Méthode LOPA :

Lors de la réalisation d’analyses de risques, des barrières de sécurité sont valorisées dans le
but de justifier que les risques sont prévenus et maîtrisés. Dès lors, plusieurs questions
viennent spontanément à l’esprit :

 Y a-t-il suffisamment de barrières de sécurité ?

 Comment définir précisément le besoin en termes de réduction du risque ?
 Les barrières mises en place sont-elles suffisantes pour justifier d’un risque résiduel
acceptable ?

La méthode LOPA (Layer of Protection Analysis) permet de valoriser l’ensemble des

couches de protection (barrières organisationnelles et techniques) en apportant des réponses
pragmatiques aux questions précédentes.

ÉTAPES :

  1 - Quel est l’objectif de la méthode LOPA ?

  2 - Quelles sont les différentes phases de la méthode LOPA ?
  3 - Que rassemblent les différentes phases ?

ÉTAPES :

  1 - Quel est l’objectif de la méthode LOPA ?

  2 - Quelles sont les différentes phases de la méthode LOPA ?
  3 - Que rassemblent les différentes phases ?

Étape 1 : Quel est l’objectif de la méthode LOPA ?

La méthode LOPA est une méthode semi-quantitative développée dans l’optique de :

 juger de l’adéquation entre les barrières mises en œuvre et le niveau de risque visé ;
 statuer sur le besoin de mise en œuvre de nouvelles barrières ;
 définir les « exigences » minimales sur la probabilité de défaillance des barrières à
mettre en place dans le cas où les barrières existantes ne permettraient pas de justifier
d’un risque acceptable ;
 évaluer la fréquence d’occurrence résiduelle d’un scénario d’accident.

La méthode LOPA permet de :

 compléter l’analyse menée lors de l’HAZOP si le groupe de travail considère le

scénario trop complexe ou que les conséquences sont trop importantes ;
 déterminer les niveaux de SIL requis pour les fonctions instrumentées de sécurité
(SIF) ;
 évaluer l’impact de la modification du procédé ou des barrières de sécurité ;
 analyser de manière plus détaillée certains scénarios d’accidents.

La méthode LOPA est aujourd’hui principalement :

  utilisée pour déterminer le niveau de SIL à allouer aux SIF ;
 conduite après l’HAZOP.

Étape 2

Évaluation du niveau de SIL des Fonctions Instrumentées de

Sécurité (SIF) – Notions essentielles :
L’évaluation du niveau de SIL des fonctions instrumentées de sécurité (SIF) est une étape
incontournable lors de la conception des Systèmes Instrumentés de Sécurité (SIS). Les normes
IEC 61508 et IEC 61511 constituent aujourd’hui un référentiel normatif sur lequel il est
possible de s’appuyer lors de la conception mais aussi tout au long du cycle de vie des SIF.
Afin d’utiliser à bon escient ces normes et pour estimer correctement le niveau de SIL, il est
nécessaire de maîtriser des notions essentielles telles que :

 Quelle différence entre SIS et SIF ?

 Qu’est-ce que le niveau de SIL ?
 Quel est le lien entre la probabilité de défaillance et le niveau de SIL ?
 Que se cache-t-il derrière la notion de redondance ?

ÉTAPES :

  1 - Quelles sont les différences entre un SIS et un SIF ?

  2 - Quelles sont les références normatives et réglementaires (normes en lien avec le
SIL) ?
  3 - Quel processus pour évaluer le SIL d’une SIF ?

ÉTAPES :

  1 - Quelles sont les différences entre un SIS et un SIF ?

  2 - Quelles sont les références normatives et réglementaires (normes en lien avec le
SIL) ?
  3 - Quel processus pour évaluer le SIL d’une SIF ?

Étape 1 : Quelles sont les différences entre un SIS et un SIF ?

Les SIF, qui sont assurées par des SIS constituent des barrières qui peuvent agir soit en
prévention pour réduire l’occurrence de survenue d’un événement redouté, soit en mitigation,
c’est-à-dire pour limiter l’intensité des effets en cas de survenue de l’événement redouté. Les
SIS viennent donc compléter les autres types de barrières qui peuvent être mises en œuvre
afin d’assurer la sécurité. Ainsi, la méthode LOPA introduit les SIS comme une couche de
protection.
Les couches de protection d’après la méthode LOPA
Les notions de SIS et SIF sont parfois confondues bien que répondant à des définitions
différentes :

 Système instrumenté de sécurité (SIS) : ensemble de matériels qui composent le

système de sécurité. Il comprend tous les capteurs, les logiques et les actionneurs.
 Fonction instrumentée de sécurité (SIF) : automatisme de sécurité composé par un ou
plusieurs capteurs, d’une logique et d’un ou plusieurs actionneurs dans le but de
remplir une fonction de sécurité (assurer une sécurité fonctionnelle). Ainsi, un SIS met
généralement en œuvre plusieurs SIF.

