Niveau d'intégrité de sécurité (SIL) et niveau de performance (PL) –

Histoire et distinction :
En se référant aux façons d'évaluer les systèmes à utiliser dans les applications de sécurité
d'aujourd'hui, les acronymes SIL (Safety Integrity Level, niveau d'intégrité de sécurité), PL
(Performance Level, niveau de performance) et SILCL (SIL Claim Level, niveau de demande
SIL) viennent à l'esprit. En premier lieu, cela complique encore plus la compréhension du
sujet, mais, en fin de compte, cette distinction peut être comprise lorsque son évolution et ses
antécédents sont expliqués.

CEI 61508 et CEI 61511 - Portées par le secteur de la chimie :

Le développement des normes CEI 61508 et CEI 61511 pour la sécurité fonctionnelle a été
encouragé et soutenu principalement par le secteur de la chimie. Les normes traditionnelles
fondant la sécurité sur des architectures système spéciales ou des tests réguliers, l'application
des PLC de sécurité n'était pas possible directement. Les dispositifs programmés peuvent
hériter de défauts que l'on baptise communément « bogues », qui ont la fonction
problématique qu'un défaut simultané ne peut pas vraiment être écarté dans des redondances.

L'idée était de fonder des déclarations de sécurité sur la probabilité de fonctionnement fiable
dans le cas de demandes de réaction de sécurité. Avec la définition de certaines règles pour
une approche structurée dans le développement et les tests de matériel et de logiciels, les
normes fournissaient un système qui avait prouvé son adéquation aux applications de sécurité
au fil des ans.

Relations étroites entre les normes de sécurité :

Le secteur de la chimie est principalement exposé à des risques qui nécessitent une réaction
liée à la sécurité à quelques années d'intervalle ou même moins fréquemment, mais les
systèmes de sécurité dans les machines peuvent être mis à contribution très souvent ou
continuellement lorsque la machine est utilisée. C'est pourquoi la norme ISO 13849-1 a été
développée en se basant sur les normes traditionnelles citées, tout en ouvrant également la
voie à l'utilisation de PLC de sécurité en incluant l'approche probabiliste. Avec cette norme,
les besoins découlant de la directive machines étaient également couverts.

Comme l'indique le dernier paragraphe, il existe des relations étroites entre les normes
mentionnées. Ainsi, il n'y a pas seulement les acronymes SIL de la norme CEI 61508 et PL de
la norme ISO 13849, mais aussi l'acronyme SILCL défini dans la norme CEI 62061 qui est
également utilisable dans le secteur des machines, mais plus proche du secteur SIL avec des
dispositifs programmables.

La sécurité des usines et la sécurité des machines – Les deux aspects d'une
même question :
La directive machines 2006/42/EG réglemente les exigences de sécurité pour les machines et
les installations qui sont mises sur le marché dans l'Union européenne. Les produits relevant
de la directive sont clairement indiqués. Par rapport à la version précédente, la nouvelle
directive met davantage l'accent sur l'évaluation complète des risques des machines, qui
comprend une analyse approfondie des risques. Dans le même temps, elle propose une
méthode pour simplifier l'évaluation de la conformité des machines lors de l'utilisation de
normes harmonisées.

Ces normes incluent les séries EN ISO 13849 et l'EN CEI 62061, qui réglementent
l'établissement de la sécurité fonctionnelle des systèmes de commande électroniques
programmables et liés à la sécurité.

Ces normes sont étroitement associées aux normes EN CEI 61508 pour la sécurité
fonctionnelle, qui donnent une structure regroupant les besoins de gestion de la sécurité
comme la définition des processus, la régulation des responsabilités et les dispositions
organisationnelles. C'est pourquoi les normes EN CEI 61508 sont également citées quand les
normes des fonctions de sécurité relevant de la directive machines définissent des fonctions de
sécurité de rang supérieur. En conjonction avec d'autres normes de sécurité spécifiques, un
réseau évolue et influe sur tous les aspects de la sécurité des machines et des usines. L'objectif
de toutes ces mesures est la mise en œuvre de fonctions de sécurité adaptées pour le secteur de
la sécurité des machines et des usines.

