Sécurité fonctionnelle des systèmes PLC : niveaux SIL, relais de sécurité et conformité expliqués
Un système de sécurité fonctionne ou ne fonctionne pas ; et lorsqu’il ne fonctionne pas, des personnes sont blessées. C’est la réalité incontournable de la sécurité fonctionnelle industrielle. Mais traduire cette réalité en spécifications d’achat d’automates programmables implique de se familiariser avec les niveaux SIL, la norme IEC 61511, les E/S à sécurité intégrée et un marché saturé de certifications qui se chevauchent et peuvent donner le tournis.
En 2026, il ne s'agit plus seulement d'un enjeu d'ingénierie, mais aussi d'un enjeu juridique. La directive européenne NIS2 considère désormais le secteur manufacturier comme une infrastructure critique. Au Moyen-Orient, les projets menés sous les normes de Saudi Aramco et d'ADNOC imposent la conformité à la norme IEC 61511 avec des objectifs SIL spécifiques. Même en Amérique du Nord, où l'OSHA a historiquement adopté une approche moins stricte en matière de normes de sécurité pour l'automatisation, les assureurs intègrent désormais dans leurs contrats des clauses faisant référence à la norme IEC 61508.
Cet article vous permettra de décrypter le jargon technique. À la fin de votre lecture, vous saurez quel niveau SIL votre application requiert, quelles familles d'automates programmables de sécurité le prennent en charge et à quoi ressemble la documentation de conformité à obtenir.
La sécurité fonctionnelle est différente de la sécurité électrique. La sécurité électrique prévient les chocs électriques et les incendies grâce à une mise à la terre adéquate, une protection des circuits et des enceintes de protection. La sécurité fonctionnelle garantit qu'en cas de dysfonctionnement, le système de commande réagit de manière à assurer la sécurité des personnes.
Un système de sécurité fonctionnelle remplit trois fonctions : détecter une situation dangereuse (rupture du rideau lumineux), prendre une décision (arrêt de la presse) et exécuter cette décision de manière fiable (coupure du contacteur moteur). L’ensemble de la chaîne – capteur, analyseur logique, élément final – doit être conçu de manière à ce qu’aucune défaillance d’un composant n’empêche le système de fonctionner.
Le niveau d'intégrité de sécurité (SIL) mesure le degré de réduction des risques offert par une fonction de sécurité. Il s'étend de SIL 1 (le plus bas) à SIL 4 (le plus élevé, presque jamais utilisé dans l'automatisation industrielle).
Niveau SIL | Facteur de réduction des risques | Probabilité de défaillance à la demande | Application typique
SIL 1 | 10–100 | 0,1–0,01 (1 sur 10 à 1 sur 100) | Dépassement de vitesse simple
SIL 2 | 100–1 000 | 0,01–0,001 (1 sur 100 à 1 sur 1 000) | Vanne d’arrêt de procédé
SIL 3 | 1 000–10 000 | 0,001–0,0001 (1 sur 1 000 à 1 sur 10 000) | Gestion du brûleur, protection haute pression
SIL 4 | 10 000–100 000 | 0,0001–0,00001 | Protection des réacteurs nucléaires
En automatisation industrielle, les niveaux SIL 2 et SIL 3 couvrent 95 % des applications. Le niveau SIL 4 n'existe que sur le papier et dans les centrales nucléaires ; vous ne le rencontrerez jamais sur une ligne de conditionnement ou dans une station d'épuration.
Trois normes constituent le socle de la sécurité fonctionnelle dans l'automatisation industrielle :
CEI 61508 — Norme-cadre. Elle couvre tous les secteurs industriels et tous les systèmes de sécurité électriques, électroniques et programmables. Elle définit le concept de niveau d'intégrité de sécurité (SIL) et le cycle de vie de la sécurité.
CEI 61511 — Adaptation de la norme 61508 pour l'industrie des procédés. C'est la norme appliquée dans les raffineries, les usines chimiques et les centrales électriques. Elle couvre l'ensemble du système instrumenté de sécurité (SIS), du capteur au solveur logique jusqu'à l'élément final.
CEI 62061 / ISO 13849 — Normes de sécurité des machines. Elles s'appliquent à la construction de machines-outils, de machines d'emballage ou de cellules robotisées. Elles définissent des niveaux de performance (PLa à PLe) qui correspondent approximativement aux niveaux SIL 1 à 3, mais utilisent une méthode de calcul différente.
