Courbe d'évolution de la PFD
PFD tracer permet de visualiser l’évolution de la PFD (Probabilité de défaillance dangereuse à la sollicitation) d’un SIS (Système instrumenté de sécurité) suivant la périodicité des tests (Ti) et le taux de couverture (TC). L’animation a pour objectif de montrer l’influence de la périodicité des tests complets ou partiels dans l’évaluation du SIL atteint. Lorsqu’elle est régulièrement soumise à l’essai, la PFD d’un SIS, relatif à la fonction de sécurité spécifiée, est représentée par une courbe en dents de scie avec un large éventail de probabilités allant de faible (juste après un essai) à un maximum (juste avant un essai).
Lorsque la fréquence de sollicitation de la fonction instrumentées de sécurité (SIF) n’est pas plus grande que une par an et pas plus grande que le double de la période des tests complets (proof test), la fonction de sécurité est dite à faible sollicitation. Il s’agit du mode de fonctionnement le plus répandu dans les industries de processus.
Dans ce mode de fonctionnement, le SIL atteint sera fonction de la probabilité moyenne de défaillance dangereuse à la sollicitation (PFDavg). La fonction étant faiblement sollicité, la mise en œuvre d’essais permet de déceler les fautes dormantes.
Les contrôles et tests périodiques (test d’épreuve, examen, test fonctionnel, contrôle visuel, inspection) sont des essais manuels effectués périodiquement et destinés à déceler les défaillances dangereuses latentes (λdu) qui n’ont pas été détectées par les tests automatiques (λdd).
Les procédures de test doivent rester simples et facilement vérifiables. Les essais périodiques seront utiles pour les composants peu sollicités et simples, généralement sans électronique et dépourvus d’autodiagnostic.
A noter que les tests automatiques sont plus intéressants que les tests périodiques (Ti) dans le sens où ils ne demandent pas d’intervention humaine. En effet, en s’exécutant de manière automatique, ils n’injectent pas de nouvelles défaillances systématiques au moment de leur exécution, contrairement aux tests périodiques, qui à travers les interventions humaines sont enclins à introduire des défaillances.
Evolution PFD sur dégradation de l'architecture
Introduction
Dans les industries à risques — process continu, énergie, nucléaire — les fonctions instrumentées de sécurité (FIS) sont dimensionnées pour maintenir un niveau d’intégrité de sécurité (SIL) tout au long de leur vie opératoire. Ce niveau est caractérisé par la Probabilité de Défaillance à la Demande moyenne (PFDavg), calculée selon la norme IEC 61508 et ses déclinaisons sectorielles (IEC 61511 pour le procédé, IEC 62061 pour les machines).
Mais que se passe-t-il lorsqu’un élément de la FIS devient indisponible en cours d’exploitation ? Une voie de mesure dérive, un transmetteur est mis en bypass pour maintenance, un équipement tombe en défaillance détectée. L’architecture de vote se dégrade : une architecture 2oo3 devient 2oo2, une architecture 1oo2 passe en 1oo1. La PFD continue de s’accumuler, mais avec une pente différente — et la question critique devient : combien de temps la fonction reste-t-elle conforme à son niveau SIL ?
Enjeu industriel
La dégradation d’architecture est un événement courant dans les grandes installations. Sans évaluation quantitative de son impact sur la PFD, les décisions de maintien en service ou d’arrêt pour réparation reposent sur des critères subjectifs. L’outil interactif présenté sur cette page permet de quantifier cet impact en temps réel.
Rappels théoriques : PFD et architectures de vote
La PFDavg selon IEC 61511 - IEC 61508
La PFDavg d’une fonction instrumentée de sécurité (SIF) représente la probabilité moyenne que la fonction soit incapable d’exécuter son action de sécurité lorsqu’une sollicitation survient. Elle est calculée sur l’intervalle de test périodique Ti complet (Proof test) et dépend directement du taux de défaillance dangereux non détecté (λdu) des équipements (SIS) qui composent la SIF.
