dispositifs de manière appropriée, sur la base d’une utilisation antérieure ou conformément à la norme IEC 61508.
- Assurer une redondance minimale déterminée par HFT, soit conformément à l’approche du secteur des processus, définie dans la IEC 61511-1, soit conformément à la IEC 61508.
- Concevoir l’architecture et le programme d’application pour répondre aux exigences de la spécification des exigences de sécurité et vérifier que les objectifs de performance spécifiés pour l’intégrité, la fiabilité et le contrôle systématique des erreurs ont été atteints ; y compris des aspects tels que les capacités humaines, la gestion des contournements, la couverture des diagnostics, les défaillances de cause commune, l’intervalle des essais de preuve, le MTTR, etc.
- Assurer une démarcation adéquate entre le SIS et le BPCS, tant pour le matériel que pour le programme d’application, de manière à atteindre les performances globales en matière de réduction des risques.
Les trois méthodes
La deuxième édition prévoit trois méthodes différentes pour déterminer la capacité de charge requise d’un système instrumenté de sécurité :
- La Route 1H de la IEC 61508-2 [6], basée sur l’analyse FMEDA et la conformité avec les clauses correspondantes de la IEC 61508-2.
- Utilisation du concept d’utilisation préalable (5.3). Cela signifie l’utilisation du tableau 6 de la IEC 61511-1 [16], identique au tableau 2.3, en conjonction avec les exigences des clauses 11.5 à 11.9 de la IEC 61511-1.
- Route 2H de la IEC 61508-2, basée sur les retours de produits au fabricant et la conformité avec les clauses correspondantes de la CEI 61508-2.
Le tableau 2.3 {2.1.4.1.1} précise que, si un niveau SIL 1 doit être atteint, aucune redondance n’est nécessaire ; il en va de même pour le niveau SIL 2 en mode de faible demande. Toutefois, si le système fonctionne en mode de demande élevée, un HFT=1 est nécessaire pour atteindre le niveau SIL 2.