Le dilemme auquel chaque directeur d'usine est confronté

Systèmes de sécurité PLC : niveaux de sécurité SIL – si vous effectuez une recherche ici, c’est probablement parce qu’un membre de votre organisation vient de recevoir un rapport d’audit de conformité, un cahier des charges exigeant un niveau SIL 3, ou un devis pour un automate de sécurité dont le prix est 45 % supérieur à celui du contrôleur standard prévu au budget. Personne ne souhaite sous-dimensionner la sécurité et se retrouver impliqué dans un incident. Personne ne souhaite non plus dépasser son budget et être pointé du doigt lors d’une revue budgétaire. Cet article explique le fonctionnement des automates de sécurité, les produits disponibles avec leurs références et comment faire le bon choix sans prendre de risques inutiles.

---

Les bases

Le niveau d'intégrité de sécurité (SIL) mesure la réduction des risques selon la norme CEI 61508. Il existe quatre niveaux. Le SIL 1 (facteur de réduction des risques de 10 à 100) couvre les risques de blessures mineures. Le SIL 2 (FRR de 100 à 1 000) traite les risques de blessures graves ; c'est le niveau le plus courant pour les machines en général. Le SIL 3 (FRR de 1 000 à 10 000) s'applique lorsque les défaillances risquent d'entraîner de multiples décès : protection contre les décharges électrostatiques dans l'industrie pétrolière et gazière, protection des réacteurs chimiques, sécurité des presses à grande vitesse. Le SIL 4 (FRR de 10 000 à 100 000) est utilisé dans les secteurs du nucléaire, de l'aéronautique et du ferroviaire ; aucune norme de sécurité industrielle ne le revendique comme unique niveau de sécurité.

Il ne faut pas confondre SIL et PL (niveau de performance) de la norme ISO 13849. La réglementation européenne relative aux machines fait référence aux PL (a à e) ; les industries de procédés utilisent le SIL. Correspondance approximative : SIL 2 ≈ PLd, SIL 3 ≈ PLe. Un automate programmable de sécurité certifié SIL 3 satisfait généralement aux exigences PLe, mais la documentation et la méthodologie d’évaluation diffèrent.

Un automate programmable de sécurité (API) diffère d'un API standard sur trois points. Premièrement, ses processeurs à deux canaux fonctionnent de manière synchronisée avec vérification croisée : leurs sorties doivent concorder dans une plage de tolérance, sous peine de déclenchement du système. Deuxièmement, tout mode de défaillance connu entraîne une mise hors tension (état sûr) ; cette mise hors tension est certifiée et non présumée. Troisièmement, la mémoire du programme de sécurité est protégée par une somme de contrôle ; tout code corrompu est détecté avant son exécution. Un API standard avec logique de surveillance ne peut garantir la probabilité de défaillance à la demande, certifiée, qu'offre un API de sécurité SIL. Si votre application requiert une certification SIL, un API standard n'est pas adapté.

---

Le monde réel

Cinq plateformes dominent les installations d'automates programmables de sécurité :

Siemens S7-1500F : Les variantes F-CPU exécutent des programmes standard et de sécurité dans une mémoire partitionnée. 6ES7516-3FN02-0AB0 (Processeur 1516F-3 PN/DP, SIL 3, 2 Mo de mémoire programme) et 6ES7517-3FP00-0AB0 (Processeur 1517F-3 PN/DP, performances supérieures) associé à une interface E/S de sécurité ET 200SP via PROFIsafe. Siemens est un acteur majeur des installations de sécurité en Europe et au Moyen-Orient.

Allen-Bradley GuardLogix 5580 : Le 1756-L83ES (SIL 3 / PLe, 10 Mo de mémoire utilisateur, 1 Go de mémoire de sécurité) assure la communication de sécurité via EtherNet/IP grâce à CIP Safety. GuardLogix est un leader des industries lourdes en Amérique du Nord (raffineries, automobile, pâtes et papiers). Studio 5000 gère la logique standard et de sécurité au sein d'un même projet.

Sécurité Schneider Electric M580 : Le BMEP584040S (CPU de sécurité M580, SIL 3) ajoute un coprocesseur de sécurité au fond de panier M580 standard. Schneider cible les industries de procédés hybrides (chimie, pharmacie, production d’énergie) utilisant EcoStruxure Control Expert.

