Les couches de protection

Un système instrumenté de sécurité (SIS) peut tomber en panne alors qu’il est passif et la panne peut rester cachée jusqu’à ce qu’une demande se produise de la part du processus ou jusqu’à ce que le système soit testé.

Supposons que la pression dans une cuve soit contrôlée par un transmetteur de pression et que le système de contrôle du processus doive maintenir la valeur autour d’un certain point de consigne.

Si la pression augmente au-delà d’un certain seuil, une alarme est déclenchée (PSH). Si la valeur devient « incontrôlable », un pressostat de sécurité, réglé sur PSHH, arrête le processus (figure 7).

Nous constatons qu’il existe deux couches de protection : une couche de contrôle et une couche de sécurité. Normalement, elles ne partagent pas les mêmes composants de terrain. Dans notre exemple, le transmetteur de pression appartient à la couche de contrôle, tandis que le pressostat de sécurité appartient à la couche de sécurité.

Normalement, le système de contrôle du processus maintient la pression autour du point de consigne. Il arrive très rarement que la pression devienne incontrôlable, et c’est à ce moment-là que le système de sécurité intervient : le problème est qu’il est peut-être tombé en panne entre-temps. Un système de sécurité instrumenté est ce qu’on appelle une couche de protection indépendante. Il est installé pour atténuer le risque associé au fonctionnement d’un processus normalement dangereux et est appelé équipement sous contrôle ou EUC (figure 8).

Une fonction instrumentée de sécurité (SIF) est mise en œuvre avec un SIS destiné à atteindre ou à maintenir un état de sécurité pour l’EUC par rapport à une demande spécifique du processus (une pression élevée par exemple). Une SIS peut consister en une ou plusieurs SIF.

Les systèmes instrumentés de sécurité sont normalement dormants et leur défaillance peut rester non détectée, ou cachée, jusqu’à ce qu’ils soient sollicités (une température ou une pression élevée, par exemple) ou jusqu’à ce que le système soit testé pour vérifier s’il fonctionne toujours correctement.

Deux types de tests peuvent être effectués sur ces systèmes.

Tests de diagnostic. Ils sont effectués automatiquement par le composant lui-même, par le résolveur logique ou par d’autres éléments du système de sécurité. La mesure dans laquelle ces tests automatiques révèlent une défaillance est appelée couverture de diagnostic (DC). Les défaillances qui peuvent être détectées de cette manière sont définies comme détectables, les autres défaillances sont appelées indétectables.

Test de fonctionnement. L’objectif de l’essai de fonctionnement est surtout de révéler les défaillances indétectables et de vérifier que le système est toujours capable d’exécuter sa fonction requise, au cas où une demande de processus se produirait. Les essais de fonctionnement, définis dans la norme IEC 61508 comme des épreuves, sont normalement effectués manuellement ou lancés manuellement. L’intervalle de temps entre deux essais de fonctionnement est indiqué comme Ti et, dans le cas d’une épreuve parfaite, l’article est considéré comme « comme neuf » après un tel essai. Veuillez-vous référer au chapitre 3 pour la définition du test d’épreuve et d’autres détails.

Ne confondez pas test de fonctionnement et test fonctionnel. Dans la littérature, vous pouvez trouver que le test d’épreuve est défini comme un test de fonctionnement, ainsi qu’un test périodique, tandis que la couverture de diagnostic est également définie comme un test de fonctionnement.