Plus d'informations sur la sécurité fonctionnelle :

Pepperl+Fuchs fournit des solutions pour les deux aspects de cette question et propose tout un
ensemble de dispositifs qui peuvent être ce dont vous avez besoin pour votre application.
Veuillez utiliser notre outil de sélection pour trouver les dispositifs de sécurité adaptés ou
approfondir vos connaissances en matière de sécurité en cliquant sur les liens ci-dessous.

1. Analyse du risque : définir la réduction du risque requise

Pour commencer, tous les risques existants sont identifiés lors de l'analyse du risque. Il
convient ensuite de définir si une réduction est requise pour chacun des risques identifiés. Le
cas échéant, la réduction du risque nécessaire doit être quantifiée à l'aide de méthodes
d'analyse du risque, qui fournissent des résultats sous la forme d'une exigence SIL.

Une exigence SIL peu élevée (SIL 1) signifie que seule une réduction faible du risque est
nécessaire ; dans le cas d'une exigence SIL plus élevée (SIL 3, par exemple), un niveau de
réduction du risque plus important doit être mis en place.

Différentes procédures sont disponibles pour identifier les risques et quantifier les éventuelles
réductions du risque, en utilisant en général une assistance logicielle. Le processus
d'identification des risques est souvent exécuté en parallèle de l'étude HAZOP ((HAZard and
OPerability study) ou étude des risques et de l'exploitabilité). Les méthodes habituellement
utilisées pour quantifier les éventuelles réductions du risque (évaluations SIL) incluent un
graphe du risque, une analyse de la couche de protection ou LOPA (« Layer of Protection
Analysis ») ainsi qu'une matrice du risque.

Graphe du risque

2. Mise en œuvre de la réduction du risque :

Les risques encourus sont normalement réduits en installant d'autres circuits électriques et de
télécommunications agissant comme une fonction de sécurité, en complément des
équipements électriques et de télécommunications requis pour des raisons d'exploitation : ces
circuits de sécurité sont uniquement utilisés dans le cas d'une défaillance de l'équipement
d'exploitation. On appelle ce type d'équipement, utilisé exclusivement dans le cadre de la
réduction du risque, « équipement de protection » ou fonctions Z.

Le degré de réduction du risque atteint en utilisant un équipement de protection dépend du

bon fonctionnement de cet équipement. Si toute défaillance était impossible, il serait possible
d'éliminer totalement le risque concerné. Le risque résiduel serait alors nul. Cet état de fait
n'étant pas réaliste en pratique, seul un degré limité de réduction du risque peut être atteint en
utilisant un équipement de protection. Même s'il reste toujours un risque résiduel, il est
tellement réduit qu'il peut être toléré. L'objectif du processus de conception consiste à mettre
en œuvre l'équipement de protection de sorte que le niveau de réduction du risque obtenu soit
aussi proche que possible du niveau d'intégrité de sécurité (SIL) requis.

Si la réduction du risque est insuffisante (le SIL de l'équipement de protection est moins élevé
que le SIL requis), il subsiste un risque résiduel non tolérable. À l'inverse, si la réduction du
risque est excessive (le SIL de l'équipement de protection est plus élevé que le SIL requis), il
en découle une charge de travail trop élevée qui n'est pas justifiable.

Vous trouverez des informations sur la façon dont les équipements de protection doivent être
conçus afin d'atteindre un degré spécifique de réduction du risque (un SIL spécifique) dans les
documents EN 61511 et VDI/VDE 2180. Il est essentiel de se demander pourquoi les
équipements de protection peuvent subir des défaillances : les exigences de conception des
équipements de protection peuvent être définies à partir des réponses à ces questions. Une
enquête détaillée révèle qu'il existe en principe deux types d'erreurs qui peuvent provoquer
une défaillance de l'équipement de protection :

 Erreur systématique
 Erreur aléatoire

Défaillances systématiques et aléatoires

Même s'il est possible de définir un degré de probabilité spécifique à la survenue d'une erreur
aléatoire, cela n'est pas le cas pour les erreurs systématiques.

