Products Solutions Services

Scurit fonctionnelle SIL

Les systmes instruments de scurit
dans lindustrie des process
Scurit fonctionnelle

BASF - Press Photo

2 Scurit fonctionnelle
 section
Introduction
or rubric 3

Introduction

La "scurit fonctionnelle" est devenue un enjeu majeur
depuis la publication des normes CEI/EN 61508 et CEI/
EN 61511. Le terme SIL (safety integrity level = niveau
dintgrit de scurit) est frquemment utilis dans ce
contexte. Mais quest-ce que le SIL ?
Pour des informations plus dtailles, il est conseill de
consulter la documentation associe, les rgles et dispositions
pertinentes. Par consquent, les informations contenues dans
cette brochure doivent tre considres comme des exemples et
ne peuvent tre utilises pour un modle spcifique.

Cette brochure vise donner un premier aperu de la "scurit Vous trouverez des informations dtailles ainsi que les
fonctionnelle". Son contenu se limite essentiellement aux certifications SIL des produits Endress+Hauser sur le site :
domaines et aux applications dans lesquels les produits
Endress+Hauser sont utiliss. www.fr.endress.com/SIL.

Table des matires

1. Danger et risque ................................................................................................................... 4

2. Normes relatives la scurit fonctionnelle ...................................................................... 5

3. Cycle de vie ............................................................................................................................ 6

4. Minimisation des risques ..................................................................................................... 7

5. Dterminer le SIL requis ....................................................................................................... 8

6. Modes de fonctionnement ................................................................................................... 9

7. Quels appareils peut-on utiliser et avec quel SIL ? ...........................................................10

8. Valeurs caractristiques .....................................................................................................12

9. Glossaire ...............................................................................................................................14
4 Scurit fonctionnelle

1. Danger et risque

Dans notre vie quotidienne, nous sommes constamment

exposs toute une srie de dangers. Cette grande varit Dfinition du risque :
de dangers va des grandes catastrophes aux blessures ou
dommages graves qui peuvent affecter la sant des individus, Risque = probabilit doccurrence dun vnement
lenvironnement et les biens matriels. Il nest pas toujours dangereux x amplitude des consquences
possible dliminer un danger et le risque associ. La socit dommageables dun vnement dangereux
doit donc vivre avec les dangers reprsents par les sismes,
les inondations et dautres catastrophes. Bien quil ne soit Le risque rsiduel acceptable dpend de facteurs
possible de prvoir quune protection limite contre de tels divers tels que :
phnomnes, les mesures de protection contre leurs terribles
effets peuvent tre examines dans le moindre dtail. Pays/rgion
Socit
Dans divers domaines, le lgislateur a labor des lois et Lois
dautres dispositions lgales qui dfinissent les exigences Cots
correspondantes concernant la scurit.
Le risque rsiduel acceptable doit tre valu au cas
En Europe, la Commission europenne a publi des par cas et doit tre accept par la communaut.
directives correspondantes pour protger les individus
et lenvironnement. En Allemagne, les associations
professionnelles et dautres organismes dassurance contre
les accidents ont publi des rglementations quils rvisent
en permanence. lheure actuelle, les rglementations
internationales dfinissent les exigences relatives la
protection de la sant des individus et de lenvironnement pour
les systmes et les produits. Elles dterminent des proprits
de produit spcifiques afin de parvenir aux objectifs de scurit
correspondants.

