2. Mise en œuvre de la réduction du risque

Les risques encourus sont normalement réduits en installant d'autres circuits électriques et de télécommunications agissant comme une fonction de sécurité, en complément des équipements électriques et de télécommunications requis pour des raisons d'exploitation : ces circuits de sécurité sont uniquement utilisés dans le cas d'une défaillance de l'équipement d'exploitation. On appelle ce type d'équipement, utilisé exclusivement dans le cadre de la réduction du risque, « équipement de protection » ou fonctions Z.

Le degré de réduction du risque atteint en utilisant un équipement de protection dépend du bon fonctionnement de cet équipement. Si toute défaillance était impossible, il serait possible d'éliminer totalement le risque concerné. Le risque résiduel serait alors nul. Cet état de fait n'étant pas réaliste en pratique, seul un degré limité de réduction du risque peut être atteint en utilisant un équipement de protection. Même s'il reste toujours un risque résiduel, il est tellement réduit qu'il peut être toléré. L'objectif du processus de conception consiste à mettre en œuvre l'équipement de protection de sorte que le niveau de réduction du risque obtenu soit aussi proche que possible du niveau d'intégrité de sécurité (SIL) requis.

Si la réduction du risque est insuffisante (le SIL de l'équipement de protection est moins élevé que le SIL requis), il subsiste un risque résiduel non tolérable. À l'inverse, si la réduction du risque est excessive (le SIL de l'équipement de protection est plus élevé que le SIL requis), il en découle une charge de travail trop élevée qui n'est pas justifiable.

Vous trouverez des informations sur la façon dont les équipements de protection doivent être conçus afin d'atteindre un degré spécifique de réduction du risque (un SIL spécifique) dans les documents EN 61511 et VDI/VDE 2180. Il est essentiel de se demander pourquoi les équipements de protection peuvent subir des défaillances : les exigences de conception des équipements de protection peuvent être définies à partir des réponses à ces questions. Une enquête détaillée révèle qu'il existe en principe deux types d'erreurs qui peuvent provoquer une défaillance de l'équipement de protection :

• Erreur systématique
• Erreur aléatoire

Même s'il est possible de définir un degré de probabilité spécifique à la survenue d'une erreur aléatoire, cela n'est pas le cas pour les erreurs systématiques.

À la différence des erreurs aléatoires, les erreurs systématiques peuvent en principe être totalement évitées. Toutefois, l'expérience montre que cela n'est que partiellement vrai (en particulier dans le cas des logiciels). De ce fait découlent les exigences suivantes en matière de conception des équipements de protection :

• Éviter les défaillances en mettant en place un système spécial de gestion de la qualité (mots clés : « Système de gestion de la sécurité fonctionnelle » ou « système FSM »)
• Éviter les défaillances grâce à la redondance et/ou grâce à un comportement de sécurité et à la détection des défauts (mots clés : tolérance aux anomalies du matériel, somme des défauts non dangereux, couverture de diagnostic)
• Réaliser des calculs pour quantifier la probabilité de défaillance due à des erreurs aléatoires (mots clés : calcul PFD/PFH)

La mise en œuvre pratique des trois points mentionnés ci-dessus détermine l'ampleur de la réduction du risque pour l'équipement de protection. De manière générale, la charge de travail impliquée dans la planification, la mise en œuvre et l'exploitation de l'équipement de protection dépend du SIL que l'équipement doit atteindre. Les normes EN 61508, EN 61511 et norme VDI/VDE 2180 décrivent la corrélation exacte entre la conception de l'équipement de protection et le SIL pouvant être atteint.

Lorsque l'équipement de protection est conçu, il est nécessaire de tenir compte de la prévention des défauts, du contrôle des défauts et de la probabilité de défaillance afin d'atteindre un degré de réduction du risque spécifique. Il ne suffit pas de prendre en compte la probabilité de défaillance pour satisfaire une exigence SIL. En réalité, l'équipement de protection peut uniquement atteindre un SIL spécifique si la structure (redondance, diagnostics, conception à sécurité intégrée) et la probabilité de défaillance (PFD/PFH) répondent aux critères stipulés par la norme relative au SIL concerné. En outre, il est obligatoire d'utiliser un système de gestion de la sécurité fonctionnelle pour la mise en œuvre de l'équipement. Ces conditions sont requises pour garantir que les erreurs systématiques seront évitées dans la mesure nécessaire.