> CYCLE DE L’EAU > INDUSTRIE/ÉNERGIE > BÂTIMENT

Le SIL
Safety Integrity Level
45 rue Louis Blanc
92400 COURBEVOIE Niveau d'intégrité de sécurité
Tél. : +33 (0)1 47 17 62 98
Fax : +33 (0)1 47 17 63 00
Email : profluid@profluid.org
www.profluid.org
Réalisation : Neuville Impressions

FÉDÉRATION ASSOCIATION EUROPÉENNE COMITÉ EUROPÉEN COMITÉ EUROPÉEN

DES INDUSTRIES DES CONSTRUCTEURS DES CONSTRUCTEURS DE COMPRESSEURS DE L’INDUSTRIE
MÉCANIQUES DE POMPES POMPES À VIDE ET OUTILS À AIR COMPRIMÉ DE LA ROBINETTERIE
Avant-propos

PROFLUID est l'organisation professionnelle française

représentative des fabricants de pompes, d'agitateurs, de
compresseurs et de robinetterie industrielle et sanitaire. Au
cœur des décisions nationales et européennes, elle est
membre de la FIM (Fédération des Industries Mécaniques), de
PNEUROP (Comité Européen des constructeurs de
compresseurs, pompes à vide et outils à air comprimé),
d'EUROPUMP (Comité Européen des Constructeurs de
Pompes) et du CEIR (Comité Européen de l'Industrie de la
Robinetterie).
Ayant constaté que la notion de niveau d'intégrité de sécurité
(démarche SIL) devient un thème récurrent, mais bien souvent
réservé aux spécialistes, PROFLUID a décidé de rédiger un
guide de présentation pour aider les industriels à comprendre
et utiliser à bon escient ces concepts.
p. 2 p. 3

Sommaire 1 INTRODUCTION

Le SIL (Safety Integrity Level), ou niveau d'intégrité de

> 1 INTRODUCTION ..................................................................................p.3
sécurité, est une mesure du niveau de sécurité apporté par
une mesure technique de maîtrise de risque, dans un
> 2 HISTORIQUE ...........................................................................................p.4
environnement industriel.
> 3 DEFINITIONS...........................................................................................p.5 Cette notion prend une importance croissante auprès des
exploitants et par conséquent auprès de leurs fournisseurs ;
> 4 PRINCIPES DE BASE ....................................................................p.7 les facteurs à l’origine de cette tendance sont :
4.1 Détermination du SIL requis .......................................................p.7 Une pression règlementaire : les exploitants doivent
4.2 Cycle de vie de sécurité d'un système ..........................p.7 donner la preuve qu'ils ont identifié et traité les risques
4.3 Calcul de PFD et redondance ...............................................p.18 associés à leurs procédés afin d'obtenir une autorisation
d'exploiter.
4.4 Architectures typiques ...................................................................p.19
4.5 Combinaisons de SIS .....................................................................p.20 Une pression sociétale : les travailleurs, les riverains, les
politiques, ne sont plus enclins à accepter une exposition
4.6 Notions de coût .....................................................................................p.21 au risque, aussi faible soit-elle (principe de précaution).
> 5 APPLICATIONS : SYSTÈMES...........................................p.22 Une pression économique : au-delà des pertes humaines
5.1 Bonnes Pratiques ................................................................................p.22 et matérielles, un incident ou accident sur un site industriel
amène à des pertes d'exploitation qui peuvent rapidement
5.2 Maintien du niveau de SIL.........................................................p.24 mettre en péril la pérennité d'un site. A ce titre, la démarche
5.3 Autres Critères ........................................................................................p.27 SIL est un prolongement de la démarche LCC, Life Cycle
Cost, qui, au delà du coût d’investissement, prend en
> 6 APPLICATIONS : ROBINETTERIE ..............................p.28 compte les coûts associés à l’exploitation et la maintenance
6.1 Application des concepts de SIL ......................................p.28 de l’équipement.
6.2 Principales difficultés ......................................................................p.32 Par ce document, qui se veut simple d'accès, PROFLUID
souhaite présenter à ses adhérents les principes de la
6.3 Importance de la testabilité .....................................................p.32
démarche et les grandes notions qui s'y rattachent. Sans
> 7 CERTIFICATION ET BASES DE DONNÉES .......p.34 être un guide technique, ce document est donc un outil
pédagogique, destiné aux non initiés.
7.1 TÜV Rheinland ........................................................................................p.34
7.2 Bureau Veritas .........................................................................................p.35
7.3 INERIS ..............................................................................................................p.35
7.4 EXIDA ................................................................................................................p.35
7.5 Bases de Données .............................................................................p.36

> 8 SOURCES ................................................................................................p.37

p. 4 p. 5

2 HISTORIQUE 3 DEFINITIONS

La prise en compte de la sûreté de fonctionnement lors de Sûreté de fonctionnement