Distinction entre SIS et SIF

Un niveau de SIL est attribué à chaque SIF et non pas au SIS.

Exemple de SIF

Dans le cas présent, la fonction de sécurité est de stopper l’alimentation du bac de stockage en
cas d’atteinte d’un niveau haut (par fermeture de la vanne de sécurité). La SIF est donc
composée par un capteur de niveau, l’automate programmable de sécurité (APS) et de la
vanne de sécurité.
Étape 2

Évaluation du niveau de SIL requis des Fonctions

Instrumentées de Sécurité (SIF) – Allocation du niveau de SIL
Une SIF a pour objectif de réduire un risque. Pour définir le niveau de SIL à allouer (SIL
requis) à une SIF, il est nécessaire de mener une démarche rigoureuse.
Pour déterminer le SIL requis d’une SIF, la norme IEC 61511 introduit trois méthodes qui
sont de ce fait les plus répandues dans le secteur des industries de procédés :

 graphe de risque ;
 matrice de criticité ;
 LOPA.

Dans la pratique, ces trois méthodes ont des étapes communes, qui peuvent, suivant la
méthode, être explicites ou implicites :

 estimation de la criticité du risque « initial » (c’est-à-dire sans prendre en compte la

SIF dont on cherche à déterminer le SIL requis) ;
 confrontation de la criticité du risque à des critères d’acceptabilité, qui permettent de
déterminer le facteur de réduction du risque (FRR) que la SIF doit introduire pour
rendre le risque acceptable ;
 estimation du niveau de SIL requis à partir du FRR.

ÉTAPES :

  1 - Qu’est-ce qu’un graphe de risque ?

  2 - Qu’est-ce que la matrice de criticité ?
   3 - Qu’est-ce que la méthode LOPA ?

ÉTAPES :

  1 - Qu’est-ce qu’un graphe de risque ?

  2 - Qu’est-ce que la matrice de criticité ?
  3 - Qu’est-ce que la méthode LOPA ?

Étape 1 : Qu’est-ce qu’un graphe de risque ?

Le principe
Le graphe de risques permet de définir le niveau de SIL requis à partir de l’évaluation de
quatre paramètres :

 la conséquence du risque sur le personnel ou l’environnement (C) ;

 la fréquence d’exposition au risque (F) ;
 la possibilité d’éviter le danger (P) ;
 la probabilité d’occurrence du danger (W).

Le tableau « Exemples de calibrage » présente des critères d’appréciation pour les quatre
paramètres (C, F, P et W). Ces critères sont fortement inspirés de ceux présentés dans la
norme CEI 61508-5.
Paramètre Hiérarchisation Critère d’évaluation

C1 Incident mineur.

Blessures graves sur plusieurs

Conséquence de C2 personnes avec décès possible
C l’événement d’une d’entre elles.
dangereux
C3 Mort de 2 personnes.

C4 Nombre de morts supérieur à 2.

Faible fréquence d’exposition

F1 (Exposition rare à fréquente
dans une zone dangereuse).
Fréquence et durée
F d’exposition au
danger Forte fréquence d’exposition
(Exposition fréquente à
F2
permanente dans une zone
dangereuse).

P Possibilité d’éviter P1 Possible dans certaines

l’événement
 conditions.
dangereux
P2 Impossible.

W1 Faible probabilité.
Probabilité
W d’occurrence de W2 Probabilité moyenne.
l’événement
W3 Forte probabilité.

En pratique, il est nécessaire de définir en début d’analyse les critères d’évaluation. La

méthode étant qualitative, la plupart des critères restent souvent qualitatifs.
Les niveaux affectés aux paramètres du graphe sont une donnée d’entrée à l’application de la
méthode. Les paramètres doivent être adaptés en prenant en compte les spécificités du site
étudié mais aussi des critères d’acceptabilité du risque (pour les paramètres C et W qui
renvoient respectivement à la notion de gravité et de probabilité).
En combinant les paramètres C, F, P et W, il est possible de développer une arborescence telle
que celle présentée en figure « Exemple de graphe de risques ». Cette arborescence se
parcourt de la gauche vers la droite.
En sortie du graphe, une classification qui repose sur une hiérarchisation en six classes
d’exigences graduées de « a » à « b » en passant par SIL 1 à SIL 4. La catégorie « a »
correspond alors à « aucune exigence particulière de sécurité » tandis que la catégorie « b »
correspond à une situation inacceptable (le système instrumenté est insuffisant).
Exemple de graphe de risques
Exploitation
L’exploitation du graphe de risque est relativement simple. À partir des critères choisis pour
chacun des paramètres C, F, P et W, il suffit de suivre l’arborescence pour définir le niveau de
sécurité à allouer à la SIF.
Exemple : supposons que pour un scénario étudié, les critères C3, F1, P2 et W3 soient
retenus ; alors le niveau de sécurité requis pour la SIF serait SIL 3.
Étape 2

