Dans les environnements industriels à haut risque, tels que la chimie et la pétrochimie, la défaillance d’un système de commande ne représente pas seulement un arrêt de production – elle constitue une menace directe pour l’intégrité physique des opérateurs et de l’environnement. Pour Lyon Industrie Services, la sécurité fonctionnelle n’est pas une option, mais une discipline rigoureuse régie par des cadres normatifs stricts : l’ISO 13849 et l’IEC 62061.
Comprendre les concepts de Performance Level (PL) et de Safety Integrity Level (SIL) est indispensable pour garantir la conformité réglementaire et l’efficacité opérationnelle des installations critiques.
Le cadre réglementaire : de la directive machines aux normes de sécurité fonctionnelle
La conception et l’exploitation des machines en Europe sont encadrées par la Directive 2006/42/CE. Cette directive impose aux fabricants et aux intégrateurs une obligation de résultat : les machines doivent être sûres. Pour répondre à ces exigences de santé et de sécurité, l’usage des normes harmonisées offre une « présomption de conformité ».
La dualité normative : ISO 13849 vs IEC 62061
Deux piliers soutiennent l’architecture de la sécurité fonctionnelle :
- L’ISO 13849-1 : Basée sur le concept de PL (Performance Level), elle traite principalement des systèmes de commande électriques, hydrauliques et pneumatiques. Elle est historiquement privilégiée par les constructeurs de machines.
- L’IEC 62061 : Basée sur le concept de SIL (Safety Integrity Level), elle est l’adaptation de la norme mère IEC 61508 pour le secteur des machines. Elle se concentre exclusivement sur les systèmes de commande électriques, électroniques et électroniques programmables (E/E/PE).
Dans le secteur de la chimie et de la pétrochimie, où les processus sont souvent complexes et interconnectés, la convergence de ces deux normes est fondamentale pour assurer une protection multicouche.
Le Performance Level (PL) : l’approche probabiliste et qualitative
La norme ISO 13849-1 définit le PL comme la capacité des parties d’un système de commande relatives à la sécurité à assurer une fonction de sécurité dans des conditions prévisibles. Le niveau de performance est classé de a (le plus bas) à e (le plus élevé).
Les paramètres de détermination du PL requis (PLr)
Pour déterminer le niveau de protection nécessaire, on utilise un graphique de risque basé sur trois critères :
- S (Sévérité de la lésion) : S1 (lésion légère) ou S2 (lésion grave, irréversible ou décès)
- F (Fréquence et/ou durée d’exposition) : F1 (rare à assez fréquente) ou F2 (fréquente à continue)
- P (Possibilité d’éviter le danger) : P1 (possible sous certaines conditions) ou P2 (presque impossible)
Les composantes du PL atteint
Une fois le PLr défini, l’ingénierie consiste à concevoir un système dont le PL calculé est supérieur ou égal au PLr. Ce calcul repose sur quatre piliers :
- La Catégorie (B, 1, 2, 3, 4) : Elle définit l’architecture du système (redondance, auto-surveillance).
- Le MTTFd (Mean Time To Dangerous Failure) : Temps moyen avant une défaillance dangereuse.
- Le DC (Diagnostic Coverage) : Capacité du système à détecter ses propres pannes.
- Le CCF (Common Cause Failure) : Mesures contre les défaillances de cause commune (ex: foudre, CEM).
Le Safety Integrity Level (SIL) : la rigueur de l’électronique complexe
L’IEC 62061 utilise le concept de SIL, une mesure de la fiabilité d’une fonction de sécurité. Dans le domaine des machines, le SIL est échelonné de 1 à 3 (le SIL 4 étant généralement réservé aux process industriels lourds selon l’IEC 61511).
Probabilité de défaillance par heure (PFHD)
Le SIL se distingue par une approche strictement mathématique centrée sur la Probabilité de Défaillance Dangereuse par Heure.
| SIL | Probabilité de défaillance dangereuse par heure (PFHD) |
| SIL 1 | ≥ 10–6 à ≤ 10–5 |
| SIL 2 | ≥ 10–7 à ≤ 10–6 |
| SIL 3 | ≥ 10–8 à ≤ 10–7 |
Contraintes architecturales et SFF
En plus de la probabilité de panne, le SIL impose des contraintes sur la structure du système (Tolérance aux Pannes Matérielles ou HFT) et sur la Safe Failure Fraction (SFF), qui représente la proportion de défaillances ne conduisant pas à une situation dangereuse.