la conception des systèmes est une démarche relativement Il s'agit de la confiance que l'on peut avoir en un système.
récente. Elle fait intervenir sa fiabilité, sa testabilité, sa maintenabilité,
Ce type d'approche a été initié au début des années 1990 sa disponibilité et sa sécurité.
par les fabricants et utilisateurs d'équipements électroniques, Niveau de confiance
dont les pannes inopinées étaient difficiles à prendre en Il s'agit d'une quantification de la sûreté de fonctionnement.
compte dans les calculs de fiabilité. Une démarche Le SIL est un niveau de confiance, mais d'autres méthodes
probabiliste a ainsi commencé à se mettre en place. peuvent être utilisées.
En 1998, une mutualisation des connaissances a abouti à SIL (Safety Integrity Level)
la parution de la série de normes CEI 61508 "Sécurité Le SIL, ou niveau d'intégrité de sécurité, est une quantification
fonctionnelle des systèmes électriques / électroniques / (nombre entier de 1 à 4) du niveau de réduction de risque
électroniques programmables relatifs à la sécurité". Ces spécifié pour une fonction de sécurité sur un procédé.
normes introduisent pour la première fois le concept de SIL.
Le niveau de SIL est directement relié à la performance du
Elles ont fait l'objet d'une révision en 2010.
système de sécurité :
Par la suite, en 2003, les normes CEI 61511 "Sécurité
fonctionnelle - Systèmes instrumentés de sécurité pour le SIL PFD RRF PFH
secteur des industries de transformation" ont élargi cette Probabilité de Facteur de Probabilité de
notion aux systèmes, intégrant des composants mécaniques, défaillance à la réduction défaillance
sollicitation de risque dangereuse par heure
appelés "actionneurs".
1 10-1 à 10-2 10 à 100 10-5 à 10-6
Preuve de leur intérêt et de leur utilisation, ces normes ont
2 10 à 10
-2 -3
100 à 1 000 10-6 à 10-7
été reprises au niveau européen (CENELEC), en 2002 pour
la norme 61508 et en 2004 pour la 61511. 3 10 à 10
-3 -4
1000 à 10 000 10-7 à 10-8
4 10 à 10
-4 -5
10 000 à 100 000 10-8 à 10-9
Il est également notable que la démarche probabiliste initiée
par le SIL est fréquemment reprise dans d'autres normes, Tableau 1 : Correspondances entre performance et SIL
comme par exemple la EN 13849, qui traite des systèmes
de commande, et qui est une norme harmonisée pour la
SIS (Système Instrumenté de Sécurité)
Directive Machines 2006/42/CE.
Système réalisant une ou plusieurs fonctions instrumentées
Comme toute norme, ces documents sont d'application de sécurité. L'architecture typique est une chaîne capteur -
volontaire, cependant, certaines règlementations locales unité de traitement - actionneur.
tendent à les rendre incontournables. C'est ainsi le cas en
PFD (Probability of Failure on Demand)
France, qui met en place un système de suivi des
équipements critiques pour la sécurité. Pour les systèmes Probabilité moyenne de défaillance à la sollicitation.
instrumentés de sécurité, le Niveau de Confiance fait partie PFH (Probability of dangerous Failure per Hour)
des informations à tracer. Ce Niveau de Confiance, dans Probabilité moyenne de défaillance dangereuse, par heure,
bien des cas, peut être interprété comme le SIL. lors d'une utilisation continue.
p. 6 p.
RRF (Risk Reduction Factor)
Facteur de réduction de risque = 1/PFD
FMEA (ou AMDE)
Analyse des modes de défaillance et de leur criticité.
Démarche systématique et inductive ayant pour but de
déterminer les modes potentiels de défaillance des
composants d'un système, leurs causes et leurs effets. Ces
modes peuvent être hiérarchisés par multiplication d'indices
de gravité, d'occurrence et de probabilité de détection. On
parle alors d'AMDEC ou FMECA. L'intégration des
fonctions de diagnostic dans cette démarche est également
possible, il s'agit alors de la méthode FMEDA.
MTBF (Mean Time Between Failure)
Durée moyenne de bon fonctionnement avant défaillance
MTTR (Mean Time To Repair)
Durée moyenne d'une réparation après défaillance
ALARP (As Low As Reasonably Practicable)
Littéralement "aussi faible que raisonnablement possible".
Principe applicable pour la détermination du risque tolérable
et des niveaux d'intégrité de sécurité requis.
LOPA (Layer Of Protection Analysis)
Analyse des couches de protection. Méthode qualitative
permettant d'affecter des niveaux d'intégrité de sûreté à
des barrières techniques en fonction des résultats de
l'analyse de risque.
HAZOP (Hazard and Operability study)
Méthode d'analyse de risques sur un procédé industriel, par
étude systématique des anomalies possibles, de leurs
causes et de leurs conséquences.
7
4 PRINCIPES
DE BASE
4.1 DETERMINATION DU SIL REQUIS
Le niveau SIL est une caractéristique intrinsèque du
système. Il est fixé par l'exploitant suite à une analyse de
risque qui permettra de déterminer quelles barrières de
sécurité doivent être mises en place, avec quel niveau de
confiance.
Ainsi, le niveau de SIL est une cible à laquelle l'équipement
devra satisfaire, de manière durable.
4.2 CYCLE DE VIE DE SECURITE D'UN SYSTEME
Afin de concevoir et exploiter un système instrumenté de
sécurité, il est nécessaire que l'entreprise s'appuie sur une
structure organisée, compétente, informée de la stratégie
en terme de sécurité et disposant d'une planification des
opérations de sécurité fonctionnelle documentée. Ceci
implique que les fournisseurs doivent disposer d'un
système de gestion de la qualité.
L'équipe en charge de l'évaluation de la sécurité
fonctionnelle s'appuiera sur l'analyse du cycle de vie de
sécurité du système.
Une forme typique de cycle de vie de sécurité est donnée
au schéma 1.
p. 8 p. 9

4.2.1 Analyse des dangers et des risques

Objectif : Déterminer les dangers et les évènements
dangereux du processus et des équipements associés, la
Analyse des dangers séquence des évènements conduisant à l'évènement
et des risques dangereux, les risques du processus associés à
l'évènement dangereux, les exigences concernant la
réduction de risque et les fonctions de sécurité requises
Gestion / évaluation / audits de la sécurité fonctionnelle

Allocation des fonctions pour réaliser la réduction de risque nécessaire.

Structure et planification du cycle de vie de la sécurité

de sécurité aux couches

de protection Méthode : Généralement le "nœud papillon", qui distribue,
autour de l'évènement redouté central, ses causes et ses
conséquences. La méthode HAZOP permet d'identifier et
d'évaluer les dangers dans une installation de procédé,
Prescriptions Conception & ainsi que les problèmes d'aptitude au fonctionnement sans
de sécurité développement danger susceptibles de compromettre son aptitude à
Spécification d'autres moyens
de réduction de risque atteindre le niveau de productivité prévu.
pour le SIS

Vérification
Article Anomalies Causes Conséquences Protections Actions
Conception &
ingénierie du SIS Défaillance Pression
Récipient Niveau du système élevée Opérateur
élevé de conduite
Installation, mise Evaluer les
en service & validation 1) Alarme, conditions
1) Niveau Déversement opérateur, pour le
élevé déversement
Pression ou dégagement couche de
protection ou le
Exploitation & élevée 2) Incendie dans dégagement
Maintenance externe l'environnement 2) Système dans
déluge l'environne-
ment
Modification Débit Défaillance Aucune
faible/ du système conséquence
inexistant de conduite intéressante
Déclassement
Aucune
Débit conséquence
inversé intéressante
Schéma 1 : Cycle de vie de sécurité d'un système
Tableau 2 : Exemple de résultat d'étude HAZOP
p. 10 p. 11

Causes es es Conséquences Un important travail d'analyse et de documentation a déjà

nac èr res
Me Barri rriè été réalisé par les exploitants et les fabricants pour associer
Ba un niveau de SIL requis à un niveau de risque identifié.
Concrètement, les niveaux ainsi définis correspondent à
Evènement des probabilités de défaillance de la boucle de sécurité
redouté (intégrant donc toutes ses composantes). Les valeurs sont
indiquées dans les deux tableaux ci-après.

