Le contexte — avoir la fonction de sécurité ne suffit pas
Le 11 décembre 2005, le dépôt pétrolier de Buncefield, au nord de Londres, explose. Le réservoir 912 se remplit la nuit. Deux barrières devaient l’empêcher de déborder : la jauge de niveau automatique, et un commutateur de niveau très haut indépendant, destiné à couper l’arrivée en dernier recours.
La jauge s’est figée sans alerter. Le commutateur indépendant, lui, était inopérant : son dispositif de verrouillage n’avait pas été remis en place après maintenance, et sans lui le commutateur ne pouvait pas agir. Le réservoir a débordé, un large nuage de vapeur d’essence s’est formé, puis a explosé. Ce fut l’une des plus grandes explosions en temps de paix en Europe. Une cinquantaine de blessés, aucun mort par chance, et des dégâts considérables.
La leçon est exactement celle de la sécurité fonctionnelle : une fonction de sécurité existait sur le papier, mais son intégrité n’était ni démontrée ni maintenue. Concevoir une protection ne suffit pas. Il faut prouver qu’elle réduit le risque du facteur attendu, et garantir qu’elle le fait pendant toute la vie de l’installation. C’est précisément le problème que l’IEC 61508 attaque de front.
Qu’est-ce que la sécurité fonctionnelle, et ce qu’elle n’est pas
La sécurité fonctionnelle est la partie de la sécurité globale qui dépend du bon fonctionnement, en réponse à ses entrées, d’un système actif. Concrètement : un capteur détecte une condition dangereuse, une unité de traitement décide, un actionneur ramène l’installation en état sûr. Exemple type : « si la pression dépasse le seuil, fermer la vanne en moins de deux secondes ».
Ce n’est pas la même chose que la sécurité intrinsèque d’un matériel en atmosphère explosible, qui relève de l’ATEX. Ce n’est pas non plus la résistance mécanique d’un carter ou d’une structure. La sécurité fonctionnelle, c’est une fonction réalisée activement par une chaîne capteur, logique, actionneur. Si cette chaîne échoue au mauvais moment, la protection n’existe plus.
L’IEC 61508 parle de systèmes électriques, électroniques et électroniques programmables relatifs à la sécurité. En clair : relais de sécurité, automates de sécurité, capteurs et transmetteurs, vannes de sécurité, et le logiciel qui les pilote.
L’IEC 61508 : la norme mère
L’IEC 61508 s’intitule « Sécurité fonctionnelle des systèmes électriques, électroniques et électroniques programmables relatifs à la sécurité ». Elle est publiée par la Commission électrotechnique internationale. Sa première édition date de la fin des années mille neuf cent quatre-vingt-dix, sa deuxième édition de deux mille dix.
Elle comporte sept parties. La partie 1 fixe les exigences générales et le cycle de vie. La partie 2 traite le matériel électronique. La partie 3 traite le logiciel. La partie 4 donne les définitions. Les parties 5, 6 et 7 fournissent des méthodes, des guides d’application et un catalogue de techniques.
C’est une norme générique, dite norme de base. Les normes sectorielles en dérivent et l’adaptent à leur domaine : l’IEC 61511 pour les procédés industriels, l’IEC 62061 pour les machines, l’IEC 61513 pour le nucléaire, la série EN 5012x pour le ferroviaire, et l’ISO 26262 pour l’automobile. Côté machines, l’ISO 13849 propose une approche alternative fondée sur les niveaux de performance. Nous traiterons ces variantes dans des articles dédiés. Ici, on pose le socle.
Le but : réduire le risque d’un facteur démontrable, le SIL
L’idée centrale est simple. On évalue le risque d’un scénario dangereux. On détermine la réduction de risque nécessaire pour le rendre tolérable. On attribue alors à la fonction de sécurité un niveau d’intégrité, le SIL, ou niveau d’intégrité de sécurité. Il existe quatre niveaux, de SIL 1, le moins exigeant, à SIL 4, le plus exigeant.
Le SIL se mesure différemment selon le rythme de sollicitation de la fonction.
En mode faible sollicitation, c’est-à-dire quand la fonction n’est appelée que rarement, on mesure la probabilité moyenne de défaillance à la sollicitation, la PFD moyenne. À chaque niveau correspond aussi un facteur de réduction de risque.
| SIL | PFD moyenne (mode faible sollicitation) | Facteur de réduction de risque |
|---|---|---|
| 1 | de 10⁻² à 10⁻¹ | 10 à 100 |
| 2 | de 10⁻³ à 10⁻² | 100 à 1 000 |
| 3 | de 10⁻⁴ à 10⁻³ | 1 000 à 10 000 |
| 4 | de 10⁻⁵ à 10⁻⁴ | 10 000 à 100 000 |
En mode sollicitation élevée ou continue, quand la fonction est sollicitée souvent ou en permanence, on mesure la probabilité de défaillance dangereuse par heure, la PFH.
| SIL | PFH (mode sollicitation élevée ou continue) |
|---|---|
| 1 | de 10⁻⁶ à 10⁻⁵ par heure |
| 2 | de 10⁻⁷ à 10⁻⁶ par heure |
| 3 | de 10⁻⁸ à 10⁻⁷ par heure |
| 4 | de 10⁻⁹ à 10⁻⁸ par heure |
Pour convertir une réduction de risque en SIL, ou un objectif de PFD en niveau, les calculateurs PFD vers SIL et facteur de réduction de risque vers SIL du site donnent le résultat directement.