Glossaire
DC (Diagnostic Coverage)
Proportion de défaillances dangereuses détectées par rapport à l’ensemble des défaillances
dangereuses.
LOPA
Layer Of Protection Analysis.
MooN
Structure pour laquelle une fonction de sécurité est assurée lorsque M sur N dispositifs sont en
état de remplir leur fonction.
MTTR (Mean Time To Repair)
Temps moyen mis pour réparer un système.
Niveau de SIL
Niveau discret (parmi quatre possibles) permettant de spécifier les prescriptions concernant
l’intégrité de sécurité des fonctions de sécurité à allouer aux systèmes E/E/PE relatifs à la
sécurité. Le niveau 4 d’intégrité de sécurité possède le plus haut degré d’intégrité ; le niveau 1
possède le plus bas.
Période de test
Temps entre deux tests visant à s’assurer du bon fonctionnement d’un système.
Redondance
Existence, dans une entité, de plus d’un moyen pour accomplir une fonction requise (CEI-
271-1974).
SIS (Safety Instrumented System)
Un système instrumenté de sécurité est un système visant à mettre le procédé en position de
repli de sécurité (c’est-à-dire un état stable ne présentant pas de risque pour l’environnement
et les personnes), lorsque le procédé s’engage dans une voie comportant un risque réel pour le
personnel et l’environnement.
 Niveau d’intégrité de sécurité (SIL)

L'intégrité de sécurité est un attribut d’un système relatif à la sécurité (ou mesures de

réduction du risque), au regard de fonctions de sécurité. Elle est définie par la probabilité pour
que le système relatif à la sécurité exécute de manière satisfaisante les fonctions de sécurité
spécifiées (dans toutes les conditions énoncées et dans une période de temps spécifiée).
Les niveaux d’intégrité de sécurité (SIL) sont des classes, échelonnant l’intégrité de sécurité
entre SIL 1 (pour la plus faible intégrité) et SIL 4 (pour la plus forte intégrité).

Selon la norme appliquée, l’intégrité de sécurité (et donc le SIL) est un concept applicable aux
systèmes électriques/ électroniques/ électroniques programmables (E/E/PE) relatifs à la
sécurité (pour la CEI 61508 [CEI, 2010]) ou aux Systèmes Instrumentés de Sécurité (SIS)
(pour la CEI 61511 [CEI, 2004]). Néanmoins, ce concept est aisément transposable à
d’autres mesures de réduction du risque.

Cycle de vie de sécurité synthétique, suivant les normes CEI 61508 et CEI 61511
Basée sur l’analyse des dangers et des risques, la phase d’allocation des exigences de sécurité
permet d’attribuer une valeur cible de SIL à chaque fonction de sécurité requise, afin
d’obtenir les réductions de risque nécessaires. Le SIL est ensuite utilisé pour spécifier les
exigences liées à l’intégrité de sécurité. Ces exigences concernent :

 l’intégrité de sécurité systématique

 l’intégrité de sécurité du matériel

 l’intégrité de sécurité du logiciel

C’est alors le rôle de la phase de réalisation/conception de vérifier que les systèmes
relatifs à la sécurité répondent à ces exigences. Notamment, les exigences relatives à
l’intégrité de sécurité du matériel couvrent à la fois :

 des contraintes architecturales

 la quantification de l’effet de défaillances aléatoires du matériel (PFDavg ou PFH)

S’il est commun de voir des « rapports SIL » ou « certificats SIL » qui considèrent l’intégrité
de sécurité du matériel, certaines autres exigences sont souvent omises, notamment celles
relatives à l’intégrité de sécurité systématiques et/ou du logiciel. Dans certains cas, il est
même observable qu’un SIL a été directement déduit d’un calcul de PFDavg ou de PFH ou
même (bien que plus rarement) d’une simple vérification de contraintes architecturales
(comme l'approche "Oméga 10" qui parle alors de "niveaux de confiance" (NC) et non de
SIL [INERIS, 2008]). Cette approche est erronée. En effet, pour un SIL donné, plusieurs
autres exigences doivent aussi être respectées. Tout « rapport SIL » devrait ainsi définir
précisément ces limites en termes d’exigences de sécurité. De plus, un « certificat SIL » ne
peut pas prétendre qu’un certain SIL est atteint si la totalité des exigences de sécurité n'est pas
respectée.