Arbre des causes Arbre des évènements

Fonctionnement en mode continu (ex : vanne de régulation)
Schéma 2 : Exemple générique de nœud papillon : Niveau de SIL PFH
les barrières peuvent permettre d'éviter l'évènement
redouté ou réduire ses conséquences. 4 10-9 ≤ PFH < 10-8
3 10-8 ≤ PFH < 10-7
4.2.2 Allocation des fonctions de securité 2 10-7 ≤ PFH < 10-6
Objectif : Allocation des fonctions de sécurité aux couches 1 10-6 ≤ PFH < 10-5
de protection et pour chaque fonction instrumentée de
Tableau 3 : Correspondances entre SIL et probabilité de
sécurité, le niveau d'intégrité de sécurité associé.
défaillance dangereuse par heure
Méthode : Par analyse du nœud papillon, des couches de
protection sont définies, ainsi que les niveaux de SIL
associés à chaque système instrumenté. Des méthodes
sont explicitées dans la norme EN 61511-3. Parmi ces Fonctionnement en mode sollicitation (ex : vanne de sectionnement)
méthodes, on peut citer :
Niveau de SIL PFD RFF
• L'analyse des couches de protection (LOPA)
4 10 ≤ PFD < 10
-5 -4
10.000 ≤ RFF < 100.000
• Le graphe de risque étalonné
3 10-4 ≤ PFD < 10-3 1.000 ≤ RFF < 10.000
• La matrice de couches de sécurité
2 10-3 ≤ PFD < 10-2 100 ≤ RFF < 1.000
• La méthode semi-quantitative (L'ALARP)
1 10-2 ≤ PFD < 10-1 10 ≤ RFF < 100

collective : communicat Tableau 4 : Correspondances entre SIL et probabilité de

rg ence ion
à l'
'u défaillance ou facteur de réduction de risque
sed c e de l'installation : é
v a
ext
éri
on ge n cu a e
p ur tion
d' s conséquen
Ré

le
ur

e t e r d
ns :lim i ce s de
u
po

on
sit

l'i
ati n : empêcher l'in
Ré

t io c
nc

n i
u

e d
én

év e
ide

et survei
llan
ôle
Att

nt
Pr

ntr du process et c
nt

e
condu Co

e : larmes
it

Processus
Schéma 3 : Construction typique de couches de protection
p. 12 p. 13

La méthode de la matrice de couches de sécurité est 4.2.3 Prescription de securité

fréquemment employée pour déterminer le ou les niveaux
de SIL requis. Comme explicité dans le tableau 5, en
croisant la gravité et la probabilité d'occurrence des
évènements dangereux identifiés, on peut déterminer
simplement le niveau de SIL requis, selon le nombre de
couches de protection à mettre en œuvre.
Par exemple, un évènement dangereux mineur, mais de
probabilité d'occurrence élevée nécessitera un système
instrumenté de sécurité de niveau 2 ou encore deux
couches de protection de niveau 1.
Nombre
de couches
de protection Niveau SIL requis
3 1
2 1
1 1 2 1
Probabilité
Moyenne
Objectif : Spécifier les exigences pour chaque SIS, en
termes de fonctions instrumentées de sécurité requises et
leur intégrité de sécurité associée, afin d'obtenir la sécurité
fonctionnelle requise.
Méthode : Le but étant de fournir un cahier des charges
détaillé aux fournisseurs d'équipements, il s'agit de réaliser
une étude exhaustive et détaillée des conditions de
fonctionnement des systèmes instrumentés de sécurité.
Cette analyse devra entre autres identifier :
• Le niveau de SIL pour chaque fonction de sécurité
• Les modes communs de défaillance
• Les états du processus individuellement sûrs, qui,
combinés, peuvent créer un danger
• Le taux de déclenchement parasite admis
1 • Le délai moyen de réparation…
1 2 1 2 3
2 3 3 3 3 4.2.4 Conception et ingenierie du SIS
Objectif : Concevoir le SIS pour satisfaire aux exigences

Moyenne

Moyenne
Elevée

Elevée

Elevée
Faible

Faible

Faible

d'occurrence des fonctions instrumentées de sécurité et d'intégrité de

d'un évènement
dangereux sécurité.
Mineur Grave Très grave Méthode : Outre le respect du cahier des charges défini par
l'exploitant, les exigences sont nombreuses. Certaines
Classement selon la gravité
des évènements dangereux d'entre elles sont détaillées ci-après :
• Indépendance des fonctions de sécurité et des fonctions
Tableau 5 : Exemple de matrice de couches de sécurité non sécuritaires.
• Si ça n'est pas possible, les fonctions non sécuritaires
doivent être traitées selon le niveau de SIL le plus élevé.
SIL3 insuffisant, prévoir des
protections supplémentaires • Prise en compte des nécessités de l'exploitation, de la
maintenance et des essais lors de la conception,
notamment ergonomique.

Exemples de niveau SIL : • Prise en compte du niveau de qualification du personnel

auquel le matériel est destiné.
SIL 1 : système de détection de gaz "classique"
• Stabilité en état de sécurité jusqu'à réinitialisation.
SIL 2 : système de freinage ABS automobile
• Présence d'actionneurs manuels sur les éléments
SIL 3 : système de freinage de train terminaux.
SIL 4 : système de signalisation ferroviaire • Surveillance de l'alimentation.
p. 14 p. 15