q p
Risque

Mesures de protection
Risque sans mesures

SIL 1 4
de protection

Risque tolrable

Risque rsiduel

Rduction du risque
 Directives
sectionetornormes
rubric 5

2. Directives et normes relatives

la scurit fonctionnelle

Lvnement catalyseur a t un accident survenu en rgissaient la classification lie la scurit, la nouvelle norme
juillet 1976 dans la ville de Seveso, dans le nord de requiert une prise en compte quantitative de lintgralit du
lItalie, au cours duquel un nuage de gaz toxique avait systme et une documentation dcrivant un systme de gestion
t libr. Depuis, la directive europenne 96/82/CE de la scurit fonctionnelle correspondant. Lexploitant et les
a dfini les exigences lgales pour les installations qui organismes de surveillance doivent tablir clairement quelles
prsentent un danger potentiel majeur (directive Seveso sont les mesures conomiquement ralisables qui doivent tre
II). En Allemagne, cette directive a t transpose par imposes. Lobjectif est de prvenir les erreurs systmatiques
lOrdonnance sur lincidence des dangers dans le cadre au sein des systmes relatifs la scurit et de contrler les
de la loi fdrale sur le contrle des immissions et par dfaillances alatoires, ainsi que de limiter la probabilit des
lOrdonnance sur la scurit du travail dans lentreprise dfaillances dangereuses (risque) dune manire dfinie.
(12e BImSchV et BetrSichV).
Dans ce contexte, une distinction doit tre opre entre la
scurit des produits au sens gnral et les produits dvelopps
et conus spcifiquement pour les fonctions en lien avec
la scurit. Pour ces derniers, la norme DIN EN 61508 est
indispensable, car elle dfinit aujourdhui les rgles de lart
pour les techniques de scurit fonctionnelle.
Elle dtermine quatre niveaux de scurit : de SIL 1 SIL 4.
La norme CEI/DIN EN 61508 est une norme gnrique,
cest--dire indpendante de lapplication. Il sagit dune
norme de base, ce qui la rend globalement applicable tous
les systmes lectriques, lectroniques ou lectroniques
programmables (E/E/PE). Cest le premier ensemble de rgles
et de rglementations publi lchelle internationale pour les
fonctions de scurit dans les applications critiques pour la
scurit.
qui sappliquent les normes CEI/DIN EN 61508 et
CEI/DIN EN 61511 ? Lanalyse des dangers et des risques
peut tre utilise pour dterminer tous les risques lis un
BASF - Press Photo

systme. Elle peut servir dcider si des systmes instruments

de scurit sont ncessaires. La scurit fonctionnelle intervient
dans lindustrie des process, o des systmes de scurit
comparables avec une norme correspondante taient employs
auparavant. Ces types de produits peuvent tre utiliss dans
dautres systmes avec un risque de scurit analogue.
Il est important de se rappeler que lensemble du systme
instrument de scurit doit tre pris en compte avec tous ses
composants. En outre, la norme CEI/DIN EN 61511 dcoule de
la norme CEI/DIN EN 61508 en tant que norme de base pour
lindustrie des process. De mme, la norme CEI/DIN EN 62061
en dcoule pour la directive sur les machines et la norme
CEI/DIN EN 50156 pour les chaudires.
Modifications par rapport aux prcdentes normes
de scurit Les exigences applicables aux systmes lis
la scurit sont dtailles dans la norme CEI/DIN EN 61508
relative la scurit fonctionnelle. Les capteurs, les systmes
de commande et les actionneurs (lment final) doivent
disposer dune classification SIL comme indiqu par la norme.
Alors quautrefois des considrations purement qualitatives
6 Scurit fonctionnelle

3. Cycle de vie

Les exploitants des systmes relatifs la scurit doivent
prendre des mesures adaptes pour analyser et rduire le
risque tout au long du cycle de vie. La norme CEI/DIN
EN 61508 prconise certaines tapes cet gard :
Dfinition et valuation des risques daprs la probabilit
dtaille de dfaillance la sollicitation pour tout
le circuit de scurit (boucle), depuis le capteur via
le systme de commande jusqu llment final
(actionneur), pendant toute la dure de vie.
Dtermination et mise en pratique des mesures (gestion
de la scurit fonctionnelle).
Utilisation dappareils adquats (certifis).