Si vous travaillez dans le secteur pétrolier et gazier du Moyen-Orient, la norme CEI 61511 est la norme applicable. Si vous êtes constructeur de machines et exportez vers l'Europe, les normes CEI 62061 et ISO 13849 s'appliquent. Assurez-vous de connaître la norme mentionnée dans la police d'assurance de votre client.
Un automate programmable de sécurité n'est pas un automate programmable classique avec un autocollant de sécurité. Son architecture diffère au niveau du silicium.
Architecture double canal avec comparaison (1oo2) — Deux processeurs distincts exécutent la même logique de sécurité. Un comparateur matériel vérifie en permanence la concordance des décisions de sortie entre les deux processeurs. En cas de divergence, même d'un seul bit, les sorties de sécurité sont désactivées. Il s'agit de l'architecture standard des automates programmables de sécurité SIL 3. Allen-Bradley GuardLogix, Siemens S7-1500F, et Omron NX-SL utilisent tous une forme ou une autre d'architecture 1oo2.
Architecture redondante à triple module (2oo3) : trois processeurs votent pour chaque sortie. La défaillance d'un seul processeur n'entraîne pas l'arrêt du système ; les deux autres prennent le dessus. Cette architecture (TMR) est courante dans les systèmes Honeywell Safety Manager et Triconex pour les applications SIL 3, où les déclenchements intempestifs ont des conséquences financières considérables. Un déclenchement intempestif du système d'arrêt d'urgence d'une plateforme offshore peut engendrer jusqu'à un million de dollars de pertes de production par jour.
Monocanal avec diagnostics (1oo1D) — Un processeur doté de fonctions de diagnostic internes complètes. Convient aux applications SIL 2 où les exigences de réduction des risques sont modérées. Le TwinSAFE de Beckhoff et de nombreux contrôleurs de sécurité compacts utilisent cette approche.
Les modules d'E/S de sécurité ressemblent extérieurement aux modules d'E/S standard. En revanche, leur fonctionnement interne est fondamentalement différent :
· Test d'impulsions : Le module envoie des impulsions de quelques microsecondes via le circuit de sortie afin de vérifier l'intégrité du câblage et l'absence de court-circuit dans la charge. Ces impulsions sont trop brèves pour alimenter la bobine d'un contacteur, mais suffisamment longues pour permettre au système de diagnostic du module de détecter un circuit ouvert ou un court-circuit.
· Intervalles de test en veille : sur les entrées numériques, le module coupe brièvement l’alimentation interne et vérifie que le signal d’entrée tombe bien à zéro. Ceci permet de détecter un défaut de « blocage » qui passerait autrement inaperçu, car l’entrée est toujours considérée comme alimentée.
· Entrées à deux canaux : Une seule entrée de sécurité (arrêt d’urgence, barrière immatérielle) est connectée à deux canaux d’entrée distincts. Le module vérifie que les deux canaux changent d’état dans un délai de détection défini (généralement de 100 à 500 millisecondes). Si un canal s’ouvre tandis que l’autre reste fermé au-delà de ce délai, le module signale un défaut et force le passage en mode de sécurité.
Ces diagnostics s'exécutent en continu, des centaines de fois par seconde. Ils sont invisibles. L'automate programmable ne les signale qu'en cas de défaillance. Pourtant, c'est ce qui fait la différence entre un système sûr sur le papier et un système réellement sûr après trois ans de vibrations, de chaleur et de négligence.
La logique de sécurité s'exécute dans un programme de sécurité distinct, doté de sa propre partition d'exécution. Le programme de contrôle standard ne peut pas écrire dans les balises de sécurité ; il peut seulement les lire. La logique de sécurité utilise un jeu d'instructions restreint : pas de boucles, pas d'adressage indirect, pas d'allocation dynamique de mémoire. Chaque chemin d'exécution possible doit être analysable à la compilation.
Fonctions de sécurité courantes que vous programmerez :
· Surveillance de l'arrêt d'urgence : entrée à deux canaux, réinitialisation manuelle requise, système anti-blocage pour empêcher la neutralisation de l'arrêt d'urgence.