Enfin, il convient aussi de rappeler qu’un SIL se réfère toujours à une fonction de
sécurité et qu’il est donc inapproprié d’attribuer un SIL à un système relatif à la sécurité sans
définir explicitement et précisément la fonction considérée.
Sources :

CEI (2004), CEI 61511 : Sécurité fonctionnelle – Systèmes instrumentés de sécurité pour le
secteur des industries de transformation, 1ère édition, CEI, Genève

CEI (2010), CEI 61508 : Sécurité fonctionnelle des systèmes

électriques/électroniques/électroniques programmables relatifs à la sécurité, 2ème édition,
CEI, Genève
INERIS (2008), Rapport d'étude N° DRA-08-95403-01561B : Évaluation des Barrières
Techniques de Sécurité - Ω 10, Version 2, INERIS, Verneuil-en-Halatte
 CEI 61508
Sauter à la navigationSauter à la recherche

CEI 61508, ou IEC 61508 ou IEC EN 61508 ou NF EN 61508, est une norme

internationale émanant de la Commission électrotechnique internationale et appliquée dans
l'industrie traitant de la sécurité fonctionnelle des systèmes
électriques/électroniques/électroniques programmables (E/E/EP) relatifs à la sécurité. En cela
elle est une composante de la sûreté de fonctionnement. Elle s'applique pour les systèmes
comportant des composants électriques, électroniques ou électroniques programmables. Elle
est reconnue par le Comité européen de normalisation en électronique et en électrotechnique,
d'où la notation EN, depuis 20021. Elle est également reconnue par l'AFNOR et s'intitule
« Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables
relatifs à la sécurité ».

La norme comporte sept parties, les trois premières étant normatives alors que les quatre
suivantes sont des recommandations et des exemples2,3.

Le cycle de vie de la sécurité compte seize phases qui peuvent être regroupées en trois blocs :

 Phases 1-5 concernant l'analyse

 Phases 6-13 concernant la réalisation

 Phases 14-16 concernant l'opération.

L’analyse de sécurité détermine un niveau de risque appelé SIL, Safety Integrity Level (ou

niveau d'intégrité de la sécurité) classé de SIL 1 à SIL 4, SIL 4 correspondant au risque le plus
élevé1,2. En fonction de ce niveau de risques, les activités de développement imposées par la
norme sont plus contraignantes. Ainsi pour le matériel, les taux de fiabilité attendus seront
plus élevés pour un système classé SIL 4. Quant au logiciel dans le cas d'un système
électronique programmable, sa fiabilité n'étant pas quantifiable, les contraintes liées à son
processus de développement seront plus fortes avec par exemple un niveau de documentation
supérieure, une exigence supérieure sur les tests ou encore une exigence d'indépendance entre
les personnes qui conçoivent et celles qui testent afin d'éviter les erreurs dites systématiques3.

Cette norme générique est déclinée par métier. L'ISO 26262 dans le secteur automobile hérite
ainsi des principes de la CEI 61508. Dans le secteur ferroviaire, les normes EN 50126, EN
50128, EN 50129 héritent de la CEI 61508, quand le secteur nucléaire dispose de la norme
CEI 61513. Des normes dites de 'secteur' sont dérivées dans l'industrie des procédés (chimie,
pétrochimie) CEI 61511 et dans l'industrie manufacturière, CEI 62061 et dans une moindre
manière ISO 13849 partie 1 et 2.
Sommaire

 1Historique

 2Analyse de risque

 3Détermination du SIL

 4Notes et références

 5Liens externes

Historique[modifier | modifier le code]

Publié tout d'abord en version de travail (draft) sous le nom de IEC 1508 en 1995 puis
officiellement entre 1998 et 2000, la CEI 61508 est en partie fondée sur une norme en version
de travail (préparatoire, Vorschlag) allemande, la DIN V19250 publiée en 1994
(Grundlegende Sicherheitsbetrachtungen für MSRSchutzeinrichtungen : aspects
fondamentaux de la sécurité à considérer pour l'équipement de contrôle et mesure)3.

La CEI 61508 comprend un périmètre beaucoup plus large mais reprend en partie le principe
d'évaluation du risque et de classes de risques de la norme DIN V19250. Ensuite la norme
CEI 61508 a été reconnue dès 2002 par l'organisme européen CENELEC, sous la
dénomination IEC EN 61508.

Analyse de risque[modifier | modifier le code]

Le classement des risques se fait avec des tableaux de ce type.