Cycle de vie de scurit /

Sicherheits-Lebenszyklus
Safety lifecycle

Gestion de la
Sicherheits-
Spcification
Spezifikation
scurit
Management

Planung
Planifi undet
cation
+ Implementierung
mise en uvre

Exigences
Technische Installation et
Installation undmise
techniques
Anforderungen Inbetriebnahme
en service

+ Fonctionnement
Betrieb und
et maintenance
Wartung

Qualification du
Qualifikation
Fehlerursachen
Causes derreurs personnel
Personal nderung nach
Changement aprs
Inbetriebnahme
mise en service

Auerkraftsetzung
Mise hors service

4. Rduction du risque
Wolfgang Jargstorff - Fotolia.com
Chaque application technologique comporte galement
un risque li la scurit. Plus le danger est important
pour les personnes, lenvironnement ou les biens, plus
il est ncessaire de prendre des mesures pour minimiser
le risque. Les applications industrielles prsentent de
nombreux systmes et appareils avec un potentiel de
danger variable. Afin dobtenir le niveau de scurit requis
pour ces systmes, les lments relatifs la scurit
pour les systmes de protection et de scurit doivent
fonctionner correctement et se comporter de manire ce
que le systme reste dans un tat de scurit ou passe un
tat de scurit en cas de dfaut.
Rduction
sectiondu
or risque
rubric 7
Lobjectif de la norme CEI EN 61508 est de prvenir
ou contrler les erreurs au sein des systmes relatifs
la scurit et de limiter la probabilit de dfaillances
dangereuses dune manire dfinie. Une documentation
quantitative est exige pour les ventuels risques rsiduels.
La rduction du risque requise est obtenue en combinant
toutes les mesures de protection. Le risque rsiduel ne doit
pas excder le risque tolrable. Au final, lexploitant de
linstallation doit assumer et accepter le risque rsiduel.
8 Scurit fonctionnelle

5. Dterminer le SIL requis

Des systmes diffrents entranent des risques diffrents.
Par consquent, les exigences relatives aux dfauts de
scurit des systmes instruments de scurit (SIS)
deviennent plus strictes mesure que le risque saccrot.
Les normes CEI/EN 61508 et CEI/EN 61511 dfinissent
quatre niveaux de scurit diffrents qui dcrivent les
mesures de contrle du risque dans ces composants. Il sagit
des quatre niveaux dintgrit de scurit, ou SIL (Safety
Integrity Level).
Plus la valeur numrique du niveau dintgrit de scurit (SIL)
est leve, plus la rduction du risque est importante.
Cela signifie que le SIL reprsente la dimension correspondant
la probabilit que le systme de scurit puisse remplir
correctement les fonctions de scurit requises pendant un
laps de temps prcis. La probabilit de dfaillance moyenne
(PFD ou PFH) baisse selon un facteur de 10 par niveau de
scurit.

Probabilit de concrtisation
Pas de systme instrument de scurit
W3 W2 W1 (par ex. mesures techniques)

CA
Consquence du dommage
PA CA Blessure lgre dune personne ou problmes environnementaux
SIL 1 SIL 1 mineurs, par ex. ceux qui ne sont pas couverts par lOrdonnance
FA
sur lincidence des dangers.
PB CB Blessure grave, irrversible dune ou de plusieurs personnes ou
SIL 2 SIL 1 SIL 1
CB dcs dune personne ou problmes environnementaux passagers
PA majeurs, par ex. ceux dcrits dans lOrdonnance sur lincidence
SIL 2 SIL 2 SIL 1 des dangers.
FB
CC Dcs de plusieurs personnes ou problmes environnementaux
PB
SIL 3 SIL 2 SIL 2 majeurs de longue dure, par ex. ceux dcrits dans lOrdonnance
sur lincidence des dangers.
FA CD Consquences catastrophiques, nombreux morts.
SIL 3 SIL 3 SIL 2
CC
FB Frquence et dure dexposition
SIL 4 SIL 3 SIL 3 FA Rarement plus souvent
FB Frquemment en permanence
CD
SIL 4 SIL 3 Probabilit dviter le danger
PA Possible sous certaines conditions
Consquence
PB Rarement possible
du dommage Systme de scurit
Frquence et dure du contrle des Probabilit de concrtisation
dexposition process insuffisant W1 Trs faible
Probabilit dviter W2 Faible
le danger W3 Relativement leve