· Coupure par barrière immatérielle : désactivation temporaire de la fonction de sécurité pour permettre le passage de matériaux, à l’aide de capteurs de coupure disposés de manière à ce qu’une personne ne puisse pas déclencher le même motif de capteur.
· Coupure de couple sécurisée (STO) : met hors tension l’étage de sortie du variateur de vitesse sans couper l’alimentation principale, permettant un redémarrage rapide après un incident de sécurité.
· Vitesse limitée de sécurité (SLS) : Surveille le retour d’information de l’encodeur et déclenche le système si le moteur dépasse une limite de vitesse configurable.
· Gestion du brûleur : temporisation de la purge, détection de flamme, vérification de la vanne de combustible et séquencement d’arrêt d’urgence
Moyen-Orient : La norme SAES-J-601 de Saudi Aramco impose la conformité à la norme IEC 61511 pour tous les nouveaux systèmes de sécurité des procédés. Le niveau SIL 3 est la norme par défaut pour la détection d'incendie et de gaz, l'arrêt d'urgence et les systèmes de protection haute pression (HIPPS). Honeywell Safety Manager et Triconex dominent le parc installé, tandis que Yokogawa ProSafe-RS gagne des parts de marché dans les projets menés par des entreprises d'ingénierie, d'approvisionnement et de construction (EPC) japonaises. Si vous fournissez des équipements pour un projet Aramco, prévoyez un budget pour un automate programmable de sécurité certifié et une évaluation de la sécurité fonctionnelle (FSA) réalisée par un ingénieur certifié TÜV avant la mise en service.
Europe : Le marquage CE exige désormais un cycle de vie de sécurité documenté pour les machines. Le règlement (UE) 2023/1230 relatif aux machines (applicable à partir de 2027, mais les fournisseurs s’y conforment déjà) renforce les exigences pour les robots mobiles autonomes et les robots collaboratifs, qui dépendent fortement des automates programmables de sécurité pour la surveillance de la vitesse et de la distance. Les automates Siemens F dominent le marché en Allemagne et en Europe de l’Est. Le Pilz PSS 4000 est la solution de référence pour les applications de sécurité pure.
Amériques : La norme OSHA PSM (Gestion de la sécurité des procédés, 29 CFR 1910.119) favorise l’adoption de GuardLogix dans les secteurs du raffinage et de la chimie. GuardLogix bénéficie d’une forte présence car les usines disposent déjà de l’écosystème Rockwell. L’évolution vers une sécurité intégrée (logique de sécurité sur la même plateforme que le contrôle standard) s’est accélérée depuis que le logiciel Studio 5000 Logix Designer de Rockwell a rendu la programmation de sécurité quasiment identique à la programmation standard.
Les niveaux SIL ne sont pas estimés au hasard. Ils sont calculés à l'aide d'une analyse des couches de protection (LOPA). La méthode :
1. Commencez par la fréquence de l'événement déclencheur : à quelle fréquence la situation dangereuse se produit-elle ? Une surpression dans un réacteur peut survenir une fois par an. Un blocage de convoyeur peut se produire une fois par jour.
2. Déterminer le risque tolérable — Quelle est la fréquence maximale acceptable de l'événement dommageable ? Pour un décès, les objectifs courants de l'industrie varient de 1 × 10⁻⁴ à 1 × 10⁻⁶ par an.
3. Tenez compte des dispositifs de protection non intégrés au système SIS : soupapes de sûreté, réaction de l’opérateur, confinement physique. Chaque dispositif de protection indépendant (DPI) réduit le risque d’un certain facteur.
4. L'écart restant correspond à ce que votre fonction instrumentée de sécurité doit couvrir — Cet écart détermine le niveau SIL requis.
Exemple simplifié : une surpression survient environ tous les 10 ans. Sans protection, elle serait fatale pour un opérateur. Le risque tolérable est de 1 × 10⁻⁴ par an (un décès tous les 10 000 ans). Une soupape de décharge réduit le risque d’un facteur 100 (un IPL). Le risque résiduel est donc de 1 × 10⁻³ par an. Pour atteindre 1 × 10⁻⁴, il faut encore une réduction d’un facteur 10, soit le niveau SIL 1. L’automate de sécurité doit fermer la vanne d’entrée dans le délai de sécurité du procédé lorsque la pression dépasse le seuil de déclenchement.