• Traitement des anomalies dangereuses détectées, en 4.2.5 Installation, mise en service et validation
prenant en compte un délai de réparation supérieur au Objectif : Intégrer et essayer le SIS. Valider que le SIS
MTTR spécifié. satisfait, en tous points, aux exigences de sécurité, en
• Tolérances aux anomalies du matériel (capacité à termes de fonctions instrumentées de sécurité et d'intégrité
fonctionner en cas de défaillance de composants). de sécurité requises.
Implique la conception de sous-systèmes redondants. Méthode : L'installation et la mise en service doivent être
planifiées afin de disposer des ressources matérielles et
Tolérance minimale aux anomalies du matériel humaines nécessaires. En vue de la validation de sécurité
du SIS, tous les modes de fonctionnement du processus
SIL SFF < 60 % 60 % ≤ SFF ≤ 90 % SFF > 90 % doivent être balayés, y compris les conditions anormales
raisonnablement prévisibles.
1 1 0 0
2 2 1 0
3 3 2 1 4.2.6 Exploitation et maintenance
4 Exigences particulières (voir EN 61508) Objectif : Assurer que la sécurité fonctionnelle du SIS est
conservée pendant l'exploitation et la maintenance.
Tableau 6 : Tolérances minimales aux anomalies du
matériel selon le niveau de SIL (électronique programmable) Méthode : L'exploitation et la maintenance en particulier
doivent être planifiées, en traitant :
• Les activités d'exploitation périodique et anormale
SIL Tolérance minimale aux anomalies du matériel • Les activités de tests périodiques, de maintenance
préventive et de dépannage
Ni sécurité Sécurité positive Matériel éprouvé, • Les procédures, mesures et techniques à utiliser pour
positive ni ou autodiagnostic protection l'exploitation et la maintenance
autodiagnostic des réglages
Il est particulièrement important de documenter les
1 1 0 0 procédures nécessaires pour maintenir un niveau de
2 2 1 0 sécurité acceptable lorsqu'un shunt (court-circuitage de la
3 3 2 1 barrière de sécurité) est nécessaire à la maintenance ou aux
essais périodiques.
4 Exigences particulières (voir EN 61508)
Ces essais sont d'une importance capitale pour le maintien
Tableau 7 : Tolérances minimales aux anomalies du du niveau d'intégrité de sécurité procuré par le SIS. Ils
matériel selon le niveau de SIL (capteurs, éléments doivent permettre de vérifier le fonctionnement correct de
terminaux, logique non programmable) chaque capteur, des éléments terminaux, la bonne
réalisation de l'action logique ainsi que le bon
• Choix des composants et des sous-systèmes : possibilité fonctionnement de la signalisation et des alarmes. Un plan
de choisir des éléments "éprouvés par l'usage". Il est d'inspection visuelle doit nécessairement être établi.
important de recueillir le maximum de retour d'expérience
possible.
• Exigences concernant la maintenabilité et la testabilité (en
globalité ou par parties).
• Calcul des probabilités de défaillance. Plusieurs outils
existent, aux domaines de validité différents (Simulation,
AMDEC, Arbre de défaillances, Modèles de Markov…).
p. 16
4.2.7 Modification
Objectif : Faire des corrections, des améliorations ou des
adaptations au SIS, en s'assurant que le niveau d'intégrité
de sécurité requis est obtenu et maintenu, voire amélioré.
Méthode : Toute modification doit être justifiée et ses
conséquences détaillées et quantifiées. Il convient notamment
de réaliser des essais pré et post modification pour identifier
de potentiels effets néfastes.
4.2.8 Déclassement
Objectif : Assurer la revue, l'organisation sectorielle ad hoc,
et assurer que la SIF reste appropriée.
Méthode : Une évaluation de l'impact du déclassement sur
la sécurité fonctionnelle ainsi qu'une mise à jour de l'étude
de danger et de risque doivent être réalisées.
4.2.9 Vérification
Objectif : Essayer et évaluer les sorties d'une phase
donnée, pour assurer la véracité et la cohérence par rapport
aux produits et aux normes donnés comme entrées à cette
phase.
Méthode : La vérification est une activité planifiée, chaque
phase du cycle de vie doit faire l'objet d'un plan et les
résultats de la vérification doivent être tracés. De nombreux
outils sont possibles, et dépendent de la phase à vérifier et
du niveau de complexité du matériel. De même, la
fréquence des évaluations dépend de la complexité, de
l'importance de la sécurité, du retour d'expérience
disponible sur des systèmes semblables.
Les évaluateurs sont nécessairement indépendants de
l'équipe chargée du développement du système ainsi que
de celle chargée de la conduite du procédé.
p. 17
4.3 CALCUL DE PFD ET REDONDANCE
Comme vu en 4.2.4, l'atteinte de certains niveaux de SIL
nécessite une tolérance aux anomalies du matériel. Les
composants à fiabilité infinie n'existant pas, la bonne
pratique est de mettre en place des redondances.
Par exemple, au lieu d'utiliser un capteur de pression, on en
utilisera 2 ou 3, avec un système de vote pour déclencher
l'action de sécurité.
Le choix des architectures aura un impact sur la fiabilité,
ainsi que la disponibilité. La littérature concernant le calcul
de probabilité de défaillance dangereuse (PFD) est
abondante et n'est pas l'objet de ce document. La
démarche FMEDA qui aide à déterminer les taux de
défaillances sûres, dangereuses, détectées et non
détectées est fréquemment utilisée. On retiendra que la
multiplication des canaux indépendants permet de diminuer
la PFD, et qu'un système de "vote" à la majorité permet
d'augmenter la disponibilité. Le surcoût engendré par ce
type d'architecture est bien souvent compensé par de
moindres pertes d'exploitation.
Les architectures les plus souvent rencontrées relatives à ce
dernier type de redondance sont les suivantes :
Avec n=nombre de canaux indépendants, et m=nombre de
signaux nécessaires au déclenchement de l'action de
sécurité :
1oo1 (m=n=1) : Cette architecture comprend un seul
élément, et toute défaillance dangereuse de cet élément
empêche le traitement correct de tout signal d'alarme
valide.
1oo2 (m=1 et n=2) : Cette architecture comprend deux
éléments connectés en parallèle de façon que chacun
puisse traiter la fonction de sécurité. Tant qu’un élément est
opérationnel, la sécurité est garantie.
p. 18
2oo2 (m=2 et n=2) : Cette architecture comprend deux
éléments connectés en parallèle de sorte qu'il est
nécessaire que les deux éléments demandent la fonction de
sécurité avant que celle-ci ne survienne. Il faut que les deux
éléments soient opérationnels pour assurer la fonction de
sécurité. La défaillance dangereuse d'un seul élément
empêche le traitement correct de tout signal d'alarme
valide.
2oo3 (m=2 et n=3) : Cette architecture comprend trois
éléments connectés en parallèle avec un dispositif à logique
majoritaire pour les signaux de sortie de telle sorte que l'état
de sortie n'est pas modifié lorsqu'un seul élément donne un
résultat différent des deux autres éléments. Tant que deux
éléments sont opérationnels, la sécurité est garantie. Il
faudrait la défaillance dangereuse de deux éléments pour
qu'un signal d'alarme valide ne soit pas traité correctement.
Cette architecture représente aujourd'hui "l'état de l'art" car
elle permet un bon compromis sécurité - disponibilité des
outils de production.
4.4 ARCHITECTURES TYPIQUES
La notion de tolérance minimale aux anomalies, vue en
4.2.4, a entraîné la création d'architectures "types",
permettant de répondre aux critères de SIL1, SIL2 ou SIL3.
• SIL 1 : Architecture 1oo1 avec 1 capteur, 1 unité de
traitement et 1 élément terminal.
• SIL 2 : Intégration de fonctions de diagnostic et de
redondance des capteurs et de l'unité de traitement.
L'élément terminal peut également faire l'objet de
redondance.
• SIL 3 : Typiquement, redondance des capteurs, de l'unité
de traitement et de l'élément terminal ; fonctions de
diagnostic avancées, validation en ligne de la fonction de
sécurité pour limiter la fréquence des essais.
p. 19
4.5 COMBINAISONS DE SIS
Dans certains cas, un facteur de réduction de risque très
élevé peut être nécessaire. Or, la réalisation de systèmes
instrumentés de hauts niveaux de SIL est difficile et
coûteuse (notamment le niveau SIL 4, très complexe).
Il peut être dans ce cas avantageux de combiner plusieurs
SIS de niveau de SIL plus faible. Il convient alors d'être
attentif aux facteurs de cause commune, qui viendront
minorer le facteur de réduction de risque obtenu.
Ces facteurs sont nombreux et peuvent être difficiles à
éliminer. Peuvent être cités :
• Composants électroniques de même origine
• Facteurs humains (programmation, maintenance)
• Langage de programmation
• Facteurs climatiques
Il est ainsi en général déconseillé d'utiliser conjointement
deux systèmes identiques, qui partageront de nombreuses
causes communes. Il est préférable d'utiliser un deuxième
système non redondant.
En pratique, lorsque plusieurs SIS sont utilisés en série, le
niveau de SIL retenu pour l'ensemble sera le plus faible de
tous les SIS. Lorsque plusieurs SIS sont utilisés en parallèle,
une analyse des modes communs sera nécessaire pour
déterminer si le niveau de SIL global peut être majoré. En
tout état de cause, le niveau de SIL3 ne pourra être
dépassé.
p. 20 p. 21