À la différence des erreurs aléatoires, les erreurs systématiques peuvent en principe être
totalement évitées. Toutefois, l'expérience montre que cela n'est que partiellement vrai (en
particulier dans le cas des logiciels). De ce fait découlent les exigences suivantes en matière
de conception des équipements de protection :

Éviter les défaillances en mettant en place un système spécial de gestion de la qualité (mots
clés : « Système de gestion de la sécurité fonctionnelle » ou « système FSM »)

Éviter les défaillances grâce à la redondance et/ou grâce à un comportement de sécurité et à la

détection des défauts (mots clés : tolérance aux anomalies du matériel, somme des défauts non
dangereux, couverture de diagnostic)

Réaliser des calculs pour quantifier la probabilité de défaillance due à des erreurs aléatoires
(mots clés : calcul PFD/PFH)

La mise en œuvre pratique des trois points mentionnés ci-dessus détermine l'ampleur de la
réduction du risque pour l'équipement de protection. De manière générale, la charge de travail
impliquée dans la planification, la mise en œuvre et l'exploitation de l'équipement de
protection dépend du SIL que l'équipement doit atteindre. Les normes EN 61508, EN 61511
et norme VDI/VDE 2180 décrivent la corrélation exacte entre la conception de l'équipement
de protection et le SIL pouvant être atteint.

Lorsque l'équipement de protection est conçu, il est nécessaire de tenir compte de la

prévention des défauts, du contrôle des défauts et de la probabilité de défaillance afin
d'atteindre un degré de réduction du risque spécifique. Il ne suffit pas de prendre en compte la
probabilité de défaillance pour satisfaire une exigence SIL. En réalité, l'équipement de
protection peut uniquement atteindre un SIL spécifique si la structure (redondance,
diagnostics, conception à sécurité intégrée) et la probabilité de défaillance (PFD/PFH)
répondent aux critères stipulés par la norme relative au SIL concerné. En outre, il est
obligatoire d'utiliser un système de gestion de la sécurité fonctionnelle pour la mise en œuvre
de l'équipement. Ces conditions sont requises pour garantir que les erreurs systématiques
seront évitées dans la mesure nécessaire.

3. Évaluation de la sécurité fonctionnelle

Le système de gestion de la sécurité fonctionnelle (FSM) de Pepperl+Fuchs reçoit la certification exida

selon la norme IEC 61508:2010.

Les normes en matière de sécurité fonctionnelle exigent de vérifier ou de valider toutes les
activités et tous les résultats en appliquant le principe des 4 yeux. Elles ont un impact sur la
totalité du cycle de vie de sécurité des équipements de protection. Il est ainsi nécessaire
d'évaluer correctement à la fois l'analyse du risque (exigence SIL) et le processus de mise en
œuvre des mesures de réduction du risque.

Il convient de souligner explicitement ici que l'intégralité du cycle de vie de sécurité, y

compris la documentation obligatoire, doit être traitée au sein du système de gestion de la
sécurité fonctionnelle (FSM). On utilise le système FSM pour

 éviter les erreurs systématiques ;

 s'assurer que toutes les activités et tous les résultats (documents, matériels, logiciels)
ayant un impact sur la réduction du risque peuvent être identifiés et audités.
Le système de gestion de la sécurité fonctionnelle (FSM) est un composant central de la
sécurité fonctionnelle et il est indispensable à la définition d'une exigence SIL.