Pilz PSS 4000 : Pilz conçoit exclusivement des contrôleurs de sécurité. Le PSS 4000 (SIL 3 / PLe) utilise le protocole SafetyNET p et s’impose comme la solution idéale pour la sécurité des presses complexes, la protection des cellules robotisées et la gestion des brûleurs, domaines où une expertise pointue en matière de sécurité est essentielle.

ABB AC500-S : Coprocesseur de sécurité sur la plateforme AC500, certifié SIL 3, utilisant PROFIsafe sur PROFINET. ABB le destine aux applications combinant AC500 standard et sécurité : traitement de l’eau, ventilation de tunnels, commande de grues.

Des installations concrètes illustrent cette diversité. Une plateforme offshore du golfe Persique utilise des unités centrales Siemens S7-1500F pour la protection contre les arrêts d'urgence (ESD) des têtes de puits, au niveau SIL 3. Un déclenchement intempestif peut coûter entre 500 000 et 2 millions de dollars ; la disponibilité est donc aussi importante que la sécurité. Une usine d'emboutissage automobile du Michigan utilise le système Allen-Bradley GuardLogix 1756-L83ES pour la protection des presses, avec des barrières immatérielles et des tapis de sécurité. Ce système évalue l'interruption du faisceau et émet des ordres d'arrêt en moins de 15 ms, conformément à la norme OSHA 1910.217. Une usine chimique allemande déploie le système Schneider M580 Safety pour la protection contre les surpressions, avec trois transmetteurs redondants dans une architecture de vote 2oo3. Le SIF doit fermer les vannes d'arrêt dans un délai de sécurité des procédés de 2 secondes.

---

DPlongée en profondeur

Trois protocoles de sécurité assurent le transfert des données de sécurité sur les réseaux d'usine. PROFIsafe utilise PROFINET comme protocole de canal noir : réseau non fiable, couche de sécurité fiable avec numérotation séquentielle, CRC et vérification d'adresse. Ce protocole est natif des solutions Siemens et ABB. CIP Safety étend EtherNet/IP avec la même approche de canal noir et permet le routage sur plusieurs sous-réseaux. Ce protocole est natif des solutions Allen-Bradley GuardLogix. FSoE (FailSafe over EtherCAT) utilise directement les trames EtherCAT ; on le trouve principalement dans les solutions Beckhoff TwinSAFE et certaines configurations Pilz. Le choix du protocole dépend de la plateforme ; des passerelles existent pour les environnements mixtes, mais elles augmentent la latence.

Les architectures de redondance privilégient la disponibilité au détriment de la sécurité. L'architecture 1oo1 (un seul canal) est la plus économique, mais toute défaillance entraîne l'arrêt de la production ; elle est acceptable pour un niveau de sécurité SIL 2, avec des déclenchements intempestifs tolérables. L'architecture 1oo2 (deux canaux, chacun pouvant déclencher l'un ou l'autre) offre une sécurité accrue, mais le système se déclenche également en cas de défaillance unique. L'architecture 2oo3 (trois canaux, deux canaux devant s'accorder) garantit la sécurité en cas de défaillance unique tout en évitant les déclenchements intempestifs ; c'est la norme dans les systèmes d'arrêt d'urgence (ESD) pour l'industrie pétrolière et gazière, où la disponibilité est un facteur économique déterminant. Un système 2oo3 certifié TÜV, tel que le Siemens S7-1500FH, gère la synchronisation des votes en interne, mais une diversité matérielle est nécessaire pour éviter les défaillances de cause commune.

Le cycle de vie de sécurité fonctionnelle selon la norme CEI 61511 régit l'ensemble du système, et non seulement l'automate programmable. L'analyse HAZOP/LOPA détermine le niveau SIL cible. Un document SRS (Système d'Information des Spécifications) décrit les points de déclenchement, les temps de réponse et le comportement de réinitialisation. La vérification du niveau SIL calcule la probabilité de défaillance moyenne (PFDavg) pour la boucle complète ; l'automate de sécurité contribue généralement à moins de 15 % de la probabilité totale de défaillance, les capteurs et les composants finaux étant prépondérants. Les tests de validation à intervalles définis (généralement 12 mois pour les fonctions de processus SIL 3) influent directement sur la PFDavg. La cybersécurité, conformément à la norme CEI 62443, est désormais intégrée à la sécurité fonctionnelle : la signature du firmware, le contrôle d'accès basé sur les rôles et l'audit des modifications apportées au programme de sécurité sont des standards sur les automates de sécurité modernes. Un automate de sécurité compromis n'a aucune valeur SIL significative.