4.6 NOTIONS DE COUT
On comprendra aisément que la réduction de risque
augmentant d'un facteur 10 entre chaque niveau de SIL, les
exigences sur le matériel et les multiples redondances
possibles affectent lourdement le coût lorsque le niveau de
SIL demandé augmente.
A titre indicatif, on considère que le coût du développement
et de l'équipement double lorsque le niveau de SIL
augmente d'une unité. Toutes précautions prises, il peut
être plus intéressant d'utiliser un SIL1 et un SIL2 plutôt
qu'un SIL3.
5 Par analyse du retour d'expérience, il est nécessaire de
Coût
5
APPLICATIONS :
SYSTEMES
5.1 BONNES PRATIQUES
5.1.1 Concept éprouvé
Une fois l'architecture du système instrumenté de sécurité
définie, il faut procéder au choix des composants et des
sous-ensembles. La norme EN 61511 impose de recourir à
des composants certifiés selon l'EN 61508 (éléments
électriques et électroniques) ou ayant fait leurs preuves.
Cette possibilité a été ajoutée de par le faible nombre
d'équipements de terrain (exemple : vannes) conçus selon
l'EN 61508.

démontrer que l'équipement sera apte à atteindre la PFD

cible et qu'il est utilisable dans les conditions d'architecture
1 déterminées lors de la conception du SIS.
1 2 3 4 Par définition, les utilisateurs sont réticents à utiliser de
Niveau SIL nouvelles technologies pour des fonctions de sécurité, le
retour d'expérience sera donc principalement issu des
fonctions de conduite du procédé. Il faudra néanmoins
Schéma 4 : Lien entre SIL et coût du système instrumenté veiller à ce que les conditions d'utilisation soient
de sécurité comparables.
L'une des principales difficultés de l'application des
concepts de SIL est la collecte du retour d'expérience. Afin
d'aider les exploitants et les fabricants, des bases de
données ont été constituées (voir chapitre 7). Cependant,
afin de disposer d'un panel statistique suffisant, les
matériels sont regroupés par familles, ce qui limite la finesse
des données de fiabilité.
Afin d'être représentatif et exploitable, les données issues
du retour d'expérience doivent nécessairement tenir
compte de certains paramètres.
p. 22 p. 23

PARAMètRES 5.1.3 Autodiagnostic

De même que précédemment, une fonction de détection ou
Dispositif de terrain Unités logiques prévision des défaillances dangereuses permet de limiter le
(vannes, capteurs...)
recours aux redondances.
• Version hardware Il est ainsi conseillé de prévoir des fonctions d'autodiagnostic,
• Fonction • Version software lorsque le processus le permet.
• Plage de fonctionnement • Logiciels
• Conditions de process • Configuration E/S
(pression, T°, produits) 5.2 MAINTIEN DU NIVEAU DE SIL
• Temps de réponse
• Connexion au processus
• Taux de sollicitation L’évaluation du SIL d’une fonction instrumentée de sécurité
est insuffisante pour garantir le maintien du niveau de
Conditions d'environnement sécurité au cours du temps. En effet, comme tout dispositif,
Compatibilité électromagnétique le système est sujet au vieillissement, qui va altérer ses
performances et faire baisser le SIL effectivement atteint.
Schéma 5 : Paramètres minimaux à prendre en compte 5.2.1 Testabilité
lors du retour d'expérience Des tests périodiques permettent de révéler les défaillances
dangereuses.
L’intervalle de ces tests judicieusement choisi permet de
garantir un niveau de confiance requis (graphe ci-dessous).
Cet intervalle intervient notamment lors du calcul de
5.1.2 Sécurité positive PFD/PFH.
Un système à sécurité positive (ou sécurité intrinsèque, ou Le SIL d'un système ou la capacité SIL d'un composant est
"à manque", ou "fail safe") est un système qui se met en état donc indissociable de la période déterminée pour les tests.
de sécurité dans son mode de défaillance principal.
Un certain nombre de précautions doivent être prises lors
On citera pour exemple une vanne équipée d'un actionneur de la conception des phases de tests. En effet, la réalisation
pneumatique simple effet destinée à arrêter un flux en cas des essais peut nécessiter la mise en place de dérivations
de surpression. Une perte d'alimentation en air comprimé (shunt) réduisant le niveau de sécurité du SIS. Des
de l'actionneur entraînera la fermeture de la vanne. procédures appropriées devront être établies afin d'informer
Certains systèmes ne peuvent pas être à sécurité positive, et de limiter dans le temps de telles situations.
on dit qu'ils sont "à émission". C'est typiquement le cas
d'un avertisseur feu et gaz ou d'un rideau d'eau.
Comme vu au tableau 7, le recours à ce type d'éléments
permet de limiter la tolérance minimale aux anomalies du
matériel, et donc les redondances.
p. 24 p. 25