PL :
1. Évaluation et réduction du risque :
Les dispositifs qui relèvent de la directive machines exposent principalement l'utilisateur aux
dangers qui résultent du mouvement mécanique des pièces. Des exemples très probants de ces
dangers sont liés à l'utilisation de robots dans un environnement de travail. Ces robots sont
programmés pour se déplacer de certaines façons, et ils le font principalement de manière si
rigoureuse et si rapide qu'un ouvrier qui se tient sur leur passage peut être blessé. Pour cette
raison, l'exposition à ce risque est principalement restreinte par des limitations mécaniques
comme des barrières. Là où les ouvriers doivent interagir avec ces robots, les dangers
éventuels peuvent être limités par des moyens électroniques, comme des barrières
optoélectroniques immatérielles de sécurité qui stoppent le mouvement du robot lorsqu'un
ouvrier pénètre dans la zone dangereuse au mauvais moment. Les dispositifs fournis par
Pepperl+Fuchs pour de telles applications n'ont, pour la plupart, pas de pièces mobiles eux-
mêmes, mais font partie des boucles de sécurité où un tel mouvement doit être restreint.

La différence principale par rapport aux normes SIL est que les normes de la directive
machines accordent plus d'importance à l'évaluation du risque qui est décrite de manière plus
approfondie. Une machine/usine peut constituer un danger pour l'être humain, la machine et
l'environnement tout au long de son cycle de vie. La difficulté consiste à identifier tous les
dangers et ne négliger aucun d'entre eux.

L'évaluation des risques est un processus itératif et doit être appliquée à tous les dangers et
risques jusqu'à ce qu'aucun risque ou seulement des risques résiduels mineurs (risque
acceptable) ne demeurent. L'évaluation du risque est créée après l'analyse du risque et est
décrite de manière plus détaillée dans nos pages SIL.

2. Niveau de performance/Bibliothèque SISTEMA

La classification de sécurité « PL » indique la capacité des pièces relatives à la sécurité d'un

dispositif de sécurité à exécuter une fonction de sécurité sous des conditions prévisibles.
Afin de satisfaire aux exigences de la norme EN ISO 13849, les ingénieurs mécaniciens et en
charge de l'usine doivent calculer le niveau de performance réel (PL) de toutes les fonctions
de sécurité et des pièces utilisées dans l'usine. SISTEMA peut vous aider dans cette
démarche. 
SISTEMA est un outil logiciel qui calcule les paramètres de l'ensemble des composants
utilisés dans une application ou un système. Pour vous aider à vous conformer aux normes de
sécurité, Pepperl+Fuchs fournit des bibliothèques SISTEMA pour ses produits standard.
L'utilisation des bibliothèques facilite la compilation des paramètres de sécurité et simplifie
donc le calcul du niveau de performance.
 3. Valeurs de sécurité pour les composants standard :
Vos avantages

Les produits Pepperl+Fuchs évalués selon la norme ISO 13849-1 montrent principalement un niveau et une
catégorie de performance dans la documentation respective. Dans d'autres cas (principalement les
détecteurs), les valeurs données dans la documentation permettent la création d'une application de
catégorie 3 en utilisant les dispositifs en redondance. Les dispositifs électroniques équipés de composants
électroniques programmables sont principalement et également évalués selon la norme CEI 62061 et
disposent d'un SILCL qui permet leur utilisation dans les applications de sécurité conformes à la directive
machines.
En sa qualité de fournisseur d'équipement de sécurité fonctionnelle, Pepperl+Fuchs propose un accès
simplifié aux valeurs correspondantes des composants déjà utilisés. Cela vous permet de calculer les
évaluations de sécurité et vous confère divers avantages supplémentaires :
 Confirmation du niveau de performance requis (PLr) à l'aide de l'outil logiciel SISTEMA éprouvé.
 Intégration aisée des valeurs normalisées dans le calcul des fonctions de sécurité permettant de
prouver plus facilement le fonctionnement sûr de la machine ou de l'usine.
 Valeurs disponibles dans différents formats.
 La mise en œuvre d'applications similaires peut être réalisée sous la forme de fonctions de sécurité
normalisées, permettant la réutilisation des données existantes.