Votre automate programmable de sécurité certifié SIL possède une probabilité de défaillance à la demande (PFDavg). Cette valeur est calculée en supposant que vous effectuiez des tests de fonctionnement du système à intervalles réguliers, généralement tous les 12 mois. Ces tests vérifient l'intégralité de la chaîne de sécurité, du capteur à l'élément final, et détectent les défaillances non identifiées par le diagnostic automatique.
Un test de validation sur un automate programmable de sécurité comprend :
· Forcer les entrées de sécurité et vérifier les sorties de sécurité correctes répond
· Tester le temps de réponse (doit être inférieur au temps de sécurité du processus)
· Vérifier que la couverture de diagnostic fonctionne (injecter un défaut, confirmer que l'automate le détecte et le signale)
· Test du circuit de surveillance (minuterie matérielle qui force un état sûr si le processeur de sécurité se bloque)
Planifiez des tests de validation lors des arrêts programmés. Documentez chaque résultat de test. Cette documentation constitue votre preuve en cas d'enquête sur un incident remettant en question la conformité du système de sécurité aux exigences de maintenance spécifiées.
La norme NIS2 en Europe exige que les systèmes critiques pour la sécurité soient protégés contre les cybermenaces. Un automate programmable de sécurité connecté à un réseau d'usine non segmenté n'est pas sûr, non pas à cause d'une défaillance intrinsèque de l'automate, mais parce qu'un poste de travail d'ingénierie compromis peut télécharger un programme de sécurité modifié qui désactive les protections.
Le modèle de défense en profondeur pour les automates programmables de sécurité :
· Segmentation du réseau : automates de sécurité sur un segment de réseau de sécurité dédié, isolé du réseau de contrôle de l’usine par un pare-feu.
· Gestion du changement : Toute modification du programme de sécurité nécessite une approbation documentée, une vérification indépendante et des essais fonctionnels.
· Intégrité du firmware : le firmware de l’automate de sécurité doit être signé numériquement et vérifié au démarrage.
· Sécurité physique : L’interrupteur à clé de sécurité de l’automate programmable est là pour une raison. Utilisez-le.
· Processeur de sécurité Omron NX-SL3300 SIL 3 : 1 200 $ à 1 800 $ US ; temps de cycle des tâches de sécurité : 10 à 20 ms ; intégration avec la plateforme d’E/S série NX
· Allen-Bradley 1756-L82ES GuardLogix SIL 3 : 12 000 $ à 18 000 $ US ; prend en charge la sécurité intégrée et le contrôle standard dans un seul contrôleur.
· Siemens S7-1500F (1516F-3 PN/DP) SIL 3 : 6 000 $ à 9 000 $ US ; portail TIA intégré ; F-CPU avec PROFIsafe sur PROFINET
· Honeywell Safety Manager SIL 3 : Prix sur demande (généralement plus de 25 000 $ pour le solveur logique seul) ; architecture TMR ; privilégié par les principaux opérateurs pétroliers et gaziers
· Remarque : Les prix indiqués n’incluent pas les modules d’E/S de sécurité, qui représentent généralement 30 à 50 % du coût total du matériel. Délais de livraison : 4 à 12 semaines selon la plateforme. Les relais de sécurité et les automates de sécurité obsolètes (Pilz PNOZmulti Classic, anciens GuardLogix) restent disponibles sur tztechio.com/industrial-automation.
Ai-je besoin d'un automate programmable de sécurité séparé, ou puis-je utiliser mon automate programmable standard ?
Si votre automate programmable standard est certifié pour la sécurité (comme GuardLogix ou S7-1500F), la logique de sécurité s'exécute dans une partition distincte du même matériel ; les deux systèmes sont fonctionnellement séparés, mais physiquement intégrés. Si votre automate programmable standard est un contrôleur standard non certifié pour la sécurité, vous avez besoin d'un automate programmable de sécurité distinct. N'exécutez jamais de logique de sécurité sur un contrôleur non certifié.
Quelle est la différence entre SIL et PL ?