Probabilité Taux d’occurrence

Définition
d’occurrence (défaillance par an)

Nombreuses fois dans la vie du

Fréquent > 10−3
système

Plusieurs fois dans la vie du

Probable 10−3 to 10−4
système

Occasionnel Une fois dans la vie du système 10−4 to 10−5

Peu probable dans la vie du

Rare 10−5 to 10−6
système

Très peu probable dans la vie du

Improbable 10−6 to 10−7
système

Invraisemblable Ne devrait jamais arriver dans la < 10−7

 vie du système

Les conséquences si la défaillance survient sont les suivantes :

Type de
Définition
conséquence

Catastrophique Pertes humaines multiples

Critique Perte d'une vie humaine

Marginal Blessures majeures à une ou plusieurs personnes

Insignifiant Blessures mineures

En combinant la probabilité d’occurrence et la conséquence dans une matrice, on obtient un

niveau de risque.

Type de conséquence

Probabilité Catastrophiqu
Critique Marginal Insignifiant
d’occurrence e

Fréquent I I I II

Probable I I II III

Occasionnel I II III III

Rare II III III IV

Improbable III III IV IV

Invraisemblable IV IV IV IV

On interprète ce tableau de la manière suivante :

 Classe I : le risque est inacceptable en toute circonstance ;

 Classe II : non désiré. Tolérable seulement si la réduction du risque n'est pas faisable
ou si les coûts sont largement disproportionnés par rapport au gain de réduction du
risque ;

 Classe III : tolérable si le coût de réduction de risque dépasse le gain ;

 Classe IV : acceptable, bien que nécessitant une surveillance.

Pour diminuer un niveau de risque, on peut donc agir sur sa probabilité d’occurrence ou bien
sur la gravité de la conséquence.

Détermination du SIL[modifier | modifier le code]

Le SIL (Safety Integrity Level) correspond à un niveau de fiabilité attendu par le système, ou
la sous-fonction concernée, déterminé par l'analyse de sécurité. En fonction du SIL et du
niveau de sollicitation du système (faible ou forte), les probabilités de défaillance sont plus
contraignantes, SIL 1 étant le plus faible niveau quand SIL 4 est le plus élevé. Un système à
faible sollicitation ou sur demande ne doit pas excéder plus d'une demande par an3.

Faible sollicitation Forte sollicitation

SI
Probabilité moyenne de défaillance de la Probabilité de défaillance
L
fonction (sur demande) dangereuse (par heure)

1 ≥ 10−2 to < 10−1 ≥ 10−6 to < 10−5

2 ≥ 10−3 to < 10−2 ≥ 10−7 to < 10−6

3 ≥ 10−4 to < 10−3 ≥ 10−8 to < 10−74

4 ≥ 10−5 to < 10−4 ≥ 10−9 to < 10−8

Le respect du SIL garantit ainsi un « niveau de confiance » du système développé car le risque
zéro n'existe pas, la norme donnant les activités à effectuer pour atteindre le niveau de SIL
visé notamment la mise en place d'une gestion de la qualité et de la configuration. En termes
de qualité, la mise en place d'une norme type ISO 9000 est un prérequis dès le SIL 1. La mise
en place d'activités démontrant la sécurité est également requise et doit être démontrée à
travers un dossier de preuve, safety case, qui établit de manière indépendante de l'équipe de
développement que le système livré atteint le SIL requis3.

Notes et références[modifier | modifier le code]

 (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia

en anglais intitulé « IEC 61508 » (voir la liste des auteurs).

1. ↑ Revenir plus haut en :a et b (en) « What is IEC 61508? » [archive] (consulté le 29 octobre

2014).

2. ↑ Revenir plus haut en :a et b « La norme CEI 61508 et ses dérivés » [archive], 10 décembre
2008 (consulté le 29 octobre 2014).

3. ↑ Revenir plus haut en :a b c d et e (en) « An introduction to Functional Safety and IEC

61508 » [archive] (consulté le 29 octobre 2014).

4. ↑ Pour 10−7, cela correspond à une défaillance dangereuse tous les 1 140 ans.

Liens externes[modifier | modifier le code]

  (en) Site de la CEI [archive].

 (en) Association 61508 [archive].

Niveau d’intégrité SIL : l’innovation en sécurité fonctionnelle

Produire plus, à moindre coût tout en garantissant une sécurité optimum pour les employés,
l’environnement et les installations est le challenge d’aujourd’hui pour les industries de
process. Sans compter la responsabilité croissante attribuée à l’employeur, les pressions
environnementales de plus en plus lourdes, l’augmentation du prix des matières premières et
le coût toujours plus important d’une immobilisation impromptue débouchent sur des
exigences de sécurité toujours plus sévères.