Rfrence : CEI 61511

Le SIL obtenu est dtermin laide des valeurs
caractristiques suivantes :

Probabilit de dfaillances dangereuses dune

fonction de scurit (PFD ou PFH)
Tolrance aux pannes hardware
(Hardware Fault Tolerance = HFT)
Taux de dfaillances non dangereuses
(Safe Failure Fraction = SFF)
Type des composants (type A ou type B)
Priodicit des tests (test rcurrent des fonctions
de scurit)
Dure de vie utile
 Modes de section
fonctionnement
or rubric 9

6. Modes de fonctionnement :
faible sollicitation et forte sollicitation
Deux modes de fonctionnement sont utiliss pour dfinir le SIL des appareils :
le mode faible sollicitation et le mode forte sollicitation.

Mode faible sollicitation Pour le mode faible

sollicitation, on peut supposer que le systme de scurit Mode faible sollicitation
nest pas sollicit plus dune fois par an. Dans ce cas, la
valeur du SIL dcoule de la valeur PFD (probabilit de
dfaillance la sollicitation). Le mode faible sollicitation Niveau PFD (Probabilit moyenne de
est typique de lindustrie des process. dintgrit de dfaillance de la fonction de
scurit scurit faible sollicitation)
SIL 4 10 -5 to < 10 -4
SIL 3 10 -4 to < 10 -3
SIL 2 10 -3 to < 10 -2
SIL 1 10 -2 to < 10 -1

Mode forte sollicitation Pour le mode forte

sollicitation, on peut supposer que la fonction de scurit Mode forte sollicitation
est sollicite en continu ou toutes les heures en moyenne.
Le mode forte sollicitation est typique des systmes ou
des machines qui ncessitent une surveillance constante Niveau PFH (Probabilit de dfaillance
(industrie de fabrication). dintgrit de dangereuse par heure)
scurit
SIL 4 10 -9 to < 10 -8
SIL 3 10 -8 to < 10 -7
SIL 2 10 -7 to < 10 -6
SIL 1 10 -6 to < 10 -5
10 Scurit fonctionnelle

7. Quels appareils peut-on utiliser

et avec quel SIL ?
Wolfgang Jargstorff - Fotolia.com

Afin datteindre un niveau dintgrit de scurit (SIL 1 SIL 4),
la totalit du SIS doit rpondre aux exigences relatives aux
erreurs systmatiques (software) et aux erreurs alatoires
(hardware). En dautres termes, le rsultat du calcul du circuit
de scurit doit correspondre au SIL requis. Normalement,
ceci dpend de la structure et de larchitecture du systme
de scurit. En consquence, les appareils SIL 2 dans des
structures redondantes vote majoritaire peuvent tre
utiliss dans les systmes SIL 3. En raison de la structure
redondante du systme utilisant des appareils quivalents
SIL 2, dans une redondance homogne relative aux erreurs
systmatiques, le software doit tre de niveau SIL 3.
Types derreurs Au sein dun circuit de scurit, on
distingue les erreurs systmatiques et les erreurs alatoires.
Pour correspondre au SIL requis, les deux types derreurs
doivent tre pris en considration.
Les calculs sont raliss pour les diffrents composants au
niveau des composants. On obtient ainsi la valeur PFD et la
base pour le calcul permettant de dterminer la valeur du
SIL.
Erreurs systmatiques Les erreurs systmatiques sont
gnralement des erreurs de dveloppement, de conception
ou de configuration de projet. La plupart des erreurs
systmatiques se produisent gnralement dans le software
de lappareil. En vue de rpondre aux exigences dun SIL
prcis (par ex. SIL 3) pour les erreurs systmatiques, tout le
systme doit tre conu selon SIL 3. Il est galement possible
dy parvenir si deux appareils diffrents (redondance
htrogne) ou des appareils avec des technologies
diffrentes sont utiliss.