Présentation des valeurs

 MTTFd (Mean Time to Dangerous Failure, temps moyen avant panne dangereuse)
 TM (Mission Time, temps de mission)
 DC (Diagnostic Coverage, couverture de diagnostic)
 L10h (longévité nominale des codeurs rotatifs en tenant compte de la longévité des roulements)
Les valeurs et les méthodes de calcul ont été mises au point par l'IFA (Institut für Arbeitsschutz der
Deutschen Gesetzlichen Unfallversicherung).
Une fois les valeurs de tous les composants disponibles, il peut être procédé à l'évaluation de sécurité de la
machine ou de l'usine.
Grâce à Pepperl+Fuchs, vous pouvez accéder facilement aux valeurs de la majorité des composants
standard.

Où puis-je trouver les valeurs et les produits ?

Reportez-vous aux fiches techniques des produits pour connaître les valeurs correspondantes. Il suffit de
saisir la composition d'une référence du produit dans la case de recherche de notre site Web.
En outre, vous pouvez télécharger des bibliothèques SISTEMA qui contiennent les principales valeurs des
produits.
La plupart des produits de sécurité de notre catalogue sont disponibles dans notre sélecteur de produits de
sécurité, mis à jour régulièrement. Si vous recherchez un produit non répertorié, n'hésitez pas à nous
contacter.

La sûreté de fonctionnement des systèmes industriels est définie par l’absence

de risque inacceptable, de blessure ou d’atteinte à la santé des personnes,
directement ou indirectement, résultant d’un dommage dû au matériel ou à
l’environnement.

LES NORMES IEC 61508 ET NIVEAUX D’INTÉGRITÉ SIL

Une analyse des risques permet de déterminer comment la sûreté de fonctionnement permettra
d’assurer une protection adéquate contre chacun des risques qui peuvent survenir. Ces dangers
sont donc traités de manière appropriée pendant la phase de conception pour que le système
final soit exempt de défaut.

En effet, les fonctions de sécurité sont la résultante des systèmes électriques, électroniques ou
électroniques programmables qui sont habituellement complexes, ce qui a pour conséquence
de rendre très difficile la détermination des défaillances. L’objectif est donc de concevoir le
système d’une manière qui évite un maximum de pannes et qui les contrôle si elles
apparaissent

Les pannes peuvent provenir de nombreux facteurs différents :

> Erreurs sur le logiciel,

> Erreur humaine,

> Influence de l’environnement,

> Panne matérielle aléatoire des mécanismes,

> Etc…

Ainsi, la sécurité de fonctionnement dépend du bon fonctionnement d’un système global ou

d’un équipement en réponse à ses entrées.

C’est pourquoi la norme IEC 61508 (CEI 61508 en français) fut créée.

LA NORME CEI 61508

Elle s’applique aux systèmes de sécurité électriques, électroniques ou électriques
programmables destinés à exécuter des fonctions de sécurité. Elle contient les exigences
nécessaires et suffisantes pour minimiser ces pannes. Toutes les phases du cycle de vie des
matériels et du logiciel (depuis la conceptualisation, en passant par la conception,
l’installation, l’exploitation, la maintenance, jusqu’à la mise hors service) sont concernées.

> La CEI 61508 a été approuvée par le CENELEC en tant que norme européenne (EN).

> La norme IEC 61508 présente une approche générique de toutes les activités liées au cycle
de vie (naissance jusqu’à la réforme du système) des éléments électriques-électroniques-
électroniques programmables (E/E/PES) qui sont utilisés pour réaliser des fonctions de
sécurité.

> Du fait de la grande variété des applications électriques-électroniques-programmables à des

degrés de complexité très divers, la norme IEC 61508 définie des méthodes d’analyse, des
méthodes de développement pour réaliser la sécurité fonctionnelle basée sur l’analyse des
risques et de déterminer les niveaux d’intégrité de sécurité (SIL) à atteindre pour un risque
donné, mais pas de règles générales à proprement dites.