Le niveau d'intégrité de sécurité (SIL) est issu des normes IEC 61508/61511 et s'applique aux industries de procédés et aux systèmes de sécurité complexes. Le niveau de performance (PL, a à e) est issu de la norme ISO 13849 et s'applique aux machines. Il existe un chevauchement entre les deux : PL d correspond approximativement à SIL 2 et PL e à SIL 3. Pour certifier une machine destinée au marché européen, la certification PL est requise. Pour concevoir un système de sécurité des procédés, la certification SIL est nécessaire. Certains automates programmables de sécurité sont certifiés selon les deux normes.
Les automates programmables de sécurité Omron peuvent-ils s'intégrer aux automates programmables standard non Omron ?
Oui. Le processeur de sécurité Omron NX-SL communique les données de sécurité via EtherCAT grâce au protocole FSoE (Fail-Safe over EtherCAT). Tout maître EtherCAT compatible FSoE peut échanger des données de sécurité avec le NX-SL. Vous pouvez ainsi utiliser un processeur de sécurité Omron avec un automate programmable Beckhoff standard, et inversement, à condition que les deux prennent en charge le protocole FSoE.
À quelle fréquence faut-il remplacer les automates programmables de sécurité ?
Les automates programmables de sécurité ont une durée de vie utile documentée dans leur manuel de sécurité, généralement de 20 ans à compter de leur date de fabrication. Passé ce délai, les taux de défaillance probabilistes utilisés pour le calcul du niveau d'intégrité de sécurité (SIL) ne sont plus garantis. De nombreuses installations exploitent des automates programmables de sécurité pendant plus de 20 ans, mais en cas d'incident, l'enquête constatera que l'équipement a dépassé sa durée de vie certifiée. Il est conseillé de prévoir un budget pour leur remplacement au bout de 15 ans afin de permettre une migration avant l'échéance.
La sécurité fonctionnelle est-elle requise pour les stations de traitement des eaux au Moyen-Orient ?
Bien que ce ne soit pas encore une pratique universelle, cela tend à devenir la norme. Les grands projets de dessalement et de traitement des eaux usées en Arabie saoudite, aux Émirats arabes unis et au Qatar spécifient désormais un niveau d'intégrité de sécurité (SIL) de 2 pour le dosage du chlore et de 2 à 3 pour la protection des membranes d'osmose inverse haute pression. Si le projet fait référence à un cahier des charges d'Aramco ou d'ADNOC, la conformité à la norme IEC 61511 est obligatoire, quel que soit le secteur d'activité.
--------------------------------------------------------------------------------------------------------------------
TZ Tech est un fournisseur spécialisé en pièces d'automatisation industrielle et électriques, ainsi qu'en instruments et composants de télécommunications. Nous commercialisons principalement les pièces en stock chez nos distributeurs, à des prix compétitifs et avec des délais de livraison courts. Grâce à notre important stock, nous pouvons également fournir des pièces qui ne sont plus fabriquées.
Nous comprenons vos préoccupations et nous nous engageons à garantir la qualité. Nous contrôlons rigoureusement les composants dont vous avez besoin, vous assurant ainsi une entière satisfaction quant à la qualité des produits reçus. Pour les pièces spécifiques qui ne sont plus fabriquées depuis longtemps, nous vous informerons en toute transparence de leur état. Toutes les pièces neuves sont garanties 1 an.
Pour toute pièce détachée, n'hésitez pas à nous contacter. Notre équipe vous répondra dans les plus brefs délais, sous 6 heures (hors week-end).
Continuez à lire, restez informé, abonnez-vous et nous vous invitons à nous dire ce que vous en pensez.
De plus, avec votre autorisation, nous souhaitons placer des cookies pour rendre votre visite et votre interaction avec slOC plus personnelles. Pour cela, nous utilisons des cookies analytiques et publicitaires. Grâce à ces cookies, nous et des tiers pouvons suivre et collecter votre comportement Internet à l'intérieur et à l'extérieur de super-instrument.com. Grâce à cela, nous et des tiers adaptons super-instrument.com et les publicités à vos intérêts. En cliquant sur Accepter, vous acceptez cela. Si vous refusez, nous utilisons uniquement les cookies nécessaires et vous ne recevrez malheureusement aucun contenu personnalisé. Veuillez consulter notre politique en matière de cookies pour plus d'informations ou pour modifier votre consentement à l'avenir.
Accept and continue Decline cookies