Erreurs alatoires Les erreurs alatoires dcoulent des

dfaillances du hardware et ne se produisent gnralement
quen cours de fonctionnement. Ces erreurs et la probabilit
de dfaillance associe peuvent tre calcules.
 section Appareil
or rubric 11

Calcul de la fonction de scurit Larchitecture doit aussi

tre prise en considration lors de la conception et du calcul
dun circuit de scurit. Il convient de dterminer si lon est
en prsence dun systme une seule voie ou plusieurs
voies. Pour quun systme rponde effectivement aux
exigences dun SIL requis, les erreurs systmatiques doivent
tre vites grce un systme de gestion de la scurit
correspondant au SIL. Les exemples ci-aprs sont prsents
de manire simplifie et ne peuvent couvrir toutes les
applications. En Allemagne par exemple, la norme VDE/
VDI 2180, partie 4, fournit une aide importante concernant
les formules dapproximation simplifies pour les structures
vote majoritaire les plus courantes.

Otto Durst - Fotolia.com

Architecture voie unique Pour une architecture voie unique, laddition des valeurs
PFD ou PFH des diffrents composants doit tre prise en
compte afin de dterminer le niveau dintgrit de scurit
Capteur Commande Actionneur
(SIL) du systme. Cest la seule faon de sassurer que toute
SIL 2 SIL 2 SIL 2
la fonction de scurit rpond aux exigences du SIL requis.

Important:

Le SIL le plus bas des sous-systmes (capteur,

commande, actionneur) dtermine le niveau
dintgrit de scurit de lensemble du systme.
Architecture deux voies

Capteur A
SIL 2 Commande Dterminer la PFD ou la PFH pour une architecture
1oo2 Actionneur
plusieurs voies est plus compliqu. La norme VDI/VDE 2180,
SIL 3 SIL 3
Capteur B partie 4, contient des formules dapproximation simplifies
SIL 2 pour le calcul de la PFDav.

Source
CEI/DIN EN 61508, partie 1 partie 7 | CEI/DIN EN 61511, partie 1 partie 3 | VDI/VDE 2180
12 Scurit fonctionnelle

8. Valeurs caractristiques

Intgrit de scurit du hardware (HFT, SFF) Les valeurs
caractristiques suivantes sont galement utilises pour la
classification SIL :
Tolrance aux pannes hardware
(Hardware Fault Tolerance = HFT)
Taux de dfaillances non dangereuses
(Safe Failure Fraction = SFF)
Le tableau suivant illustre le rapport entre ces paramtres.
Distinction est faite entre les systmes de type A et les
systmes de type B dans ce contexte.
Systmes de type A Un systme peut tre considr
comme tant de type A si le comportement en cas de
dfaillance des composants requis pour la fonction de
scurit peut tre dcrit en termes simples. Il sagit
par exemple de composants tels que rsistances film
mtallique, transistors, relais, etc.
Tolrance aux pannes hardware (HFT) La tolrance
aux pannes hardware correspond la capacit dun
appareil continuer daccomplir une fonction de scurit
correctement lorsquune erreur se produit. Une HFT de N
signifie que N+1 erreurs peuvent entraner la perte de la
fonction de scurit.
Taux de dfaillances non dangereuses (SFF) Le taux
de dfaillances non dangereuses indique le pourcentage
de dfaillances qui ne prsentent pas de danger. Plus le
SIL requis est lev, plus le SFF doit ltre galement.
Le SFF dun systme est dtermin sur la base des taux
de dfaillance individuels (valeurs ) des diffrents
composants.

Systmes de type B Tous les autres systmes sont

des systmes complexes (type B) sils comportent des
composants dont le comportement en cas de dfaillance
nest pas entirement connu. Il sagit par exemple de
composants tels que les microprocesseurs et les circuits
semi-conducteurs.

Les bases de donnes industrielles correspondantes

indiquent les taux de dfaillance des composants
(par ex. Siemens SN 29500).