Deux ennemis distincts : défaillances aléatoires et systématiques
Une fonction de sécurité peut échouer pour deux raisons fondamentalement différentes. L’IEC 61508 les traite séparément, car elles n’ont rien à voir.
Les défaillances aléatoires du matériel surviennent par usure, vieillissement, défaut physique. Elles sont quantifiables par un taux de défaillance. On les combat par la redondance, par les diagnostics intégrés, et par les tests périodiques.
Les défaillances systématiques viennent d’une erreur humaine figée dans la conception : une spécification ambiguë, un défaut logiciel, une erreur de câblage générique, un mauvais choix de composant. Elles ne sont pas quantifiables par une probabilité. On les combat par la rigueur du processus : revues, vérification, validation, traçabilité. L’IEC 61508 mesure cette rigueur par la capacité systématique, notée de 1 à 4.
Point crucial, et trop souvent oublié : un SIL n’est pas qu’un chiffre de fiabilité. Il combine trois exigences.
Les trois exigences d’un SIL
Atteindre la cible chiffrée de PFD ou de PFH est nécessaire, mais ne suffit pas. Un SIL valide repose sur trois piliers, et le plus faible des trois fixe le niveau réellement atteint.
Premièrement, l’exigence quantitative : la PFD moyenne, ou la PFH, doit tomber dans la plage du SIL visé.
Deuxièmement, les contraintes architecturales. Elles imposent une tolérance aux anomalies matérielles minimale en fonction de la proportion de défaillances en sécurité, c’est-à-dire la part des défaillances qui ne sont pas dangereuses ou qui sont détectées. La norme distingue les composants à comportement simple et bien connu, dits de type A, des composants complexes comme les microprocesseurs, dits de type B. Elle propose deux routes : une route fondée sur ces tableaux, et une route fondée sur le retour d’expérience de fiabilité, introduite en deuxième édition.
Troisièmement, l’exigence systématique : la capacité systématique des éléments et la maîtrise des fautes de conception.
La conséquence pratique est nette. On peut très bien calculer une excellente PFD et rater le SIL, parce que l’architecture manque de redondance, ou parce que le logiciel n’a pas été développé avec la rigueur requise.
Le cœur de la norme : le cycle de vie de sécurité
L’apport majeur de l’IEC 61508 n’est pas une formule. C’est une idée de méthode : la sécurité n’est pas un composant que l’on achète, c’est un processus de bout en bout. La norme le formalise par le cycle de vie de sécurité, une suite d’étapes qui couvrent toute la vie de l’installation.
Tout part de l’analyse des dangers et du risque. De là découle la spécification des exigences de sécurité, qui définit chaque fonction, son SIL, son temps de réponse et son état sûr. Vient ensuite l’allocation des fonctions aux systèmes, puis la réalisation, matériel et logiciel. Le logiciel suit son propre cycle, en V, décrit dans la partie 3. Puis l’installation, la validation, l’exploitation et la maintenance, la gestion des modifications, et enfin la mise hors service.
Chaque étape a des entrées, des sorties et une vérification. Un maillon faible ruine toute la chaîne : une spécification floue, une donnée de fiabilité fantaisiste, un test irréaliste, ou une maintenance bâclée comme à Buncefield. La sécurité fonctionnelle se gère sur la durée, pas seulement au moment de la conception.
Les métriques qu’il faut savoir lire
Quelques grandeurs reviennent dans toute étude SIL. Les taux de défaillance se découpent selon que la défaillance est dangereuse ou sûre, détectée ou non détectée. La part dangereuse non détectée est la plus pénalisante : c’est elle que seul le test périodique révèle.
La couverture de diagnostic mesure la fraction des défaillances dangereuses détectées automatiquement. Le facteur de cause commune, souvent noté bêta, mesure la part des défaillances qui frappent en même temps deux voies redondantes ; il est le talon d’Achille de toute redondance. L’intervalle entre tests périodiques pèse lourdement sur la PFD moyenne.
Pour une voie unique sans redondance, la PFD moyenne vaut approximativement la moitié du produit du taux de défaillance dangereuse non détectée par l’intervalle de test. Autrement dit : tester deux fois plus souvent divise par deux ce terme. Les architectures redondantes se notent « M parmi N » : une voie sur une, une voie sur deux, deux voies sur trois. Le calculateur taux de défaillance vers temps moyen entre pannes aide à manipuler ces ordres de grandeur.
Les enjeux
Le premier enjeu est humain et environnemental. Une fonction de sécurité défaillante, c’est un risque d’accident majeur : incendie, explosion, rejet toxique, écrasement.
Le deuxième enjeu est réglementaire. Les sites à risque majeur relèvent de la directive Seveso en Europe ; les machines, de la réglementation machines. Démontrer la conformité de ses fonctions de sécurité n’est pas optionnel.