La norme IEC 61508/61511 définit quatre niveaux SIL, chacun associé à un intervalle de PFDavg admissible. Pour le SIL 2, la PFDavg doit être comprise entre 10⁻³ et 10⁻². La pratique courante de conception consiste à viser une PFDavg cible égale à PFDmax / 2, afin de conserver une marge de sécurité vis-à-vis de la limite haute.
Architectures de vote et formules de PFD
Le tableau ci-dessous résume les quatre configurations traitées dans cet article, avec leur régime de croissance de la PFD et leur formule analytique approchée :
| Architecture | Formule approx. | Usage typique |
| 2oo3 | (λdu·t/2)² + 2β·λdu·t/2 | SIS haute disponibilité |
| 2oo2 | 2.λdu·τ | Mode dégradé orienté disponibilité |
| 1oo2 | (λdu·t/2)²/3 + β·λdu·t/2 | Redondance orienté sécurité |
| 1oo1 | λdu·τ | Capteur simple (dégradé) |
Le paramètre β (facteur de cause commune) représente la fraction des défaillances imputables à une cause commune affectant simultanément plusieurs voies de mesure. Typiquement fixé à 10 % pour les boucles instrumentées industrielles, il introduit un terme linéaire dominant dans les formules de PFD des architectures redondantes.
L'impact de la dégradation d'architecture
Lorsqu’une architecture passe de 2oo3 à 2oo2 (ou de 1oo2 à 1oo1) à l’instant t₀, deux phénomènes se superposent :
- Continuité : La PFD accumulée jusqu’à t₀ ne disparaît pas — elle constitue le niveau initial de la phase dégradée.
- Changement de pente : Le régime de croissance passe de quadratique (proportionnel à t²) à linéaire (proportionnel à t). La pente de la courbe PFD(t) augmente donc brutalement au point de dégradation.
- Limite inchangée : La PFDmax admissible reste la même (elle est définie par le SIL requis), mais elle est désormais atteinte beaucoup plus vite.
La question opérationnelle devient alors : combien d’heures après la dégradation la fonction reste-t-elle dans les limites SIL ? C’est précisément ce que calcule et visualise l’outil interactif ci-dessous.
Présentation de l'outil interactif
Objectif pédagogique et opérationnel
Cet outil de visualisation interactive, développé par l’INSIS, permet de simuler et de quantifier l’impact d’une dégradation d’architecture sur la PFD d’une fonction de sécurité instrumentée. Il s’adresse aux ingénieurs sécurité fonctionnelle, aux responsables SIS et aux chefs de projet industrie confrontés aux décisions de maintien en service lors d’une indisponibilité d’équipement.
L’outil repose sur les formules analytiques de l’IEC 61508 et applique la loi exponentielle exacte pour le calcul de la probabilité de défaillance instantanée q(t) = 1 − e^(−λdu·t), garantissant la fidélité des courbes même pour des intervalles de test longs ou des taux de défaillance élevés.F. Ciutat
Paramètres fixes et hypothèses de calcul
Pour assurer la comparabilité des scénarios et la clarté pédagogique, les paramètres suivants sont fixés :
- Ti = 8 760 h (intervalle de test annuel)
- β = 10 % (facteur de cause commune, valeur typique IEC 61508)
- PFDcible = PFDmax / 2 (marge de conception de 50 % sur la limite haute du SIL)
- λdu est calculé automatiquement par résolution numérique (bissection) à partir de la PFDcible choisie
Paramètres interactifs
Trois paramètres peuvent être modifiés librement par l’utilisateur :
- Niveau SIL cible — SIL 1 (PFDmax = 10⁻¹), SIL 2 (PFDmax = 10⁻²) ou SIL 3 (PFDmax = 10⁻³)
- Architecture dégradée — 2oo3 → 2oo2/1oo2/1oo1 (perte d’une ou deux voie dans un système triplement redondant) ou 1oo2 → 1oo1 (maintien d’une voie dans un système doublement redondant)
- Moment de dégradation — Curseur de 0 à Ti, permettant de simuler une dégradation précoce (début de période) ou tardive (fin de période)
Guide d'utilisation pas à pas
| Étape | Action | Ce que vous observez |
| 1 | Choisissez le niveau SIL cible (SIL 1, 2 ou 3) | Le λdu est recalculé automatiquement. La courbe bleue change d’échelle. |
| 2 | Sélectionnez l’architecture dégradée | Bascule entre 2oo3→2oo2 et 1oo2→1oo1. Les formules s’affichent en bas. |
| 3 | Glissez le curseur « Moment de dégradation » | La courbe orange apparaît au point choisi, avec une pente linéaire plus forte. |
| 4 | Observez le changement de pente | La rupture entre courbe bleue (quadratique) et orange (linéaire) est immédiatement visible. |
| 5 | Lisez le résultat « Heures conformes » | Durée en heures pendant laquelle la fonction reste dans les limites SIL après dégradation. |
Interprétation des résultats affichés
λdu calculé
Le taux de défaillance dangereux non détecté en heures⁻¹, déduit de la PFDcible par résolution numérique (mode AUTO). Ce paramètre est affiché (il est limité à maximum 4.0E-6), il peut être modifié (1E-6 ou 1E-7) pour permettre de le comparer aux données fabricant ou aux bases de données de fiabilité (PDS, OREDA, EXIDA).