Comparaison et correspondance entre SIL et PL
Bien que les méthodologies diffèrent, les résultats visent une réduction du risque équivalente. Une correspondance existe entre les deux systèmes pour permettre aux ingénieurs de Lyon Industrie Services d’interfacer des composants certifiés selon l’une ou l’autre norme.
- PL c correspond approximativement au SIL 1.
- PL d correspond au SIL 2.
- PL e correspond au SIL 3.
Cette équivalence est indispensable lors de l’intégration de capteurs certifiés SIL 2 dans une boucle de sécurité conçue selon l’ISO 13849 en catégorie 3.
Spécificités des secteurs : chimie et pétrochimie
Le secteur de la chimie fine et de la pétrochimie présente des contraintes environnementales et opératoires majeures. Ici, la sécurité des machines ne se limite pas à l’arrêt d’un moteur ; elle englobe la gestion des flux, de la pression et de la température.
L’interaction avec la norme IEC 61511
Dans ces industries, il est fréquent que la sécurité d’une machine (ex. une centrifugeuse ou une pompe de transfert) doive être intégrée dans un Système Instrumenté de Sécurité (SIS) global. La frontière entre la « sécurité machine » (IEC 62061) et la « sécurité des procédés » (IEC 61511) devient alors ténue.
Lyon Industrie Services préconise une approche globale :
- Analyse de risques HAZOP/LOPA pour définir les fonctions de sécurité globales.
- Déclinaison en fonctions de sécurité machine spécifiques pour les équipements rotatifs ou les accès zones.
- Vérification de l’indépendance des couches de protection (IPL) pour éviter qu’une défaillance unique ne neutralise l’ensemble de la sécurité.
L’ingénierie de Lyon Industrie Services
La mise en conformité d’une installation critique suit un cycle de vie en V, garantissant qu’aucune étape n’est omise.
Étape A : Spécification des Besoins de Sécurité (SRS)
C’est l’étape la plus technique. Il s’agit de traduire les risques identifiés en fonctions logiques claires : « Si le capteur de pression X dépasse le seuil Y, alors la vanne Z doit se fermer en moins de 500 ms ».
Étape B : Conception et calcul
Nous procédons au calcul de la fiabilité de la boucle complète : Capteur → Logique → Actionneur.
Le calcul intègre non seulement les données constructeurs, mais aussi les facteurs d’influence externes (vibrations, corrosion chimique) qui pourraient dégrader le MTTFd des composants.
Étape C : Vérification et validation
La vérification consiste à confirmer par le calcul que le SIL/PL atteint est conforme à la cible. La validation, quant à elle, est une étape de tests physiques (essais de déclenchement, simulation de pannes) pour prouver que le système réagit conformément aux spécifications.
Les points de vigilance : éviter les pièges de l’intégration
L’expertise technique consiste également à anticiper les erreurs classiques qui compromettent la certification finale :
- Le masquage de défauts : Dans les systèmes câblés en série (ex. plusieurs interrupteurs de sécurité sur une seule entrée), un défaut peut être masqué par l’action d’un autre composant, réduisant drastiquement le Diagnostic Coverage. Lyon Industrie Services privilégie les liaisons point à point ou les protocoles de communication sécurisés (Safety over EtherCAT, PROFIsafe).
- L’oubli des actionneurs : Trop souvent, l’attention se porte sur l’automate de sécurité au détriment des éléments terminaux (ex. vannes, contacteurs). Or, c’est souvent l’actionneur qui limite le niveau de sécurité global de la boucle.
- Le logiciel : La partie logicielle doit respecter des règles de programmation strictes (langages à variabilité limitée) pour éviter les erreurs systématiques.
La maîtrise des normes SIL et PL dépasse le cadre de la simple conformité administrative. Pour les acteurs de la chimie et de la pétrochimie, c’est le garant de la pérennité des actifs et de la protection des personnes.
Lyon Industrie Services déploie une ingénierie de précision pour transformer ces contraintes normatives en leviers de performance. En fiabilisant les systèmes de commande, nous réduisons les arrêts intempestifs et assurons une maîtrise totale des risques résiduels. La sécurité fonctionnelle est un investissement stratégique : elle protège le futur de l’industrie en rendant le risque quantifiable, gérable et maîtrisé.
En s’appuyant sur des protocoles de calcul rigoureux et une connaissance approfondie des phénomènes de défaillance, Lyon Industrie Services s’impose comme le partenaire technique de référence pour l’audit, la conception et le maintien en condition de sécurité des installations les plus exigeantes.
Sécurisez vos procédés critiques dès aujourd’hui
Ne laissez plus de place à l’incertitude dans vos calculs SIL et PL. Nos experts accompagnent vos projets de mise en conformité pour garantir une sécurité fonctionnelle totale.