LES NORMES DÉRIVÉES DE L’IEC 61508 : 50126, 50128 ET 50129

Les normes dérivées de l’IEC 61508 comprennent par exemple les normes pour les procédés
industriels (IEC 61511), le secteur du nucléaire (IEC61513), la sécurité des machines (IEC
62061 et ISO 13849) ou encore le transport ferroviaire (EN 50126/EN 50128/ EN 50129).

> Dans ce domaine, les normes EN 5012x sont basée sur le cycle de vie système et ont été
écrites afin d’adapter les exigences de la norme générique IEC 61508 aux contraintes de ce
secteur. Le respect des prescriptions des normes EN 5012x suffit à assurer la conformité à la
norme IEC 61508 sans qu’une évaluation complémentaire soit nécessaire.

SIL : NIVEAU DE "SÉCURITÉ INTÉGRÉE"

SIL OU SECURITY INTEGRITY LEVEL

Le SIL est un niveau d’intégrité de sécurité. La notion de SIL découle directement de la

norme IEC 61508. Le SIL peut se définir comme une mesure de la sûreté de fonctionnement
qui permet de déterminer les recommandations concernant l’intégrité des fonctions de sécurité
à assigner aux systèmes E/E/PE concernant la sécurité.

> Il existe 4 niveaux de SIL : le SIL 4 étant le système de sécurité le plus élevé, le SIL 1 le
moins élevé.

> Il s’agit d’une probabilité moyenne de défaillance sur sollicitation PFDavg (Probability of
Failure on Demand) sur une période de 10 ans.

Grâce à une grande maîtrise en calcul formel, en sécurité de fonctionnement et à l’utilisation

de la méthode B (très utilisée en milieu industriel pour réaliser des logiciels sécuritaires
prouvés), CLEARSY SYSTEMS ENGINEERING est qualifiée pour mener à bien des projets
nécessitant un contexte de certification de niveau SIL 2, SIL 3, ou SIL 4, selon la norme
61508.

___________________________________________________________________________

Les niveaux SIL

Définition :

SIL : Safety Integrity Level (Niveau d’intégrité de Sécurité)

C’est un niveau discret (parmi 4 possibles) qui permet de spécifier les prescriptions
(qualitatives et quantitatives) concernant l’intégrité de sécurité des fonctions de sécurité à
allouer aux systèmes Électriques/Électroniques/Électroniques programmables relatifs à la
sécurité. Le niveau 4 d’intégrité de sécurité possède le plus haut degré d’intégrité.
La norme correspondante à ces niveaux est la norme CEI/IEC 61508.

Intérêt :

À chaque niveau de SIL, sont attachées :

Des règles et exigences de conception,

Des exigences de documentation,

Des exigences quantitatives relatives à l’occurrence d’événements redoutés et au taux de

couverture des tests par rapport à ces événements redoutés (SFF= Safe Failure Fraction).

La spécification d’un niveau de SIL et sa déclinaison contribuent à la construction de la

sécurité intrinsèque d’un équipement, puis d’un système.

Comment :

La vérification et la justification du respect des exigences SIL, ou la détermination du niveau

SIL s’effectuent au travers de la mise en œuvre de plusieurs méthodes, à savoir :

Revues pour s’assurer du respect des exigences qualitatives (règles de conception, tests,
documentation…)
Évaluation de fiabilité, AMDE (Analyse des Modes de Défaillances et de leur Effets), arbres
de défaillance et analyse de testabilité pour s’assurer du respect des exigences quantitatives
(probabilité d’occurrence d’un événement redouté, SFF associé).

De par sa connaissance des normes attachées à la sécurité fonctionnelle et son expertise

dans le domaine de la Sûreté de Fonctionnement (bases, méthodes, outils), FIATEQ peut
vous accompagner et être un support dans vos démarches de :

Construction de la sécurité versus un niveau de SIL

Justification d’un niveau de SIL

Renforcement d’un niveau de sécurité