Les fonctions de sécurité (safety functions) des instruments de mesure sont destinées à réduire
les risques liés aux process, pouvant constituer des dangers pour les êtres humains,
l'environnement et les biens matériels. La certification SIL (safety integrity level = niveau
d’intégrité de sécurité) de ces instruments consiste à ramener les risques à un niveau tolérable
via la norme CEI 61508.

Avec les instruments Endress Hauser certifiés SIL, vos mesures comprennent une
«suppression des risques» (défauts systématiques) et une «maîtrise des risques» (défauts
aléatoires). Vous êtes sûr que vos process industriels répondent aux nouvelles exigences de
sécurité.

Téléchargez notre brochure

''La sécurité fonctionnelle en instrumentation de process pour la réduction des risques''

Quand sécurité rime avec innovation !

La norme CEI 61508 définit 4 niveaux d’intégrité de sécurité du matériel : SIL 1 à 4, chacun
de ces niveaux (le niveau 4 possédant le plus haut degré d’intégrité, le niveau 1 le plus bas),
correspondant à une valeur maximale de tolérance aux anomalies matérielles.

SIL (Safety Integrity Level) exprimé en réduction du risque :

• SIL 1 : facteur de 10 à 100

• SIL 2 : facteur de 100 à 1 000
• SIL 3 : facteur de 1 000 à 10 000
• SIL 4 : facteur de 10 000 à 100 000

Parce que la sécurité est au coeur des préoccupations d’Endress Hauser, nous mettons tout en
œuvre pour vous fournir une instrumentation de process certifiée SIL2 en standard. Pour se
faire, chaque nouveau capteur ou famille de capteurs sera développé conformément à la
norme CEI 61508. Ainsi la nouvelle gamme de radars filoguidés Levelflex est la première à
être certifiée SIL2 selon l’édition 2010 de la norme qui tient compte des dernières
prérogatives en termes de sécurité fonctionnelle comme le fonctionnement éprouvé.

Pour les appareils déjà présents sur le marché et donc développés avant l’application de la
norme, la CEI 61511 par son approche « Proven in use » (évaluation statistique en
fonctionnement normal ou en sécurité) et la conformité à des exigences additionnelles de
CEI61508 permet une certification SIL des appareils. Evidemment quelle que soit l’approche,
la certification est toujours effectuée par un organisme externe et reconnu !

De fait, nous mettons à votre disposition la plus grande gamme d’instrumentation certifiée
SIL (SIL2 et/ou SIL3) qui peut être utilisée aussi bien en process que sur des installations de
sécurité fonctionnelle.

Pour consulter la liste du matériel SIL Endress+Hauser, cliquez ici.

La pHmétrie au service de la sécurité fonctionnelle pour la réduction des risques

industriels

La fiabilité d’une mesure de pH permet la réduction et l’évaluation des risques de certains

procédés industriels. Pour répondre à ces attentes, Endress+Hauser a développé une chaîne
complète selon la norme CEI 61508 avec un niveau SIL (Safety Integrity Level = niveau
d’intégrité de sécurité) égal à 2.

Cette chaîne de mesure de pH se compose de 3 éléments, chacun certifiés indépendamment :

- Transmetteur Liquiline M CM42

- Electrode de pH en verre avec la technologie numérique Memosens
- Câble Memosens CYK10

Le point de mesure offre 3 fonctions de sécurité :

- Le calcul sûr de la valeur de pH et sa transmission aux 2 sorties courant (à l’aide des valeurs
de référence d’étalonnage)
- La surveillance des seuils
- La réalisation d’un étalonnage en 2 points et d’un ajustage avec des solutions tampons pH
accréditées.

L’étalonnage en 2 points fait partie de la fonction de sécurité étant donné que le processus de
référence sélectionné – ici étalonnage - joue un rôle clé dans le calcul des valeurs de pH. Pour
l’étalonnage en 2 points et le fonctionnement en mode sécurité, le transmetteur utilise des
méthodes brevetées spéciales pour visualiser ces processus sur l’afficheur tout en tenant
compte de l’interaction avec l’utilisateur.

Avec cette certification des instruments d’Endress Hauser, vous profitez d’une grande fiabilité
sur vos applications standards !

Contact :
M. Cédric FAGOT - Responsable Marché Environnement
Demande d'informations
Sécurité fonctionnelle - Niveau d'intégrité de sécurité (SIL) et niveau
de performance (PL)

Informations de base sur le niveau d'intégrité de sécurité (SIL) et le niveau de performance

(PL)

Le matériel technique peut poser un risque de sécurité très élevé, au point qu'il peut être
déconseillé aux personnes de s'exposer aux équipements. Dans de tels cas, les risques
concernés doivent être réduits afin de garantir une utilisation sûre. Il doit être possible
de quantifier (et de mesurer) la réduction du risque en vue de satisfaire à ces exigences.