10 -2
SIL2
-3
10
SIL3 SIL2
PFD

PFD
-4
10
SIL4 SIL3
T1
10 -5 T1
SIL4
T2 T2

TEMPS TEMPS

Elément 1
Elément 2
t1 : intervalle de test de l'élément 1 t1 : intervalle de test complet
t2 : intervalle de test de l'élément 2 t2 : intervalle de test partiel

Schéma 6 : Evolution de la PFD de 2 éléments dans le Schéma 7 : Evolution de la PFD du même sous-ensemble
temps. L'élément 2 est capable de garder un taux de selon qu'il subisse un test complet de longue période ou
défaillance compatible SIL3 plus longtemps que l'élément 1. des tests partiels à plus haute fréquence. Le niveau de
SIL2 est maintenu plus longtemps avec les tests partiels.

L'exécution d'essais complets permet de requalifier

5.2.2 Maintenance
l'équipement pour une période complète, mais cela est
parfois très difficile à réaliser. En effet, certains essais Qui dit test et autodiagnostic dit détection de problèmes. Il
nécessitent l'arrêt du procédé ou sont très dangereux à est nécessaire que les opérations de maintenance soient
mettre en œuvre. Il est ainsi difficile de concilier un niveau prises en compte lors de la conception du système
élevé de SIL et des intervalles de tests longs (qui instrumenté de sécurité. Les opérations de maintenance en
correspondraient par exemple aux arrêts programmés de marche ne devront pas provoquer de déclenchement
production). intempestif, ni compromettre la sécurité du processus. Le
recours aux redondances ou aux dérivations est souvent
Pour remédier en partie à ce problème, de nombreux
nécessaire.
composants ou sous-ensemble comportent des fonctions
d'autodiagnostic, basées sur des essais partiels ou par
partie.
Bien que ces essais ne permettent pas de valider
l'intégralité des états du système, il est possible de balayer
les modes de défaillances principaux. On observe ainsi une
dérive "maîtrisée" du niveau SIL.
p. 26
5.3 AUTRES CRITERES
5.3.1 Temps de réponse
Un temps de réponse cible doit être déterminé pour chaque
fonction de sécurité, en fonction de la cinétique des
conséquences d'un évènement redouté.
Une réaction chimique en chaîne nécessitera par exemple
une action de mise en sécurité bien plus rapide qu'un
débordement de bac de stockage de produit pétrolier.
Tout comme le niveau d'intégrité de sécurité, ce temps de
réponse devra être évalué régulièrement afin de déceler
d'éventuelles anomalies. Les essais pourront être partiels
quand un test en ligne complet n'est pas réalisable.
5.3.2 Integration du facteur humain
Les normes EN 61508 et EN 61511 ne prévoient pas
l'intégration du risque lié au facteur humain dans les calculs
de PFD d'une fonction instrumentée de sécurité, pour la
simple raison qu'il n'est pas quantifiable.
Hors fonction instrumentée, il est néanmoins estimé que la
PFD d'un opérateur formé et non stressé est comprise
entre 10-4 et 10-2 et qu'en situation de stress, la PFD est
comprise entre 0,5 et 1 (de 50% à 100% de risque
d'erreur !).
La nécessaire intégration du facteur humain lors du
développement de fonctions instrumentées de sécurité se
fera à travers la documentation utilisateur, qui devra être
extrêmement explicite, ainsi que par la formation des
opérateurs.
p. 27
6
APPLICATIONS :
ROBINETTERIE
On l'a vu, un système instrumenté de sécurité se
compose de la chaîne suivante.
Capteur Unité logique Elément terminal
Dans de très nombreux cas, si ce n'est la majorité,
l'élément terminal qui va physiquement mettre le
procédé dans un état sûr est une vanne. Or, il est estimé
que les vannes sont responsables de 50% des anomalies
affectant les systèmes instrumentés de sécurité !
Aussi bien des vannes de sectionnement que des
vannes de réglage peuvent être utilisées dans des SIS.
Dans le cas des vannes de réglage, on se rappellera qu'il
est difficile d'atteindre un niveau SIL élevé lorsque les
fonctions de sécurité ne sont pas indépendantes de
celles de contrôle du procédé.
Les soupapes de sûreté sont des composants
largement utilisées pour la réduction des risques, mais
elles ne sont en général pas instrumentées et ne sont
donc pas considérées lors des études de sureté de
fonctionnement liées au SIL.
6.1 APPLICATION DES CONCEPTS DE SIL
Deux cas peuvent être distingués, selon les besoins :
6.1.1 Fournir des données de fiabilité
Sur demande de l'intégrateur, le fournisseur de robinetterie
doit indiquer des données de fiabilité (et non pas des
valeurs de SIL, qui concernent la chaîne de sécurité). Il
s'agit donc de mettre en place une démarche de retour
d'expérience, qui se structure ainsi :
• Détermination des modes de défaillance (AMDEC)
• Recueil de données de fiabilité en conditions réelles (ou à
défaut, par essais)
• Dépouillement pour affecter les taux de défaillance aux
modes identifiés.
p. 28
6.1.2 Indiquer une capacité SIL
pour un équipement "catalogue"
Il s'agit dans ce cas de décrire le cycle de vie de sécurité,
comme indiqué dans l'EN 61508, qui sert de référentiel aux
différents organismes de certification (voir chapitre 7).
> 1 ANALySE DU bESoIN
> 2 MAîtRISE DES ANoMALIES DE CoNCEPtIoN Et FAbRICAtIoN