Le troisième enjeu est économique. Une mise en sécurité intempestive arrête la production et coûte cher en disponibilité. Une sécurité sous-dimensionnée coûte infiniment plus en cas d’accident. Le bon SIL est un équilibre, pas un maximum.
Le quatrième enjeu est cyber. Les systèmes de sécurité sont désormais connectés. L’attaque Triton, en deux mille dix-sept, visait précisément un système instrumenté de sécurité pour en désactiver les protections. Sécurité fonctionnelle et cybersécurité ne se traitent plus séparément. Le sujet est détaillé dans l’article Échanger des données entre 2 automates OT.
Les difficultés réelles
La spécification des exigences de sécurité est la première source de problèmes. Une exigence ambiguë produit une fonction qui ne fait pas ce qu’il fallait, et aucun calcul de fiabilité ne rattrape cela.
Les données de fiabilité sont la deuxième difficulté. Les taux de défaillance fournis par les constructeurs sont parfois optimistes, et le facteur de cause commune est régulièrement sous-estimé. Une étude SIL ne vaut que ce que valent ses données d’entrée.
Le test périodique est la troisième difficulté. Un test partiel qui ne révèle pas toutes les défaillances dangereuses donne une fausse confiance. La couverture du test compte autant que sa fréquence.
Enfin, la confusion entre le SIL d’un composant et le SIL d’une boucle complète est une erreur permanente. Un capteur certifié pour un niveau donné ne rend pas la boucle entière à ce niveau. La boucle dépend de tous ses éléments, de son architecture et de son intervalle de test.
Les erreurs à ne pas faire
| Erreur | Pourquoi on la commet | Pourquoi c’est dangereux |
|---|---|---|
| Viser le SIL le plus haut « par précaution » | On croit acheter de la sécurité avec un chiffre | Surcoût massif, et fausse sécurité si la capacité systématique ne suit pas |
| « Le capteur est SIL 2, donc ma boucle est SIL 2 » | Confusion composant et boucle | La boucle dépend de tous ses éléments, de l’architecture et du test ; elle peut être bien en dessous |
| « La PFD est bonne, c’est validé » | On réduit le SIL à un seul chiffre | On oublie les contraintes architecturales et la capacité systématique |
| Contourner la sécurité pour produire, « on remettra après » | Pression de production | C’est le scénario de Buncefield : la barrière existe mais n’agit plus |
| Tester une fois, ne plus jamais revoir | La fonction « a marché » à la mise en service | La PFD dérive avec le temps ; sans test périodique réaliste, l’intégrité s’érode |
Les bonnes pratiques
Commencer par l’analyse de risque, puis écrire une spécification des exigences de sécurité claire et testable, fonction par fonction.
Allouer le SIL à chaque fonction, pas globalement à l’installation.
Vérifier les trois exigences, pas seulement la PFD : la cible chiffrée, les contraintes architecturales, et la capacité systématique.
Utiliser des données de fiabilité crédibles, un facteur de cause commune réaliste, et un intervalle de test cohérent avec la durée de vie et la disponibilité visée.
Séparer le système de conduite du système de sécurité. Le système qui pilote le procédé ne doit pas être celui qui le protège ; leur indépendance est une exigence de fond.
Gérer les contournements : toute inhibition doit être tracée, limitée dans le temps, signalée, et levée par procédure.
Mettre en place un management de la sécurité fonctionnelle, et faire réaliser une évaluation indépendante de la sécurité fonctionnelle par une personne ou une équipe distincte des concepteurs.
Checklist de revue
- Analyse des dangers et du risque documentée et datée
- Spécification des exigences de sécurité testable, par fonction
- SIL alloué et justifié pour chaque fonction
- Les trois exigences vérifiées : PFD ou PFH, contraintes architecturales, capacité systématique
- Données de fiabilité, facteur de cause commune et intervalle de test justifiés
- Indépendance entre système de conduite et système de sécurité
- Gestion des contournements tracée et bornée dans le temps
- Plan de test périodique avec couverture définie
- Management de la sécurité fonctionnelle en place
- Évaluation indépendante de la sécurité fonctionnelle réalisée
- Gestion des modifications appliquée à toute évolution
Pour aller plus loin
- La fiche IEC 61508 détaille la norme mère partie par partie.
- Les variantes sectorielles : IEC 61511 pour les procédés, IEC 62061 et ISO 13849 pour les machines. Chacune fera l’objet d’un article dédié.
- Le hub Safety PLC couvre les automates de sécurité qui réalisent ces fonctions.
- Les calculateurs PFD vers SIL, réduction de risque vers SIL et taux de défaillance vers temps moyen entre pannes pour les ordres de grandeur.
Une dernière chose. La sécurité fonctionnelle ne se décrète pas, elle se démontre et se maintient. Buncefield avait la fonction de sécurité ; il lui manquait l’intégrité. C’est toute la différence que pose l’IEC 61508 : non pas « avez-vous une protection ? », mais « pouvez-vous prouver qu’elle réduit le risque du facteur requis, aujourd’hui et dans dix ans ? ».