Ces pages vous donnent un aperçu des normes et méthodes qui sont appliquées pour parvenir
au fonctionnement sécurisé des machines et des usines. Découvrez le niveau d'intégrité de
sécurité (SIL) et le niveau de performance (PL), ainsi que les composants pour votre
application dans notre sélecteur de produits de sécurité. Des outils utiles et documents
supplémentaires complètent notre offre. 

 Safety Integrity Level (SIL)

 Performance Level (PL)

 History of Standards and Differentiation

Produits, outils, littérature

 Sélecteur de produits de sécurité

L'évaluation d'un système de sécurité est plus facile à réaliser si l'on connaît déjà le risque de
défaillance des composants concernés. Dans ce but, Pepperl+Fuchs propose un large choix
de produits ayant fait l'objet d'une évaluation SIL. Utilisez notre outil de sélection pour
trouver rapidement le produit caractérisé SIL que vous recherchez.

 Téléchargement gratuit du PDF : Manuel sur la sécurité fonctionnelle

Téléchargez notre manuel gratuit sur la sécurité fonctionnelle au format PDF pour en savoir

plus sur les normes spécifiques et les méthodes de réduction du risque. Nous vous montrons
également comment mettre en place des équipements de sécurité et vous fournissons
un glossaire utile pour votre travail au quotidien.

 Outil de calcul PFD/PFH

Calculez rapidement et facilement les probabilités de défaillances sur notre site Web !
Saisissez simplement vos paramètres et notre outil gratuit fait le travail pour vous. Toutes les
formules pertinentes sont enregistrées directement dans notre système. Choisissez parmi ces
deux options : un calcul PFD conformément aux normes VDI/VDE 2180 et EN 61508 ou
un calcul PFH selon la norme EN 61508.
  Téléchargement gratuit du PDF : poster SIL

Le poster SIL résume les éléments de la sécurité fonctionnelle dans le domaine

de l'ingénierie des procédés. Il vous explique comment définir la réduction de risque requise,
comment l'appliquer et comment concevoir et planifier le cycle de vie de la sécurité. En outre,
ce document PDF contient un glossaire.

 Bibliothèques SISTEMA

SISTEMA est un outil logiciel qui vous aide à calculer le niveau de performances (PL) de
toutes les pièces ou fonctions en rapport avec la sécurité qui équipent votre usine, en
comparant les paramètres de tous les composants. Pepperl+Fuchs vous aide en vous proposant
plusieurs bibliothèques contenant tous les paramètres de sécurité importants, que ce soit pour
les produits de sécurité ou les produits standards.

Les normes de sécurité fonctionnelle

§1 : Niveaux de réduction des risques

Une installation qui présente des risques fait l’objet d’analyses permettant de statuer sur
l’acceptabilité ou non de ces risques. Les risques pour lesquels l’exposition initiale (c’est à
dire, le couple probabilité / niveau d’impact) est jugée inacceptable font l’objet de mesures de
réduction, permettant d’amener leur exposition à un niveau cible jugé tolérable. Les fonctions
instrumentées de sécurité électriques, électroniques et électroniques programmables (E/E/PE)
viennent s’ajouter aux autres barrières de protection, pour amener le risque d’une exposition
initiale inacceptable à un niveau cible tolérable :

Norme NF EN 61508-réduction du risque

Les différentes barrières de sécurité contribuant à la réduction du risque sont :

 Les Dispositifs : conception (confinement), soupapes, disques de rupture, …

 Les Procédures : alarmes opérateurs, consignes et procédures de sécurité, procédures

d’urgence, …

 Les SIF : réalisées par des Systèmes Instrumentés de Sécurité (SIS). Une SIF est une
action automatique.

§2 : Mission des Fonctions Instrumentées de sécurité (SIF ou FIS)

La mission des Fonctions Instrumentées de sécurité (FIS ou SIF) est de contribuer à la
réduction des risques de l’installation

Améliorer ou (re)Définir les moyens de conduite :

Une SIF ne se réduit pas à un automate seul. Elle est assurée par tout la chaîne de contrôle-
commande, depuis le capteur jusqu’à l’actionneur.