> 3 DESCRIPtIoN FoNCtIoNNELLE DE L'oRGANE
> 4 ANALySE DES MoDES DE DéFAILLANCE DE L'oRGANE
> 5 EVALUAtIoN DE LA FIAbILIté DE L'oRGANE
> 6 EVALUAtIoN DU NIVEAU DE SéCURIté DE L'oRGANE
Schéma 8 : Démarche générale d'évaluation de la sécurité
fonctionnelle.
Le rapport "Performances - Guide d'application des
concepts de SIL aux équipements de robinetterie" issu
d’une étude de la Commission Professionnelle Robinetterie
du CETIM (voir références au chapitre 8) fournit une
description précise des différentes étapes. Le schéma
ci-après récapitule les différents points à traiter.
p. 29
> 1 ANALySE DU bESoIN
Identification précise du besoin de l'utilisateur :
• Cycle de vie de l'organe
• Phases d'exploitation et d'arrêt
• Environnement de l'organe durant chaque phase
• Contraintes réglementaires et normatives
• Exigences particulières
> 2 MAîtRISE DES ANoMALIES
DE CoNCEPtIoN Et FAbRICAtIoN
• Identification des facteurs d'influence dès la conception
• Mise en place de mesures préventives et correctives
• Nécessite une organisation structurée
• Système Assurance Qualité performant
> 3 DESCRIPtIoN FoNCtIoNNELLE
Et MAtéRIELLE DE L'oRGANE
Réunir les informations utiles par la suite :
• Constitution matérielle de l'organe (limites physiques,
nomenclature, plan d'ensemble)
• Principe de fonctionnement (schéma de principe, mode de
fonctionnement continu / intermittent)
• Décomposition fonctionnelle de l'organe (fonctions techniques
internes à assurer, caractéristiques et performances associées,
participation des fonctions techniques aux fonctions de service
• Participation des composants aux fonctions techniques
p. 30
> 4 ANALySE DES MoDES DE DéFAILLANCE
Analyse des modes de défaillance et de leurs effets (AMDE)
• Mode potentiel de défaillance du composant
(en conditions d'exploitation)
• Causes possibles de cette défaillance
• Défaillance fonctionnelle de l'organe par conséquence
• Eléments de prévention et de protection mis en place
> 5 EVALUAtIoN DE LA FIAbILIté
Sur base d'essais, de retour d'expérience, de bases de données de
fiabilité ou d'avis d'expert, détermination des taux de défaillance
des composants. Si possible, on déterminera :
• λSU taux de défaillances sûres non détectées
• λSD taux de défaillances sûres détectées
• λDU taux de défaillances dangereuses non détectées
• λDD taux de défaillances dangereuses détectées
> 6 EVALUAtIoN DU NIVEAU DE SéCURIté
FoNCtIoNNELLE DE L'oRGANE
A partir des taux de défaillances déterminés précédemment, on peut
calculer :
• PFH (organes fonctionnant en continu) : PFH = λDU *
• PFDavg(organes fonctionnant à la demande) :
PFDavg= λDD x MttR + λDU x t/2 *
avec MTTR : Mean Time to Repair,
T = période de mission = périodicité des tests
*: formules valables pour une architecture mono-canal
Schéma 9 : Démarche générale d'évaluation de la sécurité
fonctionnelle.
p. 31
6.2 PRINCIPALES DIFFICULTÉS
Attester, et a fortiori, faire certifier une capacité SIL n'est pas
chose aisée.
Si la méthode semble se dérouler naturellement, le
concepteur de robinetterie se trouvera presque
inévitablement face à certains écueils :
• Connaissance du fonctionnement et de l'environnement
réels de l'organe. Ces données ne sont généralement pas
accessibles au fabricant, qui devra donc considérer des
utilisations typiques, dans des conditions typiques.
• Evaluation de la fiabilité : Il s'agit de la principale difficulté.
Les données de retour d'expérience sont rares et
généralement agrégées, ce qui ne permet pas de
distinguer un produit de conception α d'un produit de
conception β. Il est donc souhaitable que des pratiques
de partage de données issues de retour d'expérience se
mettent en place entre fabricants, exploitants et
organismes certificateurs.
• Notion de matériel "éprouvé par l'usage". Le calcul de
PFD reposant sur le retour d'expérience, il est difficile de
justifier d'une capacité SIL sur un nouvel équipement. Par
conséquent, parvenir à démontrer la notion d'"éprouvé
par l'usage" sur du matériel nouveau, et, qui plus est,
innovant, est une gageure.
• Différences entre les pratiques des organismes
certificateurs.
6.3 IMPORTANCE DE LA TESTABILITÉ
On l'a vu dans le cas des systèmes, et c'est encore plus
marqué pour les vannes, de par leur aspect "mécanique",
la probabilité de défaillance à la sollicitation (PFDavg)
augmente très rapidement après chaque essai de
fonctionnement.
Or, les essais peuvent être extrêmement compliqués et
dangereux à organiser, et le respect des périodes d'arrêt
des installations peut être contradictoire avec le niveau SIL
recherché.
Des alternatives existent ; il a ainsi été démontré que des
essais de course partielle sur les vannes permettent de
baisser la PFDavg. Concrètement, il s'agit d'amorcer le
mouvement de l'obturateur, sans aller jusqu'à l'action
complète (fermeture ou ouverture).
p. 32 p. 33

CERTIFICATION

0,1
7 ET BASES
DE DONNEES
Le recours à la certification n'est pas obligatoire pour
attester de la conformité d'un niveau de SIL selon les
PFDavg