---

Prix ​​et disponibilité

Les automates programmables de sécurité sont 30 à 50 % plus chers que leurs équivalents standard. Un 6ES7516-3FN02-0AB0 (S7-1500F) coûte entre 4 800 et 5 600 $ contre 3 200 à 3 800 $ pour le modèle standard 1516-3. Un GuardLogix 1756-L83ES coûte entre 7 200 et 8 500 $ contre 4 800 à 5 600 $ pour le modèle standard 1756-L83E. Les E/S de sécurité représentent un surcoût de 30 à 40 % par rapport aux E/S standard.

Les délais de livraison restent longs mi-2026 : 16 à 20 semaines pour les automates Siemens S7-1500F et Allen-Bradley GuardLogix. Commandez vos automates de sécurité dès la phase de spécification ; attendre la mise en service ne garantit pas le respect du calendrier. tztechio.com dispose d'un stock régional de sécurité pour les références courantes Siemens et Allen-Bradley au Moyen-Orient. Consultez tztechio.com/plc, tztechio.com/siemens et tztechio.com/allen-bradley pour connaître la disponibilité.

FAQ

Q : Ai-je vraiment besoin d'un automate programmable de sécurité, ou puis-je utiliser un relais de sécurité ?

Une ou deux fonctions de sécurité simples — un arrêt d'urgence, un rideau lumineux — suffisent pour un relais de sécurité configurable comme le Pilz PNOZ X ou le Siemens 3SK1, à un prix deux fois moins élevé. L'automate de sécurité devient indispensable en présence de plusieurs zones de sécurité, de signaux de sécurité circulant entre machines, d'une logique de sécurité flexible s'adaptant aux modes de production, ou de diagnostics permettant d'identifier précisément le dispositif déclenché. Si vous câblez plus de trois relais de sécurité en série, l'automate de sécurité est rapidement rentabilisé grâce à la réduction du câblage et à la simplification des modifications.

Q : SIL 2 vs. SIL 3 — quelle est la différence pratique ?

Le niveau SIL 3 présente environ 10 fois moins de risques de défaillance à la demande que le niveau SIL 2. Concrètement, cela se traduit au niveau matériel : le niveau SIL 2 peut utiliser des entrées monocanal avec diagnostic ; le niveau SIL 3 exige des entrées bicanal avec contrôle des anomalies et double approximativement le nombre d’E/S. La plupart des machines (presses, robots, emballages) satisfont aux exigences réglementaires au niveau SIL 2/PLd. Spécifiez le niveau SIL 3 parce que votre évaluation des risques le justifie, et non parce qu’il semble plus sûr.

Q : Puis-je ajouter des dispositifs de sécurité à mon automate programmable standard existant ?

Non. Un automate programmable standard ne possède pas d'architecture à double processeur, de pilotes de sortie à sécurité intégrée ni de micrologiciel certifié. Vous pouvez intégrer un automate de sécurité distinct à votre contrôleur standard ; de nombreuses usines procèdent ainsi. Cela complexifie la communication, mais fonctionne.

Q : Un automate programmable de sécurité SIL 3 a-t-il besoin de capteurs et d'actionneurs SIL 3 ?

L'ensemble du système SIF (capteur, solveur logique, élément final) doit collectivement atteindre le niveau SIL cible. Un automate programmable SIL 3 équipé de capteurs et de vannes SIL 2 peut ne pas atteindre le niveau SIL 3 global. Le calcul du PFDavg permet de le déterminer. Des capteurs SIL 2 configurés en mode de vote 1oo2 ou 2oo3 peuvent atteindre le niveau SIL 3 en fonction des intervalles de test et des valeurs PFD des composants.

Q : À quelle fréquence dois-je effectuer des tests de fonctionnement d'un automate programmable de sécurité ?

Intervalles typiques : 12 mois pour la sécurité des procédés SIL 3, 12 à 24 mois pour les machines. Le test doit couvrir l’ensemble de la boucle, des capteurs aux composants finaux. Le système de diagnostic interne de l’automate de sécurité couvre plus de 99 % des pannes, mais les appareils de terrain nécessitent des tests actifs.