La confiance dans la réduction des risques de l’installation se traduit, au niveau des SIF,
par deux types d’exigences :

 Sur la sécurité fonctionnelle : propriétés (détection, action engendrée, à quel moment,

performances, …) permettant la réalisation de la fonction de sécurité

 Sur l’intégrité de sécurité : probabilité qu’un système de sécurité assure les fonctions
de sécurité requises dans le temps spécifié

Les prescriptions de sécurité pour la réalisation, l’évaluation et le maintien de SIF sont

développées dans les normes NF EN 61508 et NF EN 61511.Ces prescriptions concernent
uniquement les équipements électriques, électroniques, et électroniques
programmables (E/E/PE)

§3 : Définition d’un niveau de SIL requis

SIL (« Safety Integrity Level ») : Niveau d’intégrité de sécurité d’une FIS

C’est la contribution nécessaire d’une SIF à la réduction du risque qui lui confère son
exigence « d’intégrité de sécurité » ou « disponibilité à la sollicitation » ou « SIL requis ». Le
niveau de réduction de risque nécessaire ainsi attribuée à une SIF est donc exprimé en niveau
SIL :

 SIL 1 : réduction du risque par un facteur >10

  SIL 2 : réduction du risque par un facteur >100

 SIL 3 : réduction du risque par un facteur >1 000

 SIL 4 : réduction du risque par un facteur >10 000

Le niveau de réduction de risque le plus faible est le SIL 1.

Le niveau de réduction de risque le plus élevé est le SIL 4.

Remarque  : La réduction de risque assurée par la SIF est bien une contribution à la
réduction globale du risque, assurée par l’ensemble des barrières de sécurité. Ainsi, il est
possible d’avoir un niveau SIL requis égal à 1 sur un site à haut risque, du fait que
l’ensemble des barrières de sécurité assure la réduction globale du risque suffisante. De
même, il est possible d’avoir un niveau SIL requis égal à 3 sur un site à faible risque, si le
reste des barrières de sécurité est quasiment inexistant.

Détermination des SIF et des SIL requis

La démarche à suivre pour déterminer le SIL requis pour une SIF est la suivante :

 Recenser tous les risques (Analyse de Risque, Etude de Danger, AMDEC, HAZOP,
…)

 Identifier par risque les moyens de réduction mis en place (les barrières de sécurité)

 Définir les SIF et leurs missions

 Déterminer le risque tolérable cible pour chaque risque (législation, responsabilités du

site, …)

 Déterminer la réduction de risque que les SIF doivent réaliser

 Obtenir le niveau SIL requis pour chaque SIF (méthodes semi-qualitative et

quantitatives)

§4 : Evaluer le niveau de SIL réel

Évaluation du SIL réel

La norme NF EN 61511 impose 2 types de contraintes qui permettent d’évaluer le niveau SIL
d’une SIF : des contraintes architecturales et des contraintes probabilistes.

 Les Contraintes architecturales

Exemple :
On dispose d’un capteur Tr. On veut vérifier qu’il est intégrable dans une chaîne
instrumentée assurant une SIF de niveau SIL2.

Si Tr n’est ni à logique positive, ni doté d’autodiagnostic (colonne 1), le montage doit

comporter 3 capteurs Tr redondants pour obtenir le SIL2 requis.

Si Tr est à logique positive ou doté d’autodiagnostic (colonne 2), le montage doit comporter 2
capteurs Tr redondants pour obtenir le SIL2 requis.

Si Tr est à logique positive ou doté d’auto-diagnostique, et si de plus Tr est dit « éprouvé par
l’usage » et la modification de ses paramètres est protégée (colonne 3), alors Tr seul est
suffisant pour obtenir le SIL2 requis. 

Remarques :

Il est impossible d’obtenir un niveau SIL3 sans redondance. Le recours au SIL4 est fortement
déconseillé. Des exigences très lourdes doivent être prises en compte. Les contraintes
architecturales sont légèrement différentes en ce qui concerne les automates programmables
de sécurité. On s’intéresse à la proportion de défaillances sûres de l’automate pour évaluer
le niveau SIL :

 Les Contraintes probabilistes

Ce type de contrainte caractérise la fiabilité de la SIF. On évalue la probabilité de la

défaillance de la SIF lorsqu’elle devra être réalisée.

Pour cela on définit : le PFD (probabilité de défaillance dangereuse lors d’une sollicitation,

dans le cas d’une SIF sollicitée en moyenne moins d’une fois par an) et le PFH (probabilité
de défaillance dangereuse par heure, dans le cas d’une SIF sollicité plus fréquemment ou de
manière continue).

§5 : Améliorer le cycle de vie / les dispositions d’exploitation maintenance

Maintien du niveau de SIL

L’évaluation du SIL d’une SIF est insuffisante pour garantir le maintien du niveau de sécurité
au cours du temps.

 Des tests périodiques permettent de révéler les défaillances dangereuses non

détectables par le SIF. L’intervalle de ces tests judicieusement choisi permet de
garantir un niveau de confiance requis (graphe ci-dessous). Cet intervalle intervient
notamment lors du calcul de PFD/PFH.

 Des opérations de maintenance préventive,

  Des procédures de gestion des modifications, de gestion des bypass

….