0,01 normes EN 61508 ou EN 61511. Il s'agit cependant

d'un bon moyen d'attester de la qualité du travail mis en
œuvre et du respect des nombreuses exigences
requises.
0,001
TEMPS La démarche classique pour attester d'un niveau de SIL
Période de test partiel pour un système de sécurité instrumenté dédié à un
procédé industriel est d'utiliser du matériel électrique et
Période de test complet
électronique certifié selon l'EN 61508 et des
équipements "mécaniques" éprouvés par l'usage.
Test de course partielle Les principaux organismes de certification procèdent
Test de course complète selon la démarche suivante :
• Examen du cycle de vie de sécurité de l'équipement.
Schéma 10 : Influence des tests partiels sur la PFD • Evaluation des probabilités de défaillance (dangereuses
/ non dangereuses, détectées / non détectées).
On voit bien sur cet exemple que l'utilisation de tests Les évaluations sont aussi bien qualitatives (système
partiels peut permettre de maintenir un niveau de SIL à une d'assurance qualité) que quantitatives (calcul de PFD
valeur plus basse, en attendant la période de test complet, selon données du retour d'expérience, d'essais, de
par exemple à l'occasion d'un arrêt programmé de base de données, etc.).
l'installation.
L'offre en termes de services de certification est encore
Si l'utilisation de tests de course partielle peut être limitée, de nombreux prestataires proposent néanmoins
considérée comme une bonne pratique, leur implémentation des services d'accompagnement et d'évaluation. La
peut être difficile : liste ci-dessous énumère certains des acteurs principaux
• Temps de réponse très court dans ce domaine. Il s'agit en général d'une démarche
• Course très faible de l'obturateur coûteuse.
• Vanne normalement fermée : risque de perte d'étanchéité
•… 7.1 TÜV RHEINLAND
• Certification SIL selon la norme EN 61508 (électrique /
électronique / électronique programmable)
• Évaluation des caractéristiques SIL par AMDEC
• Évaluation des caractéristiques SIL par la démarche
«proven-in-use» selon la norme EN 61511
www.tuv.com/fr
p. 34
7.2 BUREAU VERITAS
• Évaluation « SIL » des fonctions, équipements et systèmes
instrumentés de sécurité selon les normes EN 61508, EN
61511…
• Certification QUALISIL : Certification de personnes afin
d'attester de leur qualification, de garantir leurs
compétences ainsi que la maîtrise d'un langage universel
concernant la sûreté de fonctionnement.
www.bureauveritas.fr
7.3 INERIS
• Certification SIL-INERIS selon la norme EN 61508 pour
les systèmes électriques / électroniques / électroniques
programmables pour la sécurité.
• Certification QUALISIL : Certification de personnes afin
d'attester de leur qualification, de garantir leurs
compétences ainsi que la maîtrise d'un langage universel
concernant la sûreté de fonctionnement.
www.ineris.fr
7.4 EXIDA
• Certification SIL selon la norme EN 61508
• FMEA et FMEDA
• Justification de notion de "concept éprouvé"
• Mise à disposition d'une base de données du matériel
disposant d'une certification
www.exida.com
p. 35
7.5 BASES DE DONNÉES
Le recours au retour d'expérience est primordial pour
pouvoir justifier du caractère "éprouvé par l'usage" des
équipements.
Certains exploitants ou organismes ont ainsi développé des
bases de données regroupant des statistiques sur la fiabilité
des composants.
La principale base de données est celle de l'OREDA,
organisme créé par de grands donneurs d'ordres du
marché de l'Oil & Gas. Cette base de données est réputée
très conservatrice (www.oreda.com).
La base de données européenne EIREDA (nucléaire) est
également une source importante d'informations, mais
relativement ancienne. Elle n'est pas disponible en ligne
mais peut être commandée.
Il convient d'être prudent quant à l'utilisation des
statistiques présentées dans les bases de données : il s'agit
de données moyennes concernant de grandes familles de
produits, qui ne pourront pas refléter les différentes
technologies, ni les variations importantes de conditions
d'usage en milieu industriel. La norme EN 61508 impose
d'ailleurs certaines contraintes pour leur utilisation lors des
calculs de PFD.
p. 36

8
NORMES :
SOURCES

EN 61508-1 : Sécurité fonctionnelle des systèmes

électriques / électroniques / électroniques
programmables relatifs à la sécurité - Partie 1 :
prescriptions générales
EN 61508-2 : Sécurité fonctionnelle des systèmes
électriques / électroniques / électroniques
programmables relatifs à la sécurité - Partie 2 :
prescriptions pour les systèmes électriques / électroniques
/ électroniques programmables relatifs à la sécurité
EN 61511-1 : Sécurité fonctionnelle - Systèmes
instrumentés de sécurité pour le secteur des industries
de transformation - Partie 1 : cadre, définitions,
exigences pour le système, le matériel et le logiciel
EN 61511-2 : Sécurité fonctionnelle - Systèmes
instrumentés de sécurité pour le secteur des industries
de transformation - Partie 2 : lignes directrices pour
l'application de la CEI 61511-1
EN 61511-3 : Sécurité fonctionnelle - Systèmes
instrumentés de sécurité pour le secteur des industries
de transformation - Partie 3 : conseils pour la
détermination des niveaux d'intégrité de sécurité

AUTRES SUPPORTS :
• Guide d'application des concepts de SIL aux
équipements de robinetterie - CETIM Performances
• Evaluation des barrières techniques de sécurité -
Ω10 - INERIS
• Démarche d'évaluation des barrières humaines de
sécurité - Ω20 - INERIS
• Dossier "Sécurité de Process" - Mesures Novembre
2005
www.safetyusersgroup.com
www.wikipedia.com
www.risknowlogy.com
Tous droits réservés - Reproduction interdite - Édition 2011

Les éléments contenus dans le présent document et

l'exploitation qui peut en être faite ne peuvent entraîner en
aucune façon la responsabilité de l'Association Française des
Pompes et Agitateurs, des Compresseurs et de la
Robinetterie.
 > CYCLE DE L’EAU > INDUSTRIE/ÉNERGIE > BÂTIMENT

Le SIL
Safety Integrity Level
45 rue Louis Blanc
92400 COURBEVOIE Niveau d'intégrité de sécurité
Tél. : +33 (0)1 47 17 62 98
Fax : +33 (0)1 47 17 63 00
Email : profluid@profluid.org
www.profluid.org
Réalisation : Neuville Impressions

FÉDÉRATION ASSOCIATION EUROPÉENNE COMITÉ EUROPÉEN COMITÉ EUROPÉEN

DES INDUSTRIES DES CONSTRUCTEURS DES CONSTRUCTEURS DE COMPRESSEURS DE L’INDUSTRIE
MÉCANIQUES DE POMPES POMPES À VIDE ET OUTILS À AIR COMPRIMÉ DE LA ROBINETTERIE