PFD à fin Ti
La valeur de PFD cumulée en fin de période Ti, compte tenu de la dégradation d’architecture survenue à t₀. Si cette valeur dépasse PFDmax, la fonction a quitté son niveau SIL avant la fin de la période de test.
Heures conformes après dégradation
Indicateur clé opérationnel : durée maximale τ pendant laquelle la PFD reste inférieure à PFDmax après la dégradation. Ce résultat est exprimé en heures et en jours, et est coloré en vert (conforme sur toute la période restante), orange (conforme pendant une durée limitée) ou rouge (déjà non conforme au point de dégradation).
Interprétation des courbes : ce que révèle la visualisation
Le changement de pente : signal d'alerte
La rupture de pente au point t₀ est le signal visuel central de l’outil. En régime 2oo3 ou 1oo2, la PFD croît de façon exponentielle, en régime dégradé, la croissance devient quasi-linéaire : chaque heure supplémentaire ajoute un incrément constant de λdu à la PFD cumulée.
Pour une dégradation survenant en début de période (t₀ proche de 0), la PFD au point de rupture est faible, mais la phase dégradée dure longtemps — le système peut néanmoins rester conforme si λdu est suffisamment petit. Pour une dégradation tardive (t₀ proche de Ti), la PFD initiale de la phase dégradée est déjà élevée, et le système ne permet plus de maintenir le niveau SIL requis.
Contrainte architecturale - HFT
Il est important de noter que la dégradation de l’architecture en mode SIL 3 entraîne une réduction du Hardware Fault Tolerance à HFT = 0, rendant la configuration non conforme aux exigences architecturales de la norme International Electrotechnical Commission 61511, lesquelles imposent un HFT minimal de 1 pour atteindre et maintenir ce niveau de SIL.
Applications industrielles
Aide à la décision lors d'une maintenance non planifiée
Lorsqu’un équipement tombe en défaillance détectée en cours de période, l’opérateur dispose d’un délai — le Mean Time To Restore (MTTR) — pour remettre le système en état. L’outil permet de déterminer immédiatement si ce MTTR est compatible avec le maintien de la conformité SIL, ou si une action complémentaire s’impose (augmentation de la fréquence de surveillance, mise en place de mesures de compensations opérationnelles, arrêt de l’unité).
Justification des plans de maintenance
Les résultats de l’outil peuvent être utilisés pour justifier et documenter des décisions de maintenance dans le cadre du système de gestion de la sécurité fonctionnelle (SMS) requis par l’IEC 61511. Ils constituent un élément de preuve quantitatif pour les audits et inspections réglementaires.
Formation et sensibilisation des équipes
L’aspect interactif et visuel de l’outil en fait un support pédagogique efficace pour les formations à la sécurité fonctionnelle destinées aux ingénieurs procédé, instrumentistes et responsables HSE. La visualisation du changement de pente rend tangible et immédiatement compréhensible un concept qui, présenté sous forme d’équations, reste souvent abstrait.
Pour aller plus loin :
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.