SFF HFT SIL Type A, Type B

Taux de dfaillances non Tolrance aux pannes hardware Tolrance aux pannes hardware
dangereuses (SFF) (Type A appareil simple) (Type B appareil complexe)
0 1 2 0 1 (0*) 2 (1*)
< 60 % SIL 1 SIL 2 SIL 3 Interdit SIL 1 SIL 2
60% < 90% SIL 2 SIL 3 SIL 4 SIL 1 SIL 2 SIL 3
90% < 99% SIL 3 SIL 4 SIL 4 SIL 2 SIL 3 SIL 4
99% SIL 3 SIL 4 SIL 4 SIL 3 SIL 4 SIL 4

* Avec vrification des performances prouves conformment la norme CEI/EN 61511 (uniquement pour SIL < 4)

Taux de dfaillance La capacit dun systme dtecter
les dfaillances et ragir en consquence joue un rle
important. Distinction est donc faite entre les dfaillances
dangereuses et non dangereuses, ainsi quau niveau de la
capacit dtecter ou non ces dfaillances.
Le taux de dfaillance est dfini par la variable et rparti
en quatre groupes :
SD = taux de dfaillances non dangereuses reconnues
SU = taux de dfaillances non dangereuses non reconnues
DD = taux de dfaillances dangereuses reconnues
DU = taux de dfaillances dangereuses non reconnues
Le taux de dfaillances dangereuses non reconnues (DU) a
pour effet une perte indtectable de la fonction de scurit
et doit tre rduit au minimum au moyen de mesures
adquates.
Lunit utilise pour les valeurs est le FIT
("Failure in time", 1 x 10-9 par heure).
DU
DD
SD
SU
Note : CEI/DIN EN 61508-2:2011
Sec. 7.4.9.5, note nationale N3
La dure de vie utile dpend largement de lappareil
en lui-mme et des conditions de fonctionnement.
Lorsque la dure de vie utile est coule, la probabilit
de dfaillance peut augmenter avec le temps (env. 8
12 ans). Une dure de service plus longue peut tre
atteinte en appliquant les mesures correspondantes
prconises par le fabricant et lexploitant (par ex.
mesures de maintenance).
Valeurssection
caractristiques
or rubric 13
Priodicit des tests (Ti) Le test de fonctionnement
rcurrent (Ti) est utilis pour dtecter les dfaillances
dangereuses. La fonction de scurit dun appareil doit tre
teste intervalles appropris. Cette valeur est intgre
dans le calcul de la valeur caractristique PFD/PFH et doit
tre choisie de manire se situer dans la plage requise
pour le SIL vis.
Il incombe lexploitant de dterminer le type dinspection
et la priodicit. Les tests doivent tre raliss de
manire dmontrer le bon fonctionnement du systme
instrument de scurit par rapport tous les composants.
Les recommandations pour les tests de fonctionnement
rcurrents se trouvent dans les manuels de scurit des
appareils.
Test de fonctionnement
PFD
(priodicit des tests Ti)
t n
0,1
me
on de
ne
c ti est
fonans t
SIL 1
S
0,01 PFDav
SIL 2
0,001 SIL 3
0,0001
SIL 4
Ti par ex. 1 an Dure de service
PFDav = DU x Ti
Dure de vie utile La dure de vie utile des dispositifs de
scurit dpend principalement des composants internes
et des conditions de fonctionnement (par ex. temprature
ambiante, vibrations, charge lectrique). Pour les composants
lectroniques, la norme CEI 61508-2 dfinit une plage typique
entre 8 et 12 ans, tandis que la norme ISO 13849-1 se base sur
une valeur de 20 ans.
Pendant la dure de vie utile, les taux de dfaillance des
composants restent peu prs constants. Au-del de la
dure de vie utile, les taux de dfaillance peuvent augmenter
en raison de lusure et du vieillissement et les valeurs de
PFDav calcules ne sont plus applicables. Lexploitant doit
entreprendre des mesures supplmentaires (par ex. rduire
lintervalle entre les tests de fonctionnement) ou remplacer
le dispositif de scurit, afin de maintenir le SIL requis. Si le
fabricant vite les composants critiques vieillissants (par ex.
condensateurs lectrolytiques) dans les systmes de scurit
et que les appareils sont utiliss dans des conditions de service
normales, on peut sattendre ce que la dure de vie utile
corresponde plutt la valeur indique dans la norme ISO qu
celle de la norme CEI.
14 Scurit fonctionnelle
9. Glossaire
SIL (Safety Integrity Level)
E/E/EPS
Scurit fonctionnelle Capacit dun systme effectuer les actions ncessaires lobtention ou au maintien
Taux de dfaillance
FIT (Failure In Time)
HFT (Hardware Fault
Tolerance)
SFF (Safe Failure Fraction)
PFD (Probability of Failure
on Demand)
PFH (Probability of Failure
per Hour)
MooN (M out of N)
Proof test (Ti)
SIS
Le niveau dintgrit de scurit (SIL) est une rfrence pour lintgrit de scurit
dun systme. Lintgrit de scurit correspond la probabilit que le systme excute
la fonction requise relative la scurit dans toutes les conditions dfinies sur une
priode de temps donne. Le SIL comprend quatre niveaux distincts, le niveau 4
reprsentant le niveau dintgrit de scurit le plus lev et le niveau 1 le plus faible.
Systmes lectriques, lectroniques et lectroniques programmables.
dun tat de scurit dfini pour les installations sous contrle dun systme.
Taux de dfaillance dun systme, gnralement rparti en quatre groupes par type de
dfaillance :
SD = taux de dfaillances non dangereuses reconnues
SU = taux de dfaillances non dangereuses non reconnues
DD = taux de dfaillances dangereuses reconnues
DU = taux de dfaillances dangereuses non reconnues
Taux de dfaillances alatoires sur une priode de temps dfinie (1 x 10-9 par heure).
Une tolrance aux pannes hardware de N signifie que N+1 erreurs peuvent entraner la
perte de la fonction de scurit.
Taux de dfaillances non dangereuses.
La PFD, probabilit de dfaillance la sollicitation, correspond la probabilit de
dfaillance de la fonction de scurit la sollicitation en mode faible sollicitation
(probabilit que le systme tombe en panne avec des consquences dangereuses lorsquil
est sollicit).
Pour les modes forte sollicitation ou continu, la mesure numrique de la PFH
(probabilit de dfaillance par heure) est utilise ; elle prcise la probabilit dune
dfaillance de la fonction de scurit par heure (taux de dfaillances dangereuses).
Architecture avec M voies sur N avec diagniostic. Il sagit par exemple dune architecture
2 voies dans laquelle chacune des deux voies peut excuter une fonction de scurit.
Le test de fonctionnement est un test de fonctionnement rcurrent destin dtecter
les dfaillances au sein dun systme SIL, de manire ce que le systme puisse tre
restaur dans un tat comme neuf .
Systme instrument de scurit.
sectionGlossaire
or rubric 15
France Canada Belgique Suisse
Luxembourg

Endress+Hauser SAS Agence Paris-Nord Agence Export Endress+Hauser Endress+Hauser SA Endress+Hauser Metso AG
3 rue du Rhin, BP 150 94472 Boissy St Lger Cedex Endress+Hauser SAS 6800 Cte de Liesse 13 rue Carli Kgenstrasse 2
68331 Huningue Cedex 3 rue du Rhin, BP 150 Suite 100 B-1140 Bruxelles Postfach
CP01008Z/14/FR/03.13

info@fr.endress.com Agence Ouest 68331 Huningue Cedex H4T 2A7 Tl. (02) 248 06 00 CH-4153 Reinach
www.fr.endress.com 33700 Mrignac Tl. (33) 3 89 69 67 38 St Laurent, Qubec Tlfax (02) 248 05 53 Tl. (061) 715 75 75
Fax (33) 3 89 69 55 10 Tl. (514) 733-0254 Tlfax (061) 715 27 75
Agence Est info@fr.endress.com Tlfax (514) 733-2924
Case 91, 69673 Bron Cedex www.fr.endress.com

Endress+Hauser
1075 Sutton Drive
Burlington, Ontario
Tl. (905) 681-9292
Tlfax